7 LA CYBER SECURITY

I sistemi informatici sono sempre più connessi tra loro e collegati in rete 24 ore al giorno. Offrono una quantità sempre maggiore di servizi e applicazioni liberamente fruibili, che purtroppo possono essere utilizzate da malintenzionati per carpire informazioni o creare danni.

Si è, quindi, reso sempre più necessario attuare tecniche di prevenzione e difesa dei sistemi informatici, che prendono il nome di ▶ cyber security. Essa viene concretizzata intervenendo su:

sistemi informatici proteggendoli da:
- intrusioni: cioè dagli accessi non autorizzati intervenendo con firewall, autenticazione degli utenti e crittografia;
- infezioni: cioè dalla corruzione dei dati o dei sistemi informatici;
- perdite: cioè dall’indisponibilità dei contenuti digitali;
educazione dell’utente: insegnandogli una maggiore attenzione nell’utilizzo degli strumenti informatici.

Intervento sui sistemi informatici: protezione da intrusioni

Per proteggere i sistemi informatici dagli accessi non autorizzati è possibile intervenire in tre modi, cioè introducendo firewall, autenticazione degli utenti e crittografia.

i Firewall

I ▶ firewall sono elementi (software o hardware) che vengono interposti fisicamente tra le reti da proteggere (sistema informatico) e Internet.

La loro funzione è quella di ispezionare il traffico in entrata e in uscita dalla rete locale e consentire (o negare) l’accesso alla LAN sulla base di specifiche regole precedentemente configurate dall’amministratore del sistema.

I firewall next-gen (next generation) oppure UTM (▶ Unified Threat Management) sono più sofisticati e includono quasi sempre funzionalità antivirus/antimalware. Sono in grado di riconoscere le singole applicazioni offrendo una protezione e un filtraggio del traffico più precisi e puntuali.

Esistono anche software o moduli di sistema operativo che effettuano, limitatamente al PC su cui operano, un filtraggio analogo ai firewall perimetrali; questi prendono il nome di firewall personali.

>> pagina 313

l’Autenticazione degli utenti

Una volta superato il controllo del firewall, il sistema deve verificare che l’utente che chiede l’accesso sia autorizzato. L’identificazione dell’utente viene effettuata utilizzando un id (per esempio username, e-mail ecc.) e una password.

L’autenticazione, cioè la verifica e la conferma dell’identità della persona, consente al sistema di stabilire a quali risorse l’utente può accedere.

In alcuni contesti (per esempio mondo bancario), l’accesso con credenziali non è reputato sufficientemente sicuro, di conseguenza esistono anche i sistemi di autenticazione a due fattori che, per essere efficaci, richiedono all’utente di fornire due diverse modalità di identificazione, scegliendo fra le seguenti:

qualcosa che so (password o pin del bancomat):
qualcosa che ho: smartphone usato come token (sul quale arriva un SMS contenente un codice numerico), tessera del bancomat ecc.;
qualcosa che sono (riconoscimento biometrico: impronta digitale, identificazione facciale, impronta vocale o scansione della retina).

la Crittografia

Internet è una rete intrinsecamente non sicura. I dati “viaggiano” in chiaro e quindi sono esposti a intercettazione e alterazione, spesso di natura accidentale, ma che possono anche avere natura dolosa.

Per proteggere i dati in transito sulle linee, vengono utilizzati dei sistemi di crittografia o cifratura, realizzabile in due modi con:

chiave simmetrica (preshared-key): il messaggio viene crittato utilizzando un’unica chiave che funziona sia per la codifica sia per la decodifica. La chiave deve precedentemente essere inviata al destinatario su un canale sicuro;

chiave asimmetrica: per crittare il messaggio si usano due chiavi: una per la codifica (chiave pubblica) e una per la decodifica (chiave privata). Il destinatario fornisce al mittente la chiave pubblica, che può essere nota a chiunque. La chiave privata, invece, è conosciuta solo dal destinatario, che non deve divulgarla per nessun motivo.

L’uso della crittografia consente di godere di alcuni vantaggi:

riservatezza dei dati: gli algoritmi di cifratura rendono il contenuto della comunicazione decifrabile esclusivamente da chi è in possesso delle chiavi;
integrità dei dati: se durante il transito i dati subiscono qualche alterazione (casuale o dolosa) il processo crittografico viene invalidato e il destinatario elimina i dati corrotti;
attendibilità della sorgente dei dati: esiste la possibilità di richiedere un certificato digitale che attesti l’identità di un soggetto (persona, società, computer ecc.). L’ente riconosciuto come autorità di certificazione (CA, Certification Authority), a seguito di accertamenti, rilascia un documento elettronico di identificazione che nel caso del web, può essere visibile facendo clic sul lucchetto che compare nel browser prima dell’URL.

ApprofondiMENTO

CHE COS’È UN TOKEN?

I token erano oggetti forniti dalle banche che generavano un codice numerico (OTP, One Time Password) inserito come ulteriore protezione per le operazioni sui conti correnti. Oggi i token hardware sono in disuso e i codici OTP vengono generati da token software (per esempio App per dispositivi mobili come Google Authenticator). I codici OTP hanno due caratteristiche fondamentali:

1. durata temporale limitata: se il codice scade, non è più valido, viene eliminato e ne viene generato un altro;

2. possono essere usati una sola volta: il codice generato è valido per un solo eventuale accesso.

>> pagina 314

Intervento sui sistemi informatici: protezione da infezioni

Il termine virus viene comunemente usato come sinonimo di malware, l’equivoco viene ulteriormente alimentato dal fatto che gli antivirus rilevano e rimuovono tutti i malware, non solo i virus. I malware, oltre ai virus, includono una varietà più ampia di software maligni, creati per causare danni ai computer e/o per sottrarre informazioni e/o per trarre profitto illecito.

Esistono diverse categorie di malware:

virus: sono parti di codice che alterano il codice eseguibile dei programmi applicativi. Vengono eseguiti ogni volta che il file infetto viene aperto e si auto-copiano da un applicativo all’altro come un’infezione biologica. La trasmissione da un computer all’altro avviene tramite lo spostamento o la copia dei file infetti;
▶ worm: simile a un virus ma non necessita di legarsi ad altri applicativi per diffondersi in quanto modifica il sistema operativo del computer e lo infetta in modo da essere lanciato ogni volta che viene avviata la macchina. Tenta di replicarsi sfruttando Internet, di solito tramite la posta elettronica o sfruttando i bug dei siti web;
▶ Trojan horse: usano una strategia simile a quella usata dai greci per entrare nella città di Troia. Questi software si presentano con funzionalità apparentemente lecite e giudicate utili dagli utenti (che per questo motivo sono indotti a utilizzarli), ma contengono anche istruzioni dannose che vengono poi eseguite dal malware all’insaputa dell’utente;
spyware: il termine deriva da ▶ SPY softWARE. Questi malware vengono usati per raccogliere fraudolentemente informazioni dal sistema informatico su cui sono installati e trasmetterle via Internet a un destinatario interessato, all’insaputa della vittima. Le informazioni carpite possono andare dalle abitudini di navigazione, alle password o alle chiavi crittografiche. Nelle versioni più evolute gli spyware riescono a prendere il controllo del microfono o della webcam del PC e quindi intercettare illegalmente audio, labiale o informazioni visive sull’ambiente in cui l’utente opera;
keylogger: sono programmi in grado di registrare tutto ciò che un utente digita su una tastiera (o che copia e incolla) rendendo così possibile il furto di password o altri dati che potrebbero interessare qualche malintenzionato. La presenza del keylogger sul computer non viene avvertita perché l’esecuzione del malware non causa il rallentamento del PC;
ransomware: è un malware che critta tutti i dati presenti su un disco, utilizzando una chiave di cifratura complessa, e poi invia all’utente messaggi intimandogli di pagare un ▶ riscatto per poter ottenere la chiave di decifratura e far ritornare i dati in chiaro. Questi software sono pericolosi in modo direttamente proporzionale alla quantità, al valore e alla riservatezza dei dati presenti sul disco.

Lo sapevi che

Il termine malware deriva dalle parole inglesi MALicious softWARE che significa programma malvagio.

>> pagina 315

Gli antivirus

I danni provocati dai malware possono essere diversi, tra cui:

rallentamento del dispositivo;
impossibilità di utilizzare alcune applicazioni;
comparsa di scritte o immagini indesiderate;
messaggi di errore;
furto di dati riservati.

Per proteggersi si devono usare opportuni software chiamati sistemi antivirus, che in realtà sappiamo essere antimalware (più categorie di malware identificano e combattono, meglio è). Gli antivirus devono essere continuamente aggiornati perché ogni giorno nascono e si diffondono nuove minacce.

Quando un antivirus riconosce un elemento malevolo sul sistema può effettuare, generalmente, tre azioni:

1. correzione: se un file è stato infettato in modo reversibile, è possibile rimuovere la minaccia e ripristinare il file originale, senza perdita di dati;

2. quarantena: un file ritenuto pericoloso e non risanabile automaticamente viene posto in un’area riservata del disco in cui non può essere eseguito e sulla quale potranno essere intraprese ulteriori azioni in futuro, anche in attesa di aggiornamenti dell’antivirus;

3. eliminazione: se viene ritenuto che un ripristino del file originale non sia attuabile, l’antivirus può cancellarlo in modo definitivo.

In alcuni casi, per debellare il malware è necessario reinstallare il sistema operativo, le applicazioni e recuperare i documenti da una copia non corrotta. Questo è uno dei motivi per cui sono molto importanti i backup.

prova tu

Verifica il funzionamento del tuo antivirus!

In rete è disponibile un file totalmente innocuo, ma riconosciuto come malware da tutti gli antivirus. È possibile tentare di scaricarlo all’indirizzo https://secure.eicar.org/eicar.com. Se il tuo antivirus funziona, il download fallirà e riceverai una notifica di minaccia rilevata.

>> pagina 316

Intervento sui sistemi informatici: protezione da perdite di dati

I dati possono essere persi o corrotti per molte ragioni, fra cui:

errore umano (per esempio cancellazione accidentale);
bug del software;
guasto, malfunzionamento hardware o blackout elettrico;
evento doloso (per esempio malware o attività umana);
furto;
calamità naturale (per esempio allagamento, incendio).

Per salvaguardare le informazioni è quindi necessario intervenire attraverso il backup o il disaster recovery.

il backup

Nei sistemi informatici complessi nei quali sono custoditi dati molto importanti (per esempio i dati relativi ai conti correnti bancari) è assolutamente necessario prevenire l’eventualità che cancellazioni o danneggiamenti, anche accidentali, conducano alla perdita dei dati memorizzati.

Il backup è il salvataggio periodico di una copia dei dati, effettuato su supporti diversi da quelli usati normalmente dai sistemi, in modo tale che, in caso di emergenza, i dati copiati possano essere utilizzati per ripristinare la situazione originale.

I supporti sui quali vengono salvate le copie di backup possono essere conservati in prossimità del computer, ma è buona norma custodirli in luoghi fisicamente separati considerati più sicuri.

I backup professionali (per esempio in banca) vengono normalmente effettuati durante le ore notturne (o comunque nelle ore non lavorative) per tre motivi fondamentali:

1. la memorizzazione di grandi quantità di dati richiede molto tempo. Se il backup venisse fatto di giorno ci sarebbe il rischio di copiare dati inconsistenti (cioè in parte aggiornati e in parte no);

2. il backup (anche se fosse rapido) impegna le risorse del sistema, se venisse fatto di giorno, rallenterebbe il sistema;

3. normalmente i sistemi informatici rimangono comunque accesi anche di notte, in una politica di sostenibilità economica e ambientale, le risorse vengono impiegate in modo utile.

I backup domestici preservano i dati contenuti sia nel personal computer sia in smartphone e tablet (per esempio le fotografie possono essere copiate sul PC o su hard disk esterni).

Attraverso una semplice copia delle cartelle su un supporto di memorizzazione o utilizzando opportuni software di backup è possibile prevenire sgradevoli sorprese.

Le tre metodologie di backup utilizzate sono il salvataggio:

1. completo: i dati vengono copiati integralmente. Il primo backup deve essere sempre di questo tipo;

2. differenziale: vengono copiati solo i dati che hanno subìto modifiche dall’ultimo backup completo. Deve essere successivo a un backup completo;

3. incrementale: vengono copiati solo i dati che hanno subìto modifiche dall’ultimo backup (completo o incrementale precedente). Deve essere successivo a un backup completo.

Come si può notare dalla figura, nel caso di backup differenziale il volume dei dati aumenta con il passare del tempo. Questo significa che il backup incrementale occupa mediamente meno spazio. Al contrario, il ▶ restore da backup differenziale è mediamente più rapido rispetto a quello da backup incrementale perché la ricostruzione dei dati viene effettuata considerando solo l’ultimo backup differenziale e il backup completo precedente. L’equivalente restore da backup incrementale richiede che la ricostruzione dei dati venga effettuata considerando l’ultimo backup incrementale, il backup completo precedente e tutti gli incrementali intermedi.

Un importante aspetto da considerare, è il ▶ retention time sui supporti, che indica “quanto a lungo” le informazioni salvate dovranno essere conservate prima di essere distrutte o sovrascritte.

Un metodo classico per gestire il retention time è lo schema “nonno-padre-figlio” che salva i dati utilizzando tempi di persistenza diversi, effettuando:

backup giornalieri (su supporti “figlio”);
backup settimanali (su supporti “padre”);
backup mensili (su supporti “nonno”).

In base a questo schema, ogni giorno vengono eseguiti dei backup mentre, su supporti differenti, vengono eseguite anche delle copie settimanali e mensili. Si ottengono così dei salvataggi con diverso retention time che consentono di non occupare troppo spazio sui supporti di backup e di contenere i costi di mantenimento.

restore / ripristino

retention time / tempo di persistenza

attenzione

La presenza di dati ridondanti (cioè identici e ripetuti più volte) come nel backup differenziale consente, in generale, un’elaborazione più rapida a scapito dello spazio di memoria occupato.

Lo sapevi che

Tra i diversi software di backup, quello gratuito messo a disposizione dalla Veeam, Veam Agent for Microsoft Windows è in grado di copiare l’intero disco fisso del computer.

>> pagina 317

il Disaster recovery

L’esistenza delle copie di backup consente il ripristino dei dati, ma in alcune applicazioni più critiche, questa operazione potrebbe non essere sufficiente.

esempio

Un sistema informatico bancario, in caso di emergenza, deve essere in grado di recuperare i dati sui conti correnti e di garantire i servizi essenziali ai propri clienti, come il prelevamento di denaro dai bancomat.

Quando, oltre ai dati, è necessario ripristinare i servizi che li utilizzano, si parla di disaster recovery.

Per poter attuare un ripristino dei servizi occorre prevedere l’esistenza sia di un supporto secondario in cui memorizzare i dati, sia di un luogo secondario (completamente diversi, distanti anche centinaia di kilometri) in cui:

copiare periodicamente i dati provenienti dal luogo primario;
avere a disposizione risorse hardware e software sufficienti per fornire almeno un ripristino parziale dei servizi più importanti.

>> pagina 318

educazione civica

L’EDUCAZIONE DELL’UTENTE

Per proteggere i dati e i sistemi informatici da frodi, furti, danni ecc. il comportamento dell’utente è fondamentale; è quindi importante informarsi e aggiornarsi sulle tecniche di attacco che via via si diffondono su Internet.

Per prima cosa si deve prestare attenzione ai siti web sui quali si naviga e alle e-mail che si ricevono, evitando di credere che siano sempre attendibili. In particolare:

quando, per raggiungere un sito web, viene fornito un link cliccabile è buona norma controllare che l’URL di destinazione sia effettivamente quello desiderato. Nel dubbio, è meglio raggiungere i siti Internet digitando direttamente i loro indirizzi;
quando si riceve un’e-mail da un mittente apparentemente conosciuto, occorre controllare l’indirizzo che potrebbe essere simile (ma non uguale) a quello di un contatto della propria rubrica. Anche quando l’indirizzo del mittente è identico a quello conosciuto, non va comunque scartata l’eventualità che l’e-mail, in realtà, sia stata inviata da un malintenzionato e quindi occorre comunque fare attenzione agli allegati perché la loro esecuzione potrebbe lanciare, per esempio, pericolosi ransomware;
la presenza di numerosi errori sintattici nel testo delle e-mail (o di un sito web) può essere sintomo di un messaggio fraudolento. In caso vengano identificati elementi che facciano dubitare della validità dell’e-mail, è buona norma contattare con altro mezzo (per esempio telefono) il mittente e verificare che sia stato lui a inviare la comunicazione sospetta.

Un’altra buona norma da seguire è quella di non fornire mai i propri dati sensibili tramite e-mail, in particolare quelli bancari. Nessun sito attendibile utilizza una semplice e-mail come forma di comunicazione per raccogliere informazioni sui dati sensibili. Nel caso si ricevesse un’e-mail con una richiesta di questo tipo, non si deve assolutamente rispondere.

L’ingegneria sociale

L’ ▶ ingegneria sociale studia le tecniche psicologiche che vengono utilizzate per manipolare le persone, con lo scopo di indurle a compiere azioni o a fornire informazioni riservate.

Queste tecniche fanno leva sulla stimolazione di emozioni, che possono essere sollecitate dal ricevimento di un comando autorevole, dalla stimolazione di un senso di colpa o di panico, dall’ignenuità delle persone ecc.

Tra le tecniche di ingegneria sociale, le più conosciute sono:

phishing (dalla storpiatura della parola inglese ▶ fishing): è basata sulla diffusione di e-mail ingannevoli, in cui il phisher segnala il blocco di un account (o di una carta di credito), richiedendo alla vittima le credenziali per fare verifiche e procedere allo sblocco, ma che in realtà è solo un trucco per ottenere i dati;
▶ shoulder surfing: carpisce le credenziali dell’utente spiandolo di persona mentre le digita (su bancomat, tastiera dell’antifurto di casa, smartphone ecc.);
▶ dumpster diving: è basata sull’analisi della spazzatura della vittima (per esempio ricevute con dati sensibili, fogli con password buttati via ecc.).

ingegneria sociale / social engineering

fishing / pescare

shoulder surfing / spiare dietro le spalle

dumpster diving / immersione nella spazzatura

attenzione

Ogni volta che butti via una tessera magnetica scaduta ricorda sempre di tagliarla con le forbici sulla banda magnetica oppure sul chip integrato.

Clic!
Clic!
Tecnologie informatiche per il primo biennio