ECDL IT Security-Specialised Level
Comprendere la sicurezza informatica al fine di identificare e trattare con la maggior parte delle minacce
associate all'uso delle tecnologie informatiche. I concetti fondamentali relativi all’importanza di rendere sicure
informazioni e dati, di assicurare protezione fisica e privacy, e di difendersi dal furto di identità; Proteggere un
computer, un dispositivo o una rete da malware e da accessi non autorizzati;
Tipi di reti, i tipi di connessioni e le problematiche specifiche alle reti, firewall inclusi;
Navigare nel World Wide Web e comunicare in modo sicuro su Internet; Problemi di sicurezza associati alle
comunicazioni, inclusa la posta elettronica e la messaggistica istantanea;
Effettuare copie di sicurezza e ripristinare i dati in modo sicuro, ed eliminare dati e dispositivi in modo sicuro.
di Aldo Finocchiaro
edito da
Giarre, Via Gioberti, 17 – Tel. 095 7799984 - 329 4138813
Segnalateci eventuali errori o inesattezze provvederemo immediatamente all’aggiornamento.
Bibliografia e immagini: materiale open source reperibile in rete, guida in linea dei programmi,
siti Internet applicazioni e Wikepedia.org. Tutti i marchi sono dei rispettivi proprietari
Questa dispensa è distribuita gratuitamente esclusivamente per finalità didattiche in corsi gratuiti NON finanziati.
Per corsi a pagamento o in qualsiasi modo finanziati (Fondi Europei PON/POR/IFTS, etc.) o in aziende private
contattateci per costi e versione completa personalizzata
A mio figlio Ettore,
grande esperto in sicurezza,
che già a poco più di due anni
salendo in macchina mi raccomandava
di mettere subito la cintura e andare piano
Giugno 2014
Indice dei contenuti
Introduzione .................................................................................................................................................... 3
La Sicurezza Informatica ........................................................................................................................................... 3
Sicurezza dei dati ...................................................................................................................................................... 5
Sicurezza dei programmi .......................................................................................................................................... 6
Sicurezza della comunicazione ................................................................................................................................. 8
Certificazione di Sicurezza dei prodotti Informatici ................................................................................................. 8
Questioni giuridiche e regolamentazione globale .................................................................................................... 8
Le minacce e tecniche di attacco .............................................................................................................................. 9
Le frodi informatiche ..............................................................................................................................................15
La polizia postale e delle comunicazioni ................................................................................................................17
Glossario .................................................................................................................................................................19
Esame ECDL IT Security - Specialised Level ..................................................................................................... 22
Minacce ai dati........................................................................................................................................................22
Valore delle informazioni .......................................................................................................................................23
Sicurezza personale ................................................................................................................................................24
Sicurezza dei file – Macro e Password Documenti .................................................................................................25
Malware ..................................................................................................................................................................29
Protezione...............................................................................................................................................................30
Sicurezza in rete......................................................................................................................................................31
Uso Sicuro del Web, Navigazione in Rete ...............................................................................................................35
Comunicazioni ........................................................................................................................................................39
Gestione fisica dei dispositivi e sicura dei dati Backup ..........................................................................................40
Esercitazioni e Simulazioni ECDL ..................................................................................................................... 44
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 2
di 44
Introduzione
Poichè le tecnologie informatiche vengono utilizzate da un numero sempre crescente di persone per svolgere una
gamma sempre più ampia di attività, diventa sempre più urgente la necessità di garantire la sicurezza dei dati.
Tutti gli utilizzatori di tecnologie informatiche dovrebbero vigilare sulle minacce alla sicurezza IT quali virus,
phishing, hacker, frodi on line e furti d'identità in generale. L'uso di prodotti di sicurezza IT, integrato con
adeguate competenze e conoscenze che consentono di identificare e affrontare le minacce alla sicurezza IT, è il
modo più efficace per proteggere se stessi ed i propri dati. Ogni catena è forte quanto il suo anello più debole, e
in relazione alla sicurezza IT spesso sono le azioni dell'utente, piuttosto che qualsiasi carenza tecnologica, che
compromettono la sicurezza di un computer personale o per esempio, nei luoghi di lavoro la sicurezza di una
intera rete. Pertanto, la sicurezza delle informazioni deve essere rafforzata attraverso la consapevolezza e la
comprensione dei possibili problemi da parte di ciascuno.
L'Organizzazione per la Cooperazione Economica e lo Sviluppo (OCSE) ha identificato per questi aspetti la
necessità di promuovere una 'cultura della sicurezza'. Molti credono che l'utilizzo di misure quali firewall e
software anti-virus impediscano del tutto le minacce alla sicurezza sia interne sia esterne, tuttavia, l'efficacia delle
tecnologie destinate a garantire la sicurezza dipende, in ultima analisi, dalla loro effettiva implementazione e dal
comportamento di chi le implementa ed utilizza. La loro azione è resa più efficace fornendo agli utenti stessi le
competenze e le conoscenze per riconoscere le minacce più comuni e intraprendere azioni preventive. Attraverso
la capacità di individuare e comprendere i concetti principali alla base di un uso sicuro della Tecnologia
dell'Informazione e Comunicazione (ICT) nella vita quotidiana, la conoscenza delle necessarie capacità e
conoscenze per mantenere una rete di connessione sicura e dell'utilizzo di Internet, gli utenti del computer
saranno quindi in grado di proteggere i propri dati e quelli dell'organizzazione per la quale lavorano. Internet non
può più essere considerata una nuova tecnologia, ma la sua crescita e la crescita delle attività che ha generato,
rende necessario lo sviluppo di comportamenti finalizzati alla sicurezza dell'operatività in rete. Molti credono che
sia un'attività completamente sicura, semplicemente per il fatto che centinaia di milioni di persone operano online ogni giorno. Certificare le competenze necessarie per identificare e affrontare minacce, quali il phishing e le
transazioni fraudolente durante la navigazione sul Web e l'acquisto di beni e servizi online, può notevolmente
migliorare la sicurezza online. L'utilizzo del social networking e social media sta diventando sempre più diffuso, sia
per uso personale sia per lavoro; molti utenti, tuttavia, non sono a conoscenza di come entità terza possano
accedere ad informazioni private che l'utente incautamente rende di dominio pubblico se non possiede le
competenze e le conoscenze per impostare appropriati filtri, password e criteri di privacy.
La sicurezza di una rete si basa anche sulle conoscenze e sul comportamento di ciascun individuo; per mantenere
la sicurezza IT in un ambiente di rete, quale l'ambiente di lavoro, l'individuo deve prima possedere le competenze
e le conoscenze per capire, ad esempio, le implicazioni di apertura di file sospetti, o le funzioni e limiti di un
firewall. Un ulteriore elemento di sicurezza IT che viene spesso trascurato è quello della gestione sicura dei dati,
sia per un individuo e per la una organizzazione. Gestire i dati in modo sicuro copre una vasta gamma di
procedure e attività, ma le aree più importanti riguardano la necessità di effettuare periodicamente il backup
memorizzando i dati in modo sicuro e la necessità di cancellare o distruggere permanentemente i dati sensibili
che non si vuole che siano rintracciabili.
La Sicurezza Informatica
La sicurezza informatica è quella branca dell'informatica che si occupa della salvaguardia dei sistemi da potenziali
rischi e/o violazioni dei dati. La protezione dagli attacchi informatici viene ottenuta agendo su più livelli, da quello
fisico (porre i server in luoghi sicuri e sorvegliati) a quello dell'autenticazione degli utenti e delle loro azioni, sia per
l'accesso che per la modifica dei dati. Ad esempio, a carico delle imprese esistono precisi obblighi in materia
di privacy, tra cui quello di redigere annualmente uno specifico documento programmatico sulla sicurezza.
Progettare un software "sicuro" significa prevenire eventi che possono produrre danni di qualsiasi gravità al
sistema; programmi non sicuri implicano un eventuale accesso del sistema a terzi, ossia potenziali minacce a
partire
dai malware.
Le
pratiche
di
sicurezza
più
comuni
sui
sistemi
informatici
prevedono antivirus e antispyware a difesa dei computer da software dannosi, e firewall a controllo degli accessi al
sistema; nel caso di intrusione, sono consigliate tecniche di protezione dati come crittografia, steganografia e firma
digitale; ultimo baluardo a seguito di un attacco vandalico vi è poi ripristinare il backup dei dati più sensibili.
In sintesi la sicurezza è ottenuta attraverso misure di carattere tecnico-organizzativo e funzionali tese ad
assicurare questi elementi: l'accesso fisico e/o logico solo ad utenti autorizzati (autenticazione); la fruizione di
tutti e soli i servizi previsti per quell'utente nei tempi e nelle modalità previste dal sistema (disponibilità); la
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 3
di 44
correttezza dei dati (integrità); l'oscuramento dei dati (cifratura); la protezione del sistema da attacchi di
software malevoli per garantire i precedenti requisiti.
La sicurezza informatica è un problema sempre più sentito in ambito tecnico-informatico per via della
crescente informatizzazione della società e dei servizi (pubblici e privati) in termini di apparati e sistemi
informatici e della parallela diffusione e specializzazione degli attaccanti o hacker. L’interesse per la sicurezza dei
sistemi informatici è dunque cresciuto negli ultimi anni proporzionalmente alla loro diffusione ed al loro ruolo
occupato nella collettività. Molti ex-hacker/cracker sono oggi dirigenti di società di sicurezza informatica o
responsabili di questa in grandi multinazionali Ciò sembra mostrare che per capire le strategie migliori di sicurezza
informatica è necessario entrare nella mentalità dell'attaccante per poterne prevedere ed ostacolare le mosse. Il
raggiungimento della disponibilità dipende da diversi fattori che interferiscono tra utente e sistema,
quali: robustezza del software di base e applicativo, affidabilità delle apparecchiature e degli ambienti in cui essi
sono collocati. Il sistema informatico deve essere in grado di impedire l'alterazione diretta o indiretta delle
informazioni, sia da parte di utenti non autorizzati, sia da eventi accidentali; inoltre deve impedire l'accesso
abusivo ai dati. "In generale non è buona norma assumere che le contromisure adottate in un sistema siano
sufficienti a scongiurare qualsiasi attacco". La protezione dagli attacchi informatici viene ottenuta agendo su più
livelli: innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di
sorveglianza e/o di controllo degli accessi; anche se questo accorgimento fa parte della sicurezza normale e non
della "sicurezza informatica" è sempre il caso di far notare come spesso il fatto di adottare le tecniche più
sofisticate generi un falso senso di sicurezza che può portare a trascurare quelle semplici.
Il secondo livello è normalmente quello logico che prevede l'autenticazione e l'autorizzazione di un'entità che
rappresenta l'utente nel sistema. Successivamente al processo di autenticazione, le operazioni effettuate
dall'utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è
detto audit o accountability. Per evitare invece gli eventi accidentali, non esistono soluzioni generali, ma di solito
è buon senso dell’utente fare una copia di backup del sistema, fare backup periodico di dati e applicazioni, com'è
tipico delle procedure di disaster recovery, in modo da poter fronteggiare qualsiasi danno imprevisto.
La cosiddetta analisi del rischio, ovvero la valutazione di tutte le possibili minacce in termini di probabilità di
occorrenza e relativo danno potenziale, tipicamente precede la fase di messa in sicurezza del sistema informatico,
consentendo così di stimare il relativo rischio: in base a tale valore si decide se, come e quali contromisure di
sicurezza adottare.
Tipi di sicurezza
Proprio sulla base di queste osservazioni, quando si parla di "sicurezza informatica" spesso si distinguono i
concetti di sicurezza passiva e di sicurezza attiva.
Sicurezza passiva Per sicurezza passiva normalmente si intendono le tecniche e gli strumenti di tipo difensivo,
ossia quel complesso di soluzioni tecnico-pratiche il cui obiettivo è quello di impedire che utenti non autorizzati
possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata. Il concetto di sicurezza
passiva pertanto è molto generale: ad esempio, per l'accesso fisico a locali protetti, l'utilizzo di porte di accesso
blindate, congiuntamente all'impiego di sistemi di identificazione personale, sono da considerarsi componenti di
sicurezza passiva.
Sicurezza attiva Per sicurezza attiva si intendono, invece, tutte quelle tecniche e gli strumenti mediante i quali le
informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi sia dalla
possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non
autorizzato possa modificarli (integrità).È evidente che la sicurezza passiva e quella attiva siano tra loro
complementari ed entrambe indispensabili per raggiungere il desiderato livello di sicurezza di un sistema. Le
possibili tecniche di attacco sono molteplici, perciò è necessario usare contemporaneamente diverse tecniche
difensive per proteggere un sistema informatico, realizzando più barriere fra l'attaccante e l'obiettivo. Spesso
l'obiettivo dell'attaccante non è rappresentato dai sistemi informatici in sé, quanto piuttosto dai dati in essi
contenuti, quindi la sicurezza informatica deve preoccuparsi di impedire l'accesso ad utenti non autorizzati, ma
anche a soggetti con autorizzazione limitata a certe operazioni, per evitare che i dati appartenenti al sistema
informatico vengano copiati, modificati o cancellati. Le violazioni possono essere molteplici: vi possono essere
tentativi non autorizzati di accesso a zone riservate, furto di identità digitale o di file riservati, utilizzo di risorse
che l'utente non dovrebbe potere utilizzare ecc. La sicurezza informatica si occupa anche di prevenire eventuali
situazioni di Denial of service (DoS). I DoS sono attacchi sferrati al sistema con l'obiettivo di renderne inutilizzabili
alcune risorse in modo da danneggiare gli utenti del sistema. Per prevenire le violazioni si utilizzano
strumenti hardware e software.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 4
di 44
Sicurezza nelle aziende
Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle
informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la
sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza
sono in continuo aumento. Per questo esistono, a carico delle imprese, precisi obblighi in materia di privacy, tra
cui quello di redigere annualmente uno specifico DPS documento programmatico sulla sicurezza (Il D.Lgs 9
febbraio 2012 n. 5 ha modificato alcune disposizioni in materia di misure minime di sicurezza sopprimendo in
particolare il Documento Programmatico di Sicurezza) È stato anche approvato a livello internazionale il
nuovo Standard ISO 27001:2005 finalizzato alla standardizzazione delle modalità adatte a proteggere i dati e le
informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità. Lo standard
indica i requisiti di un adeguato sistema di gestione della sicurezza delle informazioni (ISMS) finalizzato ad una
corretta gestione dei dati dell’azienda. Una fase indispensabile di ogni pianificazione della sicurezza è
la valutazione del rischio e la gestione del rischio. Il CLUSIT è l'associazione nazionale che promuove la conoscenza
nelle aziende.
Sicurezza dei dati
I principali aspetti di protezione del dato sono: la disponibilità; l'integrità dei dati; la confidenzialità (o
riservatezza);
Principali cause di perdita di dati
Le cause di probabile perdita di dati nei sistemi informatici possono essere molteplici, ma in genere vengono
raggruppate in due eventi:
Eventi indesiderati
Tra i due eventi sopra citati, quelli indesiderati sono quelli per lo più inaspettati, anche se è prudente aspettarsi di
tutto, e sono i cosiddetti attacchi da parte di utenti non autorizzati al trattamento di dati o all’utilizzo di servizi.
Alcuni degli eventi indesiderati che si possono subire possono essere:
Attacchi malevoli
Gli attacchi malevoli vengono fatti, tramite la rete internet o altra connessione, da parte di utenti remoti
che attraverso l’uso di software particolari, a volte creati da loro stessi, si intrufolano abusivamente
all’interno del sistema, riuscendo ad ottenere piena disponibilità della macchina, per gestire risorse e dati
senza avere i giusti requisiti richiesti.
Accesso a sistemi da parte di utenti non autorizzati
Questo tipo di attacco sostanzialmente è simile al precedente, ma ha una forma diversa. Questo attacco
consiste nell’uso non autorizzato di sistemi e di dati altrui, ma a differenza di un attacco malevolo,
stavolta viene usata la macchina e non la rete.
Effetti
La pericolosità degli attacchi in quanto tale, consiste non solo nella presa di possesso di requisiti, dati e
servizi altrui, ma anche causa all’utente cosiddetto “derubato” una sorta di insicurezza a far fede
sui sistemi informatici che spesso fanno parte della nostra vita quotidiana.
Eventi accidentali
Gli eventi accidentali non riguardano attacchi malevoli, ma fanno riferimento a eventi causati accidentalmente
dall’utente stesso, tipo: uso difforme dal consigliato di un qualche sistema, incompatibilità di parti hardware,
guasti imprevisti, ecc… Tutti eventi che comunque compromettono la sicurezza del sistema soprattutto in termini
di disponibilità. Per far fronte a tali evenienze, specie se derivanti da possibili guasti o danni fisici, molte volte si
opera in un contesto di ridondanza degli apparati (es. server cluster) ovvero con sistemi distribuiti all'interno di
piani di disaster recovery che, assicurando la tolleranza ai guasti (fault tolerance), garantiscano affidabilità e
disponibilità cioè il business continuity del sistema informatico e dell'azienda. A volte si preferisce agire anche in
maniera preventiva tramite piani di disaster prevention.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 5
di 44
Sicurezza dei programmi
Il problema della sicurezza dei programmi e soprattutto dell'invio e ricezione di dati confidenziali protetti, si è
posto all'attenzione degli sviluppatori di software come conseguenza della sensibile crescita dell'uso degli
strumenti informatici e di internet. Per quanto riguarda la produzione di software "protetti" possiamo partire col
definire il concetto di sicurezza come l'assenza da condizioni conflittuali capaci di produrre danni mortali o
irreparabili ad un sistema. Nella progettazione di software è quindi fondamentale raggiungere il compromesso
più funzionale tra l'efficienza d'uso del programma in questione e la sua capacità di "sopravvivenza" ad attacchi
esterni e ad errori più o meno critici. Il livello base della sicurezza dei programmi è fornito dalla sicurezza del
sistema operativo su cui si appoggiano i programmi applicativi. Due caratteristiche fondamentali:
Safety (sicurezza): una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all'interno
del sistema;
Reliability (affidabilità): prevenzione da eventi che possono produrre danni di qualsiasi gravità
al sistema.Un software (o programma) è tanto più sicuro quanto minori sono le probabilità che si verifichi
un guasto e la gravità del danno conseguente al guasto stesso. Possiamo ora vedere, in ordine crescente, i
possibili effetti dei guasti in cui può incorrere un software: Nessun effetto; Rischio trascurabile; Rischio
significativo; Rischio elevato; Rischio catastrofico.
Controllo della sicurezza di un programma Una volta prodotto il software si procede alla verifica del suo
comportamento, in modo tale da effettuare una ricerca estesa dei difetti presenti, per passare poi alla loro
eventuale eliminazione. Per essere efficace un programma deve essere controllato nelle sue specifiche e deve
essere privo di difetti nel codice, a questo fine viene effettuato un controllo delle specifiche del programma e
delle prestazioni correlate all'affidabilità, in secondo luogo viene analizzata ogni parte di codice e funzione
del sistema.
Errori di programma L'IEEE (Institute of Electrical and Electronics Engineers) ha catalogato gli errori nel software
in tre diverse voci a seconda della natura degli errori stessi. Esse sono:
Error: è un errore umano verificatosi durante il processo di interpretazione delle specifiche oppure
durante l'uso di un metodo o nel tentativo di risoluzione di un problema
Failure: è un comportamento del software imprevisto ed incongruo rispetto alle specifiche
del programma stesso
Fault: è un difetto del codice sorgente.
Gli errori di programma non nocivi, come ad esempio gli spyware ed il buffer overflow hanno la caratteristica di
non modificare i file di sistema e non recare danno alle caratteristiche del sistema stesso. Troviamo qui sotto
elencati una serie di errori e di attacchi al software di differente entità.
Principali tecniche di attacco
Exploit
Buffer overflow
Shellcode
Cracking
Backdoor
Port scanning
Sniffing
Keylogging
Spoofing
Trojan
Virus informatici
DoS
Ingegneria sociale
Social Network Poisoning
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 6
di 44
Principali tecniche di difesa
Antivirus: consente di proteggere il proprio personal computer da software dannosi conosciuti come
virus. Un buon antivirus deve essere costantemente aggiornato ad avere in continua esecuzione le
funzioni di scansione in tempo reale. Per un miglior utilizzo l’utente deve avviare con regolarità la
scansione dei dispositivi del PC (dischi fissi, CD, DVD e dischetti floppy), per verificare la presenza di virus,
worm. Per evitare la diffusione di virus è inoltre utile controllare tutti i file che si ricevono o che vengono
spediti tramite posta elettronica facendoli verificare dall’antivirus correttamente configurato a tale scopo.
Antispyware: software facilmente reperibile sul web in versione freeware, shareware o a pagamento. È
diventato un utilissimo tool per la rimozione di “file spia”, gli spyware appunto, in grado di carpire
informazioni riguardanti le attività on line dell’utente ed inviarle ad un'organizzazione che le utilizzerà per
trarne profitto.
Firewall: installato e ben configurato un firewall garantisce un sistema di controllo degli accessi
verificando tutto il traffico che lo attraversa. Protegge contro aggressioni provenienti dall’esterno e blocca
eventuali programmi presenti sul computer che tentano di accedere ad internet senza il controllo
dell’utente.
Firma digitale, Crittografia: è possibile proteggere documenti e dati sensibili da accessi non autorizzati
utilizzando meccanismi di sicurezza specifici quali: la crittografia, la firma digitale, e l’utilizzo di certificati
digitali e algoritmi crittografici per identificare l’autorità di certificazione, un sito, un soggetto o un
software.
Backup: più che un sistema di difesa si tratta di un utile sistema per recuperare dati eventualmente persi
o danneggiati. Il backup consiste nell’esecuzione di una copia di sicurezza dei dati di un personal
computer o comunque di dati considerati importanti onde evitare che vadano perduti o diventino
illeggibili.
Honeypot: un honeypot (letteralmente: "barattolo del miele") è un sistema o componente hardware o
software usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici.
Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere
informazioni preziose, ma che in realtà è ben isolato e non ha contenuti sensibili o critici; potrebbe anche
essere un file, un record, o un indirizzo IP non utilizzato.
Intrusion detection system (IDS): è un dispositivo software e hardware (a volte la combinazione di tutti e
due) utilizzato per identificare accessi non autorizzati ai computer. Le intrusioni rilevate possono essere
quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi
semiautomatici. Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai
computer. Un IDS è composto da quattro componenti. Uno o più sensori utilizzati per ricevere le
informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei
computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle
nella sicurezza informatica. Il motore di analisi si appoggia ad un database ove sono memorizzate una
serie di regole utilizzate per identificare violazioni della sicurezza.
Network Intrusion Detection System (NIDS): sono degli strumenti informatici, software o hardware, dediti
ad analizzare il traffico di uno o più segmenti di una LAN al fine di individuare anomalie nei flussi o
probabili intrusioni informatiche. I più comuni NIDS sono composti da una o più sonde dislocate sulla rete,
che comunicano con un server centralizzato, che in genere si appoggia ad un Database. Fra le attività
anomale che possono presentarsi e venire rilevate da un NIDS vi sono: accessi non autorizzati,
propagazione di software malevolo, acquisizione abusiva di privilegi appartenenti a soggetti autorizzati,
intercettazione del traffico (sniffing), negazioni di servizio (DoS).
Steganografia: La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non
conosce la chiave atta ad estrarli, mentre per la crittografia è rendere inaccessibili i dati a chi non conosce
la chiave.
Sistema di autenticazione: potrebbe rivelarsi utile, in particolare nelle aziende, l’utilizzo di software per
l’autenticazione sicura con un secondo elemento di autenticazione basato su un insieme di caratteri
disposti in uno schema suddiviso in file e colonne conosciute dall’utente che dovrà poi inserirle in una
combinazione di valori per dimostrare di essere in possesso dei dati corretti. Altro sistema, più sofisticato,
è quello del riconoscimento dell’utente tramite l’utilizzo dell’impronta digitale come forma di
autenticazione.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 7
di 44
Sicurezza della comunicazione
Un altro filone della sicurezza informatica si occupa delle problematiche di sicurezza connesse
alla trasmissione di informazioni confidenziali in rete o su qualunque sistema di telecomunicazioni ovvero
protezione dei dati in transito e sugli accessi non autorizzati alla varie risorse e servizi di rete. In tale ambito sono
diffuse tecniche di autenticazione e crittografia come contromisure allo sniffing.
Sicurezza della rete Internet
Con la crescita a dismisura di internet e del “www”, le problematiche di sicurezza si sono estese anche ad essa e
servono quindi idee e principi su cui basarsi. Per far fronte ai rischi che si corrono utilizzandola, l'Unione Europea mette
il suo contributo tramite il programma di protezione “Safer Internet”. Sul fronte tecnico le misure di protezione in rete
si concretizzano nell'uso di opportuni protocolli di rete quale HTTPS, SSL, TLS, IPsec e SSH che non fanno altro che
applicare i metodi crittografici su uno o più livelli di architettura di rete del modello ISO-OSI.
Safer Internet L’idea del programma di protezione della rete “Safer Internet”, è nata a seguito della crescita
di internet e per la crescente presenza di bambini a contatto con questo mondo. “Safer Internet” introdotto
dal Parlamento Europeo l’11 maggio 2005, vuole promuovere l’uso sicuro di internet soprattutto per i bambini:
una rete europea di 21 linee nazionali attraverso le quali gli utenti finali possono denunciare anonimamente la
presenza di contenuti illegali su internet, e la creazione di 23 nodi nazionali di sensibilizzazione per promuovere
un uso sicuro di internet, rivolto ai bambini, ai genitori e agli insegnanti. Oltre ai provvedimenti di
autoregolamentazione e allo sviluppo di tecnologie adeguate, l’istruzione gioca un ruolo chiave. È indispensabile,
infatti, la partecipazione e l’istruzione di genitori e insegnanti, troppo spesso digiuni in materia di internet, che
seguano con costanza i ragazzi nella navigazione, fornendo loro gli strumenti critici necessari per un approccio
consapevole alla rete.
Apparati di sicurezza di rete Una rete locale può aumentare il suo grado di sicurezza da e verso l'esterno (Internet)
attraverso l'uso di sistemi come: Firewall; Intrusion detection system (IDS); Intrusion prevention system (IPS).
Certificazione di Sicurezza dei prodotti Informatici
Prodotti software o sistemi informatici possono essere certificati nei loro attributi di sicurezza, con valore
aggiunto sul prodotto o sistema stesso in termini pubblicitari di sicurezza (certificazione di qualità in termini di
sicurezza), da organismi competenti riconosciuti. Tipicamente il processo di certificazione passa attraverso una
fase di valutazione del prodotto/sistema (OdV oggetto della valutazione) da parte di un laboratorio di valutazione
accreditato, per il quale il committente/sviluppatore dell'operazione ha identificato un cosiddetto traguardo di
sicurezza (TdS) in termini di specifiche che il suo prodotto dovrebbe assicurare. Compito del valutatore è
verificare a mezzo dell'attività valutativa la congruenza o meno del prodotto/sistema alle specifiche di sicurezza
richieste dal committente/sviluppatore, attraverso opportuni criteri di valutazione, redigendo poi un rapporto ed
un certificato finale di pubblico dominio.
Questioni giuridiche e regolamentazione globale
Una delle principali battaglie e delle lamentele dell'industria degli AntiVirus è quella relativa alla creazione di una
regolamentazione unificata e globale, una base di regole comuni per giudicare legalmente, ed eventualmente
punire, i crimini informatici e i criminali informatici. Infatti, ancora oggi, anche se una società produttrice di
AntiVirus dovesse riuscire a scoprire chi è il criminale informatico dietro alla creazione di un particolare virus o di
un malware o di un qualsiasi attacco informatico, spesso le autorità locali non possono comunque agire. Questo è
principalmente dovuto al fatto che praticamente ogni stato ha una sua propria regolamentazione, differente da
quella degli altri stati. Ed è anche grazie ad alcune società europee produttrici di AntiVirus (e.g. BullGuard, FSecure, Frisk, Panda, Sophos, TG Soft, ...) che, per risolvere il problema, la Commissione Europea ha deciso di
fondare l'EC3 (European Cybercrime Centre) L'EC3 è stato ufficialmente aperto il primo gennaio 2013. L'EC3 si
focalizzerà nella lotta della UE contro i crimini informatici
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 8
di 44
Le minacce e tecniche di attacco
Oltre ai virus tante son le minacce ai sistemi e le tecniche di attacco. Genericamente un malware è un qualsiasi
software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Nell'uso
comune, è però con virus che ci si riferisce alla generalità delle minacce informatiche; l'equivoco è anche
alimentato dal fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software
maligno. Anche errori nel codice e backdoor (sistemi che consento di superare in parte o in tutto le procedure di
sicurezza attivate in un sistema informatico) sono grossi problemi per la sicurezza.
Chi attacca i sistemi?
In generale, l'Hacking si riferisce ad ogni situazione in cui si fa uso di creatività e immaginazione; in ambito
tecnico, l'hacker studia ed analizza i sistemi informatici perché è mosso dalla sete di conoscenza; il cracker invece
ha come scopo quello di copiare o alterare abusivamente i dati da un sistema informatico o di renderlo
temporaneamente inutilizzabile, mentre il lamer (un aspirante cracker o hacker con conoscenze informatiche
molto limitate, deriva dall’inglese lame, usato spesso in senso dispregiativo, significa letteralmente "zoppo" ma si
potrebbe rendere in italiano come imbranato o rozzo) agisce copiando le tecniche sviluppate da altri. La parola
hacking deriva dal verbo inglese to hack, che significa intaccare. In ambito strettamente informatico, si può
definire l'hacking come l'insieme dei metodi, delle tecniche e delle operazioni volte a conoscere, accedere e
modificare un sistema hardware o software. Colui che pratica l'hacking viene identificato come hacker: il suo
obiettivo è solitamente quello di acquisire un'approfondita conoscenza del sistema su cui interviene, per poi
essere in grado di accedervi o adattarlo alle proprie esigenze. Tale atteggiamento assume maggiore rilevanza se si
considera che di frequente le informazioni tecniche e le potenzialità di un sistema non vengono interamente rese
note dal produttore, o addirittura in certi casi vengono volutamente occultate e protette (per motivi industriali e
commerciali o per tutelarne la sicurezza e l'affidabilità).
Il termine hacking nel gergo informatico è spesso connotato da un'accezione negativa, in quanto nell'immaginario
collettivo identifica una tipologia di operazioni e comportamenti del tutto illegali. Tuttavia l'hacking comprende in
realtà una serie di attività perfettamente lecite, svolte anche a livello professionale: i sistemi informatici vengono
infatti sottoposti a specifici e costanti test al fine di valutarne e comprovarne la sicurezza e l'affidabilità (i risultati
di questi test non possono comunque provare l'assoluta robustezza del sistema, ma soltanto il fatto che in un
ristretto periodo di tempo chi ci ha lavorato non è riuscito a scoprire alcuna vulnerabilità). Altre attività di hacking
sono poi svolte di routine da chi si occupa dell'amministrazione di sistemi informatici, nonché da chi ne cura lo
studio e lo sviluppo. In ogni caso, l'opinione pubblica spesso associa al termine hacking la pratica di accedere
illegalmente a sistemi altrui, allo scopo di carpire dati riservati o danneggiarne il funzionamento: tale pratica è più
propriamente denominata cracking (che si può tradurre in questo contesto come intaccare con l'obiettivo di
rompere, distruggere), sebbene utilizzi metodi e tecniche hacker.
Tipologie di hacking
Di seguito sono elencate alcune attività tipiche dell'hacking, suddivise per tipologia e obiettivi. Alcune delle
seguenti attività, se eseguite su sistemi proprietari o su cui non si è autorizzati ad operare, possono comportare
compromissioni, perdita di garanzia o violazione delle Leggi italiane (reati informatici).
Incremento di prestazioni (hardware)
I circuiti fisici di un computer funzionano secondo le leggi dell'elettronica: è possibile alterarne il funzionamento al
fine di ottenere un incremento delle prestazioni. Nella pratica vengono apportati miglioramenti che, non essendo
stati ancora sperimentati dal produttore, non possono essere inclusi nel prodotto al momento della vendita. In
passato è stato possibile imporre a masterizzatori di CD di lavorare al doppio della velocità, semplicemente
rimuovendo un resistore. Esempi più frequenti riguardano alcune schede madri di personal computer sulle
quali, tramite la modifica di connettori detti jumper, si potevano alterare i parametri
di frequenza del processore installato, facendo sì che questo lavorasse a maggiori prestazioni: tale pratica viene
chiamata overclocking (i jumper sono stati sostituiti, nelle moderne schede madri, da apposite funzioni software
del BIOS). L'incremento di prestazioni può tuttavia comportare un surriscaldamento eccessivo delle componenti.
Rimozione di limitazioni al funzionamento
I produttori di componenti elettronici (l'hardware) o di applicazioni (il software) possono aggiungere ai loro
prodotti funzioni, non necessariamente documentate in fase di vendita, che limitano l'utilizzo dei prodotti stessi
in specifiche situazioni: ad esempio, possono essere inseriti meccanismi atti a impedire l'aggiunta al sistema di
componenti non certificati, oppure atti a controllare l'originalità dei programmi utilizzati. L'elusione di tali
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 9
di 44
limitazioni rientra nelle attività di hacking: in taluni casi è assolutamente legale (nel caso, ad esempio, in cui si
richiedano permessi di amministrazione per accedere a tutte le funzionalità del sistema operativo
mobile Android), in altri casi viene svolta in maniera illecita per aggirare l'acquisto delle licenze (pirateria
informatica).
Alterazione della struttura di un programma
Un sistema operativo o, in generale, un qualsiasi software, si basa su una strutturata sequenza di operazioni da
far compiere all'elaboratore elettronico su cui viene installato; nel caso dei programmi open source questa
sequenza di operazioni è volutamente resa nota e in vari casi è anche alterabile liberamente, ma nel software
cosiddetto protetto o proprietario non viene autorizzata nessuna possibilità di intervento, nemmeno al fine di
correggere malfunzionamenti. Nella pratica è però possibile modificare il software portandolo ad eseguire le
operazioni in una sequenza diversa da quella scelta dal produttore fino ad ottenere il "salto" (cioè la mancata
esecuzione) di alcune operazioni; programmi specificatamente realizzati per alterare la struttura di un software
provocando il salto delle operazioni che dovrebbero verificare l'originalità della licenza di
un'applicazione vengono ad esempio chiamati crack. ATTENZIONE! Questa pratica può violare la licenza di
utilizzo di un software rendendone illegale l'utilizzo, anche se legalmente acquistato.
Aggiunta di funzioni ad un programma
Come ad un software possono essere tolte delle funzioni, così possono esserne aggiunte di nuove; anche in
questo caso sul software protetto o proprietario tale operazione non è consentita, ma nella pratica questa
operazione è possibile. Un esempio può essere l'aggiunta della funzione di "ballo jazz" ad un
cane robot distribuito da una nota casa produttrice di materiali ludici, che può essere eseguito tramite
inserimento di nuove parti al programma di controllo delle funzioni di questo giocattolo. Questa pratica può
violare la licenza di utilizzo di un software rendendone illegale l'utilizzo, anche se legalmente acquistato.
Rete di comunicazione intrusioni e accessi non autorizzati
Reti Pubbliche Ogni rete di telecomunicazioni prevede norme che ne regolano l'utilizzo da parte di ciascun
utente, ad esempio una rete telefonica è solitamente riservata a coloro che pagando un canone e/o una tariffa a
consumo ad un gestore della rete ne ottengono i mezzi fisici e/o l'autorizzazione all'utilizzo; è tuttavia possibile,
con l'accesso fisico ad un punto della rete e/o con l'utilizzo di particolari apparecchi, accedere alla rete e utilizzarla
senza esserne accreditati: nella pratica esistono innumerevoli metodi per realizzare questa intrusione a seconda
della rete che si vuole violare. Uno dei casi più celebri, oramai non più realizzabile, fu quello del poter fare
telefonate intercontinentali gratuite utilizzando da un qualsiasi punto della rete telefonica una blue box, un
apparecchio che, simulando i "toni" di servizio tra operatori di diversi paesi, consentiva l'apertura di canali non
previsti e quindi non soggetti a tariffazione; questa pratica rientra in quelle di hacking sulle reti telefoniche
conosciuta con il nome di phreaking. Tra i creatori famosi di blue box John Draper e Steve Wozniak, quest'ultimo
fondatore della Apple Computer con Steve Jobs
Reti Private Come il caso precedente, ma con un
bersaglio attaccato decisamente più ristretto, è
l'utilizzo non autorizzato di una rete di computer a
diffusione locale (LAN); questa pratica è sempre più
ricorrente, incentivata dalla rapida diffusione delle
reti wireless, che consentono cioè la connessione
alla rete senza alcun cavo sfruttando,
invece, antenne e onde elettromagnetiche.
Generalmente,
connettendosi
ad
una
rete wireless si ottiene la possibilità di accedere
gratuitamente
ad Internet sfruttando
la
connessione del proprietario della rete, ma in alcuni
casi si può ottenere anche l'accesso a dati riservati.
Chi rileva luoghi in cui sia possibile l'accesso senza
fili a reti locali, anche di tipo "domestico", pratica
il wardriving, di solito monitorando un determinato
territorio ed indicando la presenza di reti non
protette tramite warchalking.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 10
di 44
Accesso non autorizzato
Questo è il caso che viene maggiormente indicato in riferimento al termine hacking. Se una rete di computer è
accessibile dall'esterno, è possibile tentare di utilizzarla fingendosi un utente autorizzato a farlo; nella pratica, si
possono sfruttare delle falle di sicurezza dei metodi di controllo degli accessi alla rete oppure, se consentito, si
può entrare come un utente visitatore, con un numero limitato di possibilità, per poi modificare i propri privilegi
in quelli praticamente illimitati di amministratore. Spesso, per via degli ottimi risultati raggiungibili, si può
ricorrere anche al social engineering, tecnica che sfrutta uno dei punti vulnerabili della sicurezza di ogni sistema
informatico: l'utente (in italiano Ingegneria Sociale è lo studio del comportamento individuale di una persona al
fine di carpire informazioni utili) Questa pratica può violare le vie delle telecomunicazioni e la privacy.
Web server Defacing Pubblicazione di contenuti non autorizzati
Questo è un altro caso che ha contribuito a rendere celebre l'hacking, anche ai non esperti di informatica; come
nel caso precedente, è possibile tentare di utilizzare una macchina fingendosi un utente autorizzato a farlo: ma
attaccando questa volta un web server (un elaboratore in grado di fornire contenuti accessibili sul Web) si
possono alterare i contenuti memorizzati su di esso, tipicamente aggiungendo una semplice scritta del tipo " ... è
stato qui" o aggiungendo immagini o testi scarsamente educativi che poi vengono mostrati a chiunque tenti di
accedere al sito ospitato su tale server. Tale pratica è comunemente chiamata defacing e condotta da parte di
persone non autorizzate e all'insaputa di chi gestisce il sito, è illegale in tutti i paesi del mondo. Un sito che è stato
oggetto di questo tipo di deface vede sostituita la propria pagina principale, spesso insieme a tutte le pagine
interne, con una schermata che indica l'azione compiuta da uno o più cracker. Le motivazioni di tale atto
vandalico possono essere di vario tipo, dalla dimostrazione di abilità a ragioni ideologiche. Le tecniche utilizzate
per ottenere i permessi di accesso in scrittura al sito sfruttano solitamente i bug presenti nel software di gestione
del sito oppure nei sistemi operativi sottostanti; più raro il caso di utilizzo di tecniche di ingegneria sociale.
In Italia il defacing si traduce in tre tipi di reato grave previsti dal Codice Penale, quelli di accesso abusivo ad un
sistema informatico e di diffamazione:
Art. 615 Ter (Accesso abusivo ad un sistema telematico o informatico): "Chiunque abusivamente si introduca in un
sistema informatico o telematico protetto da misure di sicurezza ovvero vi si mantenga contro la volontà espressa o
tacita di chi ha il diritto di escluderlo è punito con la pena della reclusione fino a tre anni."
Art 635 bis (Danneggiamento di sistemi informatici e telematici): Chiunque distrugge, deteriora o rende, in tutto o in
parte, inservibili sistemi informatici o telematici altrui, ovvero programmi, informazioni o dati altrui, è punito, salvo
che il fatto costituisca più grave reato, con la reclusione da sei mesi a tre anni.
Se ricorre una o più delle circostanze di cui al secondo comma dell'articolo 635, ovvero se il fatto è commesso con
abuso della qualità di operatore del sistema, la pena è della reclusione da uno a quattro anni".
Art. 595 (Diffamazione): Chiunque comunicando con più persone, offende l‘altrui reputazione, è punito con la
reclusione fino ad un anno o con la multa sino a lire due milioni (circa 1032 €).
Se l’offesa consiste nell’attribuzione di un fatto determinato, la pena è della reclusione fino a due anni, ovvero
della multa fino a lire quattro milioni (circa 2065 €).Se l’offesa è arrecata col mezzo della stampa, o con qualsiasi
altro mezzo di pubblicità, ovvero in atto pubblico, la pena è della reclusione da sei mesi a tre anni o della multa
non inferiore a lire un milione (circa 516 €). Leggi più severe sarebbero in fase di studio.
Tipi di defacing
Truffa: un cracker cambia la pagina del sito in cui esiste il link per una immissione di una carta di credito o similari,
reindirizzandola verso una pagina personale allo scopo di carpire le informazioni che consentiranno, ad esempio,
il prelievo illegale di denaro. Propaganda: un hacker cambia in parte o tutto la pagina di un sito ideologicamente
avverso per screditarlo o denigrarlo. Controllo occulto: la polizia inserisce degli elementi di controllo, per sapere
quanti utenti accedono alla pagina del sito, per ottenere elementi utili alla loro identificazione e/o, talvolta,
scoraggiarli facendo apparire scritte intimidatorie o facendo cadere la connessione dopo alcuni tentativi.
Spamming: si inseriscono ben evidenti elementi pubblicitari, come dei link a siti commerciali. Ricatto:
minacciando di perpetrare ripetuti defacing, si tenta di ricattare i proprietari del sito a scopo di estorsione o altro.
Burla: soprattutto (ma non esclusivamente) da parte dei più giovani, si cambia la pagina inserendo frasi o richiami
infantili del tipo "pippo è stato qua" (vedi: lamer). Come avviso per far notare al webmaster che il sito è
vulnerabile ed è stato bucato.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 11
di 44
Ingegneria sociale per colpire l’anello debole della catena
E’ facile dimostrare che l'anello più debole è l'essere umano e non i codici e le macchine, o i sistemi hardware e
software che compongono il sistema. Infatti, le procedure di sicurezza più robuste limitano al minimo l'intervento
dell'uomo. L'esempio più comune che si può portare è l'uso all'interno delle banche di casseforti a tempo, le cui
chiavi non sono in dotazione al personale. Il principio su cui si basa tale metodo è che le persone interessate alla
decodifica del codice, sapendo l'inutilità dell'essere umano ai fini dell'operazione, eviteranno minacce e torture
contro di esse. Con l'evoluzione del software, l'uomo ha migliorato i programmi a tal punto che essi presentano
pochi bug (errori che i programmatori generalmente commettono quando creano un software). Per
un cracker sarebbe impossibile attaccare un sistema informatico in cui non riesce a trovare bug. Quando ciò
accade l'unico modo che il cracker ha per procurarsi le informazioni di cui necessita è quello di attuare un attacco
di ingegneria sociale. L'ingegneria sociale (dall'inglese social engineering) è lo studio del comportamento
individuale di una persona al fine di carpire informazioni utili. Questa tecnica è anche un metodo (improprio)
di crittanalisi quando è usata su una persona che conosce la chiave crittografica di un sistema e viene usata
anche dalla polizia. Similmente al cosiddetto metodo del tubo di gomma (il quale è però una forma di tortura)
può essere, secondo gli esperti, un modo sorprendentemente efficiente per ottenere la chiave, soprattutto se
comparato ad altri metodi crittanalitici. Un ingegnere sociale (social engineer) per definirsi tale deve saper
fingere, sapere ingannare gli altri, in una parola saper mentire. Un social engineer è molto bravo a nascondere la
propria identità, fingendosi un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe mai
ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare informazioni attinenti ad un sistema
informatico. Il social engineering è quindi una tecnica per ricavare informazioni molto usata dagli hacker esperti e
dalle spie, e dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la vittima, questa tecnica
è una delle più importanti per carpire informazioni. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare
tutto ciò che gli serve dalla vittima ignara.
Le fasi dell'attacco
Il social engineer comincia con il raccogliere informazioni sulla vittima per poi arrivare all'attacco vero e proprio.
Durante la prima fase (che può richiedere anche alcune settimane di analisi), l'ingegnere cercherà di ricavare tutte
le informazioni di cui necessita sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa fase,
detta footprinting, l'ingegnere passerà alla fase successiva, cioè quella che gli permetterà di verificare se le
informazioni che ha ricavato sono più o meno attendibili, anche telefonando all'azienda del bersaglio e chiedendo
cortesemente di parlare con la vittima. La fase più importante, quella che determinerà il successo dell'attacco, è
lo studio dello stile vocale della persona per la quale vuole spacciarsi (ad esempio cercando di evitare in tutti i
modi l'utilizzo di espressioni dialettali e cercando di essere quanto più naturale possibile, sempre utilizzando un
tono neutro e cortese). In questa fase l'attaccante avrà sempre vicino a sé i propri appunti con tutte le
informazioni raccolte nella fase di footprinting, dimostrandosi pertanto sicuro nel caso gli venisse posta qualche
domanda. Molto spesso il social engineering viene utilizzato per ricavare informazioni su privati (phishing). Un
esempio di azione di questo genere può essere una falsa e-mail, mandata da un aspirante ingegnere sociale
fingendosi magari un amministratore di sistema, o un membro di qualche grosso ente. Vengono richiesti al
malcapitato di turno nome utente e password di un suo account, ad esempio quello di posta elettronica, con la
scusa di fare dei controlli sul database dell'azienda. Se la vittima cade nel tranello, il social engineer avrà ottenuto
il suo obiettivo, ossia una breccia nel sistema della vittima, da cui potrà iniziare una fase di sperimentazione allo
scopo di violare il sistema stesso.
Tecniche alternative
Della tecnica appena descritta è stato un grosso esponente Kevin Mitnick durante le sue scorrerie informatiche.
Su questo tema Mitnick ha scritto un libro, L'arte dell'inganno. Altre tecniche descritte in questo libro sono:
rovistare nella spazzatura in cerca di foglietti con appuntate delle password, o comunque in cerca di recapiti
telefonici indirizzi, ecc; fare conoscenza con la vittima, fingendo di essere un incompetente informatico e
chiedendo lumi all'esperto; spacciarsi per un addetto della compagnia che vende i programmi utilizzati, dicendo
che è necessario installare una patch al sistema. In alcuni dei casi descritti, Mitnick afferma di aver avuto accesso
diretto alle macchine tramite l'amministratore, utilizzando una connessione ritenuta normalmente sicura come
quella SSH (Secure Shell).
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 12
di 44
Bug e backdoor
Non necessariamente create con intento doloso, possono rivelarsi seri pericoli per i
sistemi. Un esempio emblematico di bug è Heartbleed, bug di sicurezza che si trova
nella libreria crittografica open-source, OpenSSL, ampiamente utilizzata per
implementare il protocollo Transport Layer Security. Per dare un ordine di grandezza
della gravità di questo bug una versione corretta di OpenSSL è stata rilasciata il 7 aprile
2014, mentre la notizia della vulnerabilità veniva diffusa. Prima del 7 aprile si stima
che circa il 17%, ovvero mezzo milione di server web sicuri, certificati da autorità
fidate, siano stati vulnerabili all'attacco, permettendo il furto delle chiavi private del
server e delle password e cookie degli utenti. Il giorno della notizia il Tor Project ha
consigliato a chiunque cerchi forte anonimato o privacy di non utilizzare Internet per
alcuni giorni, finché la situazione non si sia ristabilita. La Free Software Foundation ha
fatto notare che è stato possibile individuare e correggere la vulnerabilità solo grazie
al fatto che OpenSSL è FOSS, ed ha dichiarato che il software libero è fondamentale
per garantire il corretto funzionamento dell'intera rete Internet. La presenza di tale
bug pur essendo emersa nel 2014, era stata già scoperta nel 2012 dalla NSA, la quale
avrebbe sfruttato tale falla per controllare criminali e terroristi. Oltre alle
comunicazioni software, anche la veicolazione hardware può aver subito l'influenza di
tale vulnerabilità, in particolar modo i router. Alcuni produttori hanno dichiarato che
alcuni hardware di loro produzione sono affetti da questo problema e potrebbe essere
necessario la loro sostituzione!!!
Categorie di malware
Nell'uso comune il termine virus viene utilizzato come sinonimo di malware e l'equivoco viene alimentato dal
fatto che gli antivirus permettono di rilevare e rimuovere anche altre categorie di software maligno oltre ai virus
propriamente detti. Si noti che un malware è caratterizzato dall'intento doloso del suo creatore, dunque non
rientrano nella definizione data i programmi contenenti bug, che costituiscono la normalità anche quando si sia
osservata la massima diligenza nello sviluppo di un software Si distinguono molte categorie di malware, anche se
spesso questi programmi sono composti di più parti interdipendenti e rientrano pertanto in più di una classe.
Vista inoltre la rapida evoluzione in questo campo, la classificazione presentata di seguito non è da ritenersi
esaustiva:
Virus: sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare sezione del disco
fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da uncomputer a un altro tramite
lo spostamento di file infetti ad opera degli utenti.
Worm: questi malware non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della
macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per
indurre gli utenti ad eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di
alcuni programmi per diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli, contengono
istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore. Non possiedono funzioni di auto-replicazione, quindi
per diffondersi devono essere consapevolmente inviati alla vittima. Il nome deriva dal famoso cavallo di Troia.
Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al sistema su
cui sono in esecuzione. Tipicamente si diffondono in abbinamento ad un trojan o ad un worm, oppure costituiscono una
forma di accesso lecita di emergenza ad un sistema, inserita per permettere ad esempio il recupero di una password
dimenticata.
Spyware: software che vengono usati per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un
destinatario interessato. Le informazioni carpite possono andare dalle abitudini di navigazione fino alle password e
alle chiavi crittografiche di un utente.
Dialer: questi programmi si occupano di gestire la connessione ad Internet tramite la normale linea telefonica. Sono
malware quando vengono utilizzati in modo illecito, modificando il numero telefonico chiamato dalla connessione predefinita
con uno a tariffazione speciale, allo scopo di trarne illecito profitto all'insaputa dell'utente.
Hijacker: questi programmi si appropriano di applicazioni di navigazione in rete (soprattutto browser) e causano l'apertura
automatica di pagine web indesiderate.
Rootkit: i rootkit solitamente sono composti da un driver e, a volte, da copie modificate di programmi normalmente presenti
nel sistema. I rootkit non sono dannosi in sé, ma hanno la funzione di nascondere, sia all'utente che a programmi tipo
antivirus, la presenza di particolari file o impostazioni del sistema. Vengono quindi utilizzati per mascherare spyware e trojan.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 13
di 44
Scareware: sono così chiamati quei programmi che ingannano l'utente facendogli credere di avere il proprio PC infetto, allo
scopo di fargli installare dei particolari malware, chiamati in gergo rogue antivirus, caratterizzati dal fatto di spacciarsi per
degli antivirus veri e propri, talvolta spacciati anche a pagamento.
Rabbit: i rabbit sono programmi che esauriscono le risorse del computer creando copie di sé stessi (in memoria o su disco)
a grande velocità.
Adware: programmi software che presentano all'utente messaggi pubblicitari durante l'uso, a fronte di un prezzo ridotto o
nullo. Possono causare danni quali rallentamenti del pc e rischi per la privacy in quanto comunicano le abitudini di
navigazione ad un server remoto.
Batch: i Batch sono i cosiddetti "virus amatoriali". Non sono sempre dei file pericolosi in quanto esistono molti file batch
tutt'altro che dannosi, il problema arriva quando un utente decide di crearne uno che esegua il comando di formattare il pc
(o altre cose dannose) dell'utente a cui viene mandato il file. Non si apre automaticamente, deve essere l'utente ad aprirlo,
perciò dato che l'antivirus non rileva i file Batch come pericolosi è sempre utile assicurarsi che la fonte che vi ha mandato il
file sia attendibile oppure aprirlo con blocco note per verificare o meno la sua pericolosità. Bisogna però anche dire che
esistono modi per camuffare i Batch e farli sembrare dei fileexe, aumentandone anche il peso per sedare ogni sospetto.
L'utilizzo di questo particolare "malware" è spesso ricorrente nel Cyberbullismo.
Keylogger: I Keylogger sono dei programmi in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e
incolla rendendo così possibile il furto di password o di dati che potrebbero interessare qualcun altro. La differenza con
gli Adware sta nel fatto che il computer non si accorge della presenza del keylogger e il programma non causa rallentamento
del pc, passando così totalmente inosservato. Generalmente i keylogger vengono installati sul computer dai trojan o
dai worm, in altri casi invece il keylogger viene installato sul computer da un'altra persona che può accedere al pc o
attraverso l'accesso remoto (che permette a una persona di controllare un altro pc dal suo stesso pc attraverso un
programma) oppure in prima persona, rubando così dati e password dell'utente.
Rogue antispyware: malware che si finge un programma per la sicurezza del PC, spingendo gli utenti ad acquistare una
licenza del programma.
Bomba logica: è un tipo di malware che "esplode" ovvero fa sentire i suoi effetti maligni al verificarsi di determinate
condizioni o stati del PC fissati dal cracker stesso.
Zip Bomb è un file che si presenta come un file compresso. Deve essere l'utente ad eseguirlo. All'apparenza sembra un
innocuo file da pochi Kilobyte ma, appena aperto, si espande fino a diventare un file di circa quattro Petabyte, occupando
quindi tutto lo spazio su disco rigido.
Grayware
Grayware è la definizione generica che si riferisce alle applicazioni che presentano un comportamento molesto,
indesiderabile o nascosto. Le applicazioni grayware non rientrano in nessuna delle categorie delle principali
minacce (virus o cavalli di Troia) poiché sono soggette alla funzionalità del sistema e costituiscono oggetto di
dibattito tra gli utenti. Alcuni elementi nella categoria del grayware sono stati collegati ad attività dannose,
mentre altri vengono utilizzati per fornire agli utenti informazioni mirate relative ad annunci sui prodotti. Per le
aziende che si occupano di informazioni sensibili, le funzionalità di raccolta dati di qualsiasi tipo di applicazione
dovrebbero suscitare preoccupazione.
Hardware, grazie a chip con trojan integrati
Hardware Trojan Fra il 2009 e il 2010 l'esercito statunitense ne scoprì oltre un milione. Nello scorso autunno un
gruppo di ricercatori di sicurezza di Stati Uniti ed Europa aveva dimostrato che i circuiti integrati utilizzati nei PC,
nelle attrezzature militari e in altri sistemi critici possono essere alterati durante il processo produttivo mediante
cambiamenti quasi impercettibili nei transistor dei circuiti logici. Al momento non ci sono controlli sui processi
produttivi che si svolgono su chip, schede e circuiti, quasi sempre realizzati fuori dagli Stati Uniti.
Attività criminose legate ai malware
La legislazione relativa ai malware è estremamente variabile a seconda delle nazioni ed è in continua evoluzione.
In generale se i virus, i worm e i trojan sono illegali in quasi ogni parte del mondo non si può dire lo stesso per le
altre categorie. I dialer in particolare sono di per sé legali, tanto che ogni sistema operativo moderno ne contiene
almeno uno. L'ambiguità è peggiorata dal fatto che molti software si situano sul limite che separa un vero e
proprio malware da un programma forse fastidioso ma non dannoso. Attualmente i malware (in
particolare trojan, worm, spyware e malware) vengono utilizzati per inviare grandi quantità di file non richiesti
dall'utente; quest'ultimi vengono solitamente venduti agli spammer. Esiste un vero e proprio mercato nero
legato ai malware: oltre alla compravendita di dati personali, è possibile acquistare l'utilizzo di computer infetti,
cioè la possibilità di impiegare, per i propri fini e a insaputa dei legittimi proprietari, una certa quantità
(nell'ordine delle migliaia) di computer controllati da remoto tramite una backdoor.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 14
di 44
Le frodi informatiche
Esistono differenti tipologie di frodi informatiche. In generale, si
tratta di intercettare dati sensibili, utilizzandoli in seguito per
scopi malevoli. Le frodi elettroniche sono cresciute in modo più
che sensibile soprattutto con lo sviluppo dell’e-commerce, e con
l'affinarsi dell'ingegneria sociale, cioè lo studio del
comportamento individuale di una persona al fine di carpirne
informazioni. Nelle mire dei delinquenti informatici vi è infatti
l'accesso ad informazioni personali o riservate con finalità
di furto, sia in termini di denaro, che d'identità; tra i meccanismi
utilizzati, lo spamming ed il phishing. In Italia, la frode
informatica costituisce reato a tutti gli effetti, con fattispecie e
pene differenti da quelle della truffa classica; l'istituzione è stata
introdotta dalla legge n. 547/1993 e disciplinata dall’art. 640 ter
del c.p.i.. Le frodi elettroniche presuppongono anche l'utilizzo
del POS, un apparato elettronico di trasmissione dati che collega i
singoli esercenti con la società emettitrice, e consistono proprio nell'abuso di alcune sue specifiche proprietà,
come la capacità di leggere, memorizzare e trasmettere i dati delle carte di credito (e dei titolari) contenute nella
banda magnetica. Esistono due specifiche operazioni illegali eseguite in presenza di un POS: intercettazione dei
dati, mediante apparati elettronici (vampiri o sniffer), durante l'operazione di trasmissione degli stessi per
l'autorizzazione all'acquisto.
L'intercettazione è finalizzata a reperire dati di carte utilizzabili per ricodificare le bande di carte rubate o false.
Viene realizzata mediante un computer e appositi collegamenti che catturano i dati in uscita dal POS
dell'esercente (con la sua complicità o sua insaputa); dirottamento dei dati, durante la loro trasmissione per
l'accredito. Il dirottamento presuppone la cattura, da parte di un computer collegato alla linea telefonica, dei dati
riguardanti lo scarico del logo e la falsificazione delle coordinate di accredito del negoziante, per dirottare gli
importi su un altro conto controllato dall'autore del crimine).
La frode informatica costituisce reato con fattispecie e pene distinte da quello di truffa, di recente istituzione,
introdotta dalla legge n. 547/1993 e disciplinata dall’art. 640 ter del c.p. Il delitto di frode informatica è commesso
da "chiunque", alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o
intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema
informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno. Le
condotte fraudolenti poste in essere attraverso tale reato sono tre:
la prima consiste nell’alterazione del funzionamento del sistema informatico o telematico, ossia in una
modifica del regolare svolgimento di un processo di elaborazione o di trasmissione dati; l’alterazione
provoca i suoi effetti materiali sul sistema informatico o telematico.
la seconda coincide con l’intervento, senza diritto, con qualsiasi modalità, su dati, informazioni o
programmi contenuti nel sistema, e pertanto ogni forma di interferenza diversa dall’alterazione del
funzionamento del sistema. L’intervento senza diritto ha per oggetto i dati, le informazioni o i programmi.
Solitamente questa seconda condotta rappresenta la modalità attraverso cui viene realizzata l'alterazione
del sistema informatico.
intervento sulle informazioni, ovvero sulle correlazioni fra i dati contenuti in un elaboratore o in un
sistema.
L’alterazione può cadere sia sul programma, facendo compiere al computer operazioni in modo diverso da quelle
programmate (ad esempio cambiando la funzione dei tasti di addizione e/o di sottrazione), così come può avere
ad oggetto le informazioni contenute nel sistema informatico.
Nella storia dell'informatica, e più specificamente in quella di Internet, è capitato che gli autori di questo genere di
frode venissero assunti da parte delle stesse società alle quali avevano arrecato danno, allo scopo di usare le
conoscenze del trasgressore per migliorare i sistemi di sicurezza interni dell'azienda. Non è definibile hacker chi si
introduce in un sistema per danneggiarlo o per provocare il mal funzionamento con l'intenzione di trarne un
ingiusto profitto, poiché tale tipologia di comportamento è in netto contrasto con la filosofia dell'hacking. Nel
caso di acquisti o operazioni attraverso la rete Internet, le truffe possibili sono effettuate dai cosiddetti “pirati
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 15
di 44
informatici”(coloro che acquistano i numeri della carta attraverso un’intrusione telematica). Una delle prime frodi
informatiche è stata la sottrazione di fondi attuata con la cd. "tecnica del salame" (sottrazione di piccole somme
da un'enorme quantita' di importi accreditati altrove. Di solito le vittime non si accorgono che mancano piccoli
importi e comunque non si preoccupano) Il bersaglio ideale era una banca perché movimenta migliaia di conti al
giorno. Questa frode avveniva agendo sugli arrotondamenti che quotidianamente venivano operati su ogni
movimento di fondi.
La frode elettronica nelle aste on-line
Le frodi elettroniche sono cresciute in modo più che sensibile negli ultimi dieci anni, soprattutto con lo sviluppo
dell’e-commerce in particolare nella forma C2C consumer to consumer (ad esempio nelle aste on-line). Le aste
on-line rappresentano oggi il più diffuso sistema di e-commerce ma, d’altra parte, appaiono strutturalmente
sensibili a possibili frodi elettroniche dal momento che ogni operazione si svolge a rischio e pericolo delle parti in
un clima di reciproca fiducia a priori ed è per questo motivo che la maggior parte dei siti di aste on-line richiede
per cautela una iscrizione che è generalmente gratutita.
Prendendo come esempio eBay (uno dei più importanti siti di e-commerce fondato da Pierre Omidyar nel 1995)
appare evidente come sia ovviamente preoccupazione del sito riuscire a fornire garanzie di sicurezza per le
transazioni commerciali cercando di sostenere sia il venditore che l’acquirente. Tra le precauzioni possibili
innanzitutto il sistema di feedback rappresenta una forma di auto-garanzia tra gli utenti anche se più volte si è
dimostrato un sistema di sicurezza poco attendibile e facilmente ‘attaccabile’: proprio per questo e-Bay propone,
oltre a guide a sostegno dell’utente che lo mettono in guardia dalle possibili frodi, anche un sistema di rimborso
(fino a 500 €) per le transazioni effettuate con metodi di pagamento rintracciabili (come ad esempio PayPal). È
infatti pratica comune di ogni sito mettere in evidenza i metodi di pagamento ritenuti più sicuri: ad esempio eBay, oltre al già citato PayPal tende a privilegiare quei metodi in cui resta la prova della transazione (ad esempio il
Bonifico bancario o postale online) a discapito di alcuni metodi che appaiono vivamente sconsigliati (Western
Union, Moneygram).
Tra i tentativi di frode a danno degli acquirenti più frequenti nelle aste on-line si ricorda:
richiesta di pagamento tramite metodo non nominativo
vendita di oggetti contraffatti/falsi.
invito a concludere la transazione al di fuori di eBay
invito a comprare "oggetti simili" a prezzi più convenienti
falsa comunicazione di eBay o PayPal
In linea di massima per fronteggiare il rischio di frode è opportuno attenersi ad una serie di accorgimenti pratici
da intraprendere durante un acquisto on-line: non diffidare di usare carte di credito in rete ma rivolgersi
esclusivamente a negozi riconosciuti per qualità del servizio offerto. leggere sempre le clausole
vessatorie accertarsi delle modalità di sicurezza nelle transazioni (sistemi crittografici) accertarsi delle modalità di
consegna e deldiritto di recesso non usare e-mail personale per trasmettere i dati della carta di credito ma usare
le form web appositamente preposte controllare la presenza di certificati rilasciati da agenzie specializzate che
accertano il grado di sicurezza.
Un esempio di frode elettronica: Il Phishing
È in aumento esponenziale la truffa on line, nata in Spagna e Portogallo, chiamata "phishing". Si tratta di una
nuova forma di spamming, che potrebbe avere come conseguenza il furto del numero di carta di credito o di
password, informazioni relative a un account o altre informazioni personali. Tale truffa solitamente ha come
campo di azione le banche e l’e-commerce. Che cos'è il phishing? è un tipo di frode ideato allo scopo di rubare
l'identità di un utente. Quando viene attuato, una persona malintenzionata cerca di appropriarsi di informazioni
quali numeri di carta di credito, password, informazioni relative ad account o altre informazioni personali
convincendo l'utente a fornirgliele con falsi pretesti. Il phishing viene generalmente attuato tramite posta
indesiderata o finestre a comparsa. Come funziona il phishing? viene messo in atto da un utente malintenzionato
che invia milioni di false e-mail che sembrano provenire da siti Web noti o fidati come il sito della propria banca o
della società di emissione della carta di credito. Arriva dunque nella propria casella di posta elettronica un'e-mail
che sembra provenire dalla banca e vi dice che c'è un imprecisato problema al sistema di "home banking". Vi
invita pertanto ad aprire la home page della banca con cui avete il conto corrente gestito via web e di cliccare sul
link indicato nella mail. Subito dopo aver cliccato sul link vi si apre una finestra (pop-up) su cui digitare la "user-id"
e la "password" di accesso all'home bancking. Dopo pochi secondi, in generale, appare un altro pop-up che vi
informa che per assenza di collegamento non è possibile la connessione. I messaggi di posta elettronica e i siti
Web in cui l'utente viene spesso indirizzato per loro tramite sembrano sufficientemente ufficiali da trarre in
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 16 di 44
inganno molte persone sulla loro autenticità. Ritenendo queste e-mail attendibili, gli utenti troppo spesso
rispondono ingenuamente a richieste di numeri di carta di credito, password, informazioni su account ed altre
informazioni personali. Queste imitazioni sono spesso chiamate siti Web "spoofed". Una volta all'interno di uno di
questi siti falsificati, è possibile immettere involontariamente informazioni ancora più personali che verranno poi
trasmesse direttamente all'autore del sito che le utilizzerà per acquistare prodotti, richiedere una nuova carta di
credito o sottrarre l'identità dell'utente.
Phishing Come comportarsi?
Gli istituti bancari e le aziende serie non richiedono mai password, numeri di carte di credito o altre
informazioni personali in un messaggio di posta elettronica. L'unica circostanza in cui viene richiesto il
numero della vostra carta di credito è nel corso di un acquisto on line che avete voi deciso di fare.
Non bisogna rispondere mai a richieste di informazioni personali (pin, password, ecc), anche se
provenienti dal vostro istituto di credito, ricevute tramite posta elettronica. Nel dubbio, telefonare
all'istituto che dichiara di avervi inviato l'e-mail chiedendo una conferma.
È possibile segnalare il sospetto di abuso anche via e mail. Molte banche ed aziende dispongono infatti
anche di un indirizzo di posta elettronica specifico per denunciare questo tipo di illeciti. Per essere sicuri
di accedere ad un sito web "reale" di un istituto bancario è indispensabile digitare il rispettivo URL nella
barra degli indirizzi, diffidando di link ricevuti via e-mail.
È fondamentale esaminare regolarmente i rendiconti bancari e della carta di credito e in caso di spese o
movimenti bancari non riconosciuti informare immediatamente telefonicamente il proprio istituto
bancario o la società emittente della propria carta di credito.
In caso di sospetto di uso illecito delle proprie informazioni personali per operazioni di phishing occorre
informare immediatamente la Polizia Postale e delle Comunicazioni.
Addure pretesti - Pretexting
Fra i vari raggiri il pretexting (addurre pretesti) funziona in modo simile al Phishing, ma tramite un mezzo
differente come il telefono, intervista o altro ma sempre utilizzando le tecniche tipiche del social engineering . Il
criminale si presenta come addetto di un’azienda legittima per indurti, con menzogne piuttosto elaborate, a
fornire informazioni personali e riservate. Potrebbe presentarsi come un dipendente del tuo istituto di credito, di
un ufficio pubblico, di una compagnia telefonica o di un’emittente televisiva a pagamento e dirti che esiste un
problema con il tuo account che può essere risolto solo se confermi le tue informazioni anagrafiche, il tuo codice
fiscale, le credenziali di accesso e altri dati simili. Il tono della telefonata può essere dei più disparati: da quello
conciliante a quello ansioso, passando per toni rigidi, distaccati o particolarmente accesi. Fa parte del gioco. In
caso di telefonate di questo tipo riaggancia senza fornire alcuna informazione e, se proprio vuoi toglierti il dubbio,
contatta direttamente l’azienda presunta mittente della precedente
telefonata per accertare eventuali problemi con il tuo account.
La polizia postale e delle comunicazioni
Detta anche polizia postale in quanto gli uffici territoriali hanno mantenuto
tale dizione, è una delle specialità della Polizia di Stato Con il Decreto
interministeriale del 19 gennaio 1999 il servizio polizia postale e delle
comunicazioni, viene indicato quale organo centrale del Ministero dell'Interno
per la sua sicurezza e la regolarità dei servizi delle telecomunicazioni:
Il servizio polizia postale e delle comunicazioni, con sede a Roma,
coordina l'attività dei 20 compartimenti di polizia postale, localizzati
in tutti i capoluoghi di regione (ad esempio Milano, Firenze, Napoli,
ecc.), ad esclusione della Valle d'Aosta, che rientra nelle competenze
del Compartimento di Torino. La Regione Siciliana, invece, data la
vastità del territorio e del numero di province, è suddivisa in due
Compartimenti aventi rispettivamente sede a Palermo (Sicilia
Occidentale) e a Catania (Sicilia Orientale) .
I compartimenti hanno competenza regionale, e coordinano a loro volta le rispettive Sezioni all'interno
del proprio territorio di competenza.
Le sezioni di polizia postale sono in totale 76 ed hanno competenza provinciale.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 17
di 44
Compiti e competenze La polizia postale e delle comunicazioni è dunque il reparto specializzato per tutte quelle
attività di controllo/repressione degli illeciti penali ed amministrativi rientranti nella vasta e complessa materia
delle comunicazioni, incluse (ed in primis ovviamente) le attività illecite perpetrate per mezzo della rete internet.
Tale reparto, oltre ad operare in stretta collaborazione con l'Autorità garante delle comunicazioni ed il Ministero
delle comunicazioni, ha stipulato accordi con enti come Poste italiane, Abi, Grtn, Ferrovie dello Stato. La polizia
postale e delle comunicazioni compie alte investigazioni di polizia giudiziaria, in via generale per tutti quei reati
correlati al computer-crime/cybercrime/ingegneria sociale, e per tutte le fattispecie criminali che sono poste in
essere con l'ausilio dei più recenti strumenti tecnologici/informatici, e/o che mirano a creare danno a quest'ultimi.
L'attività di polizia giudiziaria, pur non essendo esclusivamente di web-intelligence, a titolo esemplificativo e non
esaustivo tratta reati (anche a mezzo monitoraggio chat-line,newsgroup, social network, ecc), in materia di:
hacking (intrusioni, danneggiamenti informatici), telefonia (fissa, cellulare, voip), privacy, illeciti postali, diritto
d'autore/copyright (video, musica, pay-tv), pedofilia on-line, e-commerce, vigilanza sulle frequenze radio
televisive, truffe, riciclaggio, frodi con carte di credito o carte di debito, frodi legate all'home banking, eversione
politica, terrorismo, stupefacenti, armi ed esplosivi, prostituzione, ovvero tutte le fattispecie di reato tradizionali
che hanno come fine o strumento per la loro realizzazione il mezzo informatico. Determinazione in materia di alta
competenza nell'ambito dei reati aventi sfondo tecnologico/informatico/telecomunicazioni, è dettata con
Decreto del Ministro dell'Interno datato 28 aprile 2006, pubblicato in G.U. 193 del 20 agosto 2006 avente titolo
"Riassetto dei comparti di specialità delle Forze di polizia"; in tal senso è determinato che: "il Servizio polizia
postale e delle comunicazioni della Polizia di Stato nell'ambito dei propri compiti istituzionali svolge attività di
intelligence per la prevenzione ed il contrasto dell'utilizzo e della contraffazione di mezzi di pagamento, settore
che ha immediati riflessi sul commercio elettronico e nel quale l'attenzione investigativa del comparto di
specialità è incentrata sulle tecnologie software o hardware impiegate per carpire, riprodurre e utilizzare identità,
codici e carte di pagamento in transazioni elettroniche.
La Polizia postale e delle comunicazioni è, altresì, impegnata in attività di investigazione per la prevenzione ed il
Contrasto alle violazioni sul diritto d'autore, settore in cui è particolarmente evidente la contiguità dell'azione
investigativa con le competenze di altre Forze di polizia ed in particolare con quelle rimesse alla Guardia di finanza
dall'art. 2, comma 2, lettera l) del decreto legislativo n. 68 del 2001, le quali possono svolgersi anche attraverso il
monitoraggio di internet per individuare le violazioni commesse attraverso la rete. In presenza di aree di
contiguità nell'ambito di fenomeni di natura inevitabilmente complessa occorre prevedere, come criterio
generale di riparto delle rispettive funzioni, che la Forza di polizia competente ad intervenire vada individuata
avuto riguardo alla natura del fatto e dei reati, o delle violazioni amministrative ad esso ricollegabili, che si
intendono prevenire o contrastare. In relazione a ciò, si dispone che sia rimesso alla competenza primaria della
Polizia di Stato garantire, in via generale, l'integrità e la funzionalità della rete informatica, ivi compresa la
protezione delle infrastrutture critiche informatizzate, la prevenzione ed il contrasto degli attacchi di livello
informatico alle strutture di livello strategico per il Paese, nonché la sicurezza e regolarità dei servizi di
telecomunicazione e il contrasto della pedopornografia on line, anche in relazione a quanto previsto dall'art. 7bis del decreto-legge 27 luglio 2005, n. 144, convertito, con modificazioni, dalla legge 31 luglio 2005, n. 155, dove
sono previsti anche i compiti del Centro nazionale anticrimine informatico per la protezione delle infrastrutture
critiche, e dall'art. 19 della legge 6 febbraio 2006, n. 38.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 18
di 44
Glossario
Software malevoli
A
Advanced System Protector
Adware
AIDS (MS-DOS)
Ambulance
Autoreplicazione
B
Backdoor
Bagle
Blaster
Bomba a decompressione
Bootkit
Brontok
Buffer overflow
C
Cabir
(c)Brain
Code Red (virus)
Conficker
Cross Application Scripting
CryptoLocker
D
Dark Avenger
Denial of service
Dialer
DNSChanger
Dropper
E
Elk Cloner
Exploit
ExploreZip
F
Firesheep
H
Happy99
I
ILOVEYOU
J
Jerusalem (virus informatico)
K
Keylogger
Koobface
L
Lamer Exterminator
Lista di trojan
M
Macrovirus
Malware
Melissa (informatica)
Metasploit Project
Michelangelo (virus)
Morris worm
Mpack
Murofet
N
Netsky (worm)
P
Payload (malware)
Phishing
Pikachu (virus)
Ping-Pong (virus)
Q
QH.EXE
R
Rabbit
Rogue antispyware
Rogueware
S
SASSER
Scareware
Shatin.com (MS-DOS)
Sniffing
Sober (virus)
Spyware
SQL Slammer
Stoned (MS-DOS)
Stuxnet
Sub7
T
Techno (MS-DOS)
Trojan
U
Ultrasurf
V
Virtumonde
Virus (informatica)
Virus Bulletin
Virus polimorfo
Virus symbian
Virus writer
W
Whaling
Wmmp.exe
Worm
Z
ZeroAccess
Zeus (software)
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 19
di 44
Tecniche di attacco informatico
0
0-day
A
ACK scan
Amplification attack
Arbitrary code execution
ARP poisoning
Attacco a dizionario
Attacco ai database
Attacco di Davies
Attacco man in the middle
B
Back Orifice
Backdoor
Bluejacking
Bluesnarfing
Bomba logica
Botnet
Browser Helper Object
Bufala (burla)
Buffer overflow
C
Calcolo parassita
Catena di sant'Antonio
Classer
Clickjacking
Computer zombie
Cracking (informatica)
Cross Application Scripting
Cross-site request forgery
Cross-site scripting
D
Decoy scan
Defacing
Denial of service
Dll injection
DNS Amplification Attack
DNS cache poisoning
DNS Spoofing
E
Exploit
F
Fast Flux
FIN scan
Flood (informatica)
Fork bomb
Format string attack
G
Guerra cibernetica
Guerra informatica
H
Heap overflow
Heartbleed
Hijacking
I
Idle scan
Ingegneria sociale
IP protocol scan
IP spoofing
J
Jamming
K
Keylogger
L
LOIC
M
MAC flooding
MAC spoofing
Mailbombing
Metasploit Project
Metodo forza bruta
N
Nmap
NULL scan
P
Pharming
Phishing
Ping flood
Ping of Death
Port scanning
Port stealing
Privilege escalation
Pretexting
R
Reflection attack
Replay attack
Rogue access point
S
Scam
Script kiddie
Shellcode
Shoulder surfing
Slowloris
Snarfing
Sniffing
Spam
Spambot
Spim
Spoofing
SQL injection
SYN flood
SYN scan
T
Tabella arcobaleno
Tabnabbing
TCP connect scan
Thiefing
Trojan
Truffa alla nigeriana
Truffa di Valentin
Truffa DSEO
U
UDP scan
Ultrasurf
V
Virus (informatica)
Vishing
W
Wardialing
Wardriving
Whaling
WinNuke
X
XMAS scan
Z
Zeus (software)
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 20
di 44
Tecniche di difesa informatica
A
Access token
Accountability
Anomaly based intrusion
detection system
Anonimato
Antivirus
Application-level gateway
Architettura di reti sicure
L'arte dell'inganno
L'arte dell'intrusione
ASLR
Audit (informatica)
Autenticazione
B
Backup
BitLocker Drive Encryption
C
Capability
CAPTCHA
Carta d'identità elettronica
italiana
CCleaner
Centro nazionale anticrimine
informatico per la protezione
delle infrastrutture critiche
Certificate authority
Certificate revocation list
Certificato digitale
Checksum
Chroot
Clickjacking
Confidenzialità
Contactless smartcard
D
Data mining e sicurezza
Demilitarized zone
Dependability
Digital Signature Algorithm
Direct Anonymous Attestation
Disaster prevention
Disaster recovery
Dll injection
Documento programmatico
sulla sicurezza
E
Extensible Authentication
Protocol
F
False acceptance rate
FileVault
Filtro bayesiano
Fingerprint
Firma digitale
Firma elettronica
G
Gestione della continuità
operativa
GnuTLS
Greylisting
H
Hardening
Hash
Hengzhi chip
Honeypot
Host-based intrusion detection
system
I
Identity management
Identità digitale
Integrità dei dati
Internet Security Policy
Intrusion Countermeasures
Electronics
Intrusion detection system
Intrusion prevention system
IS auditing
ISO/IEC 27001
IT Baseline Protection Manual
J
Jingjing e Chacha
K
Key server
L
Lista di controllo degli accessi
Login
M
Metodo Gutmann
Metodologia Octave
Microsoft Strider
Modello Bell-LaPadula
Modello Biba
Modello Brewer e Nash
Modello Clark-Wilson
MS-CHAP
MS-CHAPv2
N
Negazione plausibile
Netcraft
Network intrusion detection
system
Network tap
Next-Generation Secure
Computing Base
Nmap
O
One-time password
OpenID
OpenSSL
OSSIM
P
Password authentication
protocol
Penetration Test
Piano di contingenza
Port knocking
Privoxy
Procedura GIANOS
Protezione del database
Protocollo AAA
Protocollo Kerberos
R
RADIUS
Recovery Point Objective
Recovery Time Objective
Restore
Risk Assessment
S
S/KEY
SANS
Security descriptor
Security Management
Security Operation Center
Sicurezza tramite segretezza
Signature based intrusion
detection system
Single sign-on
Sistema di riconoscimento
biometrico
Social Network Poisoning
Spam
Spim
Stamping Authority
Standard di sicurezza
informatica
Strong authentication
T
TACACS
Tecniche euristiche
The Hidden Wiki
Tiger team
Token (sicurezza)
Tolleranza ai guasti
Tor (software)
Triple Modular Redundancy
TruPrevent Technologies
Trusted computing
Trusted Platform Module
V
Vulnerability Assessment and
Mitigation
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 21
di 44
ESAME ECDL IT SECURITY - SPECIALISED LEVEL
Perché sostenere questo esame? Per certificare la capacità di individuare e comprendere i concetti principali alla
base di un uso sicuro della Tecnologia dell'Informazione e Comunicazione (ICT). Possedere le competenze per
proteggere i propri dati e quelli dell'organizzazione per la quale lavorano. I concetti e le competenze fondamentali
per comprendere l’uso sicuro dell’ICT nelle attività quotidiane e per utilizzare tecniche e applicazioni rilevanti che
consentono di gestire una connessione di rete sicura, usare Internet in modo sicuro e senza rischi e gestire in
modo adeguato dati e informazioni.
Al superamento della prova d'esame, il candidato sarà in grado di:
Comprendere i concetti fondamentali relativi all’importanza di rendere sicure informazioni e dati, di
assicurare protezione fisica e privacy, e di difendersi dal furto di identità;
Proteggere un computer, un dispositivo o una rete da malware e da accessi non autorizzati;
Comprendere i tipi di reti, i tipi di connessioni e le problematiche specifiche alle reti, firewall inclusi;
Navigare nel World Wide Web e comunicare in modo sicuro su Internet;
Comprendere i problemi di sicurezza associati alle comunicazioni, inclusa la posta elettronica e la
messaggistica istantanea;
Effettuare copie di sicurezza e ripristinare i dati in modo corretto e sicuro, ed eliminare dati e dispositivi in
modo sicuro.
Minacce ai dati
1.1.1 Distinguere tra dati e informazioni.
I dati sono numeri o altro (immagini, testo, ecc...) che rappresentano fatti o eventi non ancora organizzati. Le
informazioni sono dati organizzati in modo da essere comprensibili e significativi per l’utente e quindi è ciò che,
per un osservatore o un recettore posto in una situazione in cui si hanno almeno due occorrenze possibili, supera
un'incertezza e risolve un'alternativa, cioè sostituisce il noto all'ignoto, il certo all'incerto. In altre parole essa
riguarda il contesto in cui i dati sono raccolti, la loro codifica in forma intelligibile ed in definitiva il significato
attribuito a tali dati.
1.1.2 Comprendere il termine crimine informatico.
Un crimine informatico è un crimine attuato per mezzo dell'abuso degli strumenti informatici, come computer e
internet. Esempi di crimine informatico sono la frode informatica, il furto d'identità o l'accesso non autorizzato a
sistemi informatici.
1.1.3 Comprendere la differenza tra hacking, cracking e hacking etico.
Si intende per hacking l'insieme dei metodi, delle tecniche e delle operazioni volte a conoscere, accedere e
modificare un sistema hardware o software. Colui che pratica l'hacking viene identificato come hacker. Quando lo
scopo principale dell'hacker è quello di utilizzare il sistema informatico a cui ha avuto accesso a proprio vantaggio
per rubarne i dati o danneggiarlo, si parla di cracking. Colui che pratica il cracking viene identificato come cracker.
Per hacking etico si intende l'utilizzo delle tecniche di hacking per monitorare la sicurezza dei sistemi e delle reti
informatiche al fine di evitare l'abuso da parte di malintenzionati. Colui che pratica l'hacking etico viene
identificato come hacker etico, o anche white hat (cappello bianco) in opposizione al termine black hat, che
identifica un cracker.
Etica Hacker Un white hat crede che la rete internet sia un grande mezzo per permettere la comunicazione di
notizie in tutto il mondo da parte di tutti, e quindi s'impegna nella difesa d'integrità di questo strumento. Di solito
un hacker "white hat" si concentra sulla sicurezza dei sistemi informatici, operando per la loro protezione, al
contrario di un black hat o cracker. L'hacker "white hat" rispetta i sistemi, e desidera conoscerli a fondo per
renderli migliori. Steven Levy dice dell'hacker: « L'hacker pratica l'esplorazione intellettuale a ruota libera delle
più alte e profonde potenzialità dei sistemi di computer, o la decisione di rendere l'accesso alle informazioni
quanto più libera e aperta possibile. Ciò implica la sentita convinzione che nei computer si possa ritrovare la
bellezza, che la forma estetica di un programma perfetto possa liberare mente e spirito »
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 22
di 44
White e black hat a confront Capita spesso che un white hat irrompa in un computer di un black hat per
investigare. La differenza tra i black hat e i white hat non consiste in questo, ma nella loro ideologia altruistica. In
poche parole i white hat hanno finalità positive, al contrario dei black hat. Questo termine è inoltre utilizzato per
indicare chi irrompe in un sistema o in un network per allertare il proprietario di un baco o per altre attività
positive. Molte di queste persone sono spesso assunte da società che trattano di sicurezza informatica, e vengono
chiamate sneaker, a gruppi invece tiger team. Il white hat si presta dunque al rispetto dell'etica hacker. Come
i black hat, i white hat sono spesso esperti nei dettagli dei sistemi informatici, e possono elaborare il codice per
trovare soluzione ad un problema piuttosto difficoltoso. Gli strumenti e le tecniche utilizzate sono tipicamente gli
stessi impiegati dagli attaccanti, ma vengono applicati cum grano salis, senza mettere a rischio l'integrità dei dati,
la continuità del servizio e viene inoltre garantita la riservatezza delle informazioni cui viene ottenuto accesso che,
sovente, si rivelano particolarmente sensibili e preziose. Vengono poi fornite le indicazioni da seguire per
migliorare lo stato di sicurezza, relativamente alle exposures individuate. Recentemente white e black hat sono
termini applicati al settore della ottimizzazione nei motori di ricerca (Search engine optimization, SEO). La tattica
dei black hat, altrimenti chiamata spamdexing, tenta di dirottare i risultati verso un'unica pagina, mentre i
metodi dei white hat sono generalmente approvati dai motori di ricerca.
1.1.4 Minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto.
I dati possono essere minacciati non solo da persone, ma anche da eventi naturali come incendi, inondazioni,
terremoti, o artificiali come la guerra o il vandalismo. È pertanto necessario tenerne conto per prevenirne la
perdita.
1.1.5 Riconoscere le minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne.
I vari casi l'origine della perdita di dati può dipendere anche da altri fattori, più o meno volontari, come gli stessi
dipendenti di un'azienda che, essendo autorizzati all'accesso ai dati, possono involontariamente perderli o anche
rubarli per poi rivenderli. Anche i fornitori di servizi, pensiamo a chi manutiene le attrezzature hardware o
l'infrastruttura di rete, potenzialmente sono in grado di danneggiare involontariamente i dati oppure di
prenderne illegalmente possesso. Infine può capitare che persone esterne, clienti e fornitori o semplici ospiti,
possano accedere alla rete aziendale o scolastica tramite computer o altri dispositivi portatili, ad esempio tramite
il wifi, e mettere a rischioi dati.
Valore delle informazioni
1.2.1 Proteggere le informazioni personali per evitare il furto di identità o le frodi.
E’ fondamentale proteggere le proprie informazioni personali, se qualcuno entra in possesso di dati riservati,
come le credenziali di accesso alla posta elettronica o a una rete sociale, ne può fare un uso illegale facendo
ricadere la colpa su di noi; così, se un malintenzionato entra in possesso del numero di carta di credito o dei dati
di accesso a un servizio di internet banking, li può utilizzare a proprio vantaggio.
1.2.2 Proteggere informazioni commercialmente sensibili, quali prevenzione di furti, uso improprio
dei dati dei clienti o di informazioni finanziarie.
Per un'azienda che tratta dati di clienti o informazioni di carattere finanziario, è per certi aspetti ancora più
essenziale proteggere queste informazioni, in quanto se venissero utilizzate illegalmente la società che li deteneva
ne sarebbe responsabile.
1.2.3 Identificare le misure per prevenire accessi non autorizzati ai dati, quali cifratura, password.
Per proteggere i dati riservati, propri o altrui, è essenziale proteggerli con determinate tecniche per mezzo delle
quali, anche se finissero nelle mani di malintenzionati (per esempio se immagazzinati su dispositivi mobili che
possono più facilmente essere rubati), non potrebbero essere utilizzati. La prima cosa da fare è proteggere con
password robuste i dispositivi che permettono l'accesso ai dati. La seconda è quella di cifrare, attraverso un
opportuno algoritmo crittografico, i dati stessi. Ciò è necessario perché la password da sola garantisce i dati
quando l'accesso avviene dal dispositivo su cui sono memorizzati, mentre non avrebbe effetto se i dati fossero
memorizzati su una memoria rimovibile (pen drive, disco esterno, ma anche hard disk smontato dal computer e
collegato ad un altro). La crittografia ha una lunga storia alle spalle, ed è stata utilizzata anche in tempi antichi per
evitare che i messaggi venissero compresi da nemici. In campo informatico esistono oggi algoritmi e software
sicuri esemplici da utilizzare.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 23
di 44
1.2.4 Comprendere le caratteristiche fondamentali della sicurezza delle informazioni, quali
confidenzialità, integrità, disponibilità.
Per essere sicure, le informazioni devono avere un alto grado di confidenzialità, cioè non devono essere diffuse a
chi non è autorizzato. Devono essere integre, cioè complete e senza modifiche rispetto all'originale. Infine devono
essere disponibili al momento del bisogno: non avrebbe alcuna utilità curare la sicurezza dei dati e delle
informazioni se poi, quando servono, per qualche motivo non si riesce a recuperarle nei tempi necessari.
1.2.5 Identificare i requisiti principali per la protezione, conservazione e controllo di dati/privacy
che si applicano in Italia.
In Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha aggiornato il Dlgs 196/2003, a seguito
dell'approvazione da parte della Commissione Europea nel gennaio 2012 di un regolamento sulla protezione dei
dati personali, in sostituzione della direttiva 95/46/CE in tutti e 27 gli stati membri dell'Unione Europea e di una
direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di
applicazione della direttiva 95/46/CE).
1.2.6 Creare e attenersi a linee guida e politiche per l’uso dell’ICT.
A seguito di queste premesse, si comprende quanto sia importante attenersi alle regole che disciplinano l'utilizzo
delle tecnologie informatiche e delle telecomunicazioni (ICT) per preservare i dati, personali e aziendali, dal furto,
dallo smarrimento e da un utilizzo non consentito.
Sicurezza personale
1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di
informazioni, frodi e accesso a sistemi informatici.
L'ingegneria sociale (dall'inglese social engineering) è lo studio del comportamento individuale di una persona al
fine di carpire informazioni utili. Viene a volte utilizzata, al posto delle tecniche di hacking, per accedere a
informazioni riservate aggirando sistemi di protezione hardware e software dei dati sempre più sofisticati e
difficilmente penetrabili.
1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing,
shoulder surfing al fine di carpire informazioni personali.
L'ingegneria sociale utilizza diversi mezzi per carpire informazioni personali e riservate. Fra questi:
Chiamate telefoniche che, a volte promettendo premi, cercano di ottenere informazioni personali
mascherandole con sondaggi anonimi.
Il phishing è una tecnica basata sull'invio di ingannevoli messaggi di posta elettronica: il phisher si finge un
servizio bancario e, minacciando la chiusura del conto o della carta di credito, chiede di inserire le proprie
credenziali per poterle verificare. Ovviamente si tratta di un trucco per entrarne in possesso.
Il shoulder surfing (fare surf sulla spalla) consiste nel carpire le credenziali immesse dall'utente di un
servizio spiandolo direttamente, standogli nei pressi, oppure anche da lontano, per mezzo di lenti o
telecamere. Ciò può avvenire generalmente in luoghi affollati, come internet cafè o simili.
1.3.3 Comprendere il termine furto di identità e le sue implicazioni personali, finanziarie, lavorative,
legali.
Il furto di identità nel campo informatico consiste nell'appropriazione indebita delle credenziali di accesso a un
servizio (accesso a un PC, a una rete locale, a internet, alla posta elettronica, a una rete sociale, a un servizio di
internet banking) allo scopo di usarlo a proprio vantaggio, per compiere crimini informatici come frodi o furti.
1.3.4 Identificare i metodi applicati per il furto di identità, quali acquisire informazioni a partire da
oggetti e informazioni scartati, fingendosi qualcun altro o mediante skimming.
Per il furto di identità vengono usati vari metodi, tra cui per esempio frugare negli scarti delle persone tra cui
potrebbe nascondersi qualche riferimento ai propri dati sensibili (ad esempio un foglietto su cui è annotata la
password di accesso a un servizio). In alcuni casi ci si finge qualcun altro dotato di diritto ad avere le credenziali,
per esempio nel caso del phishing. Infine in altri casi viene usata la tecnica dello skimming, che consiste
nell'acquisire immagini (o filmati) di oggetti su cui sono impressi dei dati semsibili, per esempio la carta di credito
o il PIN del bancomat. Quando si preleva da un bancomat è importante non solo non farsi vedere da qualcuno, ma
anche stare attenti che non ci siano webcam posizionate sopra la della tastiera.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 24
di 44
Sicurezza dei file – Macro e Password Documenti
1.4.1 MACRO Attivare/disattivare le impostazioni di sicurezza .
Una macro è un insieme di istruzioni, a volte molto complesse e che utilizzano un linguaggio di programmazione
(come Visual Basic o Libreoffice Basic) che possono essere eseguite, all'interno di un software di produttività
(videoscrittura, foglio di calcolo, ecc...) automaticamente o alla pressione di una combinazione di tasti. Le macro
sono strumenti molto utili perché automatizzano procedure lunghe e noiose, ma possono contenere codice
malevolo che quindi può causare danni al computer. Ciò vale soprattutto quando l'origine della macro non è
certa. Pertanto attivare una macro ne consente l'esecuzione con i vantaggi sopra descritti, ma può mettere a
rischio il computer. Al contrario, disattivare una macro non ne consente l'esecuzione e quindi impedisce di
avvalersi delle sue funzionalità, ma mette al sicuro il computer da possibile codice malevolo. In linea di massima la
cosa migliore è attivare le macro di cui si è certi, e disattivare quelle di incerta provenienza. Le macro consentono
di automatizzare le attività eseguite di frequente. Molte vengono create con VBA e sono scritte da sviluppatori di
software. Alcune macro, tuttavia, rappresentano un possibile rischio di sicurezza. Un utente malintenzionato può
inserire una macro dannosa in un file in grado di diffondere un virus nel computer.
Attivazione o disattivazione delle macro in Centro protezione
Le impostazioni di sicurezza delle macro sono reperibili in Centro protezione. Se tuttavia si lavora in
un'organizzazione, è possibile che l'amministratore di sistema abbia modificato le impostazioni predefinite
impedendo ulteriori modifiche da parte degli utenti. NOTA La modifica delle impostazioni delle macro in Centro
protezione ha effetto solo nell'applicazione di Office corrente. Le impostazioni non vengono modificate per tutte
le applicazioni di Office. Ecco la procedura per Word:
1. Fare clic sul pulsante Microsoft Office
nella versione 2007 o cliccare su FILE nella 2010 e quindi
su Opzioni di Word.. Fare clic su Centro protezione, su Impostazioni Centro protezione e quindi
su Impostazioni macro.
2. Scegliere le opzioni desiderate.
Disattiva tutte le macro senza notifica Selezionare questa opzione se le macro non sono
considerate attendibili. Tutte le macro nei documenti e gli avvisi di sicurezza relativi alle macro
vengono disabilitati. È possibile inserire gli eventuali documenti con macro prive di firma ritenuti
attendibili in un percorso attendibile. I documenti archiviati in un percorso attendibile vengono
eseguiti senza essere verificati dal sistema di sicurezza di Centro protezione.
Disattiva tutte le macro con notifica: questa è l'impostazione predefinita. Scegliere questa
opzione se si desidera disattivare le macro ma ricevere avvisi di sicurezza se vengono rilevate. In
questo modo, è possibile scegliere se abilitare le macro caso per caso.
Disattiva tutte le macro tranne quelle con firma digitale: questa impostazione è uguale
all'opzione Disattiva tutte le macro con notifica, con la differenza che se la macro è
contraddistinta da una firma digitale di un autore attendibile, può essere eseguita se l'autore è già
stato considerato attendibile. In caso contrario, si riceverà una notifica. In questo modo, è
possibile scegliere di abilitare queste macro con firma o considerare attendibile l'autore. Tutte le
macro non firmate vengono disattivate senza notifica.
Attiva tutte le macro (scelta non consigliata, potrebbe essere eseguito codice
pericoloso) Scegliere questa opzione per consentire l'esecuzione di tutte le macro. Questa
impostazione rende il computer vulnerabile a codice potenzialmente pericoloso e pertanto non è
consigliata.
Considera attendibile l'accesso al modello a oggetti dei progetti VBA : questa impostazione è
per gli sviluppatori e viene utilizzata per bloccare o consentire deliberatamente l'accesso a livello
di programmazione al modello a oggetti VBA da qualsiasi client di automazione. In altre parole si
tratta di un'opzione di sicurezza per il codice scritto per automatizzare un'applicazione di Office e
modificare a livello di programmazione l'ambiente e il modello a oggetti Microsoft Visual Basic,
Applications Edition (VBA). Questa impostazione viene applicata a singoli utenti e applicazioni e
impedisce l'accesso per impostazione predefinita. Impostando questa opzione di sicurezza, è più
difficile per i programmi non autorizzati generare codice che si replica automaticamente e che
può danneggiare i sistemi degli utenti finali. Affinché un client di automazione possa accedere al
modello a oggetti VBA a livello di programmazione, è necessario che l'utente che esegue il codice
conceda esplicitamente l'accesso. Per attivare l'accesso, selezionare la casella di controllo.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 25
di 44
SUGGERIMENTO È possibile aprire la finestra di dialogo relativa alle impostazioni di protezione per le macro
dalla scheda Sviluppo della barra multifunzione, che fa parte dell'Interfaccia utente Microsoft Office Fluent. Se la
scheda Sviluppo non è disponibile, fare clic sul pulsante Microsoft Office
e quindi fare clic su Opzioni di
Word. Fare clic su Impostazioni generali e quindi selezionare la casella di controllo Mostra scheda Sviluppo sulla
barra multifunzione.
Caratteristiche di Centro protezione utilizzabili per proteggersi da macro non sicure
Prima attivare una macro in un documento, Centro protezione esegue le verifiche seguenti:
La macro deve includere una firma digitale dello sviluppatore.
La firma digitale deve essere valida.
La firma digitale deve essere corrente, ovvero non scaduta.
Il certificato associato alla firma digitale deve essere stato emesso da un'autorità di certificazione
(CA) nota.
Lo sviluppatore che ha firmato la macro deve essere un editore attendibile.
Se Centro protezione rileva un
problema relativo a una di queste
condizioni,
per
impostazione
predefinita la macro viene disattivata
e viene visualizzata la barra messaggi
per notificare la presenza di una
macro potenzialmente non sicura.
Per attivare la macro fare clic
su Opzioni sulla barra dei messaggi.
Verrà visualizzata una finestra di
dialogo di sicurezza. Per informazioni
sulla scelta dell'opzione più sicura,
vedere la sezione successiva.
NOTA In Microsoft Office Outlook 2007 e in Microsoft Office Publisher 2007, gli avvisi di protezione vengono
visualizzati nelle finestre di dialogo e non nella barra messaggi. Operazioni da eseguire quando viene visualizzato
un avviso di sicurezza in cui si chiede se attivare o disattivare una macro. Quando viene visualizzata la finestra di
dialogo Opzioni di sicurezza, è possibile scegliere se attivare la macro o lasciarla disattivata. È consigliabile attivare
la macro solo se si è certi che provenga da una fonte attendibile.
IMPORTANTE Se si è certi che il
documento e la macro provengano da una
fonte attendibile e abbiano una firma valida
e non si desidera ricevere ulteriori
notifiche,
anziché
modificare
le
impostazioni predefinite del Centro
protezione specificando un livello di
sicurezza inferiore, è possibile fare clic
su Considera attendibili tutti i documenti
che provengono da questo editore nella
finestra di dialogo di sicurezza. In questo
modo l'editore verrà aggiunto all'elenco
degli
editori
attendibili in
Centro
protezione. Tutto il software di tale editore
è considerato attendibile. Nel caso in cui
una macro non sia associata a una firma
valida, ma è considerata attendibile e non si
desidera ricevere ulteriori notifiche, anziché
modificare le impostazioni predefinite di
Centro protezione specificando un livello di
sicurezza inferiore è consigliabile spostare il
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 26
di 44
documento in un percorso attendibile. I documenti archiviati in un percorso attendibile vengono eseguiti senza
essere verificati dal sistema di sicurezza di Centro protezione. A seconda della situazione, nella finestra di dialogo
di protezione viene visualizzata una descrizione del problema specifico. Nella tabella seguente sono elencati i
possibili problemi e alcuni suggerimenti sulle operazioni da eseguire o da non eseguire nei singoli casi.
Problema
Suggerimento
La macro non è firmata Poiché la macro
non include una firma digitale, l'identità
del relativo editore non può essere
verificata e pertanto non è possibile
determinare se la macro è sicura.
Prima di attivare macro non firmate, verificare che provengano da
una fonte attendibile. È comunque possibile utilizzare il documento
anche se non si attiva la macro.
La firma della macro non è considerata
attendibile La macro è potenzialmente
non sicura perché include una firma
digitale valida ma si è scelto di non
considerare attendibile l'editore l'ha
firmata.
È possibile impostare in modo esplicito l'autore della macro come
attendibile facendo clic su Considera attendibili tutti i documenti
che provengono da questo editore nella finestra di dialogo di
sicurezza. Questa opzione viene visualizzata solo se la firma è valida.
Se si seleziona questa opzione, l'editore verrà aggiunto all'elenco
degli editori attendibili in Centro protezione.
La firma della macro non è valida La
macro è potenzialmente non sicura perché
include una firma digitale non valida.
È consigliabile non attivare le macro con firme non valide. Uno dei
motivi per cui la firma non è valida è che è stata manomessa. Per
ulteriori informazioni, vedere Verifica dell'attendibilità di una firma
digitale.
La firma della macro è scaduta La macro
è potenzialmente non sicura perché
include una firma digitale scaduta.
Prima di attivare macro con firme scadute, verificare che
provengano da una fonte attendibile. Se il documento è stato
utilizzato in passato senza problemi di protezione, il rischio associato
alla macro è potenzialmente inferiore.
1.4.2 Impostare una password per file documenti, file compressi, fogli di calcolo.
È possibile impostare una password per proteggere un file da accesi indesiderati. Per farlo utilizzando le
applicazioni tipicamente si va dal menu File e poi in fase di salvataggio è possibile settare opzione per la
protezione da pasword sia di aperture che di modifica. Per proteggere con password un archivio compresso, si
può procedere in due modi a seconda che l'archivio sia già stato creato oppure ancora da creare:
– durante la creazione di un archivio compresso si deve scegliere Altre opzioni e indicare la password (da notare
che ciò è possibile solo con alcuni formati di compressione, tra cui zip)
– per proteggere un archivio già creato in precedenza si deve aprire il file col programma di gestione e cercare
l’opzione per l’inserimento della password.
Impostazione di una password in un documento di Word
Per crittografare il file e impostare una password per l'apertura Fare clic sul pulsante Microsoft Office
,
posizionare il puntatore del mouse su Prepara e quindi fare clic su Crittografa documento. Nella finestra di
dialogo Crittografa documento digitare una password nella casella Password e quindi fare clic su OK. È possibile
digitare fino a 255 caratteri. Per impostazione predefinita, questa caratteristica utilizza la crittografia avanzata
AES 128 bit. La crittografia è una funzionalità standard che consente di proteggere ulteriormente il file. Nella
finestra di dialogo Conferma password digitare di nuovo la password nella casella Immettere nuovamente la
password e quindi fare clic su OK.Per salvare la password, salvare il file.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 27
di 44
Rimozione della protezione con password da un documento di Word
Utilizzare la password per aprire il documento. Fare clic sul pulsante Microsoft Office , posizionare il puntatore
del mouse su Prepara e quindi fare clic suCrittografa documento. Nella finestra di dialogo Crittografa
documento cancellare la password crittografata nella casella Password e quindi fare clic su OK. Salvare il file.
Impostazione di una password per la modifica di un documento di Word
Oltre ad impostare una password per l'apertura di un documento di Word, è possibile impostarne una per
consentire la modifica del documento da parte di altri utenti. Fare clic sul pulsante Microsoft Office , fare clic
su Salva con nome e quindi, nella parte inferiore della finestra di dialogo Salva con nome, fare clic su Strumenti.
Scegliere Opzioni generali dal menu Strumenti. Verrà visualizzata la finestra di dialogo Opzioni generali. In Opzioni
di condivisione file per questo documento, digitare una password nella casella Password di modifica. Nella
finestra di dialogo Conferma password digitare nuovamente la password. Fare clic su OK. Fare clic su Salva.
NOTA Per rimuovere la password, ripetere queste istruzioni e quindi cancellare la password dalla casella
Password di modifica. Fare clic su Salva.
1.4.3 I vantaggi e i limiti della cifratura.
Un file protetto non può essere letto né modificato se non da chi conosce la password e ciò garantisce che i dati in
esso contenuti non cadano nelle mani sbagliate. Ci può essere il rischio che si dimentichi la password e quindi non
si sia più in grado di aprire il file, pur essendone i legittimi proprietari. La password va quindi conservata in modo
da poterla ritrovare in caso di necessità. Inoltre, perché la protezione funzioni, è necessario scegliere una
password robusta, che corrisponda a determinati criteri che la rendono inattaccabile, e che sia ben protetta, cioè
non diffusa o facilmente ricostruibile con una delle tecniche sopra accennate.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 28
di 44
Malware
Il termine malware indica un software creato con lo scopo di causare danni più o meno gravi a un sistema
informatico su cui viene eseguito e ai dati degli utenti. Il termine deriva dalla contrazione delle parole inglesi
malicious e software e ha dunque il significato letterale di "programma malevolo".
2.1.2 Riconoscere diversi modi con cui il malware si può nascondere, quali trojan, rootkit e
backdoor.
Si distinguono molte categorie di malware, tra cui:
– Trojan horse: software che oltre ad avere delle funzionalità "lecite", utili per indurre l'utente ad utilizzarli,
contengono istruzioni dannose che vengono eseguite all'insaputa dell'utilizzatore
– Backdoor: letteralmente "porta sul retro". Sono dei programmi che consentono un accesso non autorizzato al
sistema su cui sono in esecuzione
– Rootkit: non sono dannosi in sé, ma hanno la funzione di nascondere la presenza di particolari file o
impostazioni del sistema e vengono utilizzati per mascherare spyware e trojan. Tra i più noti si possono
annoverare FU e NT Rootkit. Un particolare tipo di rootkit è presente anche nel sistema operativo (versione 3.56 o
superiori) della Playstation 3. Questo è stato introdotto da Sony con l'aggiornamento alla versione 3.56 del
firmware e serve a prevenire l'accesso a PlayStation Network delle console modificate, con successivo ban
dell'Indirizzo MAC della loro scheda di rete.
2.2.1 Riconoscere i tipi di malware infettivo e comprendere come funzionano, ad esempio virus e
worm.
– i Virus sono parti di codice che si diffondono copiandosi all'interno di altri programmi, o in una particolare
sezione del disco fisso, in modo da essere eseguiti ogni volta che il file infetto viene aperto. Si trasmettono da un
computer a un altro tramite lo spostamento di file infetti ad opera degli utenti
– i Worm non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo in modo
da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet. Per indurre gli utenti ad
eseguirli utilizzano tecniche di ingegneria sociale, oppure sfruttano dei difetti (Bug) di alcuni programmi per
diffondersi automaticamente. Il loro scopo è rallentare il sistema con operazioni inutili o dannose.
2.2.2 Riconoscere i tipi di malware usati per furto di dati, profitto/estorsione e comprendere come
operano, ad esempio adware, spyware, botnet, keylogger e dialer.
Adware presentano all'utente messaggi pubblicitari durante l'uso. Possono causare danni quali rallentamenti del
pc e rischi per la privacy in quanto comunicano le abitudini di navigazione ad un server remoto.
Spyware è un software che viene usato per raccogliere informazioni (abitudini di navigazione, ma anche
password) per trasmetterle ad un destinatario interessato
Keylogger sono in grado di registrare tutto ciò che viene digitato sulla tastiera consentendo il furto di password
Dialer sono programmi che modificano, quando ci si connette con la normale linea telefonica, il numero
telefonico chiamato dalla connessione predefinita con uno a tariffazione speciale allo scopo di trarne illecito
profitto all'insaputa dell'utente
Botnet
E’ l'infezione di una rete informatica che viene controllata da remoto dal botmaster, che è in grado di utilizzare la
rete stessa e i dispositivi ad essa collegati per svolgere attività non autorizzate. I controllori della botnet possono
in questo modo sfruttare i sistemi compromessi per scagliare attacchi distribuiti del tipo distributed denial of
service (DDoS) contro qualsiasi altro sistema in rete oppure compiere altre operazioni illecite, in taluni casi
agendo persino su commissione di organizzazioni criminali. I dispositivi che compongono la botnet sono
chiamati bot (da roBOT) o zombie.
Modalità di funzionamento: I malware creati per far parte di una botnet, non appena assunto il controllo del
sistema, devono poter fornire al proprio autore i dati relativi al sistema infettato. Per fare ciò spesso sfruttano i
canali IRC (Internet Relay Chat) e si connettono ad un dato canale, situato su un dato server, il quale spesso è
protetto da una password per dare accesso esclusivo all'autore. Tramite il canale di chat l'autore è in grado di
controllare contemporaneamente tutti i sistemi infetti collegati al canale (i quali possono essere anche decine di
migliaia) e di impartire ordini a questi. Per fare un esempio, con un solo comando potrebbe far partire un attacco
DDoS verso un sistema a sua scelta. Un altro sistema utilizzato dai botmaster per controllare i bot sono le
reti peer-to-peer (tra queste è compresa la rete di skype). In questo caso la rete p2p viene usata come veicolo
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 29
di 44
per le informazioni che il botmaster invia ai bot. Le botnet vengono spesso utilizzate anche per altri scopi oltre al
DDoS: questi virus sono spesso programmati in modo da spiare il sistema infetto e intercettare password ed altre
informazioni utili. Possono anche offrire accesso alle macchine infette tramite backdoor oppure servizi proxy che
garantiscono l'anonimato in rete. Infine un altro uso delle botnet è come proxy verso un sistema compromesso. I
bot infatti spesso vengono "ripuliti" e quindi di fatto non fanno parte più della botnet. Se un pirata installa un
server su una di queste macchine e ne perde il controllo il danno è grave. Una tecnica usata recentemente è
quella del fastflux in cui una macchina fuori dalla botnet fa girare un finto server (per esempio per fare
dello spoofing) e le macchine della botnet fungono solo da proxy verso questa macchina.
Le botnet e la criminalità Le botnet sono diventate ultimamente fonte di interesse per la criminalità organizzata.
Sono infatti un sistema per guadagnare soldi in modo illegale. I botmaster infatti vendono i servizi della botnet a
clienti che vogliono compiere azioni illegali ma non ne hanno i mezzi. Tra le azioni che le botnet hanno a
"catalogo" ci sono:
Denial of service: attacco massivo contro qualcuno
Spam: campagne di spam con lo scopo di vendere prodotti (spesso illegali)
Phishing: campagne di spam con lo scopo di carpire credenziali a scopo di furto, riciclaggio, ecc.
Protezione
2.3.1 Comprendere come funziona il software anti-virus e quali limitazioni presenta.
Al giorno d'oggi un "classico" AntiVirus da solo non è più spesso in grado di proteggere un computer da tutte le
minacce esistenti, quali ad esempio: attacchi cibernetici, Advanced Persistent Threat (APT), botnets, DDoS
attack, phishing, scams, social engineering o spam. Quindi, la "sicurezza informatica" è generalmente offerta in
prodotti, o pacchetti di prodotti, e servizi dalle aziende produttrici di software AntiVirus.
Soprattutto sui dispositivi con sistema operativo Windows, è necessario avere installato un software antivirus, che
sia in grado di opporsi ai tentativi dei malware di infettare il sistema. In realtà nessun sistema operativo è immune
dai malware, ma Windows è più vulnerabile sia per motivi strutturali, sia per il fatto che, essendo più diffuso degli
altri, viene più preso di mira da questi software. Un antivirus ha due funzioni principali: la prima è quella di
controllare cartelle e file in modo da individuare e rendere innocui eventuali file portatori di infezione virale. La
seconda è quella di scansionare la memoria RAM in modo da impedire l'esecuzione di codice virale, che è in
grado di riconoscere o a seguito di un confronto con un archivio contenente le “firme” dei malware conosciuti, o
anche con metodi di indagine
euristica, cioè basata sulla
somiglianza di frammenti di
codice virale con quello
analizzato. Un antivirus non
può essere efficace al 100% e
proteggere completamente
un dispositivo informatico.
Inoltre, per poter essere
efficace,
l'antivirus deve
essere
aggiornato
con
frequenza, in particolare
l'archivio delle firme, in
quanto
nuovi
malware
vengono
diffusi
in
continuazione. Infine, un altro
limite che i software antivirus
hanno, è che a volte
segnalano falsi positivi, cioè
indicano
come
virus
programmi del tutto leciti.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 30
di 44
2.3.2 Eseguire scansioni di specifiche unità, cartelle, file usando un software anti-virus. Pianificare
scansioni usando un software anti-virus.
Nell'ambito Windows esistono tantissimi software AV di cui molti anche totalmente gratuiti per uso persona (vedi
www.avira.com ) Spesso dotati di interfaccia di comando semplice ed intuitiva con varie opzioni che permette di
effettuare la scansione di tutte le unità disco, di un file o di una cartella. È anche possibile pianificare scansioni
scegliendo l’apposito menu.
2.3.3 Quarantena: l’operazione di mettere in quarantena file infetti/sospetti.
Quando un software antivirus individua dei file contenenti del codice virale o anche solo sospetti, chiede
all'utente se intende metterli in quarantena, cioè a dire in una apposita cartella creata dal software antivirus e
pertanto facilmente controllabile, e resi non eseguibili attraverso la modifica dei permessi (in ambiente Linux o
Mac) o dell'estensione del file (in ambiente Windows).
2.3.4 Comprendere l’importanza di scaricare e installare aggiornamenti di software, file di
definizione di anti-virus.
Come già accennato in precedenza, è essenziale scaricare con assiduità gli aggiornamenti sia del software
antivirus, che soprattutto delle definizioni dei virus, in modo che il programma sia in grado di riconoscere e
debellare il maggior numero possibile di infezioni virali. Attualmente tutti i software antivirus si aggiornano
automaticamente, ma è bene controllare che lo facciano con frequenza. Il mancato aggiornamento automatico
potrebbe essere indice di un malfunzionamento, magari dovuto proprio ad un virus che cerca di impedire al
programma di individuarlo.
Sicurezza in rete
3.1.1 Riconoscere i più comuni tipi di rete, LAN (rete locale), WAN (rete geografica), VPN (rete
privata virtuale).
Una rete informatica comprende più dispositivi, come computer o altro, in grado di comunicare tra di essi
attraverso differenti mezzi. Una rete può essere limitata nello spazio, per esempio a un locale o a un edificio e
prende il nome di LAN (Local Area Network).
Se la rete è estesa a un'area cittadina prende il nome di MAN (Metropolitan Area Network). Se la rete è molto
estesa come ad esempio Internet, prende il nome di WAN (Wide Area Network).
Una VPN (Virtual Private Network) è un sistema per avere una rete virtuale privata che però utilizza una rete
pubblica per funzionare. Normalmente una VPN viene implementata per poter collegare in modo sicuro più
computer lontani tra di loro per mezzo di internet. Un apposito software si occupa di creare un tunnel sicuro
attraverso al criptazione dei dati e l'autenticazione della comunicazione.
Dal pannello di controllo di Windows è possibile visionare e configurare tutte le varie opzioni
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 31
di 44
3.1.2 Comprendere il ruolo dell’amministratore di rete nella gestione delle operazioni di
autenticazione, autorizzazione e assegnazione degli account all’interno di una rete.
Una rete viene gestita da un amministratore che si occupa di renderla sicura ed efficiente attraverso
l'implementazione di politiche di accesso alle risorse (file, cartelle, stampanti, accesso a internet, ecc...). Per
definire tali politiche è necessario che gli utenti dei dispositivi che fanno parte della rete dispongano di un account
attraverso il quale vengano autenticati col proprio nome utente e password.
3.1.3 Comprendere la funzione e i limiti di un firewall.
Un firewall è un dispositivo o un software che monitora e controlla in base a
delle regole, definite dall'amministratore, il traffico di rete, generalmente tra
la rete locale (LAN) e internet, allo scopo di evitare intrusioni e accessi non
autorizzati. Per funzionare bene il firewall deve essere programmato in modo
efficace, dato che si limita a seguire le regole impostate. Se le regole non sono
ben organizzate il funzionamento del firewall non sarà efficace. Inoltre, dato
che il firewall è generalmente posto tra la rete locale e internet, non avrà
effetto se l'attacco alla rete viene effettuato dall'interno, per esempio da un
utente della rete o dal un malware che precedentemente ha infettato un
dispositivo della rete. Infine un firewall, soprattutto se mal programmato, può
impedire agli utenti un uso legittimo della rete
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 32
di 44
3.2.1 Connessioni di Rete Mediante Cavo o Wireless.
Come accennato in precedenza, una rete può connettere dispositivi informatici utilizzando mezzi diversi. I più
usati sono il cavo, generalmente in rame ma può essere anche in fibra ottica, e le onde radio: in quest'ultimo caso
si parla di rete wireless (senza cavo) o wifi. I vantaggi di una rete cablata sono la maggiore sicurezza, dovuta al
fatto che è necessario connettere fisicamente i dispositivo alla rete e quindi in modo visibile, e la velocità di
trasmissione dei dati, anche se la continua evoluzione tecnologica fa sì che anche le reti senza fili oggi siano in
grado di raggiungere elevate velocità di trasmissione dei dati. I vantaggi di una rete senza fili sono l'economicità,
dovuta al fatto di non avere la necessità di posare i cavi, la praticità di utilizzo soprattutto con dispositivi mobili
come notebook e tablet, e la possibilità di essere implementata anche laddove, per motivi tecnici, non è
materialmente possibile far arrivare il cavo.
3.2.2 Reti e implicazioni di sicurezza, quali malware, accessi non autorizzati ai dati, privacy.
Un computer trae grandi vantaggi dalla connessione a una rete, e tuttavia dalla rete possono arrivare anche
minacce. Attraverso la rete, locale o internet, è possibile che il computer venga infettato da virus o altro malware
che spesso viene scaricato da internet attraverso la posta elettronica o pagine web. Attraverso la rete sono
possibili accessi non autorizzati ai dispositivi connessi, dovuti a falle di sicurezza o infezioni virali. La rete può
mettere a rischio anche la privacy degli utenti connessi, in quanto i dati personali, se non adeguatamente protetti,
possono essere accessibili da persone interessate in vari modi, come accennato in precedenza.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 33
di 44
3.3.1 Riconoscere l’importanza di richiedere una password per proteggere gli accessi a reti wireless.
Mentre una rete cablata richiede un collegamento fisico agli apparati e quindi è quasi impossibile collegare un
dispositivo senza autorizzazione da parte dell'amministratore, una rete senza fili può essere facilmente agganciata
da un dispositivo mobile, anche posto all'esterno dell'edificio fin dove arriva il segnale. Chiunque pertanto
potrebbe connettersi all'insaputa dell'amministratore di rete se la rete senza fili non fosse protetta da password,
che permette l'accesso ai soli utenti che la conoscono. Tutti gli altri invece vengono esclusi, diminuendo i rischi di
accessi non autorizzati che possono danneggiare la rete, i dispositivi ad essa connessi e i dati in essi contenuti.
3.3.2 Riconoscere diversi tipi di sicurezza per reti wireless, quali WEP, WPA, MAC address.
Per migliorare la sicurezza delle reti wireless nel corso degli anni sono stati elaborati degli
algoritmi di crittazione dei dati trasmessi nelle reti senza fili. Il WEP (Wired Equivalent Privacy,
cioè sicurezza della privacy equivalente a quella delle reti cablate) nasce nel 1999 ma nel giro
di pochi anni si è verificato che non è adeguatamente sicuro, in quanto essendo la chiave
troppo breve, è abbastanza facile individuarla e poter quindi accedere. Il WPA (Wifi Protected
Access, accesso protetto alle reti senza fili) e il successivo WPA2 sono stati elaborati nel
2003/2004 e mettono a disposizione una maggiore sicurezza rispetto al precedente WEP, che tuttavia non è
totale. Il MAC, detto anche Mac address, consiste nell'indirizzo fisico della scheda di rete, cablata o wireless, ed è
univoco per cui individua in modo inequivocabile un dispositivo tra tutti gli altri. Ciò consente di stilare all'interno
degli apparati di rete delle ACL (Access List, liste di indirizzi MAC) di dispositivi autorizzati all'accesso alla rete. Un
dispositivo con un Mac address differente, anche se il proprietario conosce la password di accesso alla rete senza
fili, non verrà connesso alla rete. Questo metodo in realtà non è del tutto sicuro, in quanto esistono dei software
in grado di modificare il Mac address della scheda di rete di un dispositivo. Come si può capire da quanto detto in
precedenza, nessun metodo rende sicura al 100% una rete senza fili, tuttavia utilizzando più metodi in
combinazione si raggiunge un buon grado di sicurezza.
3.3.3 Essere consapevoli che usando una rete wireless non protetta si rischia che i propri dati
vengano intercettati da “spie digitali”.
Se una rete senza fili non è protetta con uno o più dei metodi sopra presentati, è molto facile che qualche
malintenzionato possa accedervi e quindi abbia la possibilità di intercettare i dati presenti sui dispositivi connessi
o anche solo in transito.
3.3.4 Connettersi ad una rete wireless protetta/non protetta.
Per connettere un dispositivo a una rete senza fili, prima di tutto occorre accertarsi che sia dotato di scheda di
rete wifi. In tal caso tutti i sistemi operativi dispongono di un programma di connessione che, generalmente,
avvisa l'utente della disponibilità di reti senza fili. In Ubuntu nel pannello superiore, tra l'icona del Bluetooth e
quella del volume, appare l'icona della connessione di rete. Per connettersi ad una rete wireless basta cliccare sul
nome presente nell'elenco. Se la rete è non è protetta (lo si capisce perché in basso a destra non è presente il
lucchetto), si viene connessi automaticamente. Se la rete è protetta (lo si capisce perché è presente un lucchetto),
viene chiesta la password di accesso. Se la password inserita è corretta, al termine della procedura, viene
segnalato che la connessione alla rete senza fili è stata stabilita.
3.4.1 Controllo di Accesso, account di rete accedere usando un nome utente e una password.
Per motivi di sicurezza, come indicato nei paragrafi precedenti, è opportuno che ciascun utente di una rete sia in
possesso di credenziali personali (nome utente e password) in modo che solo utenti autorizzati possano accedere
alla rete. L'accesso alla rete dipende dalla sua architettura. Esistono infatti differenti tipi di rete che possono
essere raggruppate in due gruppi: le reti paritetiche e le reti client/server
Nelle reti paritetiche tutti i computer svolgono funzioni simili, l'autenticazione degli utenti avviene a livello locale
sul singolo computer e le risorse condivise sui vari computer sono accessibili in base alle impostazioni sui singoli
computer. Nelle reti client/server il server (server di dominio) si occupa dell'autenticazione degli utenti anche su
tutti i client e centralizza i permessi di accesso alle risorse di tutta la rete. L'accesso alla rete avviene inserendo, in
fase di avvio del computer, il proprio nome utente e la propria password nel modulo di login.
3.4.2 Buone politiche per la password
Si è detto in precedenza che la password garantisce la privacy dei propri dati e anche la sicurezza delle reti. Ciò è
vero ma solo a condizione che la password venga gestita in modo corretto e risponda a criteri di robustezza. La
corretta gestione delle password consiste nel mantenerla segreta, quindi non dirla a nessuno per nessun motivo
(è importante però annotarla in un luogo sicuro per evitare che venga dimenticata o persa). Inoltre è importante
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 34
di 44
modificare con regolarità la password, per evitare che qualcuno possa venirne a conoscenza utilizzando una delle
tecniche viste in precedenza (shoulder surfing, malware, ingegneria sociale). È anche importante non utilizzare la
stessa password per tutti gli account, perché nel caso venisse individuata, potrebbe essere utilizzata per tutti i
servizi. Infine è importante che la password risponda a criteri di robustezza: generalmente si intende che una
password robusta debba essere lunga almeno 8 caratteri, utilizzare lettere maiuscole e minuscole, numeri e
anche caratteri speciali, come la @, il #, uno spazio vuoto o simili. Meglio evitare le lettere accentate in quanto
differenti in base alla lingua della tastiera e al sistema operativo utilizzato.
3.4.3 Identificare le comuni tecniche di sicurezza
biometriche usate per il controllo degli accessi, quali
impronte digitali, scansione dell’occhio.
In alcuni casi, al posto delle password, per accedere al computer
in modo sicuro vengono utilizzati dei sistemi che si basano su
Sensore impronte digitali su un notebook o come sul nuovo
iPhone, Scanner portatile di iride tecniche biometriche, cioè su
tecniche basate sull'univocità di caratteristiche fisiche degli
utenti. La tecnica biometrica più utilizzata è senz'altro la
scansione delle impronte digitali: diversi notebook e altri
dispositivi mobili ne sono provvisti. Un'altra tecnica biometrica,
usata meno frequentemente nell'informatica tradizionale per
motivi di costi e ingombri, è la scansione dell'iride dell'occhio.
Uso Sicuro del Web, Navigazione in Rete
4.1.1 Alcune attività (acquisti, transazioni finanziarie) solo su pagine web sicure.
Da quanto detto in precedenza è evidente che i computer e le reti, in particolare internet che è pubblica, non
sono sicuri e quindi è necessario prendere dei provvedimenti quando si usano questi strumenti.
4.1.2 Identificare un sito web sicuro, ad esempio associato ad https, simbolo del lucchetto.
In particolare, quando si utilizza il web per trasferimenti di denaro,
occorre fare particolare attenzione. I browser utilizzano normalmente il
protocollo http che non è sicuro in quanto trasmette i dati senza alcuna
cifratura. E quindi soggetto ad essere intercettato e utilizzato da
malintenzionati. Esiste però anche un protocollo sicuro, https (Hyper Text
Transfer Protocol Secure) che trasmette i dati dopo averli cifrati con una
chiave robusta in modo che il solo sito web che li riceve e li trasmette sia
in grado di decodificarli. È pertanto essenziale per la sicurezza dei dati
trasmessi che quando si utilizza il web per un pagamento, per esempio
acquisti online, o transazioni finanziarie per esempio operazioni sul
proprio conto corrente bancario, ci si accerti che il browser utilizzi il
protocollo https.
4.1.3 Essere consapevoli del pharming.
Il pharming è una tecnica per certi aspetti simile al phishing, di cui si è già parlato, ma più sofisticata in quanto fa
sì che, digitando l'indirizzo di un sito web lecito, si venga diretti verso un altro sito web, identico a quello lecito ma
falso. Se questo sito clonato richiede l'immissione di dati personali, questi verranno comunicati
inconsapevolmente dall'utente e potranno poi essere utilizzati a suo danno. Premesso che i siti web vengono
identificati dal loro indirizzo IP, quando si digita un indirizzo alfanumerico questo viene tradotto nel
corrispondente IP da un server DNS (Domain Name System): per esempio l'indirizzo IP di google.it è
173.194.35.63. La tecnica del pharming modifica il riferimento e fa sì che l'indirizzo alfanumerico corrisponda a un
IP diverso. L'utente non ha strumenti per rendersi conto della differenza se non controllare il certificato digitale di
una pagina che utilizza il protocollo https.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 35
di 44
4.1.4 Comprendere il termine “certificato digitale”. Convalidare un certificato digitale.
Un certificato digitale è un documento digitale che attesta la veridicità di chi pubblica la pagina web sicura o di chi
invia un messaggio di posta elettronica. Tale certificato, fornito da un ente terzo fidato e riconosciuto
come autorità di certificazione (CA), è a sua volta autenticato per evitarne la falsificazione sempre attraversofirma
digitale ovvero cifrato con la chiave privata dell'associazione la quale fornisce poi la rispettiva chiave
pubblica associata per verificarlo. Scopo I certificati sono utili per la crittografia a chiave pubblica quando usata
su larga scala.
Scambiare la chiave pubblica in modo sicuro tra gli utenti diventa
impraticabile, se non impossibile, quando il numero di utenti
comincia a crescere. I certificati digitali sono una soluzione per
superare questa difficoltà. Lo scopo del certificato digitale è quello
di garantire che una chiave pubblica sia associata alla vera identità
del soggetto che la rivendica come propria. In un sistema
a crittografia asimmetrica ciò può essere molto importante: infatti,
ogni messaggio crittografato con una data chiave pubblica può
essere decrittato solo da chi possiede la relativa chiave
privata (caso della cifratura asimmetrica); per cui, se siamo sicuri
che la chiave pubblica appartiene a "Mario Rossi" allora siamo
anche sicuri che solo "Mario Rossi" potrà leggere i messaggi crittati
con quella chiave pubblica in quanto possessore della rispettiva
chiave privata. Vale inoltre anche il viceversa: se possiamo decriptare un messaggio con quella chiave pubblica
allora siamo sicuri che quel messaggio è stato criptato da "Mario Rossi" garantendone l'autenticazione (caso della
firma digitale) (anche se ciò non implica che quel messaggio sia stato inviato da "Mario Rossi" cioè sia passibile di
attacchi di tipo man in the middle).
Funzionamento In principio quindi se Mario Rossi voleva inviare/ricevere un messaggio cifrato oppure
voleva firmare digitalmente un documento doveva divulgare la sua chiave pubblica agli altri attori della
comunicazione. Ogni persona che la possedeva poteva inviargli o ricevere da lui messaggi sicuri tramite cifratura
asimmetrica con quella chiave pubblica oppure ricevere da lui documenti firmati con la chiave privata per poi
verificare la firma con la suddetta chiave pubblica; tuttavia qualsiasi individuo poteva divulgare una differente
chiave pubblica (di cui conosceva la relativa chiave privata) e dichiarare che era la chiave pubblica di Mario Rossi.
Per evitare questo problema, Mario Rossi inserisce allora la sua chiave pubblica in un certificato firmato da una
terza parte fidata ("trusted third party"): tutti quelli che riconoscono questa terza parte devono semplicemente
controllarne la firma per decidere se la chiave pubblica appartiene veramente a Mario Rossi. In una PKI, la terza
parte fidata sarà un'autorità di certificazione che apporrà anch'essa una firma sul certificato per validarlo.
Nel web of trust, invece, la terza parte può essere un utente qualsiasi (ovvero la firma è quella o dello stesso
utente (un'auto-certificazione) oppure di altri utenti ("endorsements")) e sarà compito di chi vuole comunicare
con Mario Rossi decidere se questa terza parte è abbastanza fidata. In entrambi i casi, la firma certifica che la
chiave pubblica dichiarata nel certificato appartiene al soggetto descritto dalle informazioni presenti sul
certificato stesso (nome, cognome, indirizzo abitazione, indirizzo IP, etc.).
Contenuto di un certificato Un certificato tipicamente include: una chiave pubblica; dei dati identificativi, che
possono riferirsi ad una persona, un computer o un'organizzazione; un periodo di validità; l'URL della lista dei
certificati revocati (CRL); Il tutto è firmato da una terza parte fidata.
Validità e liste di revoca Un certificato solitamente ha un intervallo temporale di validità, al di fuori del quale
deve essere considerato non valido. Un certificato può essere revocato se si scopre che la relativa chiave privata è
stata compromessa, oppure se la relazione specificata nello stesso (cioè la relazione tra un soggetto ed una chiave
pubblica) è incorretta o è cambiata; questo potrebbe succedere se, per esempio, una persona cambia lavoro
oppure indirizzo. Ciò significa che un utente oltre a controllare che il certificato sia fidato (verificare che sia
firmato da una CA riconosciuta) e non sia scaduto dovrebbe controllare anche che non sia stato revocato. Questo
può essere fatto attraverso la lista dei certificati revocati (CRL). Una funzione chiave della PKI è proprio quella di
tenere aggiornata la CRL. Un altro modo per verificare la validità di un certificato è quello di interrogare la CA
attraverso un protocollo specifico come, per esempio, Online Certificate Status Protocol (OCSP).
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 36
di 44
Standard di certificati Lo standard più comune per i certificati è ITU-T X.509. X.509 è stato adattato ad Internet dal
gruppo di lavoro PKIX dell'IETF (IETF PKIX Working Group).
Certificati e sicurezza dei siti web L'uso più comune dei certificati digitali è per l'accesso ai siti web via HTTPS,
ossia HTTP su protocollo sicuro SSL. Attraverso i certificati possiamo accertarci che il server a cui ci si è connessi
è autentico, ovvero è effettivamente quello che dichiara di essere. Il protocollo SSL prevede che,
alla connessione, il server fornisca il proprio certificato digitale; se il certificato digitale è firmato da un'autorità di
certificazione da noi riconosciuta, e la decifratura della firma del certificato ha buon fine, allora possiamo
utilizzare la chiave pubblica presente nello stesso per avviare una comunicazione sicura.
4.1.5 Comprendere il termine “one-time password”.
Il significato è la traduzione in italiano, cioè
una password valida una sola volta. È un
metodo che viene utilizzato per proteggere
gli utenti che hanno spesso la tendenza ad
utilizzare password poco robuste o a non
preoccuparsi della loro sicurezza. Consiste
nel richiedere una password aggiuntiva generata al momento da un dispositivo in possesso dell'utente, per
esempio una applicazione per smartphone, o inviata all'utente dal gestore del sito per mezzo di un SMS.
4.1.6 Selezionare impostazioni adeguate per attivare, disattivare il completamento automatico, il
salvataggio automatico quando si compila un modulo.
Soprattutto quando il computer è utilizzato da o accessibile a più persone, conviene disabilitare le opzioni di
completamento e di salvataggio automatico del browser, per evitare la diffusione dei propri dati personali. Per
disattivare il completamento automatico con Firefox bisogna accedere alle Preferenze dal menu Modifica. Dopo
aver aperto la scheda Privacy bisogna attivare Utilizza impostazioni personalizzate in Impostazioni cronologia. In
tal modo si può scegliere se utilizzare sempre la navigazione anonima, che non conserva traccia dei siti visitati, o
in alternativa quali aspetti della navigazione (cronologia dei siti visitati, cronologia delle ricerche, dati dei moduli)
conservare e quali no. È anche possibile indicare dei siti per i quali avere un comportamento diverso dalla regola
generale.
Per disattivare il salvataggio delle password si deve accedere ancora alle preferenze di Firefox e alla scheda
Sicurezza. Qui è possibile nella sezione Password disattivare la memorizzazione delle password. È anche possibile
visualizzare i siti web per cui sono già state salvate le password, eventualmente eliminarle una per una o anche
visualizzarle, nel caso siano state scordate. Anche in questo caso si possono impostare delle eccezioni per
determinati siti web.
4.1.7 Comprendere il termine “cookie”.
Un cookie (letteralmente biscottino) è una stringa di testo contenente informazioni personali che viene inviata da
un server web e memorizzata dal browser, per esempio i dati relativi agli acquisti fatti in un negozio online, il
cosiddetto carrello della spesa. Quando si accede nuovamente allo stesso sito web, il cookie viene inviato dal
browser al server per automatizzare la ricostruzione dei propri dati. Si tratta quindi normalmente di uno
strumento utile quando viene utilizzato in modo lecito. In alcuni casi i cookie sono stati usati in modo illecito per
tracciare i comportamenti degli utenti, come uno spyware. Pertanto occorre fare attenzione a questi tipi di cookie
e Firefox dà la possibilità di ispezionarli, cliccando sul pulsante Mostra i cookie. Poiché possono essere usati per
monitorare la navigazione su Internet, i cookie sono oggetto di discussioni concernenti il diritto alla privacy.
Molti paesi ed organizzazioni, fra cui gli Stati Uniti e l'Unione Europea, hanno legiferato in merito. I cookie sono
stati inoltre criticati perché non sempre sono in grado di identificare l'utente in modo accurato ed inoltre perché
possono potenzialmente essere oggetto di attacchi informatici. Esistono alcune alternative ai cookie, ma tutte,
insieme ad alcuni vantaggi, presentano controindicazioni. I cookie vengono spesso erroneamente ritenuti veri e
propri programmi e ciò genera errate convinzioni. In realtà essi sono semplici blocchi di dati, incapaci, da soli, di
compiere qualsiasi azione sul computer. In particolare non possono essere né spyware, né virus.
Ciononostante i cookie provenienti da alcuni siti sono catalogati come spyware da molti prodotti anti-spyware
perché rendono possibile l'individuazione dell'utente. I moderni browser permettono agli utenti di decidere se
accettare o no i cookie, ma l'eventuale rifiuto rende alcuni oggetti inutilizzabili. Ad esempio, gli shopping cart
implementati con i cookie non funzionano in caso di rifiuto.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 37
di 44
4.1.8 Selezionare impostazioni adeguate per consentire, bloccare i cookie.
Per disattivare i cookie occorre accedere alle Preferenze di Firefox, scheda Privacy, e disattivare la voce Accetta
cookie dai siti. Disattivare completamente i cookie rende difficoltosa la navigazione o addirittura impossibile in
alcuni siti, per cui è consigliabile eventualmente impostare alcune eccezioni per i siti web attendibili e sicuri.
4.1.9 Eliminare dati privati da un browser, quali cronologia di navigazione, file temporanei di
internet, password, cookie, dati per il completamento automatico.
Per eliminare i dati recenti, in Firefox occorre scegliere Cancella la cronologia recente... dal menu Cronologia. Si
accede alla finestra di dialogo qui a fianco, in cui si possono cancellare i dati memorizzati, anche selettivamente
cliccando su Dettagli, delle ultime ore oppure anche tutta quanta.
4.1.10 Comprendere lo scopo, la funzione e i tipi di software per il controllo del contenuto, quali
software per il filtraggio di internet, software di controllo genitori.
Esistono dei software che filtrano l'accesso a internet da parte degli utenti. Questi software vengono utilizzati
spesso a livello aziendale per evitare che i dipendenti perdano tempo e utilizzino la banda condivisa per motivi
non utili al lavoro, a volte anche illeciti (come lo scaricamento illegale di contenuti protetti da diritti d'autore) e
funzionano impedendo lo scaricamento di determinati tipi di file (audio, video, eseguibili), l'accesso a determinati
siti web (reti sociali) o l'utilizzo di porte usate da determinati programmi (file sharing). I software di controllo dei
genitori, più comunemente detti di controllo parentale, vengono utilizzati e svolgono funzioni di filtraggio dei
contenuti e di programmazione dei tempi consentiti per accedere a internet, per esempio quando i genitori sono
presenti in casa, bloccandolo in orari differenti.
4.2.1 Reti Sociali : l’importanza di non divulgare informazioni riservate su siti di reti sociali.
Le reti sociali (social network) sono strumenti di comunicazione e
gestione delle conoscenze molto diffusi al giorno d'oggi sia tra i
giovani che tra gli adulti. A volte questi strumenti, per certi
aspetti così utili, vengono utilizzati in modo poco attento,
dimenticando che tutto ciò che viene messo su internet diventa
di pubblico dominio e di fatto se ne perde il controllo. Per questo
motivo è importante non utilizzare questi strumenti per
comunicare dati riservati, come credenziali di accesso a servizi e
sistemi informatici, PIN e qualsiasi altro dato personale e
aziendale, soprattutto se di carattere economico e finanziario.
Anche la pubblicazione di immagini private dovrebbe essere
considerato con attenzione prima della pubblicazione, così come
la divulgazione di idee e tendenze di carattere religioso, politico,
sessuale. Infatti tali informazioni potrebbero essere utilizzate per attuare furti o per profilare l'utente, con grave
lesione di carattere finanziario o della privacy.
4.2.2 Essere consapevoli della necessità di applicare impostazioni adeguate per la privacy del
proprio account su una rete sociale.
Utilizzando le reti sociali è possibile impostare la privacy del proprio profilo. È importante sapere che esiste
questa possibilità ed evitare di lasciare pubblico il proprio profilo. La cosa migliore è rendere accessibile il proprio
profilo solo a persone che si conoscono anche nella vita reale.
4.2.3 Comprendere i rischi potenziali durante l’uso di siti di reti sociali, quali cyberbullismo,
adescamento, informazioni fuorvianti/pericolose, false identità, link o messaggifraudolenti.
Chi utilizza le reti sociali, infatti, può essere vittima di diversi tipi di attacco:
il cyberbullismo consiste nell'utilizzo di internet per attaccare ripetutamente un individuo
l'adescamento consiste nel tentativo di acquisire la confidenza di una persona, generalmente un minore,
allo scopo di indirizzarla verso comportamenti inappropriati
informazioni fuorvianti o pericolose possono essere pubblicate, spesso allo scopo di cyberbullismo
le false identità, dette anche Fake, consistono nel creare falsi profili su una rete sociale e vengono spesso
usate per tentativi di adescamento e ancora per il cyberbullismo
i link o messaggi fraudolenti, detti anche phishing, hanno lo scopo di carpire informazioni basandosi
sull'ingegneria sociale.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 38
di 44
Comunicazioni
5.1.1 Posta Elettronica Comprendere lo scopo di cifrare,
decifrare un messaggio di posta elettronica.
La posta elettronica è normalmente un mezzo di comunicazione
non sicuro in quanto i messaggi vengono inviati in chiaro. Per fare
un paragone con la posta tradizionale, l'invio di un messaggio di
posta elettronica può essere paragonato, più che a una lettera in
busta chiusa, ad una cartolina postale. Per rendere l'invio di un
messaggio sicuro, occorre pertanto cifrare il messaggio stesso, in modo
che solo il legittimo destinatario, in possesso di una chiave di decodifica, sia in grado
di
leggerlo. Cifrare un messaggio di posta elettronica equivale a inserirlo in una busta e chiuderla prima di inviarlo.
5.1.2 Comprendere il termine firma digitale.
La posta elettronica è un mezzo di comunicazione non sicuro anche per il fatto che non è difficile inviare messaggi
facendo finta di essere una persona diversa da quella che si è. Per fare un paragone con la posta tradizionale,
l'invio di un messaggio dotato di firma digitale, equivale a una raccomandata. La firma digitale è un algoritmo,
personale e legato alla cifratura dei dati, che permette di certificare che il mittente di un messaggio di posta
elettronica è veramente chi dice di essere. Ciò pertanto, unitamente alla cifratura del messaggio, rende la posta
elettronica davvero sicura.
5.1.3 Creare e aggiungere una firma digitale.
Per apporre una firma digitale, prima di tutto occorre possederne una: le firme digitali vengono rilasciate da
aziende o enti che garantiscono la vera identità del proprietario della firma, e utilizzano dispositivi, che
garantiscano la generazione sicura della firma, come smart card e relativo lettore oppure chiavette USB o Token.
Una volta in possesso di una firma digitale si può utilizzare il software
predisposto dal fornitore per firmare digitalmente i documenti, oppure
apporre la firma digitale dai differenti software. Per esempio per apporre
la firma digitale a un messaggio di posta elettronica con Mozilla
Thunderbird, si deve scegliere Modifica →Impostazioni account... e, nella
scheda Sicurezza scegliere la firma digitale da utilizzare. In LibreOffice è
possibile firmare digitalmente un documento scegliendo Firme digitali...
dal menu File. Nella finestra di dialogo si può scegliere la firma digitale se
esistente, oppure importarne uno cliccando su Firma documento.
5.1.4 Essere consapevoli della possibilità di ricevere messaggi fraudolenti e non richiesti.
La posta elettronica è uno strumento molto comodo e utile, a volte viene usato in modo non corretto da parte di
alcune persone per motivi diversi, ma quasi sempre per trarne vantaggio economico o per carpire informazioni
riservate. Un esempio di utilizzo scorretto della posta elettronica è la cosiddetta spam, cioè l'invio di messaggi non
richiesti, generalmente di carattere pubblicitario, che hanno lo scopo di indurre i destinatari ad acquistare
qualcosa. Un altro esempio è il phishing, cioè l'invio di messaggi fraudolenti che inducono i destinatari a fornire
inconsapevolmente a chi li ha inviati dati riservati, allo scopo di frode. In tutti i casi è opportuno non rispondere a
messaggi di questi tipo, neppure per dire che non si è interessati, perché in tal modo si confermerebbe che
l'indirizzo email in questione è attivo e viene utilizzato, invogliando gli spammer (chi invia messaggi spam) ad
inviare sempre più messaggi all'indirizzo in questione. La cosa migliore da fare è quella di non aprire neppure
messaggi di questo tipo, che in realtà sono abbastanza facilmente riconoscibili.
5.1.5 Phishing: uso del nome di aziende rinomate e persone autentiche, collegamenti a falsi siti web.
Come già ampiamente trattato in precedenza, il phishing consiste nell'invio di messaggi fraudolenti nel quali,
fingendo che sia stato inviato da una banca, si chiede di confermare le proprie credenziali pena la decadenza del
conto bancario in questione. Nel messaggio di phishing viene generalmente riportato il link a un sito web fasullo,
ma identico nell'aspetto al sito legittimo. Per distinguerlo da quello vero occorre controllare il dominio presente
nella barra dell'indirizzo, che è diverso da quello originale, salvo quando viene usata anche la tecnica del
pharming. In ogni caso è sufficiente ricordare che nessuna persona seria, banca o azienda chiederebbe di
confermare via email le proprie credenziali, per il semplice fatto che la posta elettronica è un mezzo di
comunicazione non sicuro.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 39
di 44
5.1.6 Rischio di infezione con malware con apertura di un allegato con macro o un file eseguibile.
Alcuni messaggi hanno in allegato dei file infetti con macro o file eseguibili (ad esempio
MSI · EXE · COM · APK · IPA · XAP · APPX · DLL ), che possono danneggiare il computer. Pertanto occorre fare
molta attenzione prima di aprire un allegato, per esempio facendo una scansione con il software antivirus.
5.2.1 IM La messaggistica istantanea e i suoi usi.
La messaggistica istantanea è un mezzo di comunicazione via internet molto utilizzato e consiste nello scambio di
messaggi di testo tra due o più persone. Viene utilizzata, soprattutto dai giovani ma anche tra colleghi, per
conversazioni testuali e per lo scambio di file. Alcuni software di messaggistica istantanea danno anche la
possibilità di chiamate audio e video. La messaggistica istantanea (in lingua inglese instant messaging abbreviata
in IM) è una categoria di sistemi di comunicazione in tempo reale in rete, tipicamente Internet o una rete locale,
che permette ai suoi utilizzatori lo scambio di brevi messaggi. Le differenze principali rispetto alla posta
elettronica o altri tipi di chat sono non solo nella brevità dei messaggi o nella velocità della loro consegna, ma
anche nel fatto che, il modello di comunicazione sia sincrona.
Nei primi sistemi di messaggistica istantanea e in alcuni di quelli recenti, infatti, l'invio di un messaggio è possibile
solo quando anche il destinatario è collegato al sistema (online) e solitamente le comunicazioni non sono
automaticamente memorizzate dalle applicazioni. Al fine di facilitare per un certo utente la comunicazione con gli
altri utenti che il primo conosce, i sistemi di messaggistica istantanea offrono spesso la possibilità di memorizzarli
in una rubrica, solitamente chiamata "lista dei contatti" o "degli amici". I sistemi di messaggistica istantanea
offrono spesso anche la possibilità di scambiare file, di conversare tramite voce con tecnologie VoIP, o di
effettuare videoconferenze. I sistemi di messaggistica istantanea sono realizzati con architettura peer-to-peer,
nella quale le applicazioni usate dagli utenti comunicano direttamente tra loro, o con quella client-server, dove
invece le comunicazioni sono mediate da un servizio centrale. In altri casi ancora, sono utilizzati modelli ibridi
5.2.2 IM Vulnerabilità di sicurezza: malware, accesso da backdoor, accesso a file.
Come la posta elettronica, anche la messaggistica istantanea comporta il rischio di ricevere sul proprio computer
dei malware che possono comprometterne la sicurezza. Inoltre come tutti i software, anche quelli di
messaggistica istantanea possono avere delle vulnerabilità e rendere possibile l'accesso al computer a persone
non autorizzate tramite backdoor
5.2.3 IM Metodi per assicurare la confidenzialità, cifratura, non divulgazione di informazioni
importanti, limitazione di condivisione di file.
Come per la posta elettronica e le reti sociali, per ridurre il rischio di infezioni e di perdita di dati personali, è
opportuno ricorrere a metodi di cifratura delle comunicazioni, ma anche stare attenti a non divulgare
informazioni personali e file a persone non affidabili. Inoltre, come per gli allegati della posta elettronica, occorre
stare attenti quando si apre un file ricevuto da altre persone tramite un programma di messaggistica istantanea.
Gestione fisica dei dispositivi e sicura dei dati Backup
6.1.1 Assicurare la sicurezza fisica di dispositivi, registrare la collocazione e dettagli apparati, usare
cavi di sicurezza, controllare gli accessi.
Per far sì che i dati non vengano persi o rubati, prima di tutto è necessario che i dispositivi informatici siano messi
in sicurezza, cioè che non vengano sottratti o smarriti. Un metodo, adatto in particolare per notebook e computer
desktop predisposti, sono i cavi di sicurezza, tra cui i più diffusi seguono lo standard Kensington Security Lock. È
inoltre importante tenere traccia della collocazione dei dispositivi, così come dei loro dettagli, in modo da poter
verificare in modo preciso eventuali mancanze. Infine è utile controllare gli accessi ai locali nei quali i dispositivi
sono collocati, in modo da poter più facilmente risalire all'autore di eventuali furti.
6.1.2 Procedura di copie di sicurezza per ovviare alla perdita di dati, di informazioni finanziarie, di
segnalibri/cronologia web.
Queste precauzioni tuttavia non sono sufficienti ad evitare completamente la perdita di dati. Ciò per vari motivi:
per esempio si possono perdere i dati per la rottura di un dispositivo di memorizzazione, o anche per lo
smarrimento o il furto di un dispositivo portatile. È quindi importante avere una copia di sicurezza (backup) dei
dati che permetta di ricostruirli in caso di perdita. Tra i dati da salvare nella copia di sicurezza vanno compresi i file
realizzati in proprio (documenti, immagini, ecc...), le informazioni di carattere finanziario, i segnalibri e la
cronologia salvati nel browser.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 40
di 44
6.1.3 Caratteristiche di una procedura di copie di sicurezza, regolarità/frequenza, pianificazione,
collocazione della memoria di massa.
Si è detto che è importante avere una copia di sicurezza dei propri dati. Vediamo ora come va organizzata la
procedura di copia affinché sia davvero efficace in caso di perdita dei dati. Una copia di sicurezza dei dati serve se
è aggiornata. Pertanto, in base al numero di documenti che vengono memorizzati ogni giorno nella memoria del
dispositivo, occorre stabilire se fare una copia quotidiana, settimanale, o mensile dei dati. Per evitare di
dimenticarsi di effettuare la copia di sicurezza, è opportuno impostare un programma di copia in modo che
questa avvenga automaticamente a scadenze regolari in un momento in cui il computer rimane acceso ma non
viene utilizzato, ad evitare che la copia dei dati rallenti il lavoro. Infine occorre prestare attenzione alla
collocazione della copia di sicurezza: se la copia viene posta accanto al dispositivo, anch'essa corre il rischio di
essere persa (furto, danneggiamento a causa di eventi, ecc...). la copia di sicurezza va quindi posta in un luogo, il
più sicuro possibile, diverso dall'originale. Negli ultimi tempi per questo motivo sempre più spesso la copia dei
sicurezza dei dati viene effettuata online, su server remoti.
6.1.4 Backup Effettuare la copia di sicurezza di dati.
Il backup è un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, ecc., ci
si assicura che esista una copia dei dati, assicurando quindi una ridondanza logico/fisica dei dati. Pertanto se si
dispone di un apposito software dedicato o incluso nel proprio sistema operativo, l'esecuzione del backup è quasi
sempre impostata in maniera automatica e svolta normalmente con una periodicità stabilita (per esempio una
volta al giorno o alla settimana), e con altre particolarità avanzate se rese disponibili dal software utilizzato.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 41
di 44
La maggior parte dei sistemi operativi attuali
per personal computer integra un qualche
programma di backup da configurare, ma solo
i server appositamente equipaggiati contengono
normalmente un servizio nativo automatico.
Nelle aziende il tipo di backup e la relativa
periodicità sono solitamente regolati da
un'apposita procedura aziendale soggetta a
verifica periodica e ad altre procedure che
comportano un intervento manuale. Il
responsabile
della sicurezza è
tenuto
ad annotare i controlli periodici e gli interventi
sui sistemi. I supporti su cui viene effettuato il
backup normalmente devono essere di tipo e
marca approvati nella procedura ed è
necessario che siano periodicamente verificati e
sostituiti. Devono inoltre essere conservati in
accordo con le politiche di sicurezza aziendale,
per esempio, ma non solo, per questioni legate
alla privacy.
È naturalmente buona norma eseguire periodiche operazioni di backup anche nei personal computer di uso
privato, che di solito vengono eseguite dall'utilizzatore del computer
stesso che copierà i dati importanti su supporti ottici o magnetici (CDR, CD riscrivibili, DVD-R, DVD riscrivibili, Digital Audio Tape, cartucce a
nastro). Gli hard disk portatili con collegamento esterno USB e
le chiavette usb hanno preso il posto dei floppy disk che sono ormai in
disuso per la scarsa affidabilità e la limitata capacità. È possibile anche
eseguire il backup in modo continuo usando servizi come il backup
online o i backup appliance che sono degli strumenti che permettono
questo tipo di operatività attraverso gli agent, che sono dei software
che si occupano di individuare, attraverso criteri, i file nuovi da
archiviare e immediatamente ne eseguono la copia di sicurezza. Anche
il palmare e lo Smartphone sono diventati importanti strumenti per i
lavoratori perché contengono dati fondamentali come la rubrica telefonica e il calendario degli appuntamenti, è
pertanto diventata buona norma estendere il backup anche a questi strumenti. Diversi nuovi servizi su internet
permettono infine di eseguire il backup degli account e dei dati degli utenti di social network. Funzionalità
programmi di backup Alcune delle principali funzionalità che un programma di backup deve fornire, sono:
Copia immagine di un disco rigido;
Copia selettiva di directory e singoli file;
Criteri di selezione per la ricerca dei contenuti salvati e per la scelta di quelli che devono essere oggetto di
backup (per data, tipo di file, autore della modifica);
Compressione dei contenuti per ridurre la memoria richiesta per la copia;
Sicurezza: protezione dei dati copiati attraverso password e crittografia.
La progressiva discesa del costo delle memorie informatiche, in base alla legge di Moore, pone in secondo piano
l'esigenza di ridurre lo spazio richiesto dai backup, comprimendo i dati; i produttori di sistemi oggi infatti si
concentrano su metodi per la riduzione del numero di elementi da copiare e per la riduzione del traffico di dati
necessario a trasferire i dati da preservare, in modo da aumentare la frequenza delle copie. Per le aziende una
caratteristica importante del backup è che questa attività non vada a sovrapporsi con l'operatività quotidiana,
caricando i sistemi informatici e rallentando i tempi di risposta agli utenti. Per questo motivo vari sistemi di
backup vengono usati la notte, quando normalmente gli utenti non lavorano. Per aumentare la velocità del
backup, solitamente vengono applicati uno o più delle seguenti pratiche:
Backup differenziale il backup differenziale è basato su un algoritmo che confronta i dati di un file da copiare con
quello già copiato, registrando soltanto le differenze quando ce ne sono.
Il backup differenziale è utile, in particolare, per file di grandi dimensioni e che necessitano di un backup completo
e quotidiano, come i database aziendali.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 42
di 44
Compressione la compressione è ottenuta tramite algoritmi di compressione dei dati (come quelli usati dai
programmi più famosi come Winzip, WinRar, WinAce) prima che vengano registrati sul supporto di backup,
oppure attraverso la deduplicazione.
Deduplicazione è ottenuta tramite algoritmi di deduplicazione (che significa eliminazione dei duplicati) che
possono agire a livello di singolo file o di blocco, inteso come insieme di file. La deduplicazione può essere
eseguita prima, durante o dopo la copia di backup, in contemporanea o in differita rispetto alla normale
operatività dei sistemi informatici. La deduplicazione è utile, in particolare, per i gruppi di file o le cartelle di file
che necessitano di un backup completo e quotidiano.
La conservazione dei supporti di backup in posizioni fisicamente distinte e separate dai sistemi in uso è
strettamente necessaria, per evitare che in caso di furto, incendio, alluvione o altro evento catastrofico, le copie
vadano perse insieme agli originali.
7-Zip Come zippare una cartella con password
Windows ha integrato il sistema della cartelle compresse/zippate. Basta selezionare dei file, poi premere il tasto
destro del mouse e scegliere INVIA A CARTELLA COMPRESSA. E’ un ottimo sistema per fare dei backup al volo
tuttavia non è possibile proteggere i file con una password. Una comoda alternativa è 7Zip . Si tratta di un
programma gratuito anche in italiano che permette di zippare file, cartelle, foto e video. Per installarlo basta
scaricare il programma collegandoti sito ufficiale e cliccando sulla voce Download relativa alla versione 32 o 64
bit dell’applicazione Al termine del download apri, facendo doppio click su di esso, il file appena scaricato e nella
finestra che si apre, clicca prima su Sì e poi su Install e F inish per terminare il processo d’installazione di 7-Zip.
Per zippare un oggetto con 7-Zip basta
selezionare e poi con il pulsante destro del
mouse il cliccare sulla voce 7-Zip > + Aggiungi
all’archivio del menu che compare. Nella
finestra che si apre, seleziona il tipo di archivio
che vuoi creare dal menu a tendina collocato
accanto alla voce Formato dell’archivio, il suo
livello di compressione dall’apposito menu a
tendina (Nessuna non comprime l’archivio ma
crea il file zip velocemente, Ultra comprime
l’archivio al massimo ma impiega più tempo);
digita il nome da assegnare all’archivio nel
campo Nome archivio e clicca su OK per
avviare la sua creazione.
Puoi anche proteggere i tuoi archivi con una
password. Per impostarne una, digita la parola
chiave che intendi utilizzare nei campi Inserisci
password eReinserisci password presenti in
basso a destra nella finestra per la creazione di
un nuovo archivio. In caso di file di grosse
dimensioni, puoi dividerlo in più parti e salvarlo sui supporti che più preferisci (es. CD, DVD, ecc.) senza
preoccuparti dello spazio occupato. Per creare un file zip “spezzettato”, non devi far altro che selezionare le
dimensioni che intendi far assumere a ciascuna parte dell’archivio dal menu a tendina collocato sotto la
voce Dividi in più file presente in basso a sinistra nella finestra per la creazione di un nuovo archivio.
Puoi anche impostare 7-Zip in modo che diventi il programma predefinito per aprire archivi in
formato zip, rar, gzip, tar, ecc., accedendo al programma tramite la sua icona presente nella cartella Tutti i
programmi > 7-Zip del menu start di Windows e selezionando la voce Opzioni dal menu Strumenti.
Nella finestra che si apre, seleziona la scheda Sistema, premi la combinazione Ctrl+A sulla tastiera del tuo PC per
selezionare tutti i formati di archivi supportati dal software e clicca prima sul pulsante Applica e poi su OK per far
diventare 7-Zip il programma predefinito per la gestione degli archivi compressi sul tuo PC.
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 43
di 44
6.1.5 Restore Ripristinare e validare i dati sottoposti a copia di sicurezza.
Il ripristino dei dati copiati con l'operazione di backup è normalmente detto restore. Le operazioni connesse con il
recupero dei dati dal backup in caso di guasto o cancellazione di una certa importanza sono abitualmente
soggette ad autorizzazione specifica del responsabile della sicurezza. L'amministratore di sistema o gli utenti che
hanno diritti di accesso analoghi, provvedono al ripristino dei file richiesti.
6.2,1 Distruzione Sicura eliminare in modo permanente i dati da memorie di massa o dispositivi
Quando non servono più, si possono eliminare i dati dalle morie di massa dei dispositivi o dai supporti di backup.
ciò vale anche quando ci si deve disfare di un dispositivo o di un supporto di memoria.
6.2.2 Distinguere tra cancellare i dati e distruggerli in modo permanente.
È importante essere coscienti del fatto che la semplice cancellazione di un file non garantisce la sua effettiva
rimozione. Ciò per due motivi: – i moderni sistemi operativi dispongono di una cartella speciale, chiamata Cestino,
dove vengono spostati i file cancellati. È pertanto sempre possibile ripristinare dati cancellati in questo modo;
– anche si i file vengono cancellati dal Cestino, in realtà rimangono delle tracce sul disco. Pertanto, anche se non
saranno visibili con gli strumenti tradizionali con programmi specifici di recupero dati possono essere ricostruiti
integralmente o quasi, a seconda del tempo che passa dalla loro cancellazione e dall'uso che viene fatto del
computer.
6.2.3 Metodi comuni per distruggere i dati in modo permanente, trita documenti, distruzione di
memorie di massa/dispositivi, smagnetizzazione, uso di utilità per cancellazione definitiva dei dati.
Per cancellare definitivamente i dati è necessario pertanto utilizzare altri metodi:
– per i documenti cartacei è opportuno utilizzare dei tritadocumenti, che tagliano a striscioline o riducono a
coriandoli i fogli
– le memorie di massa da eliminare vanno rese inutilizzabili o smagnetizzate per mezzo di apparecchi (degausser)
in grado di applicare intensi campi magnetici
– se la memoria di massa deve essere riutilizzata è opportuno eliminare i file in modo definitivo e sicuro per
mezzo di appositi software che sovrascrivono i file più volte in modo da renderli non recuperabili. Se si sceglie di
cancellare in modo sicuro il Cestino, in file in esso contenuti saranno eliminati in modo sicuro. Se il Cestino è stato
già svuotato, si può scegliere di cancellare in modo sicuro lo Spazio libero su disco.
ESERCITAZIONI E SIMULAZIONI ECDL
Presso il nostro centro formazione per tutti gli iscritti al corso, esercitazioni pratiche e teoriche e simulazioni
esami ECDL con SimulAtlas. Approfondimenti e Test gratuiti sul nostro sito www.informaweb.it
InFormaWEB.IT Formazione & Social Media - Corso ECDL IT Security – versione del 03/09/2014 - Pag. 44
di 44
© Copyright 2024 Paperzz
