Conoscere per Difendersi

Attualità

S-U-P-E-R… … ?

kko

L’iniziativa di Cyber-sensibilizzazione promossa dalla Confederazione ai raggi X

Partiamo da un concetto basilare. Ogni tentativo e ogni iniziativa che si pone come obbiettivo aumentare la consapevolezza informatica dei cittadini per contrastare hacker e criminalità è da elogiare.

Detto questo bisogna anche valutare se le iniziative siano corrette nei contenuti e la loro efficacia. In questo caso l’iniziativa promossa dall’NCSC, Centro Nazionale per la Cyber Sicurezza mostra il fianco ad alcune critiche.

Partiamo con l’evidenziare che pare esserci, come spesso capita, un problema nell’atteggiamento della Confederazione nei confronti degli svizzeri italofoni. Questo si riflette in traduzioni che hanno un significato molto diverso dai messaggi nelle altre lingue nazionali o in inglese.

Nell’immagine sotto possiamo notare che il messaggio “Quando non siete a casa o in ufficio, siate prudenti, anche online” in Italiano ha un valore molto diverso dal:

  • Tedesco : Seien Sie vernünftig unterwegs, auch online -> Si intelligente quando sei in giro, anche online;
  • Francese: Faites preuve de bon sens même lorsque vous naviguez sur Internet -> Usa il buon senso anche quando navighi online;
  • Inglese: Be alert to online danger -> Fate attenzione ai rischi online.

In italiano la frase suggerisce che in casa o in ufficio, la prudenza possa essere superflua, mentre nelle altre lingue il messaggio è chiaro e non presenta ambiguità.

Aggiornamento:

Dopo la mia segnalazione la frase è stata corretta. Ringrazio la NCSC per essersi attivata.

A casa e in ufficio possiamo essere imprudenti?

La poca chiarezza nel messaggio che accoglie i visitatori del sito non rappresenta l’unico problema. L’impressione è che non sia stato correttamente tarato il target di età, preferendo un target di giovanissimi e tralasciando le categorie più esposte alla quale queste iniziative di norma andrebbero dedicate. Benché questi argomenti non siano di mia competenza e quindi vadano presi con le molle, alcuni dati sono inconfutabili.

URL del sito

Gli indirizzi dei siti (domini) di norma contengono parole chiare: laregione, ticinoline, repubblica, facebook. Capita che contengano anche un simbolo, ma piuttosto raramente e questo li rende facilmente riconoscibili; soprattutto li differenzia dai link che arrivano attraverso le mail di phising o spam che sono pieni di simboli e risultato incomprensibili.

Il dominio S-U-P-E-R.ch è ambiguo, personalmente, se mi arrivasse una mail con un link a questo sito, sarei molto sospettoso ed eviterei di cliccarci su. Lo stesso nome SUPER sembra riferirsi ad una lotteria, un gioco, un canale TV, non ad un elemento che abbia attinenza con la Sicurezza Informatica.

Canale Televisivo o lotteria?

Grafica

In merito alla grafica fornisco un’opinione, quindi più vicina ad una semplice percezione che ad un discorso tecnico motivato da conoscenze e competenze specifiche.

La grafica utilizzata nei colori e nello stile pare ispirarsi, senza troppo nasconderlo, ad alcune precedenti versioni del sito della principale azienda telefonica svizzera e di una sua concorrente nella home-page. Inoltre i font e gli effetti dinamici sono confusionari e questo può compromettere il messaggio, perché qualsiasi elemento porti confusione, genera dubbio e quindi provoca una naturale diffidenza tanto più la persona, ad esempio un anziano, si sente vulnerabile.

Pulizia e ordine sono una caratteristica della grafica in tema di sicurezza che non è solo questione d’estetica, ma strumento per trasmettere un senso di competenza e autorevolezza rassicurante.

Contenuti

Tralasciando i problemi legati ad un uso della lingua scorretto che lascia spazi di ambiguità nell’interpretazione delle frasi.

La disposizione dei contenuti è confusionaria e poco intuitiva. Io ho avuto difficoltà a navigare nel sito per richiamare le pagine dedicate a determinati consigli e gli stessi concetti di Salvare, Usare, Proteggere, Elaborare, Ridurre non sono facilmente collegabili alle minacce relative e ai consigli che si danno.

Un acronimo che sacrifica la chiarezza dei contenuti per un gioco di parole

La pagina “Salvare” è salvare i dati, semplice il collegamento. Disturba che si indirizzi l’utenza verso determinati prodotti di Microsoft o di Apple quando esistono alternative.

La pagina “Usare” invece ospita la scheda che spiega l’importanza di aggiornare costantemente i sistemi, ed anche qui si nota quanto poco abbia a che fare il verbo “usare” con il verbo “aggiornare“.

La pagina “Proteggere” per fortuna porta a pensare alla protezione contro i virus e il collegamento risulta piuttosto automatico ad una pagina che spiega come installare Firewall e Antivirus. Tuttavia tralascia di ricordare che i principali vettori di trasporto del malware siano allegati e download. Sarebbe importante specificare, anche in questa pagina l’importanza di fare attenzione a ciò che si scarica, perché un antivirus non è in grado di riconoscere tutto e potrebbe essere bucato.

La pagina “Elaborare” lascia perplessi perché elaborare nelle intenzioni di chi ha redatto i testi dovrebbe richiamare il concetto di Password. Difficile pensare che possa accadere; inoltre il consiglio per creare password forti è piuttosto discutibile, perché il metodo suggerito le rende soggette ad attacchi di tipo dizionario e soprattutto non risolve il problema di avere password diverse per diversi servizi.

Come creare una password complessa e facile da ricordare è un argomento che abbiamo affrontato e chi vuole può recuperare il contenuto a questo link. https://passounosecurity.ch/hacker-a-caccia-di-password-parte-3/

Nella pagina “Ridurre” si possono trovare i consigli utili per non cadere vittima di una truffa informatica. E’ evidente che se una persona ha letto il nostro articolo sulla gestione del Rischio ( https://passounosecurity.ch/il-concetto-di-rischio/ ) potrebbe collegare il concetto di Ridurre a Riduzione del rischio, ma chi non ha competenze difficilmente comprenderà il senso della parola Ridurre legata alle truffe informatiche.

Metodo

In un ultimo esiste un problema di impostazione generale di metodo per un’iniziativa concepita come una serie di precise e tassative indicazioni. Super indica cosa non fare, ma ha il difetto di insegnare poco.

Non ci si può limitare a dire non cliccate sui link, non scaricate gli allegati, perché link ed allegati fanno parte sia delle comunicazioni che nascondono una truffa, sia delle comunicazioni lecite. Quello che si deve fare è spiegare come riconoscere una email fasulla da una email vera, come distinguere un link ad un sito fasullo da un link ad un sito reale.

Se non insegno questo l’effetto sarà controproducente perché le persone seguiranno pedissequamente quello che gli viene detto, ma fuori da quel campo d’azione si troveranno esposte.

Solo i file office vengono usati per veicolare virus? No!

L’esempio lampante di questo errore di metodo è nei consigli per difendersi dal malware. Come potete vedere nell’immagine sopra viene sottolineato come i malware vengano distribuiti attraverso file Office restringendo il perimetro del pericolo ad una piccola porzione delle tante tipologie di file che possono veicolare del malware.

Questo vuol dire che una persona sarà portata a non aprire documenti office, ma davanti ad un pdf, un mp3 o un’immagine cosa farà?

Gli abbiamo detto che i documenti Office sono insicuri. Questo comporta il rischio che seguendo consigli comunicati male, una persona si senta tranquilla nell’aprire un file che non è un file Office. Eppure pdf, mp3, txt, jpg, php, js, exe sono una piccola parte di file “non office” che possono nascondere virus e altro malware. Un buon consiglio si è rivelato il miglior alleato di una minaccia e questo non deve accadere.

In sintesi un plauso per l’iniziativa, ma bisogna fare di più e meglio.

Sito web https://passounosecurity.ch
Articolo creato 84

Articoli correlati

Inizia a scrivere il termine ricerca qua sopra e premi invio per iniziare la ricerca. Premi ESC per annullare.

Torna in alto