ECDL Modulo 12 IT Security, appunti di Ecdl Aica

IT Security

Concetti di sicurezza

Minacce ai dati

I dati sono numeri o altro (immagini, testo, ecc ... ) che rappresentano fatti o eventi non ancora organizzati. Le informazioni sono dati organizzati in modo da essere comprensibili e significativi per l'utente.

Un crimine informatico è un crimine attuato per mezzo dell'abuso degli strumenti informatici, come computer e internet. Esempi di crimine informatico sono la frode informatica, il furto d'identità o l'accesso non autorizzato a sistemi informatici.

Il termine hacking deriva dal verbo inglese to hack (intaccare) e ha diverse valenze: restringendo il campo al settore dell'informatica, si intende per hacking l'insieme dei metodi, delle tecniche e delle operazioni volte a conoscere, accedere e modificare un sistema hardware o software. Colui che pratica l'hacking viene identificato come hacker.

Quando lo scopo principale dell'hacker è quello di utilizzare il sistema informatico a cui ha avuto accesso a proprio vantaggio per rubarne i dati o danneggiarlo, si parla di cracking. Colui che pratica il cracking viene identificato come cracker.

Per hacking etico si intende l'utilizzo delle tecniche di hacking per monitorare la sicurezza dei sistemi e delle reti informatiche al fine di evitare l'abuso da parte di malintenzionati. Colui che pratica l'hacking etico viene identificato come hacker etico, o anche white hat (cappello bianco) in opposizione al termine black hat, che identifica un cracker.

I dati possono essere minacciati non solo da persone, ma anche da eventi naturali come incendi, inondazioni, terremoti, o artificiali come la guerra o il vandalismo. È pertanto necessario tenerne conto per prevenirne la perdita.

I vari casi l'origine della perdita di dati può dipendere anche da altri fattori, più o meno volontari, come gli stessi dipendenti di un'azienda che, essendo autorizzati all'accesso ai dati, possono involontariamente perderli o anche rubarli per poi rivenderli.

Anche i fornitori di servizi, pensiamo a chi manutiene le attrezzature hardware o l'infrastruttura di rete, potenzialmente sono in grado di danneggiare involontariamente i dati oppure di prenderne illegalmente possesso.

Infine può capitare che persone esterne, clienti e fornitori o semplici ospiti, possano accedere alla rete aziendale o scolastica tramite computer o altri dispositivi portatili, ad esempio tramite il wifi, e mettere a rischio i dati.

Valore delle informazioni

Dovrebbero essere abbastanza evidenti i motivi per cui è opportuno proteggere le proprie informazioni personali: se qualcuno entra in possesso di dati riservati, come le credenziali di accesso alla posta elettronica o a una rete sociale, ne può fare un uso illegale facendo ricadere la colpa su di noi; così, se un malintenzionato entra in possesso del numero di carta di credito o dei dati di accesso a un servizio di internet banking, li può utilizzare a proprio vantaggio.

Per un'azienda che tratta dati di clienti o informazioni di carattere finanziario, è per certi aspetti ancora più essenziale proteggere queste informazioni, in quanto se venissero utilizzate illegalmente la società che li deteneva ne sarebbe responsabile.

Per proteggere i dati riservati, propri o altrui, è essenziale proteggerli con determinate tecniche per mezzo delle quali, anche se finissero nelle mani di malintenzionati (per esempio se immagazzinati su dispositivi mobili che possono più facilmente essere rubati), non potrebbero essere utilizzati.

La prima cosa da fare è proteggere con password robuste i dispositivi che permettono l'accesso ai dati.

La seconda è quella di cifrare, attraverso un opportuno algoritmo crittografico, i dati stessi. Ciò è necessario perché la password da sola garantisce i dati quando l'accesso avviene dal dispositivo su cui sono memorizzati, mentre non avrebbe effetto se i dati fossero memorizzati su una memoria rimovibile (pen drive, disco esterno, ma anche hard disk smontato dal computer e collegato ad un altro).

La crittografia ha una lunga storia alle spalle, ed è stata utilizzata anche in tempi antichi per evitare che i messaggi venissero compresi da nemici. In campo informatico esistono oggi algoritmi e software sicuri e semplici da utilizzare.

Per essere sicure, le informazioni devono avere un alto grado di confidenzialità, cioè non devono essere diffuse a chi non è autorizzato. Devono essere integre, cioè complete e senza modifiche rispetto all'originale. Infine devono essere disponibili al momento del bisogno: non avrebbe alcuna utilità curare la sicurezza dei dati e delle informazioni se poi, quando servono, per qualche motivo non si riesce a recuperarle nei tempi necessari.

In Italia è stato emesso Decreto Legislativo n. 5 del 9 febbraio 2012 che ha aggiornato il Dlgs 196/2003, a seguito dell'approvazione da parte della Commissione Europea nel gennaio 2012 di un regolamento sulla protezione dei dati personali, in sostituzione della direttiva 95/46/CE in tutti e 27 gli stati membri dell'Unione Europea e di una direttiva che disciplina i trattamenti per finalità di giustizia e di polizia (attualmente esclusi dal campo di applicazione della direttiva 95/46/CE).

A seguito di queste premesse, si comprende quanto sia importante attenersi alle regole che disciplinano l'utilizzo delle tecnologie informatiche e delle telecomunicazioni (ICT) per preservare i dati, personali e aziendali, dal furto, dallo smarrimento e da un utilizzo non consentito.

Sicurezza personale

L'ingegneria sociale (dall'inglese social engineering) è lo studio del comportamento individuale di una persona al fine di carpire informazioni utili.

Viene a volte utilizzata, al posto delle tecniche di hacking, per accedere a informazioni riservate aggirando sistemi di protezione hardware e software dei dati sempre più sofisticati e difficilmente penetrabili.

L'ingegneria sociale utilizza diversi mezzi per carpire informazioni personali e riservate. Uno di questi sono le chiamate telefoniche che, a volte promettendo premi, cercano di ottenere informazioni personali mascherandole con sondaggi anonimi.

Il phishing è una tecnica basata sull'invio di ingannevoli messaggi di posta elettronica: il phisher si finge un servizio bancario e, minacciando la chiusura del conto o della carta di credito, chiede di inserire le proprie credenziali per poterle verificare. Ovviamente si tratta di un trucco per entrarne in possesso.

Il shoulder surfing (fare surf sulla spalla) consiste nel carpire le credenziali immesse dall'utente di un servizio spiandolo direttamente, standogli nei pressi, oppure anche da lontano, per mezzo di lenti o telecamere. Ciò può avvenire generalmente in luoghi affollati, come internet cafè o simili.

Il furto di identità nel campo informatico consiste nell'appropriazione indebita delle credenziali di accesso a un servizio (accesso a un PC, a una rete locale, a internet, alla posta elettronica, a una rete sociale, a un servizio di internet banking) allo scopo di usarlo a proprio vantaggio, per compiere crimini informatici come frodi o furti.

Per il furto di identità vengono usati vari metodi, tra cui per esempio frugare negli scarti delle persone tra cui potrebbe nascondersi qualche riferimento ai propri dati sensibili (ad esempio un foglietto su cui è annotata la password di accesso a un servizio).

In alcuni casi ci si finge qualcun altro dotato di diritto ad avere le credenziali, per esempio nel caso del phishing.

Infine in altri casi viene usata la tecnica dello skimming, che consiste nell'acquisire immagini (o filmati) di oggetti su cui sono impressi dei dati semsibili, per esempio la carta di credito o il PIN del bancomat. Quando si preleva da un bancomat è importante non solo non farsi vedere da qualcuno, ma anche stare attenti che non ci siano webcam posizionate sopra la della tastiera.

Sicurezza dei file

Una macro è un insieme di istruzioni, a volte molto complesse e che utilizzano un linguaggio di programmazione (come Visual Basic o Libreoffice Basic) che possono essere eseguite, all'interno di un software di produttività (videoscrittura, foglio di calcolo, ecc ... ) automaticamente o alla pressione di una combinazione di tasti.

Le macro sono strumenti molto utili perché automatizzano procedure lunghe e noiose, ma possono contenere codice malevolo che quindi può causare danni al computer. Ciò vale soprattutto quando l'origine della macro non è certa.

Pertanto attivare una macro ne consente l'esecuzione con i vantaggi sopra descritti, ma può mettere a rischio il computer.

Al contrario, disattivare una macro non ne consente l'esecuzione e quindi impedisce di avvalersi delle sue funzionalità, ma mette al sicuro il computer da possibile codice malevolo.

In linea di massima la cosa migliore è attivare le macro di cui si è certi, e disattivare quelle di incerta provenienza.

È possibile impostare una password per proteggere un file da accesi indesiderati. Per farlo utilizzando le applicazioni di Libreoffice occorre: - aprire il file da proteggere - scegliere Proprietà ... dal menu File - nella scheda Sicurezza cliccare sul pulsante Proteggi ... - inserire e confermare la password da applicare Per proteggere con password un archivio compresso, si può procedere in