Proteggere i propri dati personali per motivi di sicurezza e privacy è possibile mediante la crittografia che però è ancora scarsamente utilizzata dalla maggior parte delle persone. Ne parliamo con Oscar Escayola Kaloudis, Flash Business Manager di Kingston Technology
Ogni anno aumenta il numero di dati sottratti mediante violazione, esfiltrazione ma anche per semplice smarrimento di Personal Computer, Mobile e device di varia natura. Quale che sia il metodo utilizzato per appropriarsi di questi dati, la conseguenza più immediata è l’esposizione dei dati personali e delle informazioni private.
Questo tipo di informazioni infatti, costituiscono un potenziale tesoro per chi sa come rivenderli e monetizzarli per effettuare truffe finanziarie e/o furti di identità, ma anche per la rivendita nel dark web, il mercato nero digitale. Eppure, esistono mezzi e prassi che consentirebbero di proteggere l’accesso, la visione e la modifica dei dati da parte di chi non avrebbe diritto di farlo. Il metodo di protezione diretta dei dati è la crittografia ovvero l’algoritmo che rende illeggibile un testo o una porzione di caratteri applicando loro una trasformazione basata sul valore di una chiave segreta, ovvero il parametro dell’algoritmo di cifratura/decifratura. La segretezza della chiave rappresenta il sigillo di sicurezza di ogni sistema crittografico.
Ma come mai un espediente in uso fin dagli egizi, che nel corso della storia è stato progressivamente perfezionato ed evoluto fino ad essere adottato nell’era informatica con l’algoritmi a chiave asimmetrica o disponibile mediante il sistema crittografico PGP ancora stenta ad essere adottato dagli utenti finali? Ne abbiamo parlato con Oscar Escayola Kaloudis, Flash Business Manager di Kingston Technology (la società produce memorie interne o esterne per PC e unità nativamente crittografate).
La crittografia è percepita come complessa da molti utenti e vissuta con sfiducia perchè non la si capisce bene. Possiamo spiegare in cosa consiste quando applicata per la protezione dei dati su un device o usb o disco?
La crittografia, è spesso incompresa e quindi è vista con ostilità dall’utente, ma rappresenta uno strumento utilissimo per proteggere i dati inviati, ricevuti e memorizzati utilizzando un dispositivo tecnologico. Un esempio concreto sono le chiavette USB crittografate, da scegliere assolutamente nel caso si intenda conservare informazioni sensibili su un drive. Possiamo descrivere la crittografia come il processo di codifica di un testo in precedenza leggibile a chiunque, che diventa accessibile solo ad una persona in possesso del codice segreto, della password o della chiave di decrittazione. Si tratta insomma di un valido alleato per garantire la sicurezza dei dati, soprattutto nel caso di informazioni sensibili come quelle contenute ad esempio in documenti finanziari, sanitari o classificati come d’interesse governativo.
In che modo l’utente può sempre decriptare i propri dati e accederli senza difficoltà?
In realtà, i più moderni e avanzati dispositivi crittografati, come le USB da noi prodotte, sono piuttosto semplici e facilmente utilizzabili, oltre a non necessitare di software o driver particolari. L’applicazione sulla partizione di sola lettura permette all’utente di creare una password, che consente di criptare e anche decriptare l’USB. Alcuni prodotti, come la DT2000, sono dotati di una tastiera che permette di criptare e decriptare l’USB prima dell’uso: in questo modo, la stessa è utilizzabile su qualsiasi sistema o dispositivo host che supporta l’interfaccia USB, come ad esempio televisioni, proiettori o altri dispositivi d’uso comune.
Che tipo di minacce o rischi sono parzialmente o completamente azzerati dall’uso della crittografia come mezzo di protezione dei dati?
Se non si criptano i dati prima di salvarli su un’unità USB, gli hacker potrebbero avere accesso alle informazioni ivi contenute, bypassando anti-virus, firewall e altri controlli, oppure le stesse potrebbero diventare pubbliche per semplice, smarrimento o casualità. Un esempio tipico è quanto successo nell’ottobre 2017 all’aeroporto di Heathrow di Londra, che utilizzava drive USB non crittografati per la sua piattaforma di storage non-cloud. Un passante avrebbe trovato per strada, a terra, un normale drive USB, che ha portato a casa e inserito nel suo computer. Qui la scoperta, poi condivisa con una testata giornalistica: all’interno della chiavetta erano salvate 76 “cartelle” di documentazione riservata riguardante la sicurezza del principale scalo aeroportuale londinese. È drammatico pensare quale impatto avrebbero potuto avere quelle informazioni, se fossero finite nelle mani di un terrorista. In generale, nell’era dello smartworking, in cui secondo alcune stime il 70% dei professionisti lavoro da remoto, il flusso di dati e informazioni che escono dall’azienda e che in alcuni casi finiscono su dispositivi di proprietà del dipendente (il famoso BYOD n.d.r.), è davvero imponente e i rischi correlati lo sono di conseguenza. Alcuni dei nostri device crittografati, come gli S1000/D300S, per limitare ulteriormente i pericoli, hanno anche una funzione di tastiera virtuale che protegge da keylogger e screenlogger: questo consente di avere lo schermo libero nel momento in cui si inserisce la password, impedendo così agli hacker di intercettarla.
Come viene implementata la crittografia e che tipo di crittografia implementate?
La crittografia sui drive USB può essere ottenuta in due modi: mediante soluzioni hardware o mediante soluzioni software. Le unità crittografate via software, condividono le risorse del computer con altri programmi e sono sicure solo quanto lo è il computer su cui vengono utilizzate. Al contrario, le unità USB crittografate via hardware, come quelle a marchio Kingston, sono autonome, non richiedono un elemento software sul computer host e sono le più efficaci nel combattere le minacce informatiche in continua evoluzione, fornendo uno schermo sicuro contro le più comuni tipologie di attacco, quali gli attacchi di tipo cold boot e brute force. Utilizzando la crittografia AES a 256 bit standard in modalità XTS, le unità crittografate offrono il più alto livello di sicurezza disponibile su un dispositivo di archiviazione portatile, garantendo la sicurezza dei dati attraverso la crittografia “always-on”, il meccanismo di prevenzione brute force e l’applicazione di password complesse. In risposta alle esigenze dei settori sanitario e finanziario, una ulteriore convalida della sicurezza dei nostri dispositivi arriva dalla Certificazione FIPS 140-2 di Livello 3.
I computer quantici possono costituire un problema per la crittografia in uso oggi?
Difficile dirlo ora: avremo una risposta a questo quesito solo quando questa tecnologia sarà effettivamente disponibile. Questo però è sicuramente il momento per prepararsi a portare un passo avanti nuovi sistemi che alzano gli standard di sicurezza, anche nella crittografia.
Come rispondere a questa potenza di calcolo quantica, a cosa state pensando?
I computer quantici, supercomputer di prossima generazione, sono attesi da lungo tempo, ma finora non possiamo ragionare su nulla di concreto. Ci sono molte aziende che ci stanno lavorando, ma nessuno sa con certezza quando arriveranno effettivamente sul mercato e quali saranno i loro potenziali e le loro capacità. La tecnologia evolve, e con essa anche la crittografia e i sistemi di sicurezza dei vari dispositivi. In Kingston abbiamo un avanzato dipartimento R&D, e sicuramente non ci faremo trovare impreparati.