Saper rispondere a commenti negativi e critiche su Facebook è fondamentale per salvaguardare l’immagine della vostra azienda. La vita dell’azienda è complessa. A volte sbagliate qualcosa, altre volte trovate il precisino, il puntiglioso, o l’insoddisfatto. E Facebook può diventare la cassa di risonanza che compromette la vostra credibilità.

Essere in grado di rispondere a commenti negativi e critiche su Facebook significa innanzitutto evitare che una esperienza spiacevole diventi molto più grande e grave di quello che è in realtà, ma permette anche di raccogliere preziose informazioni sull’andamento della vostra attività e alla lunga vi può insegnare come modificare la situazione a vostro vantaggio. Per questo motivo, è fondamentale che almeno una persona nella vostra azienda si occupi dei social network e sia in grado di rispondere alle critiche su Facebook.

Mai lasciare i commenti negativi senza risposta. Replica sempre alle critiche su Facebook

È di vitale importanza che le lamentele e i problemi che i vostri clienti postano siano presi in considerazione. L’inattività da parte vostra farà sembrare agli occhi del cliente che voi stiate cercando di ignorare la questione e nascondere tutto sotto il tappeto. Non rispondere a commenti negativi e critiche su Facebook ed essere indifferenti non fa altro che fomentare più rabbia e incrementare la possibilità che l’utente torni a postare sulla vostra bacheca un messaggio ancora più cattivo.

Inoltre, la vostra comunità può vedere quel post. Se non si risponde, si dà l’impressione di essere disinteressati all’assistenza del cliente e ciò può essere dannoso per la vostra reputazione.

Rispondere in maniera gentile e comprensiva alle preoccupazioni dei clienti dimostrerà la vostra intenzione di risolvere gli eventuali problemi.

VUOI TOGLIERE COMMENTI O FEEDBACK NEGATIVI DA FACEBOOK?
CONTATTACI

Non arrabbiatevi. Immaginatevi al posto del cliente prima di rispondere alle critiche su Facebook

Quando trattate con utenti insoddisfatti della vostra attività, è necessario ricordare che voi conoscete molto meglio il vostro settore, i vostri prodotti e i vostri servizi rispetto a loro. Quello che a voi può sembrare semplice conoscenza di base al cliente è spesso sconosciuta.

Fate un passo indietro e mettetevi nei panni del cliente. Questo può farvi comprendere il motivo per cui è frustrato. La sua delusione potrebbe non essere stata causata dalla vostra compagnia.

Molto spesso la discussione verte sulla colpa: è stata l’azienda negligente o il cliente non si è comportato bene? Questa discussione alla lunga si rivela sterile: Se volete rispondere a commenti negativi e critiche su Facebook in maniera utile sarà molto più lungimirante risolvere il problema, per mantenere rapporti col cliente senza perderlo. Invece di cercare di capire di chi è davvero la colpa, trasformate i clienti delusi in clienti affezionati, rendendo la loro esperienza migliore.

Per rispondere a commenti negativi su Facebook. Chiedete dati e prove 

Mentre siete impegnati a rispondere a commenti negativi e critiche su Facebook, non sapete esattamente chi avete di fronte. Potrebbe trattarsi di un cliente realmente insoddisfatto che cerca giustizia, che deve essere quindi trattato con i guanti al fine di risolvere la situazione al più presto, ma potrebbe essere anche un semplice disturbatore o addirittura un incaricato di un’azienda avversaria che desidera semplicemente screditarvi.

Un metodo molto semplice per distinguere fra i due, ed allontanare immediatamente le critiche pretestuose, è quello di chiedere dei dati precisi e delle prove di acquisto. Numero d’ordine, numero di fattura, foto di uno scontrino, immagini del prodotto danneggiato o qualsiasi altra cosa che sia una evidenza reale, metterà immediatamente alle strette un falso utente.

Rispondere a commenti negativi e critiche su Facebook: provate in privato

L’invio di un messaggio privato o di una e-mail al cliente per rispondere alle critiche su Facebook apre più opzioni per risolvere con successo i problemi. L’obiettivo qui è quello di fare un gesto simbolico lasciando che il cliente sappia che siete dispiaciuti della sua insoddisfazione, e che siete disposti a rimediare. Sia che gli offriate uno sconto sul prossimo acquisto, oppure la possibilità di parlare direttamente col direttore, spostare la conversazione dal pubblico al privato farà sembrare al cliente che vi stiate prendendo cura di lui in modo specifico.

Inoltre, offrire pubblicamente cose come il numero personale del direttore e sconti speciali può portare altre persone a lamentarsi solo per ottenere un trattamento speciale, altro motivo per cui è meglio tenere queste pratiche il più possibile private.

VUOI TOGLIERE COMMENTI O FEEDBACK NEGATIVI DA FACEBOOK?
CONTATTACI

Non solo rispondere a commenti negativi su Facebook: chiedere al cliente di rimuovere le critiche

Diciamo che avete discusso la questione in privato, tutti i problemi sono stati chiariti, e l’utente pignolo e criticone è tornato ad essere felice.

Sebbene la vostra pagina Facebook sia una parte fondamentale della vostra presenza sul web, il cliente potrebbe non essere a conoscenza di quanto sia davvero importante per la vostra reputazione. Se è soddisfatto della risoluzione e grato per il tempo che avete speso per rispondere alle critiche su Facebook e per fare le cose per bene, non c’è niente di sbagliato nel chiedere privatamente alla persona di rimuovere cortesemente il post. Il più delle volte, il commento negativo verrà rimosso.

Dimostrare di risolvere le critiche e i commenti negativi. L’arma in più

Come regola generale, voi, amministratori della pagina Facebook, non dovreste rimuovere i messaggi negativi. Non è reale che tutti facciano recensioni entusiaste del vostro prodotto o della vostra attività. Gli utenti lo sanno bene, e se vedono solo commenti positivi, immagineranno che voi abbiate cancellato quelli negativi.

Quindi, anzichè lanciarvi a cancellare ogni elemento negativo appena potete, avete la possibilità di rispondere pubblicamente, risolvendo il caso… e facendolo vedere agli altri. Anche un post negativo può essere una cosa buona, purché tutto si concluda per il meglio. La vostra reputazione nella comunità spiccherà il volo quando questa vedrà quanto ci teniate a rispondere alle critiche su Facebook e quanto siete in grado di risolvere le situazioni.

Lasciate che la vostra comunità risponda alle critiche su Facebook

Lasciare che la vostra comunità possa rispondere a commenti negativi e critiche su Facebook per voi è il risultato finale degli step precedenti. Ciò richiede molto tempo, energia e pazienza con i vostri clienti. Dopo aver risposto a molto domande e offerto supporto, noterete che gli utenti saranno più attivi sulla vostra pagina, fino al punto da assistersi a vicenda.

La cosa fantastica di ottenere questo sostegno dalla comunità è che c’è una vera e propria credibilità perché i clienti appoggiano il vostro business per voi. Diventano i vostri entusiasti agenti di supporto virtuali, rispondendo alle domande e risolvendo i problemi prima che voi abbiate la possibilità di farlo. Ma questo è un livello che si può raggiungere solo se avete nutrito e sostenuto la vostra comunità.

Qualsiasi cosa accada: non permettete insulti

Se la parte offesa è insensibile ai vostri tentativi di supporto tecnico, palesemente ostile e attiva nella vostra comunità solo per innalzare polemiche, bloccare l’utente rappresenta l’ultima chance a vostra disposizione. E chiunque faccia imprecazioni o insulti razzisti contro il vostro personale o i vostri clienti dovrebbe essere bloccato. Il vostro staff e la vostra comunità non meritano di essere sottoposti ad abusi. Alla fine otterrete maggiore rispettabilità perché avete preso l’iniziativa.

VUOI TOGLIERE COMMENTI O FEEDBACK NEGATIVI DA FACEBOOK?
CONTATTACI

Benchè viviamo in un mondo soggetto alla sorveglianza di massa, è ancora possibile navigare anonimi su internet, o quasi, salvaguardando la propria privacy.

Qualcuno potrebbe sostenere che Internet è stato costruito con l’idea di aprire la strada ad un luogo in cui la libertà di parola avrebbe regnato sovrana.

Dopo anni passati a cercare di capire chi ci stia spiando in tutte le cose che facciamo online e chi ci stia togliendo il diritto all’anonimato sul web, la privacy online è diventata un argomento più popolare che mai. Ma non si tratta solo di spionaggio da parte del governo, si tratta anche di quante informazioni hanno raccolto le grandi aziende, come ad esempio Google, Facebook e Microsoft.

Navigare anonimi su internet. E’ veramente possibile?

Ma è possibile prendere il controllo della propria privacy online e navigare anonimi su internet? Il ventotto per cento degli americani pensa che l’anonimato sul web sia solo une bella favoletta poiché non è convinto che il governo federale mantenga al sicuro i dati personali da utenti non autorizzati, e il ventiquattro per cento crede che nemmeno i siti di social media riescano a farlo.

In ultima analisi, l’unico modo per preservare realmente il proprio anonimato sul web è quello di non andare online. Dal momento che questa non è proprio un’opzione fattibile per la maggior delle persone, ecco una carrellata di quello che si può fare per ridurre al minimo lo spionaggio, la pubblicità mirata, e il furto di identità mentre si esplora il mondo online.

Navigare anonimi su internet. Inizia dallo smartphone

Se volete difendere il vostro anonimato sul web, dimenticatevi dello smartphone. I creatori dei principali sistemi operativi sono maniaci del controllo e sostenitori delle pubblicità (es. Apple e Google). Se volete essere anonimi con un telefono, la vostra scelta dovrebbe ricadere su un telefono prepagato, usa e getta. (cosa possibile al momento solo in Usa)

Anche per i telefoni usa e getta esistono i registri di chiamate e quindi potreste venire rintracciati attraverso una triangolazione tramite GPS. Il vantaggio di un telefono usa e getta dunque, è quello di non avere il proprio vero nome associato al dispositivo. Come si vede nei film, si può sempre gettare il telefono nella spazzatura e indurre chiunque vi stia tracciando in un inutile inseguimento.

Ma quando possedete uno smartphone costoso, per via di un hardware potente, i problemi aumentano. Per fortuna ci sono applicazioni in abbondanza, per Android e iOS, per effettuare chiamate crittografate. Inoltre esistono anche applicazioni per ottenere numeri anonimi e temporanei.

Ad esempio è possibile effettuare chiamate con Telegram o con Signal, utilizzando una connessione internet. Per essere sicuri che la chiamata sia soggetta a crittografia end-to-end è possibile confrontare le parole, o i simboli, sullo schermo dei due interlocutori. Se coincidono, allora la chiamata è effettivamente protetta.

Navigare anonimi su internet: il Firewall è fondamentale

Il vostro computer è collegato direttamente ad un modem a banda larga? Se sì, questa è veramente una pessima idea. Gli hacker bombardano costantemente gli indirizzi IP per vedere se sono in grado di entrare nel sistema.

Dovreste sempre avere un firewall integrato al vostro router al fine di minimizzare questo problema e avere quindi la possibilità di navigare anonimi su internet in tutta tranquillità. Il router utilizza il NAT, o Network Address Translation, per assegnare un indirizzo IP a tutti i dispositivi della rete domestica, che sono poi visibili solo su quella rete. Gli attacchi diretti, a volte, possono essere fermati proprio da lì. Inoltre, il router è necessario per la condivisione della connessione Internet e per il Wi-Fi.

Oltre a ciò, è possibile utilizzare un software firewall installato sul PC. Windows 7, 8, e 10 sono tutti dotati di un software abbastanza buono chiamato Windows Firewall. Potrete anche trovare i firewall come parte di un pacchetto, come Symantec Norton Security Premium (2017).

Se desiderate navigare anonimi su internet, sulla base del sistema operativo, smettete di usare Windows e utilizzate una distro Linux. La cosa migliore è Tails: The Amnesic Incognito Live System.

Navigare anonimi su internet. La pietra miliare, il vostro browser

Quali informazioni fornisce il vostro dispositivo, computer, tablet o smartphone, su di voi quando visitate i siti web? Come minimo, il sito conosce il vostro indirizzo IP (e ciò è necessario, altrimenti non otterreste alcun risultato). Nella maggior parte dei casi, sa anche approssimativamente dove vi trovate, e, probabilmente, il fuso orario e la lingua che parlate; tutte ottime informazioni per gli inserzionisti.

Il browser può segnalare anche il vostro sistema operativo, il tipo di browser in utilizzo, e quali versioni del software dei plug-ins avete installato. È possibile inoltre trarre informazioni anche sui font che utilizzate. Tutte queste informazioni danno al vostro sistema un’impronta digitale unica e riducono la possibilità che avete di navigare anonimi su internet.

Se non ci credete, andate a visitare MyBrowserInfo o BrowserLeaks.com per un rapporto completo. Quindi controllate Panopticlick di EFF per vedere quanto bene il vostro browser vi protegga.

Usare password manager e la modalità privata per navigare anonimi su internet

Assicuratevi che il vostro browser non stia immagazzinando troppi dati su di voi. Nel menu delle impostazioni, disattivate la possibilità per il browser di memorizzare le password che utilizzate per accedere ai siti e ai servizi web. Questo potrebbe essere fastidioso, anche perchè è bene avere una pass diversa per ogni sito a cui vi collegate. L’alternativa migliore è quella di utilizzare un gestore di password, come LastPass ad esempio.

I browser memorizzano anche immagini, cronologia web, i vostri download e cookie, che possono ricordare impostazioni e password. Ogni tanto cancellate queste informazioni. Utilizzate un prodotto come CCleaner (per Windows e MacOS) o SlimWare Utility SlimCleaner (solo per Windows) per eliminare questi file da tutti i browser che usate.

I principali browser hanno anche una modalità di navigazione in incognito. In Google Chrome si chiama Incognito, in Firefox è Navigazione Privata e in Microsoft Edge e Internet Explorer è Navigazione In Privato. Questa modalità, che vi permette di navigare anonimi su internet, impedirà al browser di salvare informazioni sulle pagine visitate: cronologia di ricerca web, password, cookie, download e il contenuto della cache, come le immagini.

Dovreste anche attivare l’opzione Do Not Track nelle impostazioni di privacy del browser se c’è la possibilità di farlo. Non è utilizzato da tutti i siti, ma attivarlo non può far male. Meglio ancora, installate Ghostery o Disconnect che blocca ogni sorta di tentativo di tracciamento. Un’altra alternativa per nascondersi sul web è Privacy Badger.

Ci sono anche una serie di browser che si definiscono come particolarmente attenti alla protezione della privacy e dell’anonimato sul web. Naturalmente, tutti usano gli stessi motori di rendering dei grandi nomi, in particolare il motore di Google Chromium, ma la differenza è che il browser non condivide alcuna informazione con Google. Gli esempi includono Epic, Comodo Dragon, Comodo IceDragon (basato su Firefox), e naturalmente Tor Browser.

Se siete alla ricerca di un browser più convenzionale ma con qualche sicurezza in più, prendete in considerazione Opera, che ha una rete VPN gratuita incorporata. (Si noti che protegge solo il traffico del browser, non le altre applicazioni che utilizzano Internet.)

Se volete essere sicuri di poter navigare anonimi su internet dovreste iniziare a utilizzare un motore di ricerca diverso da Google, Bing o Yahoo, i quali vogliono vendere, vendere e ancora vendere tutte le informazioni che riescono a carpire su di voi. Invece, provate DuckDuckGo, un motore di ricerca che non vi traccia e che non vende le vostre informazioni, e che consente quindi di mantenere l’anonimato sul web. Qui trovate ulteriori opzioni.

Tenete a mente che utilizzando le modalità che vi permettono di navigare anonimi su internet oppure utilizzando dei browser in particolare, non sarete completamente sconosciuti sul Web.

Il loro utilizzo eviterà solo che i siti web possano trascrivere informazioni sul computer, inclusi i cookie, che possono poi essere letti da altri siti per capire le vostre abitudini di navigazione.

Filtrate la navigazione. Proxy, VPN e Tor per navigare anonimi su internet

Il modo migliore per assicurarsi che gli estranei non raccolgano informazioni su di voi, mentre state navigando sul Web, è quello di apparire qualcun’altro in una posizione geografica diversa. Ciò richiede un server proxy e/o una rete privata virtuale (VPN). Con la giusta combinazione, non solo potrete navigare anonimi su internet ma potrete anche accedere a siti esteri come se foste nativi di quel paese.

I proxy non sono cosa per neofiti, ma per chi si affaccia a questo mondo FoxyProxy potrebbe rappresentare l’inizio. Funziona con Firefox, Chrome e IE e offre servizi proxy e strumenti VPN, mettendo in luce i pro e i contro di entrambi.

I servizi VPN sono ovunque. Non solo hanno il vantaggio di mettere in sicurezza il traffico tra il vostro computer e i server, ma anche quello di mascherare il vostro indirizzo IP e la posizione, garantendovi quindi l’anonimato sul web. Ad esempio, se vi collegate ad internet attraverso la VPN del lavoro, i siti crederanno che voi vi troviate presso la sede aziendale, anche se state lavorando da casa.

Le VPN permettono anche di avere accesso a siti dal contenuto bloccato. Se vi trovate in un paese in cui non riuscite a vedere BBC iPlayer o Netflix, per esempio, una VPN potrebbe essere il vostro biglietto d’ingresso.

Le VPN variano da quelle super semplici e gratuite (anche se piene di pubblicità), come Hotspot Shield, a quelle esclusive top di gamma, che richiedono la sottoscrizione di un abbonamento. Tutte generalmente funzionano con Windows, Mac, Linux, iOS, o Android e vi permettono di navigare anonimi su internet.

Esistono diverse classifiche su quale sia la VPN migliore. Una risposta univoca non esiste, dipende dalle esigenze. Per un uso intensivo e continuato ci sentiamo di escludere le VPN gratuite, in quanto se è vero che tutto in questo mondo ha un prezzo, lo è anche in questo caso, ed il prezzo sono i vostri dati personali. Ma attenzione, le VPN gratuite non sono entità demoniache da cui stare lontani a prescindere.

Per un utilizzo occasionale vanno bene. Per scegliere quale VPN faccia al caso vostro consigliamo di fare una piccola ricerca in rete, confrontando qualche classifica. Iniziate con una, sarete sempre in tempo per cambiare.

Nessun dibattito riguardo l’anonimato sul web è completo senza aver menzionato Tor. Il nome deriva da quello che una volta era l’acronimo di “The Onion Router”, con allusione al fatto che ci sono diversi livelli (o strati) di sicurezza. Tor è una rete libera di tunnel per instradare le richieste Web e le pagine di download. Non è la stessa cosa di una VPN, ma potrebbe essere anche più sicuro nel caso si voglia navigare anonimi su internet e tenere nascosta la propria identità. Tor si suppone renda impossibile al sito in cui state navigando di capire chi siate. Ma lo fa?

La risposta è si. All’epoca del Datagate, quando si scoprì lo spionaggio di massa da parte dei servizi segreti americani della NSA, alcuni pensavano che anche Tor fosse caduto sotto i colpi degli 007 americani e dati personali fossero stati rivelati. Come ha spiegato l’esperto di sicurezza Bruce Schneier al The Guardian, l’NSA in realtà controlla quello che è chiamato Tor “exit nodes”. Possono, in casi straordinari, venire a conoscenza di quanti utenti stavano usando Tor, ma non chi erano questi utenti.

Con la creazione di un attacco “man in the middle”, la NSA fingeva di essere il sito che l’utente voleva (Google, per esempio) e poteva rinviare i dati all’utente approfittandosi delle falle presenti nel browser; non di una falla di Tor.

La lezione è questa: mantenete i vostri browser aggiornati, o utilizzate uno dei browser che vi garantiscono l’anonimato sul web precedentemente indicati.

Indovinate chi altro ha un browser che rende anonimi? Tor, ecco chi. (Non dovreste essere sorpresi, ne abbiamo fatto cenno sopra). È un pacchetto browser per Windows, MacOS o Linux (eseguitelo da una flash drive da portare con voi); è disponibile in 16 lingue. C’è anche Orbot, l’app proxy di Tor per Android; per iPhone e iPad è disponibile Onion Browser, che è gratuito.

Tor non è ancora del tutto infallibile; in teoria potreste ancora essere tracciati da qualcuno abbastanza abile (anche se non è in grado di leggere ciò che inviate). Viene quindi messa in discussione la reale possibilità di navigare anonimi su internet. Per fortuna, i ricercatori del MIT stanno già lavorando ad una nuova procedura che dovrebbe utilizzare le stesse tecniche di Tor ma su scala più avanzata. Nessuna parola su quando e se sarà mai disponibile.

Navigare in anonimato: utilizzate Email anonime

Per quanto bello possa essere mantenere l’anonimato sul web, è molto più importante fare attenzione alla propria email se si vuole evitare lo spam o la sorveglianza. Il problema è semplicemente che l’e-mail non è stata costruita pensando alla sicurezza.

Ci sono servizi di posta elettronica sicuri che utilizzano la crittografia per criptare ciò che si invia e che richiedono al destinatario una password per decifrare il messaggio. Edward Snowden ha utilizzato un servizio conosciuto come Lavabit, che era così sicuro che il governo USA pretese che gli venissero cedute le password degli utenti.

Lavabit, dal canto suo, chiuse immediatamente i server per proteggere i propri clienti e il loro anonimato sul web. Tuttavia, è tornato con ancora più funzioni di sicurezza per gli utenti, ma attualmente è limitato agli utenti registrati in precedenza. Quindi siate consapevoli del fatto che solo perché si utilizza un servizio di questo tipo non significa che non possa essere compromesso, o che non chiuderà solo per proteggervi.

Se desiderate un servizio di webmail che gestisca i messaggi crittografati, ProtonMail è considerato il migliore. Con un data center in Svizzera, pensato per garantire la privacy, ProtonMail offre un servizio gratuito, oppure, per 4 euro al mese, un servizio premium. Mantiene tutte le vostre informazioni protette e ha un collegamento diretto attraverso la rete Tor (una volta impostata).

Vedendo l’icona del lucchetto sul browser e accedendo tramite una connessione SSL (indicata nell’URL da https://), potreste pensare che il vostro account Gmail sia sicuro. Ma le connessioni SSL criptano i dati solo quando questi vengono trasferiti dal dispositivo al server.

Una volta raggiunto il server di Google, ad esempio, le mail vengono scansione e lette così da poter modificare la pubblicità su Gmail. E questo sta diventando sempre più un problema con i servizi di posta elettronica basati sul web.

Detto questo, ci sono strumenti per crittografare le webmail. Streak offre un’estensione di Google Chrome chiamata SecureGmail che fa questo lavoro, con la richiesta di una chiave per crittografare i messaggi inviati. Anche al destinatario sarà richiesto di installare SecureGmail.

Darete loro la chiave e avrete la crittografia end-to-end. Mailvelope è un’altra estensione (per Chrome e Firefox) che metterà in sicurezza Gmail, Outlook e Yahoo Mail.

Un’altra mossa ancora più intelligente per navigare anonimi su internet, è quella di astenersi dai servizi di posta elettronica del web e iniziare ad utilizzare dei desktop clients. Outlook 2007 e le versioni superiori hanno incorporati alcuni strumenti di crittografia, mentre Thunderbird per Windows ha funzioni aggiuntive come Engimail per gestire la crittografia e la decodificazione dei messaggi.

Evitare lo spam, oltre ad evitarci noiosi fastidi, è importante per navigare anonimi su internet

Al di là delle cose ovvie, come non cliccare su un link in un messaggio di spam (o anche non aprire proprio una email spam), il modo migliore per evitare lo spam è quello di non fargli ottenere il vostro indirizzo. È quasi impossibile, ma ci sono metodi per riuscirci.

La prima cosa è quella di utilizzare un alias o una email fittizia, che possa essere usata con qualsiasi servizio che richiede un indirizzo email. Potreste essere in grado di crearne uno se possedete il vostro nome di dominio. In G Suite, per esempio, avete il vostro indirizzo primario, es. [email protected], ma c’è la possibilità di utilizzare [email protected] come alias per effettuare le iscrizioni online.

I messaggi possono essere inviati all’indirizzo principale. Tuttavia quando inizia lo spam, puoi modificare o chiudere definitivamente questo secondo indirizzo; ci possono essere fino a 30 alias per ogni utente.

Anche Outlook.com supporta gli alias, fino a 10 per account. Cercate “alias account” sotto le impostazioni dell’account, per crearli. E se avete il vostro nome di dominio, verificate il pannello di controllo sulla vostra Hosting- ci sono probabilità di avere gli strumenti per la creazione di alias a bizzeffe.

In Gmail è un po’ più semplice: per fare un alias, basta aggiungere qualcosa al vostro nome utente. Cambiate [email protected] in [email protected]. Una volta che l’alias in questione accumula spam, è possibile  nel cestino. Ecco un video che vi spiega come fare.

In Yahoo Mail, ci sono indirizzi usa e getta (in Impostazioni> Sicurezza), che sono simili a quelli utilizzati da Google, c’è un nome di base poi una parola chiave secondaria in aggiunta, come [email protected].

Se avete bisogno di un alias solo per un breve periodo di tempo, un indirizzo mail usa e getta è molto utile. Servizi gratuiti come Airmail, GuerrillaMail.com e Mailinator creano un indirizzo che potrete controllare solo per un breve periodo di tempo.

Controllate la privacy sui Social Network per salvaguardare l’anonimato sul web

Dovreste preoccuparvi della sicurezza quando si tratta di social network come Facebook? Una sola parola… Ovviamente sì. Facebook non è esattamente un’organizzazione non-profit altruistica. Fa soldi avendo un sacco di utenti alla ricerca di molti di annunci.

Ciò significa rendere occasionalmente i vostri dati disponibili a soggetti discutibili e quindi violare il vostro anonimato sul web. Inoltre, potreste desiderare che non tutti i vostri “amici”, o amici di amici, conoscano tutti i vostri affari, giusto?

Ci sono diversi passaggi che potete effettuare per recuperare un po’ di anonimato su Facebook.

In primo luogo, una volta entrati nel vostro Account, andate sul menu in alto a destra e selezionate Impostazioni, quindi cliccate Privacy sulla sinistra. Cliccando “Modifica” su ogni scelta presente in questa pagina potrete personalizzare chi può vedere cosa, chi vi può chiedere l’amicizia, anche chi può guardare il vostro numero di telefono o l’indirizzo e-mail.

Potrete anche scegliere che il vostro profilo non venga trovato dai motori di ricerca e quindi avere la possibilità di nascondersi sul web.

Potrete essere minuziosi quanto vorrete, assicurandovi che, per esempio, i vecchi fidanzati o fidanzate non vedano i vostri messaggi, nemmeno i vecchi post. Fate clic sul menu ed eseguite un controllo approfondito della privacy, per impostare chi può vedere ciò che pubblicate, le app a cui avete concesso l’accesso, e altro ancora.

Per navigare anonimi su internet, anche sotto Timeline e Tagging, assicuratevi di non essere stati taggati in immagini o messaggi senza il vostro esplicito consenso. La sezione di blocco è dove è possibile creare la ristretta lista dei vostri amici che possono vedere i vostri contenuti, e bloccare gli utenti, le applicazioni, e gli inviti che non volete.

Infine, controllate le informazioni di contatto. Andate nelle impostazioni generali dell’account e modificate ciascuna voce in base alle vostre preferenze. Fate un doppio controllo dei numeri di telefono e degli indirizzi e-mail che avete inserito. Riducete il più possibile al minimo l’elenco di chi ha accesso a queste informazioni per massimizzare l’anonimato sul web.

Se avvertite la necessita di uscire del tutto da Facebook per navigare anonimi su internet, eliminate l’account. La disattivazione lascia i vostri dati sul sito per un potenziale ritorno. Andate su questa pagina e seguite le istruzioni. Disattiverà il vostro account per due settimane, nel caso in cui non vogliate davvero camcellarlo, dopo di che lo eliminerà. Tuttavia, anche in questo caso, alcune foto digitali potrebbero rimanere online.

Su LinkedIn, andate all’icona delle Impostazioni sul vostro volto in alto a destra e selezionate Privacy e Impostazioni. Al centro, sotto la scheda del profilo, vedrete i controlli della privacy.

Che dire di Twitter? Non scrivete il vostro sito web o l’e-mail reale nel vostro profilo. Assicuratevi che la password sia diversa da quella che utilizzate in qualsiasi altro sito. Questo è un buon consiglio, ma sappiamo che le persone non lo seguono. Con Twitter però dovreste farlo poiché ha avuto alcune importanti violazioni di sicurezza in passato. Avete anche la possibilità, andando in Impostazioni–>Sicurezza e Privacy, di proteggere i vostri tweet, che significa che solo i seguaci che avete approvato potranno visualizzarli. I tweet protetti non sono ricercabili, non sono retweettabili, e non è possibile condividere i loro link con seguaci non approvati.

Detto questo, state prendendo in giro voi stessi se pensate che usare i social network (o fare annunci on-line) sia sicuro al cento per cento e vi consenta di navigare anonimi su internet. Tutto quello che serve è un vostro “follower” con un minimo di confidenza con voi, per catturare uno screenshot di qualcosa che dite e condividerlo con il mondo intero.

Se siete preoccupati di essere tracciati mentre state navigando e quindi che il vostro anonimato sul web venga violato, conviene che vi eliminiate anche da servizi come Microsoft, Google, Yahoo e Apple quando avete finito di utilizzarli.

In caso contrario, i server di annunci, i cookie e così via, che sono gestiti da loro o dai loro affiliati, sapranno più o meno dove e quando andate online in ogni momento. Non eliminare il vostro account è un male ed è esattamente quello su cui contano queste grandi compagnie.

Gli attacchi hacker in azienda sono in netto aumento. Sia le imprese più grandi, con una struttura abbastanza articolata, ma soprattutto le piccole imprese, anche a gestione familiare, che si ritrovano un piccolo tesoretto di dati. E anche se in azienda si tenta di installare sistemi di sicurezza e di protezione, i pirati informatici stanno attaccando il punto più debole ed imprevedibile: i dipendenti.

Sono l’anello più delicato. Sia perchè non tutti hanno l’adeguata preparazione, sia perchè spesso i dipendenti attuano comportamenti imprevedibili e mescolano dati aziendali e personali. Ecco i metodi con cui gli hacker prendono di mira i tuoi dipendenti, per permetterti di stabilire da subito una politica di sicurezza adeguata.

Attacchi hacker in azienda. Il binomio peggiore? il dipendente sui social

Il campo più esposto in assoluto sono certamente i social network. 

Viviamo in un mondo incentrato sul raccontare a tutti quello che stiamo facendo mentre lo stiamo facendo. I cybercriminali hanno solo bisogno di accedere a un paio di social network per mettere insieme un quadro completo della vita di una persona. Facebook può offrire una protezione maggiore dagli attacchi ma i profili pubblici forniscono ancora un sacco di dati personali.

Facebook, Twitter, LinkedIn, Instagram possono dire quasi tutto di una persona: la famiglia, gli amici, i ristoranti preferiti, la musica, gli interessi. Mettendo insieme tutte queste informazioni, potete immaginare quanto potenti possano essere questi strumenti per un hacker.

Così ogni nuovo contatto aumenta l’esposizione al rischio lasciando che uno sconosciuto abbia accesso alla rete professionale. I dipendenti con grandi reti sociali, come quelli di marketing e PR, aumentano la loro probabilità di attacco più di tutti.

Twitter, come LinkedIn, comporta un grande rischio di social engineering perché c’è una barriera molto debole da sfondare per i malintenzionati. Anche Facebook e Snapchat sono dei social network a rischio di attacco ma le persone sono sempre meno propense ad accettare richieste da parte di individui che non hanno mai conosciuto. Su Twitter e LinkedIn, le persone si connettono basandosi sull’interesse reciproco e sulle connessioni professionali. Gli aggressori quindi possono inviare messaggi diretti facendoli sembrare innocui, ma in realtà non lo sono.

Le minacce di sicurezza informatica coprono tutti i social network, ma uno dei più pericolosi in assoluto per un dipendente aziendale è LinkedIN. Si tratta di un social network delicato a causa della sua doppia natura: da una parte si desidera espandere la propria rete e migliorare la propria visibilità professionale, ma dall’altra si sta anche inconsapevolmente aumentando la probabilità di attacco poiché non si sa con chi ci si stia collegando.

Attacchi hacker in azienda: al primo posto il furto d’identità

Tutti i dipendenti sono quindi vulnerabili al furto dell’identità. I dirigenti e tutti coloro che amministrano qualcosa, con accesso a dati sensibili, sono ad alto rischio.

Mantenere una costante consapevolezza in tutta l’organizzazione, in modo che tutti siano attenti a questo tipo di attività, è la chiave per cercare di arginare gli attacchi hacker in azienda. Per la maggior parte, chiunque può creare un account e fingere di essere qualcuno che non è”, avverte Steve Ginty, co-fondatore di PassiveTotal e ricercatore presso RiskIQ.

Rubare l’identità dei vostri dipendenti è un metodo comune per effettuare attacchi hacker in azienda.

Per questo motivo, ognuno dei dipendenti dovrebbe chiedersi: quanto bene conosco le persone con cui sono connesso? Quanti altri dei miei colleghi sono anch’essi in contatto con le mie cerchie? Queste persone hanno subito un furto d’identità in passato?

È anche interessante notare che se qualcuno ha subito un furto d’identità in passato è probabile che sarà preso di nuovo di mira in futuro. Se un dipendente riceve una richiesta da parte di qualcuno la cui identità è stata rubata in precedenza, dovrebbe prendersi del tempo per indagare sulla reale identità del contatto.

Il sito web aziendale: come fornire dati utili per attaccare l’azienda

Naturalmente gli aggressori fanno ricerche anche al di fuori dei social network per raccogliere informazioni sulle potenziali vittime. Il tuo sito web aziendale potrebbe essere usato per carpire informazioni per violazioni future.

“Anche se gli aggressori non conoscono la strada da seguire per effettuare l’attacco, possono acquisire molte informazioni attraverso risorse ad accesso libero, come i siti web aziendali: così avranno più possibilità di colpire una specifica società poiché hanno maggiore conoscenza dei loro dipendenti”, spiega Ginty.

Molte organizzazioni pubblicano sui loro siti web alcuni documenti del loro team, i consiglieri di amministrazione e spesso i dipendenti del loro staff, aggiunge Harris. Se un malintenzionato può capire in che modo sono strutturate le mail aziendali (ad esempio [email protected]) può facilmente scoprire le informazioni di contatto dei dirigenti e colpirle tramite spam.

Più informazioni possono raccogliere sui singoli dirigenti, più credibili possono essere gli attacchi hacker in azienda. “Le persone che fanno parte di una azienda e hanno profili troppo completi sul sito web aziendale, forniscono agli aggressori informazioni sufficienti a rendere gli attacchi quasi infallibili attraverso ingegneria sociale ed e-mail di phishing” dice Ginty. I siti aziendali sono il modo più facile di raccogliere informazioni per condurre con successo attacchi di ingegneria sociale.

I profili pubblicati sul sito aziendale, dunque, dovrebbero fornire informazioni utili per i lettori, investitori, clienti e fornitori ma non dovrebbero permettere di comprendere la struttura interna dei dati, come i numeri di telefono, il modello delle email, i sistemi operativi usati o le marche degli smartphone in dotazione.

Vishing: non solo tramite internet, gli hacker attaccano anche tramite telefono

L’adescamento telefonico, il cosiddetto “vishing”, è un metodo pericoloso, economico e sempre più usato dai malintenzionati per attaccare le loro vittime, dice Fincher di Social-Engineer Inc. Spesso, spiega, una azienda chiama i clienti per saperne di più su di loro e sui loro sistemi interni così da rilevare potenziali frodi o abusi.

I criminali informatici possono fare la stessa cosa. Accade spesso che gli aggressori contattino le aziende fingendosi nuovi clienti e richiedendo informazioni. Possono quindi raccogliere un sacco di dati riguardo i sistemi aziendali e i problemi attuali, essendo così avvantaggiati.

Questi tipi di attacchi sono notoriamente difficili da individuare. “Se gli hacker sono intelligenti, la gente non saprà di essere presa di mira” dice Hadnagy. “Un buon vishing può essere scambiato per una normale conversazione”.

Tuttavia, gli hacker inesperti possono commettere degli errori e ci sono alcuni segnali di allarme che i dipendenti possono notare. Alcuni possono tentare un attacco facendo troppe chiamate nell’arco di un breve periodo di tempo. Altri possono fare richieste ancor prima di aver sviluppato un rapporto con la propria vittima, sollevando il sospetto di attività fraudolente.

La tendenza dei dipendenti a fidarsi: la base degli attacchi hacker in azienda

Spesso gli aggressori possono indurre i dipendenti a fornire informazioni senza essersi prima identificati. Altre volte le aziende non hanno una procedura di autenticazione ben definita oppure non la usano.

“Se si chiama usando un tono amichevole e un numero di telefono legittimo, i dipendenti spesso non fanno domande e non contestano ciò che gli viene chiesto perché pensano sia da maleducati chiedere a qualcuno di provare la propria identità o la legittimità della richiesta” spiega Fincher. “È difficile capire se c’è un attacco hacker all’orizzonte”.

Hadnagy cita l’esempio di cybercriminali che chiamano fingendo di essere l’Agenzia delle Entrate, veste che usano per reclamare ritardi nel pagamento delle tasse e per minacciare l’arresto. Altri sostengono di far parte del personale di Microsoft offrendo il proprio supporto per fermare il traffico dannoso. Non appena gli verrà concesso l’accesso remoto, perlustreranno a fondo i PC della vostra azienda.

Le società accorte forniranno ai dipendenti politiche e linee guida da seguire per evitare di sembrare scortesi quando sarà necessario richiedere ulteriori informazioni all’interlocutore: spiegando perché hanno bisogno di verificare l’identità dell’interlocutore e di trattenere le informazioni finché la situazione possa considerarsi sicura.

La tecnica delle email: chiamata e mail successiva

Gli aggressori possono combinare truffe di vishing e phishing per creare un attacco a prova di bomba: chiamano la vittima per presentarsi e avere il pretesto per inviare una mail, e quindi spediscono un messaggio che i dipendenti di una azienda si aspettano di ricevere, per lanciare un attacco di phishing.

È difficile difendersi da queste truffe, perché non si può dire ai dipendenti di ignorare chiamate ed e-mail. “La sicurezza attraverso l’isolamento non è un grande piano” dice Fincher.

Tuttavia, si può spiegare ai dipendenti di evitare di aprire link o eseguire download di allegati da mittenti non verificati, e di stare allerta quando le domande poste da supposti clienti diventano troppo delicate.

Con un po’ di preparazione, i dipendenti possono essere in grado di individuare attacchi di phishing esaminando l’indirizzo e-mail, l’oggetto del messaggio e il formato, per notare segnali di una possibile truffa. Inoltre, messaggi di posta elettronica utilizzati in precedenti attacchi di phishing possono essere riutilizzati per identificare altri attacchi hacker in azienda.

“Spesso notiamo delle similitudini nei tentativi di phishing” dice Ginty. “Gli aggressori prendono di mira ampie fasce di individui e si lasciano alle spalle molti indizi che possiamo utilizzare per identificare futuri phishing”. Questi indicatori possono includere il linguaggio utilizzato nel corpo dell’e-mail, nel link, o nel sito web. Le aziende possono registrare i tentativi di attacco utilizzati in precedenza in modo da avere un’idea degli indizi da cercare in futuro.

Evitare attacchi hacker in azienda: non stressare i dipendenti

Dipendenti stressati prendono decisioni mediocri, spiega Hadnagy. Un dipendente stressato può non fare attenzione alle informazioni che rilascia ad un interlocutore, rilasciando informazioni sensibili senza aver prima verificato l’identità del destinatario.

Hadnagy ricorda un cliente con una rigida regola per il proprio call center che si è rivelata controproducente: i dipendenti che trascorrevano più di 90 secondi su una chiamata avrebbero avuto la loro retribuzione decurtata. Analizzando il risultato di questa norma, è risultato che i lavoratori passassero con facilità le informazioni, anche riservate, perché volevano terminare la chiamata il più rapidamente possibile e non incorrere nella sanzione.

“Gli hacker, che conoscono questi meccanismi, creano ambienti stressanti per effetture attacchi hacker in azienda, perché quando siamo sotto stress prendiamo decisioni spesso sbagliate”, osserva Hadnagy. Anche se non tutti i datori di lavoro hanno politiche così rigorose, vale la pena valutare il carico di lavoro dei dipendenti nel caso in cui si sentano eccessivamente sotto pressione. Per evitare che sbaglino.

Mettere in sicurezza Web Server Apache è una operazione di fondamentale importanza, dato che questo è molto spesso uno dei servizi più vulnerabile ad attacchi. Data la configurazione di default, molte informazioni sensibili possono essere sfruttate da un hacker per preparare un attacco all’intero web server.

La maggior parte delle applicazioni web vengono attaccate tramite XSS, furto di credenziali, sfruttamento malevolo delle sessioni e PHP Injection, attacchi che sono resi possibili proprio dalla debolezza del codice di programmazione e dalla incapacità di “sanificare” l’infrastruttura delle applicazioni web.

Stando a Cenzic, ben il 96% delle applicazioni testate presenta delle vulnerabilità; sotto è possibile visionare un grafico di Cenzic relativo ai trend di vulnerabilità del 2013.

Questa guida pratica ha come scopo proprio quello di fornire una serie di indicazioni necessarie per mettere in sicurezza web server Apache. Nel dettaglio, si discuterà di come rafforzare e rendere più sicuro un web server Apache su piattaforma Unix, con test eseguiti su Apache 2.4x (non c’è ragione di pensare che non funzionino su Apache 2.2x).

1. Si presuppone che Apache sia installato su piattaforma Unix. Se non è così, è possibile procedere all’installazione grazie alla Installation Guide o visionare una serie di video gratuiti relativi all’installazione di Apache, MySQL e PHP.
2. L’installazione di Apache sarà identificata con il nome di directory /opt/apache as $Web_Server
3. Si consiglia di fare un backup della configurazione esistente prima di procedere a qualunque modifica

Questa guida si indirizza agli amministratori, agli analisti di sistema e in generale a tutti coloro che desiderano mettere in sicurezza un web server Apache (è comunque necessaria una conoscenza di base sia di Apache che di Unix).

La sicurezza di un web server Apache: inizia dal controllare HTTP

Nella configurazione di default di Apache sono coinvolti molti dati sensibili che possono essere sfruttati per sferrare un attacco al web server. E’ quindi fondamentale per ogni amministratore mettere in sicurezza queste informazioni; come riportato da Cenzic, infatti, ben il 16% delle vulnerabilità è dovuta alla perdita di informazioni.

Per esaminare l’intestazione HTTP per la verifica sono necessari alcuni tool. La prima cosa da fare è quindi installare l’add-on Firebug su Firefox nel seguente modo:

• Aprire Firefox
• Accedere a https://addons.mozilla.org/en-US/firefox/addon/firebug/
• Cliccare su Aggiungi a Firefox

• Cliccare su installa
• Riavviare Firefox
• A questo punto è visibile l’icona di Firebug sulla destra della top bar

Per verificare le informazioni dell’intestazione HTTP è necessario cliccare sull’icona di Firebug. Oltre a questo ci sono molti altri tool online che consentono di verificare le informazioni dell’intestazione HTTP.

Per la sicurezza web server Apache, rimuovere la versione del server utilizzata

Si tratta di una delle prime cose da considerare se non si desidera mostrare quale versione del web server si sta utilizzando; mostrare quale versione è installata non fa altro che accorciare i tempi di un attacco hacker. La configurazione di default mostra la versione Apache e il tipo di sistema operativo come di seguito:

Server Apache/2.4.6 (Unix)

Implementazione:

• Andare su  $Web_Server/conf folder
• Modificare httpd.conf tramite vi editor
• Aggiungere la seguente direttiva e salvare httpd.conf

ServerTokens Prod

ServerSignature Off

• Riavviare Apache

ServerSignature rimuoverà le informazioni dal web server Apache generando pagine come 403,404.502 etc.

Verifica:

• Aprire Firefox
• Attivare Firebug cliccando l’icona dell’add-on
• Cliccare il tab Net

• Inserire l’URL nella barra degli indirizzi
• Espandere la GET request e a questo punto è possibile vedere che nella direttiva del server viene solo mostrato Apache, che è certamente meglio che mostrare il tipo e la versione del sistema operativo

Disabilitare la lista delle directory browser per la sicurezza del web server Apache

E’ molto importante disabilitare la lista delle directory nel browser di modo che non sia possibile per ogni visitatore vedere tutti i file e le cartelle archiviate nella cartella di root e nelle sottocartelle. Vediamo come questo appare nelle impostazioni di default:

• Andare su $Web_Server/htdocs directory
• Creare una cartella con alcuni file all’interno

# mkdir test

# touch hi

# touch hello

Ora proviamo ad accedere ad Apache tramite http://localhost/test

Come si vede vengono mostrate tutte le cartelle e i file, informazioni che di certo non si desidera mostrare.

Implementazione:

• Andare su $Web_Server/conf directory
• Aprire httpd.conf using vi
• Cercare una directory e modificare le opzioni None o –Indexes

<Directory /opt/apache/htdocs>

Options None

Order allow,deny

Allow from all

</Directory>

oppure

<Directory /opt/apache/htdocs>

Options -Indexes

Order allow,deny

Allow from all

</Directory>

• Riavviare Apache

Da notare, se vi sono delle directory multiple nel sistema, bisogna considerare di ripetere l’operazione per ognuna di esse.

Verifica:

Proviamo ad accedere ad Apache da http://localhost/test

Come si vede viene mostrato un “forbidden error” invece che la lista delle cartelle

Per la sicurezza web server Apache nascondi Etag

Etag header permette agli hacker di ottenere informazioni importanti come inode number, multipart MIME. Per prevenire queste vulnerabilità, bisogna procedere come di seguito.

Implementazione:

• Andare su $Web_Server/conf directory
• Aggiungere la seguente direttiva e salvare https.conf

FileETag None

• Riavviare Apache

Verifica

• Aprire Firefox e accedere all’applicazione
• Controllare l’intestazione HTTP in Firebug, Etag non sarà più visibile a tutti

Sicurezza di un web server Apache: controlla le autorizzazioni

Esaminiamo il caso di avviare Apache da un account senza privilegi. La configurazione di default di Apache viene eseguita come “nessuno” o “daemon”. E’ una buona pratica usare un account senza privilegi separato per Apache, così da proteggere tutti gli altri servizi nel caso vi siano delle faglie di sicurezza.

Implementazione:

• Creare un utente o un gruppo chiamato apache

#groupadd apache

# useradd –G apache apache

• Cambiare la propria directory di installazione apache al nuovo utente senza privilegi

# chown –R apache:apache /opt/apache

• Andare su $Web_Server/conf
• Modificare https.conf using vi
• Cercare l’utente e il gruppo di direttive e modificare come account apache senza privilegi

User apache

Group apache

• Salvare https.conf
• Riavviare Apache

Verifica

Usare il comando grep per l’esecuzione del processo http e assicurarsi che sia in esecuzione con l’utente apache

# ps –ef |grep http

Si noti che un processo è in esecuzione su root e questo perché Apache è su porta 80 e deve essere avviato da root. In seguito vedremo come cambiare il numero della porta.

Per la sicurezza web server Apache proteggi i permessi di configurazione directory

Di default i permessi binari e di configurazione sono di tipo 755 il che significa che ogni utente sul server è in grado di vedere la configurazione. Modifichiamo questo dato:

Implementazione

• Andare su $Web_Server directory
• Modificare i permessi per la cartella bin e conf

# chmod –R 750 bin conf

Verifica:

Attenzione alle impostazioni di protezione del sistema per la sicurezza del web server Apache

In un’installazione di default, gli utenti possono ignorare la configurazione di Apache utilizzando .htacces. Se si vuole impedire agli utenti la modifica delle impostazioni del server Apache, allora è possibile aggiungere AllowOverride a None come mostrato sotto ( questo deve essere fatto a livello root).

Implementazione:

• Andare su $Web_Server directory
• Aprire httpd.conf using vi
• Cercare la directory a livello root

<Directory />

Options -Indexes

AllowOverride None

</Directory>

• Salvare https.conf
• Riavviare Apache

Metodi di richiesta HTTP e sicurezza web server Apache

Il protocollo HTTP 1.1 supporta molti metodi di richiesta (query) che potrebbero non essere necessari, senza contare che alcuni di essi hanno dei potenziali rischi. In genere si ha bisogno solo dei metodi di richiesta GET, HEAD, POST in un’applicazione web, da configurare nelle rispettive directory. Di default la configurazione apache supporta anche i metodi OPTIONS, GET, HEAD, POST, PUT, DELETE, TRANCE, CONNECT per il protocollo HTTP 1.1

Implementazione

• Andare su $Web_Server directory
• Aprire httpd.conf using vi
• Cercare la  directory e aggiungere

<LimitExcept GET POST HEAD>

deny from all

</LimitExcept>

Sicurezza web server Apache: disabilitare la traccia di una richiesta HTTP

Di default il metodo “Trace” è attivo sul web server Apache. Mantenerlo attivato significa favorire attacchi Cross Site Trancing e potenzialmente significa anche dare una possibilità agli hacker di rubare informazioni sensibili dai cookie. Vediamo quindi come appare nella configurazione di default:

• Fare un IP telnet web server con una porta di ascolto
• Fare una richiesta Trace come mostrato di seguito

#telnet localhost 80

Trying 127.0.0.1…

Connected to localhost.

Escape character is ‘^]’.

TRACE / HTTP/1.1 Host: test

HTTP/1.1 200 OK

Date: Sat, 31 Aug 2013 02:13:24 GMT

Server: Apache

Transfer-Encoding: chunked

Content-Type: message/http 20

TRACE / HTTP/1.1

Host: test 0

Connection closed by foreign host.

#

Come si vede, la richiesta Trace ha risposto alla query; vediamo come disabilitarlo e testarlo.

Implementazione:

• Andare su $Web_Server/conf directory
• Aggiungere la seguente direttiva e salvare httpd.conf

TraceEnable off

• Riavviare Apache

Verifica:

• Fare un IP telnet web server con una porta di ascolto e fare una richiesta Trace come di seguito

#telnet localhost 80

Trying 127.0.0.1…

Connected to localhost.

Escape character is ‘^]’.

TRACE / HTTP/1.1 Host: test

HTTP/1.1 405 Method Not Allowed

Date: Sat, 31 Aug 2013 02:18:27 GMT

Server: Apache Allow:

Content-Length: 223

Content-Type: text/html; charset=iso-8859-1 <!DOCTYPE HTML PUBLIC “-//IETF//DTD HTML 2.0//EN”> <html><head> <title>405 Method Not Allowed</title> </head><body> <h1>Method Not Allowed</h1>

<p>The requested method TRACE is not allowed for the URL /.</p> </body></html>

Connection closed by foreign host.

#

Come si vede la richiesta Trace ha bloccato la richiesta con HTTP 405 Method Not Allowed. Ora questo web server con consente la richiesta Trace e aiuta a bloccare gli attacchi Cross Site Tracing.

Impostare i cookie con HttpOnly and Secure Flag per la sicurezza web server Apache

E’ possibile limitare buona parte degli attacchi Cross site Scripting usando HttpOnly and Secure Flag nei cookie. Senza HttpOnly and Secure è possibile rubare o manipolare le sessioni delle applicazioni web e i cookie, possibilità abbastanza pericolosa.

Implementazione:

•   Garantire mod_headers.so ATTIVO httpd.conf
• Andare su $ server_web directory / conf
• Aggiungere la seguente direttiva e salvare il httpd.conf

 Header edit Set-Cookie ^(.*)$ $1;HttpOnly;Secure

• Riavviare Apache

Verifica:

• Aprire Firefox e accedere all’applicazione
• Verificare le intestazioni di risposta HTTP in Firebug; si vedrà che Set-Cookie è contrassegnato con HttpOnly and Secure come mostrato di seguito:

 Sicurezza del web server Apache: proteggersi dagli attacchi Clickjacking

Clickjacking è una vulnerabilità molto conosciuta delle applicazioni web. Un attacco di questo tipo porta l’utente che clicca su un oggetto, ad essere redirezionato verso un’altra destinazione.

Implementazione:

• Garantire mod_headers.so ATTIVO httpd.conf
• Andare su  $ server_web directory / conf
• Aggiungere la seguente direttiva e salvare il httpd.conf

Header always append X-Frame-Options SAMEORIGIN

• Riavviare Apache

Verifica:

• Aprire Firefox e accedere all’applicazione
• Verificare le intestazioni di risposta HTTP in Firebug; si vedrà X-Frame-Options come di seguito

Server Side Include per la sicurezza web server Apache

Server Side Include (SSI) comporta il rischio di aumentare il carico sul server. Se l’ambiente è condiviso e si ha un traffico pesante delle applicazioni web, si potrebbe considerare di disabilitare SSI aggiungendo la direttiva Includes in Options. Gli attacchi SSI permettono di sfruttare le applicazioni web iniettando uno script nelle pagine HTML o eseguendo un codice da remoto.

Implementazione:

• Andare su $ server_web directory / conf
• Aprire httpd.conf using vi
• Ricercare la directory e aggiungere la direttiva Includes in Options

<Directory /opt/apache/htdocs>

Options –Indexes -Includes

Order allow,deny

Allow from all

</Directory>

• Riavviare Apache

Si noti che se vi sono più directory è necessario ripetere il processo per ognuna di queste.

Protezione X-XSS per la sicurezza web server Apache

La protezione Cross Site Scripting (XSS) può essere bypassata in molti browser. E’ possibile applicare questa protezione per le applicazioni web se l’user è stato disabilitato. Questo sistema è utilizzato da grande compagnie come Facebook, Twitter, Google etc.

Implementazione:

• Andare su  $ server_web directory / conf
• Aprire httpd.conf using vi e aggiungere la seguente direttiva Header

Header set X-XSS-Protection “1; mode=block”

• Riavviare Apache

Verifica:

• Aprite Firefox e accedere all’applicazione
• Controllare le intestazioni di risposta HTTP in Firebug, si dovrebbe vedere che XSS Protection è abilitato e una modalità è bloccata.

Disabilitare il Protocollo HTTP 1.0

Quando si parla di sicurezza è indispensabile proteggere tutto quello che si può. Quindi perché utilizzare la vecchia versione del protocollo HTTP? E’ possibile disattivarla usando il modulo the mod_rewrite.

Implementazione:

• Assicurarsi di caricare il modulo mod_rewrite nel file httpd.conf
• Abilitare la direttiva RewriteEngine come segue e aggiungere la condizione Rewrite per consentire solo HTTP 1.1

RewriteEngine On

RewriteCond %{THE_REQUEST} !HTTP/1.1$

RewriteRule .* – [F]

Per la sicurezza web server Apache configurare il valore Timeout

Di default il valore di Timeout di Apache è di 300 secondi, il che può rendere il server vittima di attacchi Slow Loris o DoS. Per prevenirli è possibile ridurre il valore del Timeout a circa 60 secondi.

Implementazione:

• Andare su  $ server_web directory / conf
• Aprire httpd.conf using vi
• Aggiungere il  Timeout 60 in httpd.conf

Dotarsi di SSL per la sicurezza web server Apache

Attivare la tecnologia SSL significa avere un ulteriore livello di protezione che si può aggiungere alle applicazioni web. Tuttavia la configurazione di default di SSL comporta alcune vulnerabilità ed è quindi opportuno modificare queste configurazioni. Usiamo allora alcuni tool per verificare le impostazioni SSL. Ve ne sono molti disponibili, tuttavia è possibile usare uno strumento gratuito come SSL-Scan.

Sicurezza web server Apache e SSL Key

Violare una chiave SSL è difficile ma non impossibile. E’ infatti solo una questione di tempo e di tentativi. Ad esempio, usando un PC del 2009 e tentando per circa 73 giorni è possibile decodificare addirittura una chiave 512 bit. La maggior parte delle grandi aziende web utilizza ormai un chiave a 2048 bit. Facciamolo anche noi.

Implementazione:

• E’ possibile usare openssl per generare CSR con 2048 bit come di seguito
• Generare un certificato auto-firmato

openssl req -x509 -nodes -days 365 -newkey rsa:2048 -keyout localhost.key -out localhost.crt

• Generare una nuova CSR e chiave privata

openssl req -out localhost.csr -new -newkey rsa:2048 -nodes -keyout localhost.key

• Aggiungere Personal Cert, Signer Cert e il file Key nel file httpd-ssl.conf come di seguito:

SSLCertificateFile # Personal Certificate

SSLCertificateKeyFile # Key File

SSLCACertificateFile # Signer Cert file

Verifica:

Eseguire sslscan utility con il seguente parametro. Modificare localhost all’attuale nome dominio.

sslscan localhost | grep –i key

• Come si vede l’attuale chiave SSL è 2048 bit, che è decisamente più forte

SSL Cipher per la sicurezza web server Apache

La crittografia è il processo che consente di convertire i testi in codici segreti cifrati. SSL Cipher è un ottimo algoritmo di crittografia che si basa su due chiavi di sicurezza. Vediamo come implementarlo.

Modificare localhost all’attuale nome dominio.

sslscan –no-failed localhost

In una installazione classica vengono accettati i protocolli DHE, AES, EDH, ed RC4, quest’ultimo un sistema di cifratura abbastanza debole, che non dovrebbe essere utilizzato. In generale non bisognerebbe accettare alcun sistema di cifratura inferiore ai 128 bit.

Implementazione:

• Andare alla cartella $ server_web / conf / extra
• Modificare la direttiva SSLCipherSuite in httpd-ssl.conf come di seguito per respingere RC4

 SSLCipherSuite HIGH:!MEDIUM:!aNULL:!MD5:!RC4

• Salvare il file di configurazione e riavviare il server Apache

Si noti che se vi sono molti cipher deboli nel report di SSL allora è possibile respingerlo aggiungendo ! all’inizio.

Per esempio per respingere RC4: !RC4

Verifica: Utilizzare di nuovo l’utility sslscan per validare come di seguito e cambiare localhost al nome dominio attuale.

sslscan –no-failed localhost

RC4 non è più accettato come Cipher. E’ buona pratica rigettare tutti i cipher bassi, medi o nulli per proteggersi da attacchi. E’ anche possibile verificare il proprio dominio con Qualys SSL Labs  per controllare se vi sono dei cipher vulnerabili nel sistema.

Per la sicurezza web server Apache disabilitare SSL v2 e v3

SSL v2 e v3 hanno molte falle di sicurezza e se si esegue un test di penetrazione si vedrà come sia necessario disabilitarli per rafforzare la sicurezza. Tutte le comunicazioni SSL v2/v3 possono essere vulnerabili a attacchi Man-in-The-Middle che potrebbero compromettere o divulgare i dati.

Vediamo come implementare il web server Apache in modo che accetti solo le ultime TLS e rifiuti la richiesta di connessione SSL v2/v3.

Implementazione

• Andare alla cartella $ server_web / conf / extra
• Modificare la direttiva SSLProtocol in httpd-ssl.conf come di seguito per accettare solo TLS 1.0+

 SSLProtocol –ALL +TLSv1 +TLSv1.1 +TLSv1.2

Verifica:

Usiamo l’utility sslscanper validare il seguente comando e modificare localhost all’attuale nome dominio.

sslscan –no-failed localhost

In alternativa, è possibile controllare il sito con il tool online SSL/TLS Certificate

Utilizzare Mod Security per la sicurezza web server Apache

Mod Security è un’applicazione Firewall opensource che può essere utilizzata con Apache. Si tratta di un modulo che è necessario compilare e installare. Nel caso in cui non sia possibile permettersi un’applicazione firewall commerciale, questo modulo può essere una buona scelta.

Mod Security dice: per garantire una protezione generica delle applicazioni web, il Core rules deve utilizzare le seguenti tecniche:

• HTTP Protection: rilevare le violazioni del protocollo HTTP e  definire un utilizzo della policy localmente
• Real-time Blacklist Lookups: utilizzare 3rd Party IP Reputation
• Web-based Malware Detection: identificare i contenuti web dannosi controllando Google Safe Browsing API
• HTTP Denial of service Protections: difendersi dagli attacchi HTTP Flooding and Slow HTTP DoS
• Common Web Attacks Protection: – rilevare i comuni attacchi alla sicurezza delle applicazioni web
• Automation Detection: Rilevare  bot, crawler, scanner e altre attività dannose
• Integrare con AV Scanning per il caricamento di file: rilevare i file maligni caricati tramite l’applicazione web.
• Monitoraggio dei dati sensibili: Tracciare l’uso delle carte di credito e bloccare le perdite
• Trojan Protection: Rilevare l’accesso ai cavalli di Troia
• Identificare i difetti delle applicazioni: Segnalazioni di errori di configurazione delle applicazioni
• Error Detection and Hiding: Mascherare i messaggi di errore inviati dal server.

Verificare i download e le installazioni per la sicurezza web server Apache

I seguenti prerequisiti devono essere installati sul server nel caso in cui si desideri utilizzare Mod Security con Apache. Se alcuni di essi non sono presenti la compilazione di Mod Security è destinata a fallire. E’ possibile utilizzare l’installazione yum o Linux o Cento per installare questi pacchetti:

• apache 2.xo superiore
• pacchetto libpcre
• pacchetto libxml2
• pacchetto liblua
• pacchetto libcurl
• libapr e pacchetto libapr-util
• Modulo mod_unique_id bundle con server web Apache

Ora, cerchiamo di scaricare l’ultima versione di Mod Security 2.7.5 da http://www.modsecurity.org/download/

• Trasferire il  file scaricato in / opt / apache

• estrarre modsecurity-apache_2.7.5.tar.gz

# gunzip –c modsecurity-apache_2.7.5.tar.gz | tar xvf –

• Andare a extracted folder modsecurity-apache_2.7.5

# cd modsecurity-apache_2.7.5

• Avviare lo script di configurazione includendo apxs path a Apacheù

# ./configure –with-apxs=/opt/apache/bin/apxs

• Compilare e installare con make script

# make

#make install

• Una volta che l’installazione è completa si vedrà mod_security2.so nella cartella moduli sotto /opt/apache come di seguito

A questo punto Mod Security è installato sul web server Apache

Configurazione del Mod Security per la sicurezza web server Apache

Per utilizzare Mod Security su Apache, è necessario caricare Mod Security in http.conf. Il modulo mod_unique_id è pre-requisito per Mod Security. Questo modulo fornisce un’ambiente variabile con un identificatore unico per ogni richiesta che viene monitorata e utilizzata da Mod Security.

• Aggiungere di seguito una riga per caricare il modulo per lMod Security in httpd.conf e salvare il file di configurazione

LoadModule unique_id_module moduli / mod_unique_id.so

LoadModule security2_module moduli / mod_security2.so

• Riavviare Apache

A questo punto Mod Security è installato. La cosa successiva da fare è installare Mod Security core rule per le versioni avanzate delle sue funzioni. L’ultimo Core Rule può essere scaricato gratuitamente dal link https://github.com/SpiderLabs/owasp-modsecurity-crs/zipball/master

• Copiare il Core Rule scaricato nella cartella /opt/apache/conf
• Decomprimere il file Core Rule; a questo punto è possibile vedere le cartelle estratte come di seguito

• Si possono rinominare le cartelle con identificativi più brevi e semplici da ricordare, come :

• Andare alla cartella ars e rinominare modsecurity_crs10_setup.conf.example to modsecurity_crs10_setup.conf

A questo punto abilitiamo le regole per attivarle sul web server Apache

• Aggiungere la seguente stringa in httpd.conf

<IfModule security2_module>

Include conf/crs/modsecurity_crs_10_setup.conf

Include conf/crs/base_rules/*.conf

</IfModule>

Nella configurazione precedente abbiamo caricato Mod Security con la configurazione del file principale modsecurity_crs_10_setup.conf e fissato le regole base_rules/*.conf fornite da Mod Security Core Rules per proteggere le applicazioni web

• Riavviare Apache

Mod Security è stato configurato con successo su Apache. Ora il web server Apache è protetto da Firewall Mod Security web application.

Una volta installato Mod Security, passiamo a esaminare le più importanti configurazione per la protezione e la sicurezza delle applicazioni web. In questa sessione tutte le modifiche di configurazione saranno effettuate in /opt/apache/conf/crs/modsecurity_crs_10_setup.conf.

Si farà riferimento a /opt/apache/conf/crs/modsecurity_crs_10_setup.conf setup.conf in questa sezione a scopo di esempio. E’ importante capire quali sono le regole OWASP gratuite. Ci sono tre tipi di regole fornite da OWASP.

Base Rules: queste regole sono state accuratamente testate e il rapporto di falsi allarme è basso.

Experimental Rules: queste regole sono per scopi sperimentali ed è possibile avere dei falsi allarmi. E’ importante configurare, testare e implementare in UAT prima di utilizzarle in un ambiente di produzione

Optional Rules: queste regole opzionali non sono adatte all’intero ambiente, ma possono essere utilizzate sulla base di requisiti specifici. Se si è alla ricerca di CSRF, del monitoraggio degli utenti, Session hijacking etc. per proteggerli allora è possibile utilizzare queste regole.

Le base, experimental e optional rules sono disponibili dopo aver estratto il file zip ars scaricato dalla pagina OWASP. Questi file di configurazione delle regole sono disponibili nella cartella ars / base_rules, crs / optional_rules e crs / experimental_rules.

Prediamo familiarità con alcune base rules.

• modsecurity_crs_20_protocol_violations.conf: questa regola protegge dalle vulnerabilità del protocollo come splitting, request smuggling, using non-allowed protocol (HTTP 1.0)
• modsecurity_crs_21_protocol_anomalies.conf: questa regola protegge da una richiesta mancante con Host, Accept, User-Agent nell’intestazione
• modsecurity_crs_23_request_limits.conf: questa regola dipende da applicazioni specifiche come request size, upload size, lunghezza parametro
• modsecurity_crs_30_http_policy.conf: questa regola è per configurare e proteggere i metodi permessi e non permessi come CONNECT, TRACE, PUT, DELETE, etc.
• modsecurity_crs_35_bad_robots.conf: Rintraccia i malicious robots
• modsecurity_crs_40_generic_attacks.conf: questa regola serve per proteggere da comandi OS injection, inclusione di file remoti etc
• modsecurity_crs_41_sql_injection_attacks.conf: questa regola è per proteggere SQL e per nascondere la richiesta SQL inject
• modsecurity_crs_41_xss_attacks.conf: Protezione contro la richiesta da Cross Site Scripting
• modsecurity_crs_42_tight_security.conf: Analisi e protezione trasversale Directory
• modsecurity_crs_45_trojans.conf: questa regola rileva i generici file di gestione output, il caricamento di pagine http backdoor, le firme conosciute
• modsecurity_crs_47_common_exceptions.conf: questa regola è usata come un meccanismo di eccezione per rimuovere i falsi positivi che si possono riscontrare come Apache internal dummy connection, SSL pinger etc.

Logging per la sicurezza web server Apache

La registrazione è una delle prime cose da configurare per creare dei logs per ciò che Mod Security sta facendo. Ci sono due tipi di registrazione disponibili: Debug & Audit log.

Debug Log: questo serve per duplicare i messaggi di errore di Apache, gli avvisi e le notifiche da error log

Audit Log: questo serve per scrivere i logs delle transazioni che sono contrassegnati da Mod

Security. Mod Security dà la possibilità di configurare Audit, Debug o entrambi. Vediamo la configurazione di default in setup.conf

SecDefaultAction “fphase:1,deny,log”

Per Debug e Audit log usare “log”. Per solo Audit log usare “nolog,auditlog”. Per solo Debug log usare “log,noauditlog”. E’ possibile specificare la posizione di Audit Log da archiviare e che deve essere controllato dalla direttiva SecAuditLog.

Scriviamo Audit log in /opt/apache/logs/modsec_audit.log aggiungendo come illustrato di seguito.

Implementazione:

• Aggiungere direttiva SecAuditLog in setup.conf e riavviare il server Web Apache

 SecAuditLog /opt/apache/logs/modsec_audit.log

• Dopo il riavvio è possibile vedere modsec_audit.log generato come di seguito

Abilitare Rule Engine per la sicurezza web server Apache

Di default Engine Rule è disabilitato il che significa che non si stanno utilizzando tutti i vantaggi di Mod Security. Rule Engine abilitato o disabilitato è controllato dalla direttiva SecRuleEngine.

Implementazione

• Aggiungere direttiva SecRuleEngine in setup.conf e riavviare il server Web Apache

SecRuleEngine On

Ci sono tre valori per SecRuleEngine:

• On: per abilitare Rule Engine
• Off: per disabilitare Rule Engine
• DetectionOnly: per abilitare Rule Engine senza eseguire nessuna azione come block, deny,drop, allow, proxy o redirect

Solo se Rule Engine è on Mod Security è pronto per proteggere dai più comuni attacchi.

Proteggersi dagli attacchi comuni per la sicurezza web server Apache

Ora il web server è pronto per difendersi dai più comuni attacchi come XSS, SQL Injection, Protocol Violation etc. visto che è stato installato Core rule su Rule Engine. Testiamolo:

Attacchi XSS:

• Aprire Firefox e accedere all’applicazione e inserire il tag <script>  alla fine o URL come mostrato di seguito
• Monitorare modsec_audit.log nella cartella apache/logs

Come si può vedere Mod Security blocca la richiesta che contiene il tag <script> che è la radice degli attacchi XSS.

Attacchi Directory Traversal: Questo tipo di attacchi può creare molti danni approfittando di vulnerabilità e riuscendo ad avere accesso al sistema correlato.Ex – /etc/passwd, .htaccess, etc.

• Aprire Firefox e accedere all’applicazione con directory traversal
• Monitorare modsec_audit.log nella cartella apache/logs

http://localhost/?../…/boot

Come si vede Mod Security blocca le richieste che contengono directory traversal

Cambiare Server Banner per la sicurezza web server Apache

In precedenza in questa guida, si è visto come rimuovere la versione Apache e il tipo di sistema operativo con la direttiva ServerTokens. Facciamo un passo in avanti e vediamo come mantenere il nome del server che si desidera. Questo è possibile con la direttiva SecServerSignature in Mod Security.

Si noti che per utilizzare Mod Security per manipolare Server Banner è necessario impostare ServerTokesn in httpd.conf del web server Apache.

Implementazione:

• Aggiungere la direttiva SecServerSignature con il nome del server desiderato in setup.conf e riavviare il server Web Apache

SecServerSignature YourServerName

es:

[/opt/apache/conf/crs] #grep SecServer modsecurity_crs_10_setup.conf

SecServerSignature chandank.com

[/opt/apache/conf/crs] #

Verifica:

• Aprire Firefox e accedere all’applicazione
• Verificare le intestazioni di risposta HTTP in Firebug; è possibile vedere che Server Banner si è modificato come di seguito:

Configurazione generale per mettere in sicurezza web server Apache

Ecco alcune best practice per la configurazione generale

Configure Listen e sicurezza web server Apache

Quando si dispone di un’interfaccia e IP multipli su un singolo server, è consigliato avere una direttiva Listen configurata con IP assoluto e numero di porta. Quando nella configurazione di Apache si lascia Listen a tutti gli IP con un certo numero di porta, si possono avere problemi nella trasmissione della richiesta HTTP ad altri server. Questa situazione è abbastanza comune negli ambienti condivisi.

Implementazione:

• Configurare la direttiva Listen in httpd.conf con IP assoluto e la porta come mostrato nell’esempio qui sotto:

Listen 10.10.10.1:80

Access Logging e sicurezza web server Apache

E’ essenziale configurare Access Logging correttamente sul web server. Alcuni dei parametri più importanti da impostare in log è il tempo necessario per soddisfare la richiesta, Session ID. Di default, apache non è configurato per catturare questi dati. E’ necessario configurarli manualmente come di seguito.

Implementazione:

• Per fissare il tempo necessario per soddisfare la richiesta e Session ID nei log di accesso
• Aggiungere% T &% sessionID in httpd.conf secondo la direttiva LogFormat

  LogFormat “% h% l% u% t “% {} sessionID C” “% r” %> s% b% T” common

È possibile fare riferimento http://httpd.apache.org/docs/2.2/mod/mod_log_config.html per un elenco completo dei parametri supportati dalla direttiva LogFormat nei web server Apache.

Per la sicurezza web server Apache disabilitare i moduli indesiderati

Se sono stati compilati e installati tutti i moduli in Apache allora vi è la possibilità che ve ne siano molti non necessari. Una buona pratica è di configurare Apache con i moduli necessari nelle proprie applicazioni web.

I moduli seguenti hanno mostrato alcuni problemi di sicurezza e si potrebbe pensare di disabilitarli in httpd.conf del web server Apache.

WebDAV (Web-based Distributed Authoring and Versioning), questo modulo consente ai clients remoti di manipolare i file sul server ed è quindi soggetto a vari tentativi di arranco denial-of-service. Per disabilitarlo aggiungere il seguente commento in https.conf

#LoadModule dav_module modules/mod_dav.so

#LoadModule dav_fs_module modules/mod_dav_fs.so

#Include conf/extra/httpd-dav.conf

Info Module: Il modulo mod_info può divulgare informazioni sensibili utilizzando .htaccess una volta che il modulo è stato caricato. Per disabilitarlo:

#LoadModule info_module modules/mod_info.so

Mentre guardavano la televisione, i dati personali e i programmi visti venivano registrati senza consenso, raccolti e rivenduti. Gli Smart TV Vizio, hanno adottato per anni questa pratica commerciale scorretta, e negli Stati Uniti, sono stati costretti a rivedere le loro politiche di trasparenza e a pagare una multa considerevole.

Secondo una denuncia presentata dalla Federal Trade Commission e dal procuratore generale del New Jersey, Vizio ha inserito una funzionalità di tracciamento dietro un’impostazione chiamata “Smart Interactivity”. La FTC e il procuratore del New Jersey sostengono che l’azienda ha descritto questa caratteristica in modo generico,  per esempio “permette il suggerimento e l’offerta di programmi”. Ciò non ha fornito ai consumatori le informazioni necessarie a sapere che le loro smart tv Vizio li stavano spiando in ogni momento.

Smart Tv Vizio: così i dati dei clienti venivano spiati

Secondo per secondo, Vizio raccoglieva così una selezione di pixel sullo schermo che abbinava poi a un database di TV, film e contenuti commerciali. Inoltre, Vizio riconosceva i dati di visualizzazione dai servizi via cavo o a banda larga, set-top box, dispositivi di streaming, lettori DVD e broadcasts over-the-air. In aggiunta ogni fino a cento miliardi di data points venivano catturati da milioni di smart tv Vizio.

Vizio poi trasformava quella montagna di dati in denaro vendendo la cronologia delle visualizzazioni dei consumatori ad altre compagnie. Cerchiamo di essere chiari: non stiamo parlando di informazioni di riepilogo su tendenze di visualizzazione nazionali. Secondo la denuncia, Vizio raccoglieva informazioni personali. La società forniva gli indirizzi IP dei consumatori ad aggregatori di dati, che poi abbinavano l’indirizzo IP con un singolo consumatore o con una famiglia.

I contratti di Vizio con terze parti vietavano l’identificazione dei consumatori e delle famiglie in base al nome. Tuttavia fornivano una serie di altri dati personali: per esempio, il sesso, l’età, il reddito, lo stato civile, la dimensione della famiglia, l’educazione, e la proprietà della casa. Ciò permetteva a queste compagnie di monitorare e indirizzare i consumatori attraverso le smart tv Vizio.

Così i consumatori non sapevano che, mentre stavano guardando i loro smart tv, Vizio li spiava.

Servizio ingannevole: milioni di dollari di multa

La denuncia sostiene che Vizio sia ricorso a pratiche commerciali sleali che hanno violato il diritto della Federal Trade Commision ed erano inconcepibili ai sensi della legge del New Jersey. La denuncia sostiene inoltre che Vizio non è riuscito a rivelare in modo adeguato la natura della sua funzione “Smart Interactivity” e ha tratto in inganno i consumatori con il suo nome generico e la descrizione fuorviante.

Per risolvere il caso, Vizio ha accettato di fermare il monitoraggio non autorizzato, di rivelare chiaramente le sue pratiche di raccolta di dati e di ottenere il consenso esplicito dei consumatori prima di raccogliere e condividere le informazioni di visualizzazione. Inoltre, l’azienda deve eliminare la maggior parte dei dati che ha raccolto e creare un programma di privacy che valuti le pratiche di Vizio e dei suoi partner. Il provvedimento include anche un pagamento di 1,5 milioni di dollari alla FTC ed una sanzione civile supplementare di 2,2 milioni di dollari al New Jersey.
Qui ci sono i consigli che le smart companie dovrebbero attuare dopo l’ultima azione legale riguardo i prodotti intelligenti, i quali sono stati discussi anche recente al seminario sulle Smart TV organizzato dalla FTC.

• Spiegare le proprie pratiche di raccolta dati in anticipo. Dire ai consumatori fin dall’inizio le informazioni che si intendono raccogliere. Bisogna lasciare perdere i discorsi tecnici e utilizzare un linguaggio facile da capire. Soprattutto quando si spiegano nuove tecnologie o raccolte di dati che le persone potrebbero non aspettarsi, la trasparenza può essere la chiave per la fidelizzazione dei clienti.
• Ottenere il consenso dei consumatori prima di raccogliere e condividere le informazioni altamente specifiche sulle loro preferenze di intrattenimento. Se i consumatori non si aspettano che si stiano raccogliendo informazioni su di loro, specialmente informazioni sensibili, assicurarsi che acconsentano a ciò che si intende fare. Il modo migliore per realizzare ciò è quello di ottenere il loro consenso, cioè che esprimano la decisione di partecipare alla raccolta dati.
• Rendere più facile per i consumatori esercitare le opzioni. Una funzione chiamata “Smart Interactivity” che “permette suggerimenti ed offerte di programmi” metterebbe al corrente i consumatori che tutto quello che guardano viene raccolto e condiviso con terze parti? Noi non la pensiamo così. Le aziende possono difficilmente pretendere di offrire ai consumatori una scelta se gli strumenti necessari per esercitare tale scelta sono difficili da trovare o nascosti dietro descrizioni plain-vanilla.
• Applicare alle nuove tecnologie i principi di tutela dei consumatori. I documenti guida della FTC come “Careful Connections: Building Security in the Internet of Things”, “.com Disclosures: How to Make Effective Disclosures in Digital Advertising”, e “Start with Security” potrebbero non avere “Smart TV” nel titolo, ma le aziende intelligenti dovrebbero rivolgersi a loro per consigli su come evitare pratiche ingannevoli o sleali.