Ecco cosa devi sapere se viaggi in aereo con un notebook
Potrebbe sembrare un incubo o un episodio della serie Black Mirror su un futuro distopico, ma ora se viaggi in aereo verso gli Stati Uniti e il Regno Unito da 10 aeroporti in 8 Paesi del Nord Africa e del Medio Oriente devi imbarcare in stiva il tuo computer portatile.
Citando alcuni possibili rischi per la sicurezza — incluse bombe, non virus per computer — gli ufficiali governativi di Regno Unito e Stati Uniti stanno limitando l’accesso di dispositivi elettronici più grandi di uno smartphone dalle cabine delle compagnie aeree per questi voli. E questo pare essere solo l’inizio di altre misure restrittive.
Erka Koivunen, Chief Information Officer di F-Secure, ha molta esperienza – probabilmente troppa – nel volare con un computer portatile già dai giorni in cui lavorava per il National Cyber Security Centre in Finlandia. Gli abbiamo chiesto cosa serve sapere per viaggiare con il proprio PC portatile.
- Il rischio più grosso nell’imbarcare il tuo computer portatile è che può finire in un posto sbagliato, perso, danneggiato o rubato. “I pericoli più ovvi per qualsiasi bagaglio imbarcato sono che può arrivare in ritardo, può finire da un’altra parte, essere rotto o opportunisticamente rubato — proprio in questo ordine,” dice Erka. Gli aeroporti sono posti imprevedibili, soprattutto quando il personale che si occupa dei bagagli sciopera, come accade spesso in Europa. “Il modo più sicuro per fare un viaggio di lavoro senza il tuo computer portatile è tenerlo nella cabina.”
- Non hai molti diritti in un aeroporto.“Gli aeroporti sono luoghi in cui le autorità possono esercitare un controllo massivo su ogni tuo movimento. Se sei soggetto a una sorveglianza specifica, sarà un gioco da ragazzi per le autorità individuarti, e adottare trucchi su di te e le tue cose.”Gli ufficiali possono chiedere la tua password di Facebook, insistere affinché tu sblocchi il tuo telefono così che possano controllarlo o prendere il tuo computer portatile per fare un’ispezione in privato.
“Un tuo rifiuto può causare il diniego di accesso alla destinazione che hai scelto o l’arresto” sottolinea Erka. “Per la maggior parte dei viaggiatori business sarebbe stupido opporre resistenza. Sicuramente, odierai ogni minuto di quell’esperienza, ma un funzionario da solo non vorrà avviare una crisi diplomatica e dei manager aziendali non vorranno mettere in pericolo gli obiettivi di business del loro viaggio.”
Se sei un target ad alto valore nell’attività investigativa di un crimine elaborato o del terrorismo, un funzionario di governo importante o un personaggio rilevante del mondo business o accademico, i tuoi dati sono seriamente a rischio — soprattutto se il tuo dispositivo ti viene tolto dalle mani.
“Serve un po’ di tempo per copiare un hard disk, ma una persona può farlo, in particolare se quella persona ha l’autorità di far ritardare anche il volo se necessario,” precisa Erka. “Molto probabilmente sul dispositivo verrà collocato un keylogger o un altro strumento che permetta di monitorare l’uso che verrà fatto di quel dispositivo, garantire l’accesso remoto a quel dispositivo o la sua localizzazione o quella del proprietario.”
- Un dispositivo configurato male rende più facile agli ufficiali infettarlo con del malware.“I VIP e quelle che si considerano ‘persone eccezionali’ spesso preferiscono la semplicità e richiedono eccezioni alle policy aziendali,” dice Erka. “Così i loro computer portatili si accendono senza richiedere password noiose. Si loggano come admin con il minimo necessario di software di sicurezza installati, e ovviamente hanno accesso all’intera rete. Se ladri, agenti di intelligence o forze dell’ordine si imposessano di questi dispositivi ottengono accesso a tutto.”Ma queste sono minacce che un viaggiatore affronta in qualsiasi luogo, da una stanza in un hotel a una sala meeting. Erka suggerisce di non focalizzarsi sulla tua OPSEC — operational security — solo quando si parla di sicurezza negli aeroporti. A meno che tu non ti allontani mai dal tuo PC, sappi che qualcuno potrebbe tentare di accedervi.
“Una crittografia completa del disco, la protezione delle password e un attento processo di hardening verso dispositivi USB malevoli renderà più difficile ottenere accesso ai contenuti del computer portatile a chi tenta di accedervi. Assicurati che il dispositivo elimini le chiavi di crittografia dalla memoria quando il computer portatile non è in uso. ‘Spegnimento’ e ‘ibernazione’ sono opzioni più sicure della ‘sospensione’, perché in modalità sospensione il dispositivo mantiene le chiavi in memoria dove tu – o un intruso – può leggerle.”
Il tuo computer portatile dovrebbe essere progettato per funzionare solo per te.
“Se ben progettato e programmato, un ladro che ruba il tuo pc portatile dalla tua auto avrà solo un dispositivo muto senza accesso ai contenuti,” spiega Erka. “I computer portatili costano poco. Meglio che i dipendenti lo lascino a un ladro piuttosto che ingaggiare una lotta. Non ha senso chiedere loro di fare la parte degli eroi nel difendere i segreti aziendali quando il loro supporto IT ha fallito nel non proteggere quel dispositivo con il lancio di un’impostazione.”
Quindi cosa dovresti fare se pensi che il tuo computer portatile potrebbe essere oggetto di controlli?
“Ogni volta che mi viene chiesto di partire con i miei oggetti e dispositivi in un ambiente su cui non posso avere controllo, mi assicuro che siano bloccati, crittografati e dentro una borsa a prova di manomissione, come quelle usate dalle guardie che ritirano soldi dai supermercati alla fine della giornata,” spiega Erka. “La borsa costringerà il criminale a lasciare segni evidenti. Questo mi permetterà di riferire al mio team di sicurezza che abbiamo subito una violazione. La crittografia assicurerà che chiunque sia questa persona dovrà fare grossi sforzi per ottenere accesso ai dati.”
Prendi l’abitudine di fare queste cose ogni volta che viaggi, sia oltreoceano che altrove.
“Una buona OPSEC deriva dall’applicazione metodica e costante di misure di sicurezza.”
- Prendi in considerazione di lasciare il tuo computer portatile a casa — o di portare un dispositivo ‘usa e getta’.“Se sei un manager, un ricercatore, o uno sviluppatore, che sta viaggiando verso un Paese dove pensi potresti essere sottoposto a ‘ispezioni avanzate, ti consiglierei di non viaggiare col tuo arsenale di dispositivi. O pensa a un dispositivo ‘usa e getta’ secondario,” consiglia Erka. “Se non è possibile, ti consiglierei di togliere dal tuo dispositivo la maggior parte dei dati archiviati localmente e sbarazzarti di token di autenticazione, cookies e certificati.”Un device usa e getta potrebbe proteggere la tua sicurezza ed evitarti ulteriori imbarazzi.
“Sarà più semplice ridare il tuo dispositivo al tuo team di sicurezza per una post-ispezione, se non la vivi come un’altra ricerca intrusiva nella tua intera vita.”
- Fai sapere alle persone che stai passando ai controlli dell’immigrazione
“Mikko Hypponen, Chief Reasearch Officer di F-Secure, usa come prassi pubblicare un tweet ogni volta che accede ai controlli immigrazione degli Stati Uniti, e poi ne fa seguire un altro quando ha passato i controlli,” spiega Erka.Entering US immigration.
— Mikko Hypponen (@mikko) September 20, 2016
“Potresti fare qualcosa di questo tipo, magari meno pubblica, inviando un messaggio di testo o di chat a chi è a casa o alle persone dove sei diretto.”
Poi quando sei di nuovo libero puoi inviare un altro messaggio per far sapere che stai bene. Oppure puoi inviare un messaggio che dice “Non sono stato obbligato a dire che sto bene e arrivato a destinazione”.
Buon viaggio… in sicurezza!
[Immagine di meenakshi madhavan | Flickr]
Articolo tratto da “What you need to know about flying with a laptop”, di Jason Sattler, Social Media Consultant di F-Secure Corporation.
Categorie