Sicurezza

La sicurezza informatica è uno di quegli argomenti tech-esoterici, quelli di cui tanto si parla e che suscitano l'attrazione/repulsione tipica dei fenomeni dell'ignoto.
In modo del tutto informale e tecnicamente molto impreciso, ma nella pratica (spero) utile ed utilizzabile da tutti, vorrei spiegare come e perchè la penso io, qualche concetto base e, in sostanza, dare il -la- per invitare tutti a pensare in modo più razionale e meno "mio Dio il 2012!" quando si affrontano certe problematiche.


  • VIRUS
La prima parola che viene in mente quando si parla di sicurezza informatica è 'virus'. Iniziamo subito col dire che, ormai, la stragrande maggioranza di quei programmini che chiamiamo virus in reltà non lo sono affatto.
Questa affermazione un po' particolare (ma coretta, fidatevi) nasce da una precisa classificazione dei malware, ovvero tutti quei software creati con intenzioni malevole; il cui scopo, in definitiva, è corrompere un determinato sistema.
La classificazione la trovate un po' ovunque,a volte superficiale a volte molto specifica. Come al solito non è questa la sede (nè io l'autore) ideale per trattare l'argomento quindi io farò le cosa molto grezzamente e tanto perchè, nella vita di tutti i giorni, sia un po' più chiaro l'argomento in generale.
  • Virus - sono programmi che si riproducono; di base non è detto che debbano per forza fare casini. Un virus, semplicemente, si moltiplica in modo trasparente al sistema che lo ospita. Nella pratica quelli che si trovavano (ormai non credo circolino più sotto questa forma) erano usati anche per trasportare un payload (spesso distruttivo), ovvero una routine che rompeva le balle: formattava l'hd, cancellava dei file, ecc... Esistono moltissime categorie, in base al tipo di infezione, di propagazione, di linguaggio usato, ecc...
  • Worm - la versione moderna dei virus (se così si può dire), ovvero virus che non si moltiplicano all'interno del filesystem, ma all'interno della rete. A differenza dei loro predecessori 'locali', i worm più raramente hanno del payload distruttivo; quando presente, spesso tale codice è un trojan (vedi dopo). Importante: i worm si spargono in rete in modo autonomo, a differenza dei virus che invece richiedono di essere eseguiti dall'utente-vittima. Roba come il famoso 'I love you' (macrovirus) NON è un worm, in quanto si diffondeva via mail, va bene, ma come semplice allegato: si appoggiava all'uomo (alla sua stupidità) per diffondersi
  • Trojan - programmi cavalli-di-Troia, ovvero che sembrano fare qualcosa ma, oltre a quello, di sotterfugio fanno dell'altro (che ovviamente non vorremmo). Spesso i trojan trasportano un programma di una (o più) categoria tra le seguenti...
  • Adware - tecnicamente innocui, sono però dei fastidiosi (e spesso imbarazzanti :P) banner pubblicitari che si aprono più o meno insistentemente, ottenendo forzatamente il focus (e quindi, di fatto, costringendoci a guardarli almeno il tempo che basta per chiudere la finestra)
  • Spyware - programmini dediti a spiare quello che fa l'utilizzatore del sistema infettato. Sono utilizzati molto spesso (molto più di quello che viene detto) da aziende commerciali per scoprire gusti/interessi degli utenti; è chiaro che gli scopi non sono sempre così puliti (ma comunque illegali), in particolare...
  • Keylogger - sono delle sorta di spyware, ma orientati alla tastiera invece che al traffico di rete; captano tutti i tasti premuti, quindi anche quando si inseriscono password
  • Sniffer - questi invece si dedicano esclusivamente al traffico di rete, in senso più ristretto dei comuni spyware; ovvero, intercettano (sniffano) i singoli pacchetti per scoprire eventuali contenuti sensibili, come le stracitate password
  • Backdoor - porta sul retro. Un'entrata nascosta che, una volta installata, consente al suo creatore di prendere controllo del computer-vittima
  • Dialer - in voga soprattutto con la linea analogica, oggi in via d'estinzione. Costringevano il computer a collegarsi ad un numero di telefono diverso da quello impostato, per dirottare il traffico su numeri a pagamento ad alta tariffazione.
I casi più comuni vedono sommare due o più delle caratteristiche appena elencate nei moderni malware.


  • ANTIVIRUS A PAGAMENTO: BELLI, POMPOSI, PERFETTAMENTE INUTILI
"Ho dovuto formattare per colpa di un virus" è una delle frasi che più ricorrono tra i meno esperti di computer alle prese con le trappole della rete. Alle terza-quarta esperienza (piuttosto traumatica per chi non è avvezzo) del genere, il panico e lo sconforto verso un qualcosa che pare "più grande e incomprensibile" porta alla soluzione più facile: comprare un antivirus -vero-, ovvero uno di quelli dal grande nome e che costa un bel pacco di soldi.
La realtà è ben più cinica: il peggior virus è quello che sta seduto dietro la tastiera; per cui, una volta trasformato l'utente da malware a software (perlomeno innocuo o quasi), il 90% del lavoro è fatto.
Per avere una protezione efficace e COMPLETAMENTE GRATUITA bisogna unire tre passaggi:
  1. una conoscenza delle procedure base di sicurezza
  2. una costante diffidenza/prudenza
  3. un buon antivirus gratuito
Lasciate pure stare le classifiche che trovate sulle riviste 'specializzate', quelle che vi dicono qual è l'antivirus migliore. Prodotti di aziende che coinvolgono milioni di euro non possono, per forza di cose, venir trattati da riviste commerciali (quindi facenti parte dello stesso macro-mercato) in modo obiettivo. Inoltre andare a cercare il pelo nell'uovo (quell'antivirus però individua quel virus che nessuno conosce ma c'è) è ridicolo da parte dell'utente medio, che si imbatterà al 99,999% nei virus più comuni da tutti riconosciuti e, nel caso così non fosse, sarebbe perchè è finito in una situazione che non sarebbe comunque in grado di capire/gestire. La maggior parte delle persone non è capace nemmeno di configurare l'antivirus, con una configurazione sbagliata ha senso spendere una mare di soldi?
Inoltre le sottigliezze perdono di significato nel momento in cui si effettua un aggiornamento, perchè se parliamo di differenze esigue, queste oscillano in base agli aggiornamenti rilasciati dalle software-house. Che nel caso degli antivirus, hanno cadenza praticamente giornaliera. Quindi i risultati dei test letti in modo così puntiglioso perdono significato nel giro di 24 ore!


  • PROCEDURE BASE DI SICUREZZA
Sempre rivolgendomi all'utenza media, la domanda che mi è sempre sorta spontanea è: ma dove cavolo avete preso tutti 'sti virus che siete sempre incasinati o impauriti tanto da dover formattare, portare in assistenza, spendere soldi così a caso? Possibile che io che navigo da 15 anni in siti di ogni tipo (e per ogni intendo proprio ogni), compresi quelli dove si 'fabbricano' i virus stessi, ho avuto solo un paio di volte qualche problema?
La risposta che mi sono dato è che le persone tendenzialmente non conoscono le regole più elementari, oppure le conoscono ma le sottovalutano. Allora proverò ad elencare quelle che conosco io (e che mi hanno salvato la pelle in più di un'occasione, spesso anche per motivi diversi dai malware) e che, appunto, sono valevoli in linea generale.


  • PARTIZIONI SEPARATE
Usare sempre almeno due partizioni: una per il sistema operativo, l'altra per i dati. L'ideale sarebbe averne una terza per i programmi, ma con winzozz io ho provato ma è abbastanza inutile, perchè le installazioni spesso hanno alcuni elementi fondamentali che comunque sia vanno sul C e non c'è niente da fare; winzozz è stupido, punto e basta. In ambiente Unix-like invece era prassi consolidata, chi usa Linux da tempo lo sa: teoricamente è possibile installare ogni dir di sistema in una partizione diversa! Ovviamente non fatelo...XD. Adesso non sussistono più le problematiche di spazio che potevano esserci allora, ma quelle di sicurezza permangono, è meglio non perdere le buone abitudini.
Comunque sia, usare due partizioni ci consente di tenere i dati al sicuro e di poter formattare in caso di bordello senza perderci tutti i film porn... ehm, volevo dire, tutti i fogli elettronici di lavoro fatti con tanta fatica XD


  • ANTIVIRUS GRATUITO
Installare un antivirus è un passo base. Per quanto detto prima, inutile spendere dei soldi, tantopiù che gli antivirus gratuiti sono nettamente più leggeri ed usabili, meno invadenti, altrettanto efficienti. L'unica pecca, che però se seguite qulche mia indicazione non si farà sentire, è che non hanno alcune funzionalità che quelli a pagamento possono avere, ma non sono caratteristiche indispensabili nè insostituibili.
Detto questo, va da sè che l'antivirus deve essere configurato correttamente: settate i livelli di protezione al massimo, attivate la ricerca euristica (se non attiva di default) e quella interna agli archivi.
Inoltre è chiaro che l'AV deve sempre essere aggiornato.
In fondo alla pagina potete trovare qualche link, su Google ne trovate molti altri.


  • FIREWALL GRATUITO
Un altro aiuto automatico è quello del firewall. Non sempre è indispensabile, per quel che riguarda connessioni casalinghe ovviamente. In particolare, dipende molto dal vostro fornitore di linea. Per le più comuni è comunque necessario installarlo e configurarlo. Vedrete che verranno subito intercettati migliaia di tentativi di incursione, ma in realtà la stragrande maggioranza di queste non sono altro che port-scanning o cose del genere (tra l'altro NON illegali).
Resomi conto di ciò (e verificato che il mio fornitore è ben protetto esternamente - non internamente ma questo è un altro discorso), io ho deciso di lasciare il mio computer di 'dominio pubblico' e levarmi dalle bolas il firewall (che, per quanto ben settato, è comunque pesante ed invadente). Gli effetti pratici sono stati nulli, se volete scansionare le mie porte buon pro vi faccia ;)
In fondo alla pagina qualche link a firewall gratuiti.


  • MAIL VIA WEB
Oggigiorno i pericoli maggiori arrivano via web. Allora, tanto per cominciare,che cavolo ve ne fate delle mail in locale? Nella maggior parte dei casi stiamo parlando di notifiche di Facebook o ricette della mailing-list di Suor Germana! Vabbè dai, sto scherzando, però ammetterete che le mail salvate in locale poche volte hanno senso. Consultate le mail dal web, è più sicuro e, a meno che non abbiate quindici caselle di posta su altrettanti provider, anche abbastanza pratico. In particolare, evitate come la peste l'uso di Outlook, il software più attaccato e più bacato mai concepito; ha dei bug così pesanti che mi meraviglio che giri come un programma, invece che essere i virus a farlo girare come backdoor!
In ogni caso, state sempre ben attenti agli allegati delle mail. Alcuni antivirus gratuiti non hanno il controllo diretto delle mail, ma questo non vuol dire niente. Primo, perchè come vi ho detto, tranne casi particolari la mail la lasciate sul server; secondo, perchè se c'è un allegato lo scaricate ma, PRIMA di eseguirlo, lo scansionate con l'AV (che a questo punto lo controlla come file in locale) e se c'è un problema ve lo dirà.
Mail che vi chiedono password sono SEMPRE false; quelle che vi dicono che avete vinto concorsi a cui avete mai partecipato praticamente anche. Mi spiace, so che sarebbe bello credere di aver vinto tot somma sul proprio conto (in una banca per la quale non avete mai aperto il conto tra l'altro) oppure quella macchina di lusso su quel sito (sul quale magari non siete mai stati), ma la dura realtà è che non funziona così. ;)


  • BANNER E POP-UP AL BANDO
Allo stesso modo, banner pubblicitari che vi dicono che site il milionesimo visitatore e quindi avete vinto il mondo, oppure che vi presentano un giochino che vincerebbe anche un mongoloide e vi rimandano a siti improbabili, sono tutte canzonate commercial-truffaldine. Vabbè che stavamo parlando di malware e questo (non sempre) non lo sono in senso stretto. Però, come molti malware sfruttano le tecniche di social-engineering per carpire password, codici bancari, carte di credito o anche solo caselle mail da bombardare di hoax (falsi), trasportatori di altrettanti tranelli digitali.
Guardate sempre con la massima diffidenza tutti questi manifesti per boccaloni!


  • (IN)SICUREZZA PASSIVA
Si parla tanto di sicurezza come antivirus, firewall e via dicendo; caso strano, tutte cose che vi danno la possibilità di spendere dei soldi per, a loro dire, la vostra sicurezza. Ma cosa fanno  'loro' (quelli dall'altra parte, chi produce il software) per la vostra sicurezza?
I meno esperti penseranno: "bè, basta che non producano loro i virus, di più che possono fare?". Sbagliato! La maggior parte delle 'incursioni' decisive avvengono attraverso exploit, ovvero codici progettati ad hoc per sfruttare vulnerabilità di un determinato programma.
Ancora una volta, scusate se sono pedante ma è così, i software open source superano i cugini mangia-soldi. Infatti, avendo del codice leggibile da chiunque, è molto più facile individuare una falla e molto più velocemente vi si trova una soluzione; tra l'altro, una volta rilasciata la soluzione lo è veramente, non come molte 'patch' che danno 'una mano di bianco', lasciando che sotto il muro continui a marcire... vero M$?

Chi, a questo punto, lamenti una certa critica unilaterale verso Winzozz, non ha colto bene il concetto. Infatti la critica si allarga a Outlook (per esempio), come a software più settoriale, quale quello per configurare le VPN, il VoIP, ecc...
Non esiste software che non abbia una falla, un punto debole, un baco. Anche se non è ancora stato scoperto, c'è e verrà trovato; e, potete starne certi, verrà usato. Quindi la sostanza è: siano protetti prima di tutto i nostri cervelli, prima ancora del sistema che devono gestire.
E' chiaro che poi tutto deve essere proporzionato a quello che fate e l'ambito nel quale si trova la macchina da proteggere. Una considerazione che, mi è parso di notare, spesso e volentieri i gruppi commerciali tendono a considerare in modo molto unilaterale. Ovvero: "questa falla è minima, quel problema di programmazione non importa, ecc... tanto un hacker non si metterà mai a fare certe cose per violare un sistema casalingo e privo di interessi"; giusto, sbagliato? Non saprei, ma in ogni caso molto approssimativo: sicurezza come vaghezza, non sembra essere molto professionale.
Ma poi la stessa considerazione non viene, chissà perchè, applicata così pedestremente quando si parla di antivirus o firewall, anzi viene osteggiata con convinzione: "siete degli incoscienti se vi affidate ad un software gratuito, un firewall a pagamento è indispensabile, ecc...". Sembra quasi che vogliano vendervi qualcosa. Ah no, aspettate, in effetti vogliono vendervi qualcosa :P


  • SOFTWARE
Un buon modo di cercare una sicurezza passiva decente è informarsi (basta un minimo, non bisogna perderci mezza giornata ma al più mezz'oretta) sui software di cui abbiamo bisogno. Se e come sono sicuri (nessun software lo è al 100%), ma soprattutto come e quando vengono patchati e quanto pesanti sono le mancanze.
Informatevi, questa è una buona norma non solo di sicurezza, ma anche di rispetto per sè e per lo sviluppo aperto e consapevole (oltre che, a conti fatti, per il proprio portafogli), informatevi dicevo se non ci siano già in giro (e ci sono, fidatevi) programmi open source che facciano la stessa cosa. Avere i codici sorgenti pubblici significa avere a disposizione un'intera comunità (compresi sè stessi, se si vuole) a disposizione per individuare e correggere eventuali falle. Non crediate che questa sia anche una debolezza: chi ha certe capacità non ha alcun problema a fare del reversing su codice compilato, anzi è uno stimolo in più.
Vi chiedo ancora una volta di non sottovalutare la sicurezza del codice, perchè come nel caso della password (che vedremo subito dopo), anche qui le falle note sono punti di attacco estremamente semplici da utilizzare, che fanno gola soprattutto agli script-kiddies e ai volgari lamers, che possono utilizzare semplicemente degli exploit già scritti (da altri) e facilmente scaricabili dalla rete.


  • PASSWORD
La password è il punto d'attacco più esposto ed uno dei preferiti, perchè quasi sempre è l'anello più debole. Semplicemente perchè la maggior parte delle persone non ha alcuna cura nello scegliere le pass, che vengono viste come una gran rottura e non una grossa mano che ci aiuta. Non posso certo biasimare un po' di repulsione, a nessuno piace inserire pass tutti i momenti e magari anche lunghe e complesse. Tuttavia vi sono alcune password che servono e devono essere settate meglio che possiamo.
A parte casi specifici nei quali dovete proteggere il computer da violazioni fisiche, in tutti gli altri casi si tratta di erigere un perimetro esterno contro gli oscuri meandri della rete. Quindi, conviene (se proprio non potete fare altrimenti) avere un foglio con le password a fianco alla tastiera, piuttosto che non settare password stupide (pippo, per esempio XD) e soprattutto tutte ugguali per non doversi sbattere a ricordarle. E' chiaro che dovete agire sempre proporzionalmente a quello che fate. In un ufficio a contatto col pubblico quanto detto ora va assolutamente vietato, così come in un'azienda molto grossa con un altissimo numero di persone nel via-vai giornaliero. Va meglio se si tratta del computer di casa, ad esempio.
Alcune semplici regolette che devono essere rispettate se volete fare le cose decentemente:
  1. non usare la stessa password per cose diverse
  2. non usare unicamente frasi sensate, date, nomi comuni
  3. non usare mai come pass il nome utente
  4. usare stringhe sufficientemente lunghe
  5. cambiate periodicamente le pass
  6. usare oltre alle lettere minuscole almeno:
    • due lettere maiuscole
    • due numeri
    • un carattere speciale


  • CONNESSIONE
Ricordate sempre che internet è il luogo più insicuro che si possa immaginare. Tutto quello che fate viaggia allegramente in chiaro nella rete globale. Può quindi essere intercettato e carpito da chiunque. Ma a parte il pericolo in locale (che deriva appunto da malware che, in qualche modo, avete voi lasciato entrare ed eseguire), tutti i dati che trasmette e ricevete possono essere catturati strada facendo.
Questo vale anche per quelle fasi apparentemente sicure, come quando inserite password. Ricordate invece che gli unici momenti sicuri (di più, perlomeno) sono quelli in cui abbiamo una connessione protetta. Per verificare se siete in sessione protetta, basta verificare il protocollo di trasmissione (https invece che il tradizionale http), oppure l'iconcina sulla barra di stato; ogni browser ha i suoi simboli, comunque qualcosa con un lucchetto indica una connessione protetta.


  • DATI
Protetta o meno, la connessione è sempre un punto di attacco estremamente scoperto. Quindi i dati più sensibili (se ne avete) vanno ulteriormente protetti con una codifica. In particolare le mail importanti non andrebbero trasmesse in chiaro, ma sempre preventivamente crittografate.
Gli algoritmi di codifica si dividono in due grandi categorie: simmetrici e asimmetrici. Dei primi fanno parte le classiche metodologie, con una pass che serve sia per codificare che per decodificare il messaggio; i secondi, invece, constano di una chiave pubblica ed una privata, quindi hanno la comodità di poter essere usati per scambiarsi dati con mezzi pubblici (mail, chat, ecc). Tuttavia questi algoritmi, checchè ne dicano tanti (che spesso non li conoscono neanche) sono più insicuri, soprattutto per testi molto lunghi. Per cui andrebbero usati per codificare una password di tipo simmetrico, che andrà poi usata per crittare il messaggio vero e proprio.
Ad ogni modo, il concetto è che i dati sensibili vanno protetti con una certa solerzia, perchè i veri pericoli non sono trojan o virus, ma persone (compresi gli utilizzatori stessi dei dati)!


  • RIASSUMENDO
Ricapitoliamo adesso per punti quanto detto. Un piccolo manualino passo-passo, senza pretesa di completezza o precisione, ma solo di efficacia di base; le cose da fare in una sorta di ordine cronologico, immaginando di partire da un sistema 'vergine':
  1. Preparazione
    • separare con partizioni (o HD fisici volendo) dati e sistema/i operativo/i
  2. Sicurezza attiva
    • installare un -buon- antivirus gratuito
    • addentrarsi nella configurazione per verificare che tutti i settaggi garantiscano la massima sicurezza; dovesse rivelarsi troppo invadente, si fa sempre a tempo ad abbassare gradualmente qualche livello di protezione, verificando sempre che l'efficacia rimanga ottimale per le nostre esigenze
    • installare un firewall gratuito e verificarne l'utilità
  3. Mail & web
    • porre sempre la massima attenzione agli allegati delle mail
    • evitare di installare plug-in di siti non ben conosciuti e verificati; evitare banner e pubblicità; evitare di rispondere a mail di improbabili vincite, di conti in banche/posta che richiedano un'autenticazione diretta, ecc...
    • se non indispensabile, non scaricare le caselle in locale, ma visionarle via web
    • non trasmettere dati sensibili via mail o web; farlo solo se crittografati
    • verificare (quando il servizio lo dispone) che al momento del login sia sempre attiva la connessione sicura
  4. Sicurezza passiva
    • cercare di utlizzare software (più) sicuro
    • cercare di utilizzare software open source
  5. Protezione
    • proteggere i dati sensibili anche in locale
    • usare password forti
    • non usare un'unica pass per più account (anche se di diverso tipo)
    • cambiare periodicamente le pass


  • LINK
Avira free personal edition  - antivirus (consigliato)
AVG free  - antivirus
Avast - antivirus
BitDefender - antivirus
Comodo - antivirus
Comodo personal - firewall
Privatefirewall - firewall
Online-armor - firewall
Iscriviti a: Post (Atom)