Tracce Digitali e Briciole di WiFi: cronache (semi-serie) di un PC che sa tutto di te!

Ieri mi è capitato di leggere l’ottimo post di Massimo Chirivì che riporto qui per facilità:

“Ricordiamoci sempre che per tutto quello che facciamo viene lasciata traccia sul PC, ad esempio ricordiamoci che tutte le WiFi utilizzate o meno vengono salvate sul PC. Provate a lanciare questo script con PowerShell sul vostro PC. In alcuni casi vi ritroverete anche password e profili utilizzati con altri PC, ma che per effetto della sincronizzazione account sono finiti anche in quest’ultimo. Ora provate ad immaginare: questa particolare attività potrebbe essere eseguita anche da un malware che porterà via le credenziali dei vostri profili WiFi, delle aziende in cui siete stati, ecc. Poi sul resto vi lascio riflettere… Ci avevate pensato?”

https://www.linkedin.com/posts/mchirivi_oggi-un-piccolo-spunto-di-riflessione-ricordiamoci-activity-7296537677061918720-HD19?utm_source=share&utm_medium=member_desktop&rcm=ACoAAABTdYkBjHOKC3cHF0-wog5Ff6_oe2VOA7Q

il link vi riporta al thread originale.

Il post ripropone una problematica spesso non compresa interamente anche da chi si occupa di sicurezza informatica ed ho pensato valesse la pena una piccola espansione anche per coloro che mi ritengono un boomer (leggete il thread per capire il riferimento) 🤣

1. Il Contesto: “Prima” e “Dopo” l’Esempio WiFi

Il post che abbiamo appena citato ci invita a riflettere su un aspetto cruciale della sicurezza informatica: ogni azione che compiamo sul nostro PC lascia delle tracce.

Prima di quell’“ad esempio”, probabilmente non tutti si soffermavano a pensare che perfino le reti WiFi, usate o semplicemente configurate e non più adoperate, potessero rimanere archiviate da qualche parte sul nostro dispositivo.

(Ovvio che se non lo sai, sei meno di un bonobo… e il bonobo sarei io, ovviamente!) 🙈🙉🙊🐵

Dopo l’esempio, la prospettiva cambia: ci si rende conto che un potenziale attaccante, un malware o un semplice curioso con le giuste competenze, potrebbe leggere (o trafugare) quelle informazioni memorizzate.

Nelle prossime sezioni approfondiremo questo concetto e mostreremo che la questione delle “tracce” non si limita alle reti WiFi, ma si estende a tutto ciò che facciamo sul computer: dai log di sistema ai file di configurazione, dalle cronologie dei browser ai database di sincronizzazione dei profili, passando anche per informazioni lasciate in editor di testo, editor di codice e innumerevoli altri servizi e applicazioni. Il rischio si amplifica ulteriormente quando le macchine sono in un dominio (come nel caso di Active Directory in ambienti Windows) o quando si fa uso di servizi di directory e autenticazione centralizzata anche su sistemi Linux o macOS.

Il filo conduttore è il seguente: ogni azione, locale o remota, lascia una traccia. Che il sistema operativo sia Windows, Linux o macOS, o che si tratti di macchine inserite in un dominio oppure no, esistono sempre log di sistema, file temporanei, configurazioni nascoste, file di profilo e quant’altro. E un avversario adeguatamente motivato e competente può trarre grande vantaggio da queste informazioni, specialmente se non vengono protette o eliminate correttamente.

E un avversario adeguatamente motivato e competente può trarre grande vantaggio da queste informazioni, specialmente se non vengono protette o eliminate correttamente.

Capisco che questo tolga un po di fascino al mito dell’hacker che magicamente entra nei nostri sistemi e fa quello che vuole. Ma la realtà è che, molto più prosaicamente, siamo spesso noi a fornire, inconsapevolmente si spera, agli attaccanti le informazioni che servono per fare quello che vogliono.

2. Le Tracce di Utilizzo: Perché e Come Vengono Salvate

2.1 Perché i Sistemi Operativi Salvano Dati e Configurazioni

I motivi principali per cui ogni sistema operativo conserva (talvolta in modo anche molto dettagliato) informazioni sulle attività svolte sono:

Ottimizzazione e usabilità

Ricordare le reti WiFi per non dover reinserire la password ogni volta che ci si connette alla stessa rete.
Tenere in memoria la cronologia dei file aperti di recente (jump list su Windows, “Documenti recenti” su macOS e Linux) per un rapido accesso.
Salvare impostazioni personalizzate, preferenze e altre informazioni che garantiscono un’esperienza d’uso più fluida.

Gestione e manutenzione

Tramite i log di sistema, gli amministratori (o gli utenti più esperti) possono individuare problemi e malfunzionamenti, oppure ricostruire eventi critici.
Gli audit log permettono di capire chi, come e quando ha effettuato determinate operazioni (installazioni di software, modifiche di sistema, login da remoto, ecc.).

Sicurezza e controllo

Il salvataggio di credenziali (ad esempio, password WiFi, token di autenticazione, chiavi SSH) semplifica l’utilizzo quotidiano, ma necessita di essere protetto adeguatamente.
In ambienti enterprise, la memorizzazione e la sincronizzazione dei profili sono fondamentali per consentire a un utente di accedere a qualsiasi postazione mantenendo le stesse impostazioni di sicurezza e di lavoro.

2.2 Come Vengono Salvate le Informazioni

Ogni sistema operativo e ogni applicazione adotta meccanismi diversi, ma alcuni pattern sono comuni:

File di configurazione (testuali o binari)

In Windows, molte impostazioni si trovano nel Registro di sistema o in file “.ini”/.xml/.json distribuiti in cartelle specifiche.
In Linux, i file di configurazione risiedono spesso in /etc/ (per le impostazioni globali) o nella home dell’utente (cartelle nascoste come ~/.config/, ~/.local/share/, ecc.).
In macOS, molte preferenze si trovano in ~/Library/Preferences/ o in ~/Library/Application Support/.

Log di sistema e di applicazioni

Windows: utilizza l’Event Viewer (Visualizzatore Eventi) con file di log tipicamente in C:\Windows\System32\winevt\Logs.
Linux: /var/log/ per i log di sistema, con suddivisione per tipologia (syslog, auth.log, secure, dmesg, ecc.).
macOS: log di sistema in /var/log/, ~/Library/Logs/ e /Library/Logs/; consultabili tramite l’app Console.

Persistenza in memorie cache e database interni

Browser (Chrome, Firefox, Edge, Safari) salvano cronologia, cookie, credenziali in database SQLite o in file di configurazione proprietari.
Suite da ufficio, client di posta, IDE e vari applicativi possono archiviare impostazioni, credenziali e dati di sessione in file di cache locale, a volte in chiaro, a volte con crittografia debole.

2.3 Dove Vengono Salvati i Dati nei Vari Sistemi Operativi

Approfondiamo ora, nel dettaglio, dove (fisicamente o logicamente) vengono salvati i dati e le “tracce” in Windows, Linux e macOS. Questa sezione è particolarmente utile per capire quali cartelle o file monitorare, proteggere o cancellare per aumentare la sicurezza.

2.3.1 Windows

Registro di sistema (Registry)

È il cuore della configurazione di Windows. Fisicamente, i file del Registro risiedono in:

C:\Windows\System32\Config\ (per le sezioni di sistema come SYSTEM, SAM, SECURITY, DEFAULT, SOFTWARE).
Nelle cartelle di profilo utente per le parti user-specific (NTUSER.DAT, UsrClass.dat).

Contiene chiavi su servizi installati, driver, impostazioni di rete, credenziali di WiFi (in parte cifrate), e tanto altro.

Cartelle di profilo utente

%USERPROFILE%: tipicamente C:\Users\<nome_utente>\. Qui si trovano cartelle come:

Desktop, Documents, Downloads, AppData (suddivisa in Local, LocalLow, Roaming).

AppData\Roaming: spesso sincronizzata in domini AD (roaming profiles). Contiene i dati di configurazione di molte app (es. C:\Users\<utente>\AppData\Roaming\Mozilla\Firefox\Profiles\…).

AppData\Local: dati non destinati alla sincronizzazione su server. Esempio: cache di Chrome (C:\Users\<utente>\AppData\Local\Google\Chrome\User Data).

Cartella “ProgramData”

C:\ProgramData\: utilizzata da alcune applicazioni (o da Windows stesso) per memorizzare configurazioni condivise tra utenti e file di setup comuni.

File di log e diagnostica

Event Viewer: i log di Windows in formato .evtx si trovano in C:\Windows\System32\winevt\Logs\.
Minidump: eventuali dump di memoria in caso di crash (C:\Windows\Minidump).
Prefetch: C:\Windows\Prefetch: contiene file di cache sulle esecuzioni di programmi, utili per velocizzare il caricamento delle applicazioni, ma anche per la digital forensics.

Tracce di rete e WiFi

netsh wlan show profiles (o equivalenti in PowerShell) recupera i dati da Registry e file XML in C:\ProgramData\Microsoft\Wlansvc\Profiles\Interfaces\.
In caso di sincronizzazione account Microsoft, le chiavi WiFi possono essere salvate/recuperate dal cloud.

File di paging e ibernazione

C:\pagefile.sys e C:\hiberfil.sys: contengono frammenti di memoria RAM e possono rivelare informazioni sensibili (password, chiavi di crittografia) se analizzati con tool di digital forensics.

2.3.2 Linux

Cartelle di sistema e file di configurazione

/etc/: archivio principale per le configurazioni globali (servizi, demoni, configurazione di rete, SSH, firewall, ecc.).
/usr/, /bin/, /sbin/, /lib/: contengono programmi, librerie e script di sistema.
/opt/: directory in cui spesso si installano software aggiuntivi di terze parti.

Cartella home dell’utente

/home/<username>/: archivio dei dati personali dell’utente, delle sue configurazioni e file specifici.
File e cartelle nascoste (che iniziano con .), ad esempio ~/.bash_history (o ~/.zsh_history), ~/.ssh/, ~/.config/, ~/.local/share/.
~/.bash_history e simili contengono i comandi digitati nel terminale: un vero tesoro di informazioni sulle attività dell’utente.

Log di sistema

/var/log/: directory con i principali log di sistema e dei servizi installati.

syslog, auth.log o secure: registrano login, comandi sudo, autenticazioni SSH, ecc.
dmesg: log del kernel in fase di avvio.
Alcune distro usano systemd e il comando journalctl per consultare i log unificati in /run/log/journal/.

Reti e credenziali WiFi

Se si utilizza NetworkManager, i profili WiFi sono spesso in /etc/NetworkManager/system-connections/, con file .nmconnection che contengono SSID e password (cifrata o in chiaro, a seconda della configurazione).
wpa_supplicant.conf (in /etc/wpa_supplicant/) per configurazioni manuali WiFi.

Swap

La partizione (o il file) di swap su Linux può contenere informazioni in memoria “paginata” e quindi potenzialmente tracce di dati sensibili.

Cache e configurazioni delle app

Molte applicazioni salvano i propri file in ~/.cache/<nome_app> o ~/.config/<nome_app>.
Esempio: Firefox o Chromium memorizzano la cronologia, i cookie e le credenziali in ~/.mozilla/ o ~/.cache/mozilla/ (per Firefox) e in ~/.config/chromium/ (per Chrome/Chromium).

2.3.3 macOS

Directory di sistema

/System/Library/ e /Library/: contengono i file di sistema e le estensioni.
/Library/Preferences/: varie preferenze a livello di sistema.
/etc/: come su Linux, conserva i file di configurazione tradizionali (sebbene su macOS molte impostazioni siano astratte nelle utility di sistema).

Home utente

Users/<username>/: simile a Linux, con cartelle Documents, Downloads, Desktop, Pictures, Library, ecc.
~/Library/: qui si trovano le sottocartelle Preferences, Application Support, Logs, Caches, che contengono la maggior parte dei dati di configurazione delle app installate.
~/Library/Keychains/: il Portachiavi (Keychain) di macOS, dove vengono salvate (in modo cifrato) password WiFi, credenziali di siti web (se Safari è configurato per ricordarle), certificati, chiavi SSH e molto altro.

Log di sistema

/var/log/: analogamente a Linux, i log di sistema basilari.
~/Library/Logs/: i log specifici dell’utente e delle app utente.
L’app Console (in Utility) permette di consultare questi log in maniera unificata.

Reti e credenziali WiFi

MacOS memorizza le reti WiFi (SSID, password e preferenze) nel Keychain. Se un utente è loggato con il proprio Apple ID (iCloud Keychain attivo) e ha la sincronizzazione delle password abilitata, tali dati possono comparire anche su altri dispositivi Apple (iPhone, iPad, altri Mac).

Swap e file di ibernazione

Come Linux, anche macOS può utilizzare un file di swap o una partizione di swap, potenzialmente contenente dati “svuotati” dalla RAM.
In alcune versioni di macOS, il file di ibernazione (sleepimage) si trova in /private/var/vm/.

In sintesi: in tutti i sistemi operativi si ripete uno schema analogo: i dati si salvano in determinate directory di sistema, in cartelle personali dell’utente e in log e file di configurazione. La modalità con cui questi dati vengono protetti (o meno) dipende dalle impostazioni di default, dalle policy di sicurezza e dalla consapevolezza dell’utente/administratore.

3. Il Caso Specifico delle WiFi Salvate e dei Profili Sincronizzati

3.1 Come Funziona la Memorizzazione delle Reti WiFi

Quando ci si connette a una rete WiFi su Windows, il sistema crea (o aggiorna) un profilo che include:

SSID (nome della rete)
Tipo di crittografia (WPA2, WPA3, ecc.)
Password (in forma cifrata o, in alcuni contesti, in chiaro)
Altre impostazioni (metrica di priorità, opzioni di connessione automatica, ecc.)

Eseguendo un semplice comando PowerShell (oppure una sequenza di comandi netsh wlan), si possono elencare tutti i profili WiFi noti al sistema e, in alcuni casi, anche visualizzare la chiave di sicurezza in chiaro. Se poi l’utente ha effettuato l’accesso con un account Microsoft e ha abilitato la sincronizzazione, è possibile che questi profili vengano sincronizzati tra più dispositivi Windows (PC personali, laptop aziendali, tablet, ecc.). Ciò significa che una rete WiFi configurata tempo fa sul computer A potrebbe trovarsi, “magicamente”, anche sul computer B, senza che l’utente ne sia pienamente consapevole.

3.2 Implicazioni di Sicurezza

Furto di credenziali WiFi Un malware con i permessi adeguati (o un utente malintenzionato che abbia accesso fisico o remoto) può estrarre in chiaro le password delle reti WiFi utilizzate di recente. Se tali reti appartengono a luoghi sensibili (uffici, sedi aziendali, laboratori), la compromissione della password può fornire all’attaccante un facile accesso a una rete interna potenzialmente meno protetta.
Reti aziendali in pericolo Se l’utente è dipendente di un’azienda che utilizza una rete WiFi protetta, la password di tale rete potrebbe finire su un PC personale sincronizzato, che magari è meno sicuro o addirittura compromesso. Da lì, un criminale può facilmente recuperare la password aziendale.
Movimenti laterali e persistenza Avere la chiave di una rete WiFi significa potersi posizionare fisicamente nei pressi dell’edificio, connettersi come “legittimi” e poi muoversi lateralmente alla ricerca di condivisioni di file, server interni, dispositivi IoT mal configurati, telecamere, server di backup, ecc.

4. L’Estensione del Problema: Tracce e Repliche su Windows, Linux, e macOS

Fin qui abbiamo discusso lo scenario WiFi per Windows, ma il concetto di base — la memorizzazione e la potenziale sincronizzazione di informazioni sensibili — vale anche per altri sistemi operativi e per contesti diversi.

4.1 Replicazione dei Profili in Ambienti Windows AD

Negli ambienti Windows con Active Directory (AD), è frequente l’uso di:

Roaming Profiles: I file del profilo utente (documenti, impostazioni, preferiti del browser, configurazioni applicative) risiedono su un server di rete e vengono scaricati su ogni macchina dove l’utente effettua il login.
Folder Redirection: Simile ai roaming profiles, ma più granulare: solo certe cartelle specifiche (ad esempio “Documenti”, “Desktop”, “Immagini”) sono reindirizzate su un server.
Group Policy Objects (GPO): Consentono di impostare a livello centralizzato configurazioni di sicurezza, policy di rete, permessi, installazioni di software, e tanto altro.

Questi meccanismi, se da un lato semplificano la gestione centralizzata, dall’altro aumentano la superficie d’attacco: basta compromettere il server che ospita i profili o le credenziali di un amministratore di dominio per avere potenzialmente accesso a tutti i file di profilo, incluse configurazioni, credenziali salvate e dati sensibili di centinaia o migliaia di utenti.

4.2 Sincronizzazione e LDAP su Linux/macOS

Anche in ambienti Linux e macOS esistono meccanismi analoghi, sebbene differiscano nei dettagli:

OpenLDAP e Kerberos: fornendo un’autenticazione centralizzata, permettono a un utente di accedere a più macchine Linux con le stesse credenziali.
NFS home directories: le directory home degli utenti sono ospitate su un server e montate via NFS (o Samba) su ogni macchina. Questo significa che i file personali (configurazioni, cronologie, credenziali, script) sono disponibili su più host.
SSSD (System Security Services Daemon): gestisce l’accesso centralizzato agli account e ai gruppi definiti su un server LDAP.
macOS con Open Directory: offre un approccio simile a Windows AD, consentendo di gestire utenti e dispositivi Apple in modo centralizzato.

Se un utente salva nel proprio profilo informazioni sensibili, tali informazioni saranno replicate su ogni macchina in cui effettua il login, con rischi di sicurezza analoghi a quelli di un dominio Windows.

5. Le Tracce nei Servizi e negli Applicativi

La registrazione delle attività e la memorizzazione di credenziali o dati di utilizzo non si limitano al sistema operativo, ma si estendono a tutte le applicazioni che utilizziamo quotidianamente.

5.1 Browser

Cronologia di navigazione: ogni sito visitato, data e ora, durata della sessione.
Cookie e sessioni: contengono token di autenticazione, preferenze e dati di tracciamento.
Password e form salvati: Chrome, Firefox, Safari e altri offrono il salvataggio di credenziali (username/password). Se l’utente non imposta una master password o non utilizza un password manager esterno, tali credenziali possono essere facilmente estratte.
Dati di completamento automatico: indirizzi, numeri di telefono, carte di credito, ecc.

Un attaccante che ottenga l’accesso a questi dati potrebbe impersonare l’utente su siti web (social media, webmail, home banking), rubare account e credenziali, e potenzialmente compromettere la vita digitale della vittima.

5.2 Editor di Testo e di Codice

Elenco dei file aperti di recente: molti editor (Notepad++, Sublime Text, Visual Studio Code, IntelliJ, ecc.) memorizzano i percorsi dei file. Si possono così dedurre i nomi di progetti, documenti riservati o la posizione di file sensibili.
Credenziali salvate per plugin e integrazioni: ad esempio, Visual Studio Code può salvare token di accesso per GitHub, Azure DevOps, AWS o altri servizi cloud.
Sessioni e workspace: alcuni editor mantengono una sessione con file aperti, credenziali SSH per debug remoto, chiavi GPG precaricate, ecc.

Se questi dati vengono memorizzati in chiaro o con crittografia debole (o peggio, sincronizzati su un cloud non sicuro), forniscono un vettore di pivot notevole per un aggressore.

5.3 Altri Servizi e Applicativi

Client di Posta (Outlook, Thunderbird, Apple Mail): dati di configurazione SMTP/IMAP, credenziali dell’account di posta, cache delle email, allegati (potenzialmente con dati riservati).
Software di Virtualizzazione (VMware, VirtualBox, Hyper-V): configurazioni di rete virtuali, snapshot, dischi virtuali. Una VM può contenere un intero sistema con password, account, file.
Strumenti di sincronizzazione cloud (OneDrive, Google Drive, Dropbox, iCloud): memorizzano log di accesso, cartelle sincronizzate e, in alcuni casi, credenziali interne all’app.

6. Come un Attaccante può Utilizzare Queste Informazioni

Un malintenzionato che abbia ottenuto l’accesso (fisico o remoto) a un PC, o che riesca a eseguire un malware con privilegi sufficienti, potrebbe:

Enumerare utenti e accessi

Analizzando i log di sistema (Windows Event Viewer, /var/log/auth.log su Linux, Console su macOS) per identificare chi si logga, da dove e quando.
Strumenti come who, last, finger (Linux) e wevtutil (Windows) consentono di ricostruire la mappa di utilizzo.

Rubare credenziali o token di sessione

Sfruttando tool di dumping (es. Mimikatz su Windows) per recuperare hash di password o token Kerberos.
Leggendo file come SAM o NTDS.dit in un dominio Windows compromesso.
Accedendo a ~/.ssh/id_rsa su Linux/macOS per rubare chiavi SSH private.

Movimento laterale nella rete

Se si ottengono credenziali di account privilegiati (local admin, domain admin, root), si possono violare altri host e server.
Esempi: attacco “Pass-the-Hash” (Windows) o riutilizzo di chiavi SSH (Linux/macOS).

Escalation di privilegi e persistenza

Creando utenti nascosti o aggiungendosi a gruppi di amministrazione.
Installando servizi malevoli, script in esecuzione all’avvio (/etc/rc.local su Linux, GPO in dominio Windows, launchd su macOS).

Esfiltrazione dati personali o aziendali

Rubando documenti riservati, email, progetti, dati contabili, proprietà intellettuale.
Rivendendo o utilizzando tali informazioni per ricatti (ransomware) o attacchi di social engineering.

7. Differenze tra Macchina Windows in Dominio e Macchina Standalone

Quando parliamo di Windows in dominio (ossia un PC che fa parte di un’Active Directory) vs Windows standalone (senza dominio, tipicamente a casa o in piccole realtà non gestite centralmente), ecco le principali differenze di sicurezza e gestione:

Siccome sono un Bonobo non ho ancora appreso a fare le tabelle qui sull’editor di linkedin.

In sintesi, un PC in dominio può essere più sicuro se l’amministratore applica policy restrittive e monitora costantemente la rete. Tuttavia, se il dominio è mal configurato o se un attaccante riesce a comprometterne i componenti chiave (ad esempio, il Domain Controller), l’impatto è molto più grave, perché coinvolge l’intera infrastruttura.

8. Hardening: Strategie per Minimizzare i Rischi

8.1 Hardening di Windows

Ridurre la superficie d’attacco dei servizi

Disabilitare i servizi non necessari (SMBv1, Telnet, Remote Registry, ecc.).
Configurare correttamente Windows Firewall con regole in ingresso/uscita.

Protezione delle credenziali

LAPS (Local Administrator Password Solution) per gestire in modo sicuro le password degli amministratori locali.
Credential Guard per isolare le credenziali di dominio dal sistema operativo principale.
Evitare protocolli di autenticazione obsoleti (NTLMv1, LM hash).

Aggiornamenti e patching costanti

In dominio, usare WSUS o altre soluzioni di patch management.
In standalone, attivare gli aggiornamenti automatici e controllarli regolarmente.

Restrizioni d’uso del software (Application Control)

AppLocker o Windows Defender Application Control per impedire l’esecuzione di programmi non autorizzati.
Regole di “Attack Surface Reduction” con Windows Defender.

Log e monitoraggio

Abilitare l’audit avanzato (in Secpol.msc o via GPO) per tracciare tentativi di accesso, modifiche di file, esecuzioni di processi.
Inviare i log a un sistema centralizzato o a un SIEM per un’analisi e correlazione più completa.

8.2 Hardening di Linux

Limitare l’accesso root e SSH

Disabilitare il login diretto di root (PermitRootLogin no in /etc/ssh/sshd_config).
Usare chiavi SSH invece di password, e magari proteggere queste chiavi con una passphrase.
Attivare un firewall (iptables, nftables, ufw) per bloccare porte non necessarie.

Mantieni il sistema aggiornato

Aggiornare regolarmente il kernel e i pacchetti per risolvere falle di sicurezza note.

Rafforzare il kernel e i parametri sysctl

Abilitare la randomizzazione dello spazio di indirizzamento (kernel.randomize_va_space=2).
Evitare l’uso di moduli non necessari (blacklist di driver o protocolli superflui).
Configurare correttamente log e limiti di connessione per prevenire attacchi DDoS o flooding.

SELinux o AppArmor

Abilitare uno dei meccanismi di Mandatory Access Control (MAC) per confinare i processi e ridurre i danni in caso di compromissione di un servizio.

Controllo dell’integrità e audit

Installare e configurare AIDE o Tripwire per verificare le modifiche a file di sistema.
Auditd per registrare e monitorare in modo granulare attività sensibili (creazione file, modifiche, escalation di privilegi).

8.3 Hardening di macOS

FileVault per la crittografia del disco

Protegge i dati in caso di furto o smarrimento del Mac.

Gatekeeper e XProtect

Consentono di eseguire solo software firmato e riconosciuto da Apple, bloccando molte minacce.
Mantenere aggiornato il sistema per avere protezioni XProtect all’ultima versione.

Disabilitare servizi non necessari (Bonjour, Condivisione, AirDrop)

Riduce la superficie d’attacco e limita le vie di accesso per eventuali attaccanti in rete locale.

Utilizzare firewall di terze parti (Little Snitch, LuLu)

Monitorano e filtrano il traffico in uscita, individuando comportamenti sospetti o indesiderati.

Privilegi utente limitati

Usare un account standard per le attività quotidiane, riservando i privilegi di amministratore solo alle operazioni di configurazione/installazione software.

9. WiFi e Attacchi “Evil Twin”: Replicabilità su Linux e Altri OS

L’esempio iniziale sulle reti WiFi salvate e sul furto di credenziali non è in alcun modo esclusivo di Windows. Le stesse problematiche e gli stessi attacchi esistono anche su Linux e macOS:

Creazione di Hotspot falsi (Evil Twin)

Un aggressore può usare tool come aircrack-ng, hostapd-wpe, bettercap, fluxion su Linux per creare una rete WiFi-clone (stesso SSID e crittografia). Gli utenti vi si connettono credendo sia la rete legittima.
Se i dispositivi sono configurati per riconnessione automatica, c’è il rischio che si aggancino all’hotspot malevolo.

Rubare o sostituire profili WiFi

Sfruttare la sincronizzazione dei profili e l’archiviazione delle password per aggiungere reti malevole al sistema.
In Linux, i profili in /etc/NetworkManager/system-connections/ o wpa_supplicant.conf possono essere manipolati (se si hanno i permessi di root).
In macOS, le password WiFi risiedono nel Keychain. Con privilegi elevati (o un malware in grado di accedere al Keychain), un attaccante può leggere o modificare tali credenziali.

Difese consigliate

Disabilitare la riconnessione automatica a reti non più utilizzate o ritenute non sicure.
Preferire WPA3 quando disponibile.
Usare VPN su reti pubbliche o potenzialmente non fidate.
Configurare i dispositivi per non pubblicizzare i propri SSID in reti precedenti (probe request).

10. Conclusioni e Riflessioni Finali

L’invito formulato nel post di partenza — “Ci avevate pensato?” — è quantomai pertinente. Diamo spesso per scontato che i nostri dispositivi e le nostre reti siano luoghi sicuri, ma basta una rapida occhiata ai log, ai profili salvati, ai file di configurazione, per scoprire la grande quantità di tracce che lasciamo durante la nostra attività informatica quotidiana.

Ogni azione lascia un’impronta Che si tratti di un file aperto, di un documento modificato, di un semplice collegamento WiFi, ci sarà (quasi) sempre un registro, una voce di log, un file temporaneo o un dato salvato in memoria.
Sincronizzazione e condivisione semplificano, ma aumentano i rischi Se usiamo le stesse credenziali (o le stesse chiavi di sincronizzazione) su più macchine, o se siamo in un’infrastruttura con directory service, l’esposizione cresce con il numero di endpoint.
Gli attacchi non distinguono tra Windows, Linux o macOS Windows è spesso nel mirino per via della sua popolarità, ma anche gli altri sistemi operativi sono vulnerabili a tecniche simili, seppur con dettagli tecnici diversi.
Hardening e buone pratiche di sicurezza sono fondamentali Limitare i privilegi, cifrare i dati sensibili, disabilitare i servizi superflui, mantenere i sistemi aggiornati, monitorare i log e, soprattutto, formare adeguatamente gli utenti. Molte violazioni informatiche, infatti, si basano su errori umani (phishing, uso di password deboli, esecuzione di software sconosciuto).
Applicazioni e servizi terzi Browser, client di posta, editor di testo/codice, strumenti di sincronizzazione cloud, database, suite d’ufficio: ognuno lascia potenzialmente informazioni preziose per un attaccante. Occorre valutarne l’impatto e adottare misure di protezione ad hoc (password manager, crittografia dei file, policy di protezione dei dati, ecc.).

E dopo aver letto tutto questo…

Quante WiFi ho salvato di cui non ho più bisogno?
Quante credenziali browser non protego con una master password?
Ho controllato se ho disattivato i servizi non indispensabili?
Quali log conservo e come li proteggo?
Che policy di protezione ho impostato sul mio account Microsoft o sul mio profilo LDAP?

Anche se la perfezione è irraggiungibile, migliorare la sicurezza riducendo i rischi è possibile. Tutto inizia dalla consapevolezza che sì, sul PC (e non solo) lasciamo tracce di ogni nostro passo. Ciò può essere utilissimo per lavorare, ma potrebbe anche fornire un vantaggio ai malintenzionati, se non prendiamo le dovute contromisure.

Ricordiamoci sempre che per tutto quello che facciamo viene lasciata traccia sul PC… E adesso, dopo aver visto come e perché, sappiamo anche meglio dove.