Capita sempre più spesso che cybercriminali si impadroniscano dei dati personali degli utenti delle piattaforme di gaming online. I consigli di due esperti di sicurezza del Politecnico di Milano: “Usate le ricaricabili o le carte virtuali monouso”
di Federico Guerrini
“Se una grande azienda come Sony non è in grado di proteggere i nostri dati personali, di chi ci possiamo fidare?”, ha chiesto una ragazza canadese che ha deciso di denunciare il colosso giapponese all’indomani dell’attacco con cui, un mese fa, un gruppo di hacker si è impadronito dei dati relativi a 75 milioni di utenti collegati al Playstation Network della casa giapponese.
È la domanda che di questi tempi si fanno un po’ tutti gli amanti dei videogiochi. Se il caso Sony è il più clamoroso della storia del gaming, da quando tutte la maggiori console sono collegate a Internet, i problemi di sicurezza si sono moltiplicati. Lo scorso febbraio, la polizia spagnola aveva arrestato a Malaga un cyber criminale accusato di aver violato 4.000 account di utenti della piattaforma Wii di Nintendo, e di aver poi cercato di ricattare la società, minacciando di rivelare l’accaduto e divulgare i dati online se le sue richieste non fossero state soddisfatte.
A fine aprile era stata Microsoft a pubblicare un bollettino di sicurezza, in cui metteva in guardia i giocatori di xBox Live da tentativi di phishing (e cioè il furto di dati personali attraverso email o altri sistemi di messagistica).
L’ultimo caso è di pochi giorni fa: degli hacker si sono impossessati degli indirizzi email di 25.000 clienti di Square Enix, la software house produttrice di celebri titoli come Tomb Raider e Final Fantasy e, probabilmente, anche dei curricula di 350 aspiranti collaboratori della filiale canadese dell’azienda.
Ma cosa possono fare aziende e utenti per difenderi da questo tipo di attacchi? Lo abbiamo chiesto a due esperti del Politecnico di Milano: Stefano Zanero, ricercatore del Dipartimento di Elettronica e Informazione e Luca Marzegalli, co-direttore dell’Osservatorio di Information Security Management.
“Per quanto riguarda gli utenti – risponde Zanero - per prima cosa, se ci sono informazioni che assolutamente non sono sostituibili o sono molto preziose, dobbiamo pensarci prima di affidarle a un servizio online qualunque. Vale anche per la posta elettronica, o per il semplice fatto di salvarle su un computer connesso alla rete. In secondo luogo, quando questi grandi sistemi vengono compromessi, molto spesso la prima cosa che viene ottenuta sono i dati di accesso (login e password). Per questo motivo, usare lo stesso login e la stessa password su molteplici sistemi è una pessima idea”.
Un’informazione particolarmente delicata è quella che riguarda gli estremi della carta di credito. Meglio inserirli solo su siti fidati. “Ma, come il caso Sony dimostra - spiega Marzegalli - anche di fronte ad un’azienda importante non c’è garanzia di sicurezza. Chi desidera proteggersi può ricorrere a strumenti di pagamento differenti. Sistemi come Paypal, le carte di credito ricaricabili (che offrono molti istituti di credito, NdR), e le carte virtuali monouso”. Quest’ultime sono molto simili alle prepagate per i cellulari e sono offerte da tempo da Playstation in formato da 20 o 50 euro. Basta comprarle in un qualsiasi rivenditore di videogiochi, grattare il codice segreto e poi acquistare games online in tutta sicurezza.
Le aziende, dal canto loro, fanno il possibile per proteggersi, ma restano spesso vittima della psicologia del “fortino”: tutta l’attenzione è concentrata sull’impedire a un hacker di penetrare nel network, ma una volta dentro, questi può scorazzare liberamente, senza incontrare resistenza.
“Una grande azienda – prosegue Zanero - da un lato sicuramente ha più forza per difendersi, dall'altro è un bersaglio molto attraente. Dal momento che i difensori devono difendere tutte le possibili vie d’accesso, e l’aggressore deve soltanto trovare una breccia specifica, i problemi di sicurezza possono essere prevenuti solo fino ad un certo punto”.
Restando sempre in tema di protezione dei dati finanziari, “le aziende – racconta Marzegalli - possono certificare i loro sistemi secondo lo standard di sicurezza Pci-Dss, emanato dai principali circuiti di carte di credito. Anche in questo caso lo standard non garantisce però la sicurezza assoluta e un’azienda può comunque essere vittima di un attacco, come nel caso dei 4,2 milioni di dati di carte di credito rubati alla catena statunitense Hannaford”.
“Non esiste il ‘dato sicuro’ o il ‘sistema sicuro’ – chiosa Zanero - La sicurezza, in senso assoluto, non esiste, come non esiste l'auto ‘sicura’ al 100%. Ovviamente però un’auto costruita con buoni criteri, con l’Abs, con gli airbag, in cui gli occupanti indossano le cinture e condotta prudentemente è abbastanza sicura da farci sentire tranquilli”.
“Se una grande azienda come Sony non è in grado di proteggere i nostri dati personali, di chi ci possiamo fidare?”, ha chiesto una ragazza canadese che ha deciso di denunciare il colosso giapponese all’indomani dell’attacco con cui, un mese fa, un gruppo di hacker si è impadronito dei dati relativi a 75 milioni di utenti collegati al Playstation Network della casa giapponese.
È la domanda che di questi tempi si fanno un po’ tutti gli amanti dei videogiochi. Se il caso Sony è il più clamoroso della storia del gaming, da quando tutte la maggiori console sono collegate a Internet, i problemi di sicurezza si sono moltiplicati. Lo scorso febbraio, la polizia spagnola aveva arrestato a Malaga un cyber criminale accusato di aver violato 4.000 account di utenti della piattaforma Wii di Nintendo, e di aver poi cercato di ricattare la società, minacciando di rivelare l’accaduto e divulgare i dati online se le sue richieste non fossero state soddisfatte.
A fine aprile era stata Microsoft a pubblicare un bollettino di sicurezza, in cui metteva in guardia i giocatori di xBox Live da tentativi di phishing (e cioè il furto di dati personali attraverso email o altri sistemi di messagistica).
L’ultimo caso è di pochi giorni fa: degli hacker si sono impossessati degli indirizzi email di 25.000 clienti di Square Enix, la software house produttrice di celebri titoli come Tomb Raider e Final Fantasy e, probabilmente, anche dei curricula di 350 aspiranti collaboratori della filiale canadese dell’azienda.
Ma cosa possono fare aziende e utenti per difenderi da questo tipo di attacchi? Lo abbiamo chiesto a due esperti del Politecnico di Milano: Stefano Zanero, ricercatore del Dipartimento di Elettronica e Informazione e Luca Marzegalli, co-direttore dell’Osservatorio di Information Security Management.
“Per quanto riguarda gli utenti – risponde Zanero - per prima cosa, se ci sono informazioni che assolutamente non sono sostituibili o sono molto preziose, dobbiamo pensarci prima di affidarle a un servizio online qualunque. Vale anche per la posta elettronica, o per il semplice fatto di salvarle su un computer connesso alla rete. In secondo luogo, quando questi grandi sistemi vengono compromessi, molto spesso la prima cosa che viene ottenuta sono i dati di accesso (login e password). Per questo motivo, usare lo stesso login e la stessa password su molteplici sistemi è una pessima idea”.
Un’informazione particolarmente delicata è quella che riguarda gli estremi della carta di credito. Meglio inserirli solo su siti fidati. “Ma, come il caso Sony dimostra - spiega Marzegalli - anche di fronte ad un’azienda importante non c’è garanzia di sicurezza. Chi desidera proteggersi può ricorrere a strumenti di pagamento differenti. Sistemi come Paypal, le carte di credito ricaricabili (che offrono molti istituti di credito, NdR), e le carte virtuali monouso”. Quest’ultime sono molto simili alle prepagate per i cellulari e sono offerte da tempo da Playstation in formato da 20 o 50 euro. Basta comprarle in un qualsiasi rivenditore di videogiochi, grattare il codice segreto e poi acquistare games online in tutta sicurezza.
Le aziende, dal canto loro, fanno il possibile per proteggersi, ma restano spesso vittima della psicologia del “fortino”: tutta l’attenzione è concentrata sull’impedire a un hacker di penetrare nel network, ma una volta dentro, questi può scorazzare liberamente, senza incontrare resistenza.
“Una grande azienda – prosegue Zanero - da un lato sicuramente ha più forza per difendersi, dall'altro è un bersaglio molto attraente. Dal momento che i difensori devono difendere tutte le possibili vie d’accesso, e l’aggressore deve soltanto trovare una breccia specifica, i problemi di sicurezza possono essere prevenuti solo fino ad un certo punto”.
Restando sempre in tema di protezione dei dati finanziari, “le aziende – racconta Marzegalli - possono certificare i loro sistemi secondo lo standard di sicurezza Pci-Dss, emanato dai principali circuiti di carte di credito. Anche in questo caso lo standard non garantisce però la sicurezza assoluta e un’azienda può comunque essere vittima di un attacco, come nel caso dei 4,2 milioni di dati di carte di credito rubati alla catena statunitense Hannaford”.
“Non esiste il ‘dato sicuro’ o il ‘sistema sicuro’ – chiosa Zanero - La sicurezza, in senso assoluto, non esiste, come non esiste l'auto ‘sicura’ al 100%. Ovviamente però un’auto costruita con buoni criteri, con l’Abs, con gli airbag, in cui gli occupanti indossano le cinture e condotta prudentemente è abbastanza sicura da farci sentire tranquilli”.
