Estate2024!
Era la password dell’amministratore di sistema di un’azienda che mi aveva appena chiesto un preventivo per “mettere in sicurezza tutto”. Il backup, invece, “lo fa il commercialista, credo”.
Nessuno dei due problemi si risolve con la piattaforma a canone che avevano già in testa — quella con tre lettere maiuscole e la dashboard di verdini per la riunione. Si risolvono gratis, in una mattinata. Ed è di questo che voglio parlare.
Prima che sembri quello che sa tutto: questi errori li ho fatti quasi tutti io. Server dimenticato online per mesi? Mio. Password con l’anno e il punto esclamativo? Pure. Non l’ho imparato sui libri — l’ho imparato sbagliando, e copiando da gente più brava che invece di tenersi i trucchi me li ha regalati. Ci tengo a questa parte, ci torno alla fine.
La maggior parte degli incidenti che vedo è così: niente hacker col cappuccio, solo una password riusata, un backup mai testato, un server che nessuno ricordava di avere. Roba da prevenire gratis.
Cinque controlli, in ordine di quanto male ti fanno se li ignori. Zero budget, zero consulenti.
1. Attiva l’MFA, e basta scuse
So l’obiezione: “è scomodo”. Sai cos’è scomodo davvero? Spiegare a un cliente perché dal tuo indirizzo è partita una mail con un IBAN falso.
Quasi tutte le compromissioni di account partono da una password rubata, indovinata o riusata da un altro sito già bucato. Con un secondo fattore — un’app come Aegis o Google Authenticator, meglio ancora una chiave hardware — la password da sola non basta più. Microsoft stima che l’MFA blocchi oltre il 99% degli attacchi automatizzati alle credenziali. Gratis.
Nell’ordine che conta:
- L’email principale. Chi controlla la tua casella resetta tutto il resto. È la chiave di casa, non una finestra.
- Gli accessi amministrativi: console cloud, hosting, il registrar del dominio (sì, anche quello), gestionale.
- Social e account pubblici.
Usa l’app, non l’SMS: l’SMS si intercetta e si aggira con un SIM swap. Cinque minuti per account.
2. Scopri cosa hai davvero esposto su internet
Non puoi proteggere ciò che hai dimenticato di avere. E di solito hai dimenticato parecchio: il gestionale “temporaneo” del 2021, una porta RDP aperta “solo per il weekend”, un ambiente di test con dentro i dati veri, un sottodominio che punta a un servizio dismesso.
Senza spendere niente:
- Elenca domini e sottodomini e controlla dove puntano oggi, non dove pensavi nel 2021.
- Guarda come ti vede internet partendo dal tuo IP pubblico. Shodan (account gratuito) ti mostra porte e servizi raggiungibili dall’esterno. È lo stesso strumento che usa chi ti cerca: tanto vale guardarci prima tu.
- Spegni, o metti dietro autenticazione e VPN, tutto ciò che non deve essere pubblico. RDP e SSH esposti diretti a internet sono l’ingresso preferito del ransomware.
Mezz’ora di inventario batte mesi di buone intenzioni. Si entra sempre dalla porta che avevi scordato.
3. Il backup che non hai mai testato non è un backup
È una speranza. E il ransomware non si commuove davanti alle speranze.
Tutti “hanno i backup”. Pochi li hanno mai ripristinati per davvero. Lo scoprono nel giorno peggiore: il backup era corrotto da mesi, oppure ci vogliono tre giorni che l’azienda non ha, oppure stava sullo stesso disco cifrato insieme al resto.
Lo standard è la regola 3-2-1:
- 3 copie dei dati,
- su 2 supporti diversi,
- di cui 1 fuori sede e — la parte che salva la pelle — offline o immutabile, così il ransomware non te la cifra con tutto il resto.
Compito per oggi: prendi un backup recente e prova davvero a ripristinare un file, una cartella, una casella. Cronometra. Se non ci riesci, l’hai scoperto adesso e non con il telefono che squilla.
4. Accendi gli aggiornamenti automatici
La maggior parte degli attacchi non sfrutta falle misteriose e costose. Sfrutta vulnerabilità già note e già corrette, su sistemi che nessuno ha aggiornato. La patch c’era da mesi. Mancava chi la installasse — spesso ero io, lo ammetto.
Quindi:
- Aggiornamenti automatici su sistema operativo, browser e antivirus. Attivali e dimenticatene.
- Tieni aggiornati CMS, plugin e temi. WordPress non viene bucato perché è WordPress: viene bucato per il plugin fermo a tre versioni fa che non aggiorni “per non rischiare di rompere il sito”.
- Disinstalla ciò che non usi. Ogni software dimenticato ma installato è una vulnerabilità che aspetta.
Se un aggiornamento rischia di rompere un sistema critico, pianifica una finestra fissa. “Quando ho tempo” non è una finestra.
5. Blinda il tuo dominio email: SPF, DKIM, DMARC
In questo momento, salvo prova contraria, chiunque può inviare email che sembrano arrivare dal tuo dominio. Incluso il finto te che chiede all’amministrazione un bonifico urgente. Si chiama BEC, business email compromise, ed è tra le truffe più redditizie proprio perché allestirla costa zero quando tu non ti sei protetto.
La difesa sono tre record nel DNS. Gratis.
- SPF dichiara quali server possono spedire a nome del tuo dominio.
- DKIM firma le email, così il destinatario verifica che non siano state manomesse.
- DMARC lega i due, dice ai server riceventi cosa fare con chi non passa i controlli, e ti manda i report.
Senza fare danni: parti con DMARC in osservazione (p=none), leggi i report per qualche settimana per non bloccare la newsletter o il gestionale, poi alza la politica a quarantine e infine reject. Da lì, falsificare il tuo dominio diventa il problema di qualcun altro.
Nessuno di questi cinque punti ha un prezzo. Hanno un costo diverso: una mattinata e l’onestà di ammettere che li rimandi da un anno. Io ci ho messo più di una mattinata, e qualche figuraccia.
E c’è un sesto controllo, quello che non sta negli elenchi: parlarne. Scrivo questa roba gratis per un motivo preciso — l’unica sicurezza che regge è quella condivisa. Nessuno si difende da solo: le difese migliori che conosco sono open source, le lezioni più utili me le ha regalate qualcuno, e ogni truffa raccontata qui è una truffa che a qualcuno là fuori non riuscirà.
Quindi, prima del SOC: cambia quella password da Estate2024!. E poi dimmi tu — qual è il controllo gratis che hai imparato nel modo più doloroso? Mettilo nei commenti. Al prossimo che lo legge fai risparmiare la mattinata che è costata a te. ☕️
L'unica sicurezza che regge è quella condivisa. Se ti è stato utile, girala a chi ne ha bisogno.