2005-06-13

Sicurezza ed internet, avvertenze di base

Sicurezza ed Internet, misure di base

Sopravvalutare o sottovalutare i rischi per la sicurezza di calcolatori connessi ad Internet è abbastanza comune. Se, come spesso accade, non siamo un bersaglio primario degli hacker, quello che bisogna ottenere è un livello moderato ed uniforme di sicurezza. Gli attacchi ad una rete hanno, di solito, successo perché diretti contro gli anelli deboli del sistema: le debolezze che non avevamo previsto.

Problemi per la sicurezza

Un approccio, anche di base, alla sicurezza deve tener conto di tutti questi rischi:
snooping
la lettura non autorizzata di posta e dati personali;
danneggiamento dei dati
sia con attacco diretto agli stessi che indiretto (e.g. rendendo inutilizzabile il calcolatore su cui risiedono);
furto di informazioni
fra le più appetibili: numeri di carte di credito, indirizzi e-mail, dati aziendali…
interruzione di un servizio offerto dal calcolatore
per esempio impedendo il login agli utenti autorizzati;
abuso delle risorse messe a disposizione
tipicamente l'invio di spam senza che i responsabili dell'elaboratore ne siano a conoscenza;
altro
scherzi, forzatura di un sistema per sfida…

Consigli fondamentali

Frapporre un firewall fra rete aziendale ed Internet

Social engineering bypasses all technologies, including firewalls
Kevin Mitnick

È una misura prevista anche dal disciplinare tecnico della privacy (sebbene non si specifichi che genere di firewall adottare e, pertanto, risulti legalmente sufficiente anche il semplice software disponibile con Windows XP Service Pack 2).

Aggiornare costantemente sistema operativo e browser

Molti sistemi operativi / software di sistema prevedono procedure di aggiornamento automatico che è bene attivare per prevenire vulnerabilità e correggere difetti rilevati. Incidentalmente osserviamo che l'allegato B del Codice della Privacy richiede, a seconda della tipologia di dati trattati, un aggiornamento annuale/semestrale: si tratta certamente di un frequenza troppo bassa. Comunque da non sottovalutare gli eventuali problemi di compatibilità con software applicativo già installato (basti ricordare la situazione nei mesi immediatamente successivi l'introduzione del secondo service pack per Windows XP). L'aggiornamento del firmware dei dispositivi andrebbe invece effettuato con maggiore cautela, valutando caso per caso se le nuove feature e/o le correzioni apportate siano effettivamente necessarie.

Utilizzare programmi antivirus, configurandoli in modo efficace ed aggiornandoli frequentemente

Valgono le stesse considerazione del precedente paragrafo. Nella scelta dell'antivirus da adottare, può risultare utile la lettura di AV Comparatives.
Da non sottovalutare anche il problema dell'invasività del software antivirus.

Non utilizzare la posta elettronica ordinaria per trasmettere dati importanti

Le normali e-mail transitano in chiaro su canali pubblici, attraversando, prima di raggiungere la destinazione, un numero imprecisato di stazioni intermedie sulle quali restano memorizzate per un tempo indeterminato alla mercé di sconosciuti. Per queste ragioni non è opportuno affidare alla posta elettronica dati di valore senza ricorrere a sistemi di cifratura. Importante osservare come l'uso sic et simpliciter della posta elettronica nel trattamento di dati si configuri, per quanto riguarda la privacy, come diffusione e non semplice comunicazione.

Evitare la comunicazione di dati confidenziali a terzi

In particolare i numeri di carte di credito. Anche considerando affidabili interlocutore e canale di comunicazione, resta la possibilità che la banca dati della controparte venga, in futuro, forzata. È di gran lunga preferibile ricorrere a sistemi di pagamento quali PayPal. Particolare attenzione va prestata ad un tranello denominato phishing: il furto di credenziali di autenticazione attuato mediante il ricorso a messaggi di posta elettronica fasulli, opportunamente creati per apparire autentici e sfruttare l'ingenuità dell'utente. Nessuna banca richiede ai proprio clienti la comunicazione di informazioni confidenziali tramite posta elettronica. Un accorgimento che può risultare valido in caso di dubbio è sbagliare volutamente la password di accesso: siti fasulli non hanno modo di discernere se il dato inserito è esatto o meno.

Non lasciare le parole d'ordine (password) al loro valore preimpostato

The big lie of computer security is that security improves by imposing complex passwords on users. In real life, people write down anything they can't remember. Security is increased by designing for the way humans actually behave
Jakob Nielsen
Nella registrazione ad un sito / servizio / banca dati, capita sovente che il sistema generi automaticamente una password iniziale e ce la comunichi tramite e-mail. Tale password deve esser considerata compromessa e dunque da sostituire immediatamente. Avvertenze di base consistono nel:
  • non ricorrere a nomi comuni, nomi propri, date tipiche (e.g. compleanno);
  • utilizzare parole d'ordine alfanumeriche (composte sia da lettere che da numeri) non troppo brevi;
  • cambiare periodicamente le parole d'ordine;
  • non utilizzare la stessa parola d'ordine per l'accesso a sistemi differenti.

Il disciplinare tecnico della privacy prevede password della lunghezza minima di otto caratteri, da aggiornare ogni sei/tre mesi a seconda della tipologia dei trattamenti effettuati.

Disabilitare l'utente Guest e rinominare l'utente Administrator (Windows 2000/XP/2003)

Col primo cambiamento obbligano gli utenti ad autenticarsi, evitando l'accesso anonimo; col secondo si rende un po' più difficile la vita agli aspiranti intrusi.

Non utilizzare il meccanismo di accesso automatico ai siti

La prima volta che si immettono le credenziali di autenticazione (nome utente e parola d'ordine) per accedere ad un sito Internet, capita che il sistema ci chieda se memorizzare tali credenziali in modo da non doverle reinserire successivamente. Sebbene si tratti di una funzionalità comoda, bisogna categoricamente astenersi dall'utilizzarla quando si lavora su elaboratori pubblici: recuperare credenziali così memorizzate può risultare un'operazione semplice e comportare danni gravi (per esempio compromettere il proprio servizio di online banking).

In caso di rete wireless, adottare una cifratura WEP o WPA

Senze questi protocolli i dati vengono trasmessi in chiaro e risultano immediatamente disponibili per chi li intercettasse. Il WEP è uno dei primi protocolli concepiti e risulta ormai non molto sicuro (comunque meglio di niente). Il WAP è un protocollo più avanzato e sicuro, ma può presentare maggiori problemi di configurazione ed ha un impatto sensibile sulla velocità di trasmissione.

Limitare la potenza del segnale wireless

Ricorrere a segnali sufficientemente intensi da permettere un trasferimento dati alla massima velocità, ma senza eccedere: non ha senso trasmettere informazioni in zone pubblicamente accessibili.

Limitare l'uso di cartelle condivise

Se possibile disabilitare completamente la condivisione.
Impostare il livello di sicurezza del proprio browser ad un valore elevato
Nel caso di Internet Explorer si può utilizzare il menù Strumento → Opzioni Internet… → Protezione → Livello predefinito assicurandosi di scegliere almeno Medio; con questa impostazione alcune pagine Internet potrebbero presentare piccoli problemi.

Software e certificati scaricati da Internet

Durante la "navigazione" non accettare alcun genere di software, anche se accompagnato da un certificato, a meno che la fonte sia certa ed affidabile.

Non rispondere a messaggi di spam

Inoltre NON CLICCARE su voci come "Cliccare su questo link per esser rimossi dalla mailing list" (con l'ovvia eccezione di un'azienda a cui si è precedentemente, volontariamente fornito il proprio indirizzo e-mail).

Disconnettere LAN da WAN

The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards
Gene Spafford

Se esistono periodi in cui la rete aziendale non ha ragione di esser interfacciata con Internet, allora disconnetterla; è una misura radicale ma, in quanto tale, assai sicura.

Server pubblici

Server pubblicamente accessibili (per esempio web server) sono fonte di varie problematiche e richiedono un costante aggiornamento tecnico da parte del personale preposto alla loro supervisione. Considerare inoltre i pericoli derivanti dalla loro presenza sulla LAN e la possibilità di ricorrere a soluzioni quali la DMZ.