Cos'è ElectroYou | Login Iscriviti

ElectroYou - la comunità dei professionisti del mondo elettrico

27
voti

Safety, Privacy and Internet for Dummies

Breve vademecum degli aspetti più peculiari in ambito di sicurezza e riservatezza in internet; estratto di una presentazione preparata come lezione conclusiva sulla sicurezza informatica di una serie di corsi d’informatizzazione e approfondimento per insegnanti delle scuole elementari. A chi fosse interessato, potrò fornire le slide relative agli argomenti qui trattati in formato pttx.

Indice

Protezione dei dati

Proteggere i dati significa garantirne:

  • La riservatezza o confidenzialità, ovvero la protezione da letture non autorizzate dei dati memorizzati.
  • L'integrità, ovvero la protezione da modifiche non autorizzate dei dati memorizzati.
  • La disponibilità, ovvero la capacità di garantire l'accesso ai dati o alle risorse del sistema.
  • L’autenticazione, ovvero la possibilità di identificare univocamente gli utenti del sistema.

Tipologie di attacco ai sistemi

  • attacchi passivi, che hanno l'obiettivo di compromettere la riservatezza e l'autenticazione, entrando in possesso d’informazioni private.
  • attacchi attivi, che hanno l'obiettivo di compromettere l'integrità e la disponibilità, cioè mirano ad alterare le informazioni e/o danneggiare i sistemi.

La vulnerabilità

In generale i rischi in termini di sicurezza informatica sono da imputarsi alla vulnerabilità. La vulnerabilità può essere addebitata:

  • Al software (sia il sistema operativo, sia le applicazioni).
  • Ai protocolli di rete.
  • Al comportamento degli utenti.

L'autenticazione

  • In un sistema informativo distribuito l’autenticazione riguarda la verifica dell’identità di un utente.
  • In conformità a questa verifica il sistema permette o nega l'utilizzazione di risorse e/o l'esecuzione di procedure.

Tecniche di autenticazione

Le tecniche mediante le quali è possibile identificare host o user sfruttano:

  • Quello che sai (Something You Know - SYK)
  • Quello che possiedi (Something You Have - SYH)
  • Quello che sei (Something You Are - SYA)

L’accesso al sistema attraverso riconoscimento di una password (SYK: quello che sai)

  • Il metodo più semplice per l'accesso illecito a un sistema è di impossessarsi indebitamente della password di un utente autorizzato e, spacciandosi per esso, di compromettere riservatezza, integrità, autenticazione e a volte disponibilità dei dati. A ogni utente sono tipicamente assegnate una o più password, tra le quali:
    • La password di accesso al computer o al dominio locale, che impedisce l'utilizzo improprio delle risorse interne (hardware, software e dati).
    • La password di accesso alla posta elettronica e ai servizi Internet, che identifica l'utente nell'uso delle risorse esterne.
  • Regole di comportamento:
    • Utilizzare password di almeno 6 caratteri e di tipo non banale.
    • La password è strettamente personale.
    • Non trascrivere mai la password su promemoria. (La password deve essere ricordata a memoria).
    • Non usare mai password identiche per differenti accessi.

L’accesso al sistema attraverso il possesso di un token (SYH: quello che possiedi)

  • Per potere essere autenticato e quindi accedere al sistema l'utente deve possedere il token (chiave) e, di norma, essere a conoscenza di un segreto, ad esempio un PIN o una password.
  • Eventuali problemi:
    • Il token può essere smarrito, clonato o al momento non disponibile.
    • Il token comporta un costo che in alcuni casi può anche essere elevato.
    • Il corretto uso del token presuppone l'esistenza di un’infrastruttura hardware e software che può essere piuttosto complessa.

L’accesso al sistema attraverso riconoscimento biometrico (SYA: quello che sei)

  • L'utente viene identificato per mezzo di qualcosa che è.
  • Appartengono a questa categoria i meccanismi di identificazione biometria (Impronta digitale, Iride, Voce, Geometria facciale, Geometria della mano).
  • Eventuali problemi:
    • Alta percentuale di errore, stimabile in alcuni casi sino al 10%.
    • Costo elevato delle attrezzature.

Tipi di attacchi ai sistemi informatici

  • Abuso dell'identità elettronica.
  • Phishing.
  • Exploit.
  • Malicious software.
  • Sniffing.
  • Spoofing.
  • Denial of service.

Abusi dell'identità elettronica

L'identità elettronica degli utenti può essere sostituita in modo malizioso intercettando la password.

  • Sia al di fuori del sistema (attraverso confidenze o promemoria).
  • Sia sfruttando vulnerabilità dei sistemi interni (ad esempio con un cavallo di Troia).
  • Sia mentre queste credenziali transitano sulla rete.

Phishing

Attenzione alle e-mail sospette! Il pericoloso fenomeno è conosciuto con il termine di "phishing": una frode finalizzata all'acquisizione, per scopi illegali, di dati riservati. Il furto di identità viene realizzato attraverso l'invio di e-mail contraffatte, con la grafica ed i loghi ufficiali di aziende ed istituzioni, che invitano il destinatario a fornire informazioni personali, motivando tale richiesta con ragioni di natura tecnica.

Exploit

Si indica tipicamente con exploit l'esecuzione delle azioni necessarie ad approfittare di una vulnerabilità del sistema per sferrare un attacco (spesso si tratta di bug del sistema operativo).

Software doloso (Malicious Software o Malware)

Esistono diverse tipologie di software doloso tra cui i più noti e diffusi sono virus, Cavalli di Troia, Worm, Macro.

Virus

  • Un virus informatico è un programma, cioè una serie di istruzioni scritte da un programmatore con le caratteristiche di:
    • Inglobarsi e confondersi con le istruzioni dei file eseguibili preesistenti sul sistema.
    • Replicarsi, cioè copiare le istruzioni che lo compongono in altri programmi.
    • Agire,: dopo un tempo prestabilito, necessario per la replicazione, il virus comincia a compiere l’azione per cui è stato scritto (distruggere dati e/o programmi o, semplicemente, far comparire a video un messaggio).

Cavalli di Troia

  • Sono programmi apparentemente innocui che una volta eseguiti, effettuano operazioni diverse da quelle che promettono di fare e sono tipicamente dannose.
  • Un esempio di cavallo di troia molto semplice è la creazione di una finestra di login identica a quella del sistema ma finta, che invia password e altre informazioni riservate all'autore del software doloso.

Worm

  • Sono programmi che utilizzano i servizi di rete per propagarsi da un sistema all'altro.
  • Agiscono creando copie di se stessi sugli host ospiti e mettendosi in esecuzione.
  • Sono dunque auto-replicanti e autosufficienti poiché in grado di funzionare senza bisogno di un programma ospite.

I Virus di Macro

  • Tra le funzionalità dei software di trattamento testi (Word) e di gestione tabelle (Excel) c’è quella di poter realizzare dei semplici programmi che lanciano dei comandi automaticamente all’apertura del documento.

Questi programmi sono realizzati con uno pseudo- linguaggio detto linguaggio macro. Attraverso l’uso delle macro si possono scrivere istruzioni per cancellare e rinominare file, per modificare il loro contenuto e, anche, per scrivere il contenuto del virus in altri file usati dalla medesima applicazione.

Altri programmi maliziosi

  • Non hanno un comportamento dannoso rispetto i dati presenti sul calcolatore ma possono essere dannosi in altri termini. Esempio: Programmi per scaricare suonerie per il cellulare
    • Si connettono automaticamente ad un numero telefonico internazionale.
    • Si trovano su internet o vengono ricevuti via email.
    • Sostituiscono i settaggi utilizzati per la connessione a Internet con altri numeri a pagamento.

Posta non sollecitata: SPAM

  • L’equivalente in rete dei volantini pubblicitari infilati nelle cassette postali è l’invio di messaggi e-mail pubblicitari non sollecitati a tanti utenti:
    • Costa meno (al mittente).
    • Costa di più (all’utente che scarica la posta via modem).
    • Gli indirizzi vengono raccolti automaticamente da robot che leggono pagine web e newsgroups estraendo indirizzi e- mail a caso.
    • La vendita di indirizzari è un business.

Le catene di S. Antonio

  • Su Internet è ancora più facile, perché non si paga il francobollo; è comunque una forma di posta non sollecitata. Si presenta in forma:
    • Tradizionale (quindi sfortuna o fortuna).
    • Falsi virus.
    • False notizie da mandare in giro urgentemente.

Sniffing

  • Attacco di tipo passivo che mira a compromettere riservatezza e autenticazione effettuando intercettazioni delle comunicazioni.
  • Quando i dati viaggiano non criptati su una rete a mezzo condiviso (come sono tipicamente le LAN) è possibile da un qualsiasi punto della rete intercettare i pacchetti in transito destinati ad altri host.

Spoofing

Vengono indicati con il termine Spoofing diversi tipi di attacchi che hanno come meccanica comune quella della sostituzione. Tipi di Spoofing:

  • user account spoofing.
  • data spoofing.
  • IP spoofing.

Negazione di servizio (Denial of Service)

Gli attacchi di tipo Denial of service hanno come principale bersaglio la disponibilità delle risorse, in particolare dei sistemi e dei servizi. Lo scopo di chi tenta l'attacco non è quindi quello di ottenere informazioni o di modificarle, quanto quello di impedire ad altri l'accesso alle informazioni. Due forme molto semplici e diffuse di Denial of service sono:

  • Il mail bombing, che è realizzato inviando a un utente una quantità di posta sufficiente a riempire lo spazio disponibile e dunque bloccare il suo servizio di ricezione.
  • La bandwidth consumption, che consiste nel generare una quantità elevatissima di traffico verso una certa destinazione, occupando tutta la larghezza di banda.

Alcune contromisure

  • La crittografia.
  • I software antivirus.
  • I firewall.

Crittografia

Consente di far transitare sulla rete messaggi codificati in modo da non poter essere compresi.

Antivirus

  • E’ un software il cui obiettivo è identificare il virus e rimuoverlo prima che entri in azione.
  • Esso cerca all'interno della memoria (centrale e di massa) particolari sequenze di byte che costituiscono l'impronta identificativa del virus.
  • La continua produzione di nuovi virus rende quindi indispensabile un aggiornamento continuato del software antivirus per garantirne l'efficacia nel tempo.

Le verifiche del software antivirus sono tipicamente fatte in via automatica:

  • All'avvio del pc, verificando almeno i file di sistema.
  • Periodicamente, scandendo la memoria centrale.
  • Ogni qualvolta si effettua una operazione rischiosa verificando i file potenzialmente pericolosi (apertura di un allegato di posta elettronica, l'inserimento di un dischetto nel drive, il download di un file).

Firewall

Sistema di filtraggio delle informazioni utilizzato per rendere più difficili gli attacchi ai sistemi di una LAN prevenendo gli accessi non autorizzati controlla tutte le trasmissioni di dati tra la rete LAN e la rete esterna impedendo l’uscita o l’arrivo di dati da utenti sospetti (hacker).

Alcune semplici regole

  • Installate un buon firewall e un buon antivirus, sappiate che la sicurezza costa; le migliori protezioni sono a pagamento e devono essere mantenute costantemente aggiornate. Esistono suite complete che comprendono differenti soluzioni a prezzi accessibili, quando acquistate un antivirus chiedetevi sempre: quanto costano i miei dati?
  • Fate il backup dei vostri dati con costanza su supporti affidabili, esistono molti tools di backup gratuiti e a pagamento. Non importa quale lo strumento ma salvaguardate i vostri dati.
  • Installate costantemente gli aggiornamenti di Microsoft, (per gli utilizzatori del SO di Redmond), sappiate che la maggior parte degli aggiornamenti rilasciati concernono la sicurezza.
  • Non installate software superfluo o di dubbia provenienza, esistono tools di rimozione sicura per i programmi "usa e getta", ma sono tools che devono essere eseguiti al momento dell'installazione del programma; "ripulire" il registry di Windows a posteriori è un po’ come curare una carie dal dentista senza preoccuparsi di prevenirla lavandosi i denti.
  • Preferite sempre le ultime versioni per i programmi di navigazione e di posta. Gli aggiornamenti comprendono sempre features riferite alla sicurezza.
  • Attivate gli scripting di ActiveX, Javascript e Visual Basic Scripting solo per la navigazione su siti "conosciuti".
  • Non aprite alcun allegato di posta se non atteso, qualunque tipo esso sia e per chiunque ve lo invii; il mittente, se "infetto", non sa di esserlo. Quindi usate il buon senso e un buon antivirus.
  • Non fidatevi mai dei link a banche o negozi. Laddove ci sono di mezzo i soldi, le probabilità d’inganno sono maggiori. Digitate sempre l'indirizzo alla vostra banca per esteso e non usate link o la funzione copia e incolla. Quando accedete al sito, verificate che l'indirizzo nel browser corrisponda a quello da voi digitato.
  • Diffidate di chi v’invia mail dove il vostro indirizzo compare con altri mille, segnalate all'interessato il vostro disappunto e insegnategli a compilare la posta utilizzando il campo CCN. Ci sono già troppe occasioni in cui il vostro indirizzo mail viene utilizzato per scopi che non vi piacciono, non è il caso di indugiare in tal senso.
  • Preferite l'utilizzo di messaggi di posta in formato testo a quelli in formato HTML, sono meno "belli" ma molto più sicuri.
  • Evitate di distribuire documenti in formato Word: oltre che a contenere vostri dati personali nascosti, sono un ottimo mezzo di trasporto per i virus.
  • Non fidatevi mai dei messaggi di allarme segnalati da chicchessia, non diffondeteli mai prima di avere verificato che non si tratti di una "bufala".
  • Aggiornatevi e usate il buon senso. Quelli che s'innamoran di pratica sanza scienzia son come 'l nocchier ch'entra in navilio sanza timone o bussola, che mai ha la certezza dove si vada. Leonardo Da Vinci [G.8r]
Estratto da "https://www.electroyou.it/mediawiki/index.php?title=UsersPages:Carlomariamanenti:n-a"
9

Commenti e note

Inserisci un commento

di ,

ah..queste voci narratrici... :) .. io opterei più per la seconda possiblità,sempre se la mia materia grigia risponda .... :) . Grazie. ;)

Rispondi

di ,

mir, voci narrano che tu sia possessore di uno smartphone, esistono innumerevoli applicazioni di criptografia nate per "raccogliere" le password in un unico luogo sicuro, sia esso un file salvato sul tuo device, sia esso un file salvato su di un server di sicurezza ... forse potrebbe essere una soluzione. Personalmente preferisco memorizzare a mente le mie innumerevoli password e codici, anche questo è senz'altro un buon metodo per "allenare" la propria materia grigia ;-)

Rispondi

di ,

Interessante ed altrettanto utile e ben fatto articolo.Si potrebbe approfondire l'apetto "password" che d'accordo sulle infinite e complesse combinazioni che si possono alfanumericamente creare, e quanto più astratte ed insesate che si voglia, ed ovviamente tutte completamente diverse fra loro e non tracciabili in alcun modo se non impresse nella materia grigia .... ma il punto è prorpio questo .... come si possono ricordare password (che siano due o molte di più) se nella maggior parte l'utilizzo di alcune è sporadico, e poi aggiungi anche quelle delle carte, e quelle relative al lavoro .... non si può non avere un riferimento oltre la materia grigia. ;) ... cosa ne pensi carlomariamanenti ?

Rispondi

di ,

Ottimo Carlo.

Rispondi

di ,

Ben fatto. Anche per un"ignorante" in materia informatica, qual io sono, è stato facile capire i termini utilizzati. Da oggi so qualcosa in più...non si smette mai di apprendere. Bravo! saluti

Rispondi

di ,

Grazie a tutti, è un onore per me ricevere complimenti positivi da bloggers del vostro calibro. -carlo.

Rispondi

di ,

Mi piace. Credo sia di aiuto per districarsi nei mille e più nomi di attacchi possibili ai nostri dati residenti sui PC. Very good!

Rispondi

di ,

Semplice, chiaro ed efficace. L'ho letto con piacere. Complimenti.

Rispondi

di ,

Utile, chiara ed ottima panoramica
Grazie!

Rispondi

Inserisci un commento

Per inserire commenti è necessario iscriversi ad ElectroYou. Se sei già iscritto, effettua il login.