[galleria id=”30″]Oggi Slashdot ha dato vita ad una discussione decisamente interessate. Sul famosissimo pseudo-blog di news tecnologiche, infatti, un utente ha posto una domanda che tutti dovrebbero porsi: come ci si difende dai keylogger (software che registrano quello che battete sulla tastiera) su un computer ad accesso pubblico, come quelli di web-bar, biblioteche o persino posti di lavoro? In molti hanno cercato di dare risposte, vediamone qualche esempio:
1.
Conservo le mie password su un sito internet, in modo da poterle copiaincollare quando sono lontano da casa. Ad esempio:
miodominio.it/password.txt
Sfortunatamente, non è un metodo corretto, per una pletora di ragioni, la principale è che molti keylogger copiano anche gli appunti/clipboard. Ricordatevi sempre di una cosa: chiunque crei keylogger non è necessariamente un idiota.
2.
Facile. Se la tua password fosse ad esempio
“secret”, scrivi“s”, poi qualcosa di completamente casuale come"jd#'2;Knfn>", poi evidenzia questi ultimi caratteri e batti“e”. Ci metterai un po’, ma è abbastanza sicuro. [tralaltro, visto che il campo password è oscurato, devi anche essere bravo a contare 😉 ndRammit]
Anche qui la cosa potrebbe non essere sufficiente: ci sono keylogger che tengono d’occhio la posizione del box in cui inserire la password, e catalogano con tanto di orario ogni attività di mouse e tastiera.
3.
Vai su
Start>Programs>Accessories>System Tools>Character Mape clicca sulle lettere della tua password.
Purtroppo, alcuni di questi malware spioni prendono continui screenshot, rendendo vano tentativi di dissimulazione come questo (e come i due precedenti, per la cronaca).
4.
Usa Firefox Portable [la versione che non necessita di installazione ndRammit] assieme a programmi come RoboForm, oppure l’extension di Firefox KeyScrambler.
Questi software, presi in congiunzione con la variante di mobilità del browser Mozilla, sono già più efficaci rispetto ai metodi precedenti, anche se un po’ scomodi da usare in mobilità… In particolare il secondo, che difficilmente potrete installare su un computer pubblico. Inoltre, il keylogger potrebbe comunque essere in grado di leggere il testo oscurato.
5.
Fai partire il tuo sistema operativo da LiveCD, che si tratti di una qualsiasi distro di Linux o di BartPE, oppure via chiavetta USB come Puppy Linux.
Anche questo sembrerebbe un sistema a prova di bomba, ma non è così purtroppo. Se ci fosse un keylogger di tipo hardware, continuerebbe a funzionare in modo totalmente indipendente dal sistema operativo. Inoltre, generalmente è piuttosto difficile che vi permettano di usare il vostro OS privato su un computer pubblico appartenente ad un locale od un albergo!
In definitiva la triste verità resta una sola…
Se volete che i vostri dati riservati importanti siano al sicuro dai keylogger (e tanti altri malware), l’unica maniera è di NON usarli in alcun modo su un computer pubblico. Non c’è maniera di rendere sicura una postazione di cui non conoscete la storia, gli utenti, e a dire il vero di cui non sapete assolutamente nulla. Trattate tutto quello scrivete su un PC pubblico come se dovesse essere pubblicato sul Corriere della Sera.
L’unico consiglio generalmente accolto dagli utenti di Slashdot è stato quello di usare un portatile, un PDA, tramite connesione wireless. Anche quello non è sicuro al 100%, sia chiaro, ma nulla lo è nella vita. E al giorno d’oggi un laptop da battaglia o un Eee PC costano relativamente poco.
A dire il vero c’è ancora un’alternativa: utilizzare Verisign-OpenID… Ma tornerò sul discorso in seguito, altrimenti più che un post diventerebbe un romanzo.