Spegnere lo smartphone una volta a settimana? Una bufala
Tra tanti buoni consigli offerti dagli 007 della NSA è stato preso in considerazione solo quello meno utile: ecco perché spegnere il telefono una volta a settimana non serve quasi a niente
Da alcuni giorni i giornali di mezzo mondo stanno pubblicando una notizia, o meglio un consiglio, sulla sicurezza online degli smartphone, siano essi Android o iPhone: per proteggere i telefoni dagli attacchi hacker bisogna spegnerli e riavviarli una volta a settimana.
A dare credibilità a questa teoria c’è il fatto che essa proverrebbe niente di meno che dall’NSA, la National Security Agency americana, cioè uno dei servizi segreti più potenti al mondo, che di telefoni ne attacca e spia a migliaia ogni giorno. Come spesso accade quando si parla di cybersicurezza, però, la notizia originale è stata semplificata all’estremo e travisata: la NSA, infatti, ha detto praticamente il contrario.
Sicurezza online: i consigli degli 007
La fonte originale della notizia secondo cui dovremmo tutti spegnere i telefoni almeno una volta a settimana è un documento di due pagine realizzato dalla NSA in collaborazione con Associated Press.
La prima pagina è un elenco di buone pratiche da seguire per evitare ogni tipo di rischio online, dal phishing all’infezione virale da malware, la seconda pagina contiene una tabella ricca di informazioni che riassume i tipi di rischi online e le buone pratiche che potrebbero mitigare tali rischi. Per la precisione, i rischi elencati sono i seguenti:
- Spear phishing
- App infette
- Attacchi zero-day
- Attacchi su rete WiFi
- Intercettazioni telefoniche
- Intercettazioni ambientali
- Furto di dati telefonici (SMS, chiamate…)
- Geolocalizzazione del dispositivo
- Attacchi fisici diretti
- Attacchi alla catena dei fornitori
A questi 10 rischi vengono contrapposte 13 buone pratiche, che hanno effetti diversi in base al rischio che viene preso in considerazione. Gli effetti possibili sono tre:
- Previene quasi sempre il rischio
- A volte proviene il rischio
- Non previene il rischio
La buona pratica più efficace per mitigare più rischi possibili è tenere aggiornato il sistema operativo e le app: su dieci rischi “a volte proviene” ben 7 rischi.
A cosa serve riavviare il telefono
Tra tutte le buone pratiche elencate dagli 007 americani, quella di riavviare il telefono una volta a settimana (“Turn Device Off & On Weekly“) è una delle meno utili: appena due rischi che vengono mitigati, e solo “a volte“.
Per la precisione spegnere e riaccendere il telefono “a volte previene” lo spear phishing e gli attacchi zero-day. Su tutti gli altri rischi non ha alcun effetto.
Il vero segreto: prudenza e aggiornamenti
Gli unici due suggerimenti che hanno realmente efficacia secondo la NSA (e secondo tutti, ve li abbiamo dati anche noi centinaia di volte) sono quello di aggiornare il sistema operativo e le app e quello di installare solo le app essenziali e solo da store ufficiali o, comunque, affidabili.
E non ci vuole uno 007 per capirlo, basta informarsi un po’ per sapere che gli attacchi zero-day sono quelli che vengono corretti in continuazione da Google, Apple, Microsoft e tutte le altre big del settore, tramite appositi aggiornamenti mensili.
Lo spear phishing è un attacco mirato a specifiche persone, di solito all’interno di un’azienda alla quale gli hacker vogliono rubare dati o segreti industriali. Questa tecnica passa quasi sempre dall’installazione di un malware, tramite un’app infetta e, quindi, ancora una volta per bloccarla bisogna aggiornare il sistema operativo e installare solo app sicure.
A conferma di tutto ciò vogliamo ricordare un recente esperimento fatto a inizio maggio da uno sviluppatore di app, che ha simulato una sessione di lavoro di un computer con Windows XP (che non viene aggiornato dal 2014) connesso a Internet: in appena 10 minuti di connessione il PC ha preso 8 virus.
