Home Azienda Risorse Articoli Sicurezza: la Paura della rete
Sicurezza: la Paura della rete Stampa E-mail

Negli ultimi anni si è avuta la larga diffusione di sistemi basati su protocollo TCP/IP, come ad esempio il web e la posta elettronica che hanno consentito ad un numero sempre maggiore di utenti di accedere ad Internet. Si è quindi avuta la proliferazione di siti che forniscono servizi all'utenza tramite una connessione Internet qualsiasi, come ad esempio i sistemi di trading on line, di home banking e di e-commerce, i quali richiedono, per fornire i servizi, la trasmissione di dati personali e, come meccanismo di pagamento, necessitano quasi sempre dell'utilizzo della carta di credito.

La maggior parte degli utenti ha paura di utilizzare sulla rete la carta di credito in quanto c'è la (falsa) convinzione che Internet non sia sufficientemente sicura. Se andiamo però a vedere il funzionamento dei sistemi di pagamento tradizionale che fanno uso di carta di credito (es. il pagamento di un pranzo al ristorante consegnando la carta al cameriere o il pagamento tramite POS in un centro commerciale) e li confrontiamo con le modalità di pagamento sicuro utilizzare sulla rete, queste ultime garantiscono all'acquirente una sicurezza maggiore, a patto che:

  • i sistemi informativi siano stati progettati correttamente;
  • venga utilizzata la crittografia
  • il responsabile della security aziendale provveda a tenere aggiornati i sistemi informativi eliminando le falle alla sicurezza man mano che vengono scoperte

in tal caso le possibilità di intercettare il numero di carta di credito mentre questo viene trasmesso è prossima allo zero.

Quello che la maggior parte degli utenti ignora, in quanto non conosce il funzionamento della rete, è come fare a distinguere un sito sicuro da uno insicuro; bastano alcuni accorgimenti per essere certi di trasmettere i dati personali in modo sicuro:

  • Assicurarsi che, all'interno della finestra del browser, nella barra dell'indirizzo compaia la scritta https://... al posto di http//... e che nella barra di stato, presente in fondo alla finestra, compaia l'icona di un lucchetto. In tal caso i dati che noi inviamo sulla rete vengono trasmessi in modo cifrato e sarà molto difficile che qualcuno riesca ad intercettarli.
  • Disattivare, o meglio disinstallare, tutti i programmi che consentono la condivisione dei file fra più utenti (i successori di Napster) in quanto essi possono essere veicolo di cavalli di troia e keylogger che catturano le informazioni digitate dall'utente
  • Installare un buon sistema antivirus in grado di aggiornarsi automaticamente che monitorizza in tempo reale il sistema
  • Preferire siti che si identificano tramite un certificato digitale valido rilasciato da un ente di certificazione autorevole (attenzione quindi ai certificati rilasciati dal proprietario del sito stesso) che fa da garante sull'identità del sito stesso
  • Non scaricare e attivare programmi di dubbia provenienza
  • Non memorizzare mai sul PC le user e le password di accesso ai siti web. In particolare non abilitare mai, quando richiesto, il riconoscimento automatico degli utenti.

Se non si rispettano le condizioni precedenti è buona norma non trasmettere sulla rete informazioni importanti in quanto queste potrebbero essere facilmente intercettate.


img1_76.gif

Diverso è il discorso su cosa viene fatto dei numeri di carta di credito quando questi arrivano su server del commerciante elettronico: vengono utilizzati e poi cestinati oppure vengono memorizzati su un database in modo da poter essere riutilizzati per acquisti futuri. Molti siti memorizzano il numero di carta di credito per evitare che l'utente debba ritrasmetterlo per eventuali acquisti successivi (e l'utente, come detto prima ha paura nel trasmettere il numero di carta di credito) senza ricordare che la memorizzazione di informazioni sul server, se questo non è ben protetto, è meno sicura della ritrasmissione dell'informazione stessa: il server è una macchina con un sistema informativo e con dei servizi attivati; se in una delle sue componenti esistono delle falle alla sicurezza allora un cracker può sfruttare le vulnerabilità per accedere al sistema e per impadronirsi dei numeri di carta di credito (o delle altre informazioni) memorizzati sul server.


img2_76.gif

Per ovviare a questo problema si stà diffondendo una modalità di pagamento assistita: al momento di eseguire il pagamento l'utente non fornisce il numero di carta di credito al sito di e-commerce ma viene reindirizzato sul sito di una banca tramite la quale eseguire l'accredito. La banca farà da garante per la transazione. Anche in questo caso l'uso di certificati digitali garantisce l'utente sulla reale identità della banca.

img3_76.gif

Ad aumentare questa paura concorrono anche i mezzi di comunicazione di massa. Per quanto il rischio di attacchi ai sistemi informativi di una banca (o di grandi aziende) sia reale, molto spesso i media tendono ad amplificare la notizia; ad esempio, è sempre più frequente trovare news riguardanti fantomatici attacchi di hacker ai sistemi informativi di una banca che poi, ad un'analisi più attenta dei fatti, si sono rivelati essere problemi dovuti a cause non informatiche (come un black-out) oppure l'intercettazione, via Internet, del numero di carta di credito di migliaia di persone che, su siti sicuri è altamente improbabile. Questo accade in quanto i media vogliono "fare uscire" lo scoop prima della concorrenza (e al giorno d'oggi la parola hacker fa molto effetto) e quindi non approfondiscono sempre la notizia ma la diffondono così come l'hanno ricevuta, molto spesso errata o incompleta. Un classico esempio è stata la diffusione del virus "I love you" che nello scorso anno ha mietuto migliaia di vittime in tutto il mondo. Sono stati pochi i media che hanno fornito informazioni sul meccanismo di contagio, sulla modalità di eliminazione del virus e sulle operazioni da attuare per prevenire l'infezione; la maggior parte di essi ha semplicemente dato la notizia facendo notare, una volta di più, che Internet è insicura. Comunque è sufficiente un po' di corretta informazione a riguardo, da parte degli amministratori e degli utenti dei Sistemi Informativi, e l'utilizzo di qualche accorgimento tecnico, per minimizzare il rischio di infezione e per ridurre le possibilità di diffondere virus informatici. Ad esempio:

  • Installare su tutti i server e su tutte le workstation un buon sistema antivirus. L'antivirus deve essere aggiornato ad intervalli regolari che non dovrebbero superare i 10-15 giorni. Se possibile, affidarsi ad un antivirus con funzioni di aggiornamento automatico.
  • Eseguire una scansione completa del sistema almeno una volta al mese. Questa scansione non deve essere eseguita con l'antivirus presente sul PC in quanto il sistema potrebbe essere infettato e il virus potrebbe ingannare il sistema di rilevamento. E' necessario eseguire il boot da un floppy o da un CD puliti (si deve essere certi che essi non contengano virus).
  • Non affidarsi ad un unico antivirus. Se possibile eseguire la scansione utilizzando prodotti diversi.
  • Nei sistemi windows abilitare sempre la visualizzazione delle estensioni dei file (che di default è disabilitata). Questo evita che alcuni programmi maliziosi ingannino l'utente facendogli credere che un file o un allegato di posta non sia quello che deve essere (ad esempio il file pippo.mp3.exe, con la visualizzazione delle estensioni disabilitata, verrebbe visto dall'utente come pippo.mp3 e, probabilmente, scambiato dall'utente stesso come un file musicale)
  • Disabilitare, se non indispensabile, l'esecuzione delle macro all'interno dei documenti Office. Se ciò non è possibile abilitare i messaggi di warning che avvertono l'utente dell'esistenza di una macro potenzialmente dannosa
  • Per ridurre le possibilità di diffusione di script virus della posta elettronica, disabilitare la visualizzazione di mail in formato HTML. I messaggi verranno visualizzati con qualità minore ma il sistema sarà più sicuro.
  • Aprire gli allegati in modo accorto: non aprire mai allegati di dubbia provenienza e fare sempre attenzione al contenuto del messaggio di mail prima di aprire un allegato per individuare tracce della possibile falsità dello stesso.

La disinformazione esiste pure all'interno delle aziende: mi è successo molte volte di sentire alcuni responsabili aziendali affermare che la loro rete è sicura in quanto hanno installato un firewall per poi scoprire che lo stesso firewall era mal configurato e non era stato aggiornato con le patch che chiudevano le falle sulla sicurezza, oppure "passeggiare" fra le scrivanie e vedere appiccicati sui monitor dei post-it con sopra scritte, a caratteri cubitali, le user e le password dei server di produzione. Le stesse password poi erano quelle assegnate dall'amministratore alla creazione del login e mai cambiate dall'utente oppure la password riportava il nome della moglie, della figlia, o la data di nascita dell'utente stesso; password di questo tipo sono facilmente indovinabili e non dovrebbero mai essere usate.

La prima cosa che bisogna quindi fare, per aumentare la sicurezza della rete, è sensibilizzare gli utilizzatori dei sistemi informativi spiegando loro che cosa si intende per sicurezza, quali sono i reali pericoli della rete e come fare per trasmettere informazioni in modo sicuro.