SICUREZZA INFORMATICA
PER PSICOLOGI E PSICHIATRI
Luca Pezzullo @ 2002 per Psychomedia Telematic Review
PARTE PRIMA
Iniziare a capire di cosa si parla....
Hacker, Cracker, Virus, Trojan.... cosa significano ?
Chiariamo: il "pirata informatico" dei film, il "barbablù" di Internet, è quello che si potrebbe definire un cracker.
"Hacker" è invece l'informatico di grande esperienza e competenza, che ha una conoscenza profonda del funzionamento e della struttura dei sistemi informatici. In particolare, l'Hacker è in grado di entrare nei sistemi informatici altrui per dimostrare la propria abilità tecnica a se stesso ed ai suoi pari, ed imparare qualcosa di nuovo. In sè, Hacker è (o dovrebbe essere) un termine con una connotazione positiva.
Proseguendo l'analogia, il "Cracker" rappresenta "il lato oscuro": un Hacker che si diverte a "bucare" i sistemi (= entrarvi clandestinamente, fare danni, compiere operazioni non autorizzate) con scopi distruttivi o di interesse personale (spionaggio industriale, copia illegale di software protetti, eliminazione di dati). Il nome stesso Cracker deriva, secondo alcuni, da To Crack (rompere i sistemi di sicurezza), per altri dalla contrazione di Criminal Hacker.
A volte si parla anche di White Hat (cappello bianco), per definire gli Hackers più legalitari, e di Black Hat (cappello nero) per i Crackers, riservando l'ambigua definizione di Gray Hat (cappello grigio) per tutti coloro che non si riconoscono in nessuna delle due categorie.
A queste definizioni generali, si possono aggiungere:
"Lamer", ovvero l'Hacker dilettante, che si sente orgoglioso della propria abilità ma che in realtà è un dilettante pieno di autocompiacimento (Lamer è un'etichetta dispregiativa e sarcastica che viene quindi eteroattribuita).
"Script Kiddie", il ragazzino degli Scripts (=programmini precompilati), ovvero un superdilettante che si diverte a "giocare all'Hacker" con strumenti preconfezionati trovati da qualche parte in Rete... uno sciocco imprudente che può fare parecchi danni se trova qualcuno di sufficientemente ingenuo da permetterglielo.
Nella maggior parte dei casi, gli "attacchi" informatici vengono effettuati da script kiddies che si divertono a sperimentare i tools di hacking (programmati da altri) trovati in giro per la Rete.
Nota: molti Hacker (quelli bravi, ovviamente) finiscono col lavorare come esperti di sicurezza informatica per aziende. La loro competenza e profonda conoscenza del settore li rendono professionisti preziosi.
Proteggere, Proteggersi
Come proteggere un sistema informatico ?
La sicurezza informatica si realizza considerando due dimensioni: l'analisi delle minacce e l'analisi delle vulnerabilità.
L'Analisi delle Minacce consiste nella considerazione di tutti i possibili attacchi che possono essere condotti contro un sistema.
L'Analisi delle Vulnerabilità consiste nell'analisi dei punti critici dei nostri sistemi, che rendono più facile l'accesso e l'attuazione della minaccia.
Dall'incrociarsi di queste due dimensioni, si possono comprendere quali sono i rischi effettivi per il sistema, e cosa si può fare per ridurli al massimo (tenendo sempre conto che la sicurezza "assoluta" non può esistere). Il processo di miglioramento delle protezioni del nostro sistema va sotto il nome di "hardening", ovvero il trasformare un bersaglio facile in un bersaglio "duro e difficile": la maggior parte degli attaccanti va in cerca di obbiettivi più semplici.
Minacce:
Le minacce possono essere suddivise in alcuni tipi: sostanzialmente, per quello che ci interessa, si tratta di attacchi che portano ad una perdita di dati (data loss) o di attacchi che portano ad un loro accesso non autorizzato.
Sono ambedue problemi seri, ma quello che può preoccupare di più il professionista della salute mentale è sicuramente il secondo (per il primo è sufficiente effettuare dei backup regolari dei dati). Vedremo fra poche righe i principali rischi di attacco.
Vulnerabilità:
Sono molto numerose e le analizzeremo in dettaglio in seguito. Un PC normale, quando è connesso in rete, presenta ad esempio numerosi "varchi" attraverso cui è possibile accedere al sistema.
Si tratta di vere e proprie "porte virtuali", che canalizzano lo scambio di dati da e verso il computer. Essendo però delle vere e proprie "porte aperte" per permettere lo scambio dei dati "legittimi", possono essere usate anche per far passare dati e programmi "illegali", fino a realizzare vere e proprie intrusioni sul sistema e furti di dati e materiali. Ovviamente, è molto difficile rendersi conto di queste intrusioni, che avvengono in modalità "stealth", nascosta. Esistono 65.535 porte (!!), di cui vengono utilizzate soprattutto le prime 1024 (dette Well Known Ports, Porte Ben Conosciute). Ogni porta è "dedicata" ad un particolare compito, ovvero attraverso di essa possono transitare, con modalità specifiche, alcune categorie di dati ben definite. Ad esempio, dalla porta 80 passano i pacchetti di dati dei siti web, mentre dalla porta 21 passano i dati FTP (scaricamento di files da Internet). Ogni porta si può però utilizzare, con appositi accorgimenti, come canale di accesso illegale al sistema.
Diventa dunque necessario chiudere le porte non utilizzare, ed utilizzare dei programmi "guardiani" che, sorvegliando queste porte, ci permettono di individuare e bloccare virus e troiani, cioè i Firewall. E sarebbe anche importante rendere "inintellegibili" i documenti che venissero eventualmente "rubati".
Oltre alle porte, diventano dei pericolosi punti d'accesso anche i protocolli di rete (i "linguaggi" con cui il nostro computer scambia informazioni con altri computer collegati: ad esempio IPX/SPX, NetBEUI, TCP/IP): se non necessari, si consiglia sempre di mantenere attivo (vedi dopo) solo il TCP/IP, che è il protocollo necessario per scambiare dati in Internet.
Il termine "exploit" (o bug) descrive le "vulnerabilità software" intrinseche ad un programma od al sistema operativo. Gran parte dell'attività degli hacker (e sull'altro versante, degli esperti di sicurezza informatica) consiste proprio nel trovare gli exploit di un sistema, ovvero le "falle telematiche" attraverso cui è possibile sferrare un attacco. Quando un exploit, un "buco", viene riconosciuto come particolarmente grave, i produtttori del software in questione devono rilasciare in tutta fretta una "patch", un breve programmino che va a sanare questa falla del loro prodotto.
I siti di hacking sono in gran parte destinati alla discussione sugli expoit e sul modo per approfittarne.
Vediamo una breve sinossi dei principali tipi di "rischi informatici":
Virus: La minaccia forse più conosciuta anche da chi di computer non se ne intende proprio. Sono piccoli programmi che possono causare danni di vario tipo. Di facile diffusione, negli ultimi anni hanno iniziato a comprendere delle parti di codice che li possono aiutare a non essere individuati dagli antivirus.
Trojans: varianti dei virus, programmi in grado di installarsi in un computer e di (tra l'altro) spiare il suo contenuto, trasmettendolo anche all'esterno in maniera "invisibile". Molti troiani permettono un controllo remoto del computer oggetto dell'attacco. Ovvero, l'attaccante è in grado di controllare e gestire il vostro computer come se ci fosse seduto davanti.
Nuking: Blocco della connessione / del sistema. È possibile "far saltare" la connessione di un computer al server che lo connette ad Internet, intasandone le "porte virtuali" con giganteschi o numerosissimi pacchetti di dati. Un'altra modalità per "nukare" un sistema consiste nel bloccare alcuni processi informatici essenziali per il funzionamento del PC, causando una "caduta" della macchina. Un esempio di nuke è dato da un...
Denial of Service / Distribuited Denial of Service (DoS/DDos): Si tratta di un problema che riguarda principalmente i Server, ovvero i grossi computer su cui sono fisicamente pacchetto di dati con indirizzo IP (cioè l'identificativo univoco del computer) del mittente uguale a quello del destinatario, che cortocircuita la connessione: in pratica, il computer nel rispondere comincia a mandare dati a se stesso, fino a bloccarsi del tutto in questa sorta di circolo vizioso.
residenti dati, informazioni e siti con cui ci interfacciamo nelle nostre navigazioni Internet. Il DoS (da non confondere con il vecchio sistema operativo) consiste in un attacco contro un server, per bloccare un servizio Internet, attraverso un "nuking" ottenuto inviando migliaia di pacchetti di dati in contemporanea al server in questione. Superato un certo limite, il server non è più in grado di rispondere e collassa, bloccando il servizio e non potendo più rispondere alle richieste "normali" che gli pervengono dagli utenti ordinari. L'attacco spesso viene sferrato a partire da un computer che non è quello del pirata informatico, ma di un ente pubblico o simili, controllato a distanza dal pirata che è riuscito ad infiltrarvisi. Il DDoS è simile, ma in questo caso i pacchetti, con alcuni artifici, si riesce ad ottenere che siano inviati al server-vittima da molti altri computer (anche centinaia, sparsi in tutto il mondo), sempre sotto il coordinamento di un sistema informatico di cui il pirata ha preso originariamente il controllo.
Defacing: Il defacing, o "defacciamento", è una sorta di "sfregio virtuale" che viene fatto contro le homepage di certi siti internet "bersaglio", che vengono sostituite con immagini o scritte ingiuriose. Così, chi si collega al sito si trova accolto da qualcosa che di certo non si aspetta... Celebri i recenti defacement di siti fondamentalisti arabi da parte di hacker israeliani (che hanno piazzato una Stella di David nel bel mezzo della loro homepage), od i tentativi di piazzare foto pornografiche sulla pagina di benvenuto dei siti di vescovadi ed ordini religiosi. Il defacement di un sito "importante" è considerato una dimostrazione di grande abilità, nella comunità hacker. Anche questa è comunque un'eventualità di cui lo psi- medio non si deve certo preoccupare, a meno che non gestisca un sito internet di una certa fama.
Sniffing: "rubare" dati, soprattutto durante la digitazione o lo svolgimento di una transizione elettronica. I due tipi di dati critici sono le passwords ed i numeri di carta di credito. Se ovviamente viene "sniffata" una password, sarà poi possibile utilizzarla per aprire i documenti relativi. Un tipo particolarmente insidioso di sniffer è rappresentato dai keyloggers, che registrano e "ruban"o tutti i tasti premuti sulla tastiera in una sessione di lavoro (e rendono quindi facile ricostruire, ad esempio, una password).
Profiling: Più che un vero attacco, una minaccia alla propria privacy: si tratta di ottenere una descrizione delle abitudini e caratteristiche delle persona osservata, in base alle sue navigazioni Internet. Si ottiene tramite i cookies ed un apposito tipo di software, detto Spyware (spesso nascosto all'interno di applicazioni utili - ed anche famose).
Esistono anche altri tipi di attacchi o rischi informatici, ma questi sono quelli più diffusi o di maggiore interesse per il professionista psi-. Come si vede, le minacce dirette sono comunque numerose, ed alcune sono particolarmente "distruttive" per le nostre categorie professionali. Iniziamo a proteggerci.
I passi per aumentare la sicurezza del proprio sistema...
Le impostazioni di Windows:
Il primo, grande problema di sicurezza è rappresentato dal modo in cui è impostato il nostro sistema operativo (SO). Nel caso si utilizzi Windows, le falle di sicurezza sono purtroppo parecchie. Ognuna di queste falle rappresenta un possibile "varco" per i malintenzionati, soprattutto se non siamo i soli a mettere la mani sul PC o se ci connettiamo con esso ad Internet.
Senza entrare nel dettaglio, forniamo le indicazioni pratiche per "chiudere questi varchi". Seguendo i punti successivo, capirete quali provvedimenti possono essere necessari sul vostro PC.
A) Prima di iniziare:
Avete creato il dischetto d'avvio d'emergenza di Windows ? Se non lo avete fatto, fatelo ADESSO, prima di andare avanti a leggere. Please, non dite: "adesso vado avanti a leggere, lo creo dopo". Tutte le pagine che seguono sono assolutamente superflue se non risolvete SUBITO questo problema critico. Prendete un floppy disk nuovo, andate su Start, poi Impostazioni, poi Pannello di Controllo, scegliete Installazione Applicazioni, selezionate Disco di Ripristino. Cliccate su Crea Disco e seguite le istruzioni. Terminata la preparazione del dischetto, abbassate la tacchetta di protezione sul floppy (uno dei quadratini di plastica in basso), in modo da evitare modifiche accidentali, e riponetelo in un posto sicuro. In caso di gravi crash di sistema, utilizzando il dischetto d'emergenza in congiunzione con il CD di Ripristino di Windows, sarà possibile procedere ad un avvio diagnostico del sistema, per cercare di risolvere il problema e recuperare i dati.
In secondo luogo: un'ottima procedura di sicurezza, che purtroppo non viene quasi mai effettuata (a causa dell'atteggiamento "magico" nei confronti del computer), consiste nel fare regolari copie di backup dei propri dati importanti. Si tratta semplicemente di masterizzarsi un CD con i "lavori in corso" ad intervalli regolari, o quanto meno di salvare regolarmente i documenti più importanti su floppy. In caso di danneggiamento del disco fisso, questa è a volte l'UNICA modalità per non perdere il lavoro di mesi.
I danni al disco fisso possono capitare veramente a tutti, e sono l'equivalente di un incendio che brucia uno schedario: se non avevamo una copia delle schede cartacee, è tutto perso, aldilà di ogni possibilità di recupero.
Nel programma di masterizzazione che usate ci sarà sicuramente una funzione per facilitare il backup. Utilizzando un CD-RW potete effettuare un backup incrementale: ovvero non dovrete, ogni volta che aggiungete qualche files importante ai vostri documenti, rimasterizzare da capo tutto quanto su un CD-R; con l'apposita funzione dei programmi di masterizzazioni ed un CD-RW potete aggiungere di volta in volta solo le modifiche e le aggiunte apportate nel frattempo
Potete anche usare altre forme di backup, su supporti tipo Jaz o Zip. Evitate, per i dati sensibili, "gli hard disk virtuali" disponibili su alcuni siti Internet: la privacy di quei dati non può certo essere garantita, anzi...
Terzo, fondamentale, punto. Su Windows esiste una funzione che si chiama "Windows Update". Serve per aggiornare quasi automaticamente il sistema operativo, scaricandosi dal sito della Microsoft tutte le "patch" di sicurezza necessarie. Una "patch", come abbiamo già detto, è un piccolo file che serve per risolvere un problema software; può essere utile immaginarsela come una toppa per coprire un buco. Alcune di queste patch sono assolutamente fondamentali, perchè sono state prodotte per ovviare a gravi problemi di sicurezza (exploit) emersi dopo la commercializzazione di Windows. Collegatevi quindi ad Internet e cliccate sulla voce Windows Update (se avete Win 95, collegatevi manualmente al sito www.microsoft.com e seguite le istruzioni per l'aggiornamento). Dopo qualche passaggio, in cui dovrete seguire le istruzioni visualizzate a schermo, vi verrà proposto di scaricare un grosso file autoinstallante, che contiene le principali patches di sicurezza uscite negli ultimi mesi. Scaricatevelo tranquillamente: ci mette un pò, ma poi fa tutto lui in automatico.
La stessa cosa dovrebbe essere fatta per il browser: se usate Internet Explorer, verificate sempre sul sito della Microsoft l'esistenza di patch considerate “critiche” per la sicurezza; se usate Netscape Communicator (tendenzialmente un pò più sicuro), controllate sul sito www.netscape.com.
È utile iniziare a concepire queste piccole pratiche di sicurezza (creare dischi di emergenza, aggiornare il sistema, fare backup regolari) non come una seccatura, ma come una pratica igienica: nessuno dovrebbe dire "io non mi metto mai la cintura di sicurezza, perchè mi da fastidio e poi tanto gli incidenti capitano solo agli altri". Il fatalismo, nel mondo della sicurezza informatica, è la strada regia per i guai.
B) Avvio del Sistema e Dischetti
Molte delle impostazioni di sicurezza che inserite nel vostro sistema possono essere facilmente superate se si inserisce un floppy di avvio e si accende il computer. A questo punto il computer cerca di avviare Windows partendo dal floppy, ed è così possibile superare blocchi e passwords. Dovete quindi modificare "l'ordine di avvio" del BIOS, dando priorità all'Hard Disk rispetto al floppy ed al CD-ROM. In questo modo il sistema cercherà di partire dal disco fisso, e solo in caso di problemi riprenderà a cercare i files di avvio su A: e D: (cioè, appunto, floppy e CD-ROM). L'operazione è semplicissima se avete un utility che vi permetta di farlo direttamente da una finestra di Windows, altrimenti dovete modificare il BIOS dalla finestra di avvio del sistema operativo.
C) Winstart.bat
Alcuni "programmini" permettono di prendere il controllo del sistema oggetto dell'attacco creandovi un file artificiale Winstart.bat. Possiamo evitare questo rischio: create col Blocco Note un file di testo, scriveteci semplicemente:
@ECHO OFF
e salvatelo, in sola scrittura, col nome Winstart.bat; infine, mettetelo nella directory di Windows. In questo modo un eventuale tentativo di crearlo senza controllarne la pre-esistenza è destinato a fallire.
D) Il PC è accessibile da più persone (ad esempio, è in condivisione con colleghi, o si trova in un luogo comunque raggiungibile da terzi) ?
1) Se più persone hanno accesso al PC, è il caso di impostare una password personale per il proprio profilo utente. Per la scelta della password, si veda la sezione apposita.
2) Se il computer è potenzialmente accessibile da estranei, è assolutamente necessario inserire una password di sistema ed una password del BIOS.
La password di sistema impedisce agli estranei di accedere a funzionalità Windows.
La password del BIOS blocca i tentativi di modificare i parametri di funzionamento di base del sistema, compreso l'ordine di boot.
È IMPORTANTE non dimenticare queste due passwords, soprattutto la seconda.
Per impostare la password di Windows, andate su Start- Impostazioni- Pannello di Controllo- Password, e lì inserite la password. Potete notare la presenza di una seconda voce, che si chiama "Altre Password". Lì potete definire le altre password di sistema, quale quella dello Screen Saver.
La password dello screen saver è un utilissimo sistema di protezione quando vi dovete allontanare per qualche minuto lasciando il computer acceso. Andate su Start- Impostazioni- Pannello di Controllo- Schermo. Selezionate la schermata dello screen saver, mettete il flag (cioè il segno di spunta nero) sul quadratino "Protezione". A questo punto andate su "cambia" ed inserite la vostra password. Date l'ok, ed a questo punto, ogni volta che partirà lo screen saver, dovrete digitare la password per poterlo interrompere e riprendere a lavorare. Attenzione: NON dovete dimenticare nemmeno questa password, per nessun motivo... altrimenti sono guai !
Un suggerimento: potete utilizzare una sola password sia per il BIOS, che per Windows che per lo Screen Saver: questo evita il rischio di dimenticarle, ma in questo caso dovete assolutamente scegliere una "password forte", come viene indicato più avanti.
E) Dovete usare il PC come parte di una LAN (una rete locale di computer, tipo un ufficio od una rete interna di un ospedale) ?
1) Se si, seguite attentamente le indicazioni che vi verranno date dal responsabile tecnico della LAN. Purtroppo, in questo caso, dovrete tenere delle "risorse in condivisione", il che significa che delle persone sedute ad un altro computer hanno accesso potenziale ai contenuti del vostro.
In questo caso, dovete scegliere quali risorse condividere (files e stampanti). Condividete SOLO lo STRETTO necessario, ed ogni volta che potete inserite una password per la condivisione dei files (da comunicare personalmente ed in via riservata solo alle persone che hanno diritto di accesso).
2) Se NON siete connessi ad un LAN, potete iniziare a chiudere un bel pò di "porte", ovvero di "accessi informatici" al vostro sistema, che potrebbe essere utilizzati per introdursi dall'esterno. Andando su Pannello di Controllo - Rete, dovete togliere il flag dalla voce Condivisione Files e Stampanti. Poi andate su Dispositivo di Accesso Remoto, selezionate Binding e togliete il flag dal protocollo. Appena darete l'ok, apparirà una finestrella che vi dirà: "attenzione, non sono stati selezionati (etc.)". Perfetto, è proprio quello che vogliamo ! Ignoratela tranquillamente e date l'ok.
3) Verificate, sempre su Pannello di Controllo - Rete, che cosa vi appare nell'elenco di voci in alto. Appare qualcosa del tipo "Ipx/Spx", o “NetBEUI” ? Bene, disattivatelo subito (cioè selezionatelo, premete Proprietà e togliete tutti i flag che trovate alla voce "Binding"): a meno che non vogliate giocare ad uno sparatutto tridimensionale in rete, non vi servono a niente, ed averli attivi è solo un rischio inutile. Controllate poi, per le voci "Client di Reti Microsoft" e "Dispositivo di Accesso Remoto" le proprietà: se trovate qualcosa di condiviso a livello di file/stampanti o di Binding, togliete tutti i flag.
Bene, a questo punto avete un sistema operativo molto più sicuro di prima. Un attaccante esperto può entrarci lo stesso, ma avete iniziato a costruire una prima serie di ostacoli difensivi, e di procedure che garantiscono una buona "igiene di base" del vostro sistema.
Concludiamo con tre suggerimenti.
F) Un suggerimento per chi usa Internet Explorer:
Aumentate le opzioni di sicurezza del vostro Browser: andate su Strumenti, Opzioni Internet, Sicurezza e impostate il valore per tutte e 4 le aree su High. Questo tipo di impostazioni vi crea problemi nel navigare su certi siti Internet che fanno uso di Java e Javascript; se siete “sicuri” che non vi siano pericoli e volete assolutamente visualizzare quei contenuti, settate il livello di sicurezza su Medio. NON scendete MAI al di sotto di questo livello: i rischi per il vostro sistema, sia a livello di privacy che di possibili attivazioni/intrusioni da parte di Malware (Malicious Ware, codice “maligno”), trovato su pagine Internet, sarebbero troppo elevati. Vi sono infatti molti “scripts” pericolosi su certi siti internet (scritti in Javascript o sotto forma di applet Java maligne, ovvero programmini scritti in Java, un importantissimo linguaggio di programmazione usato soprattutto per il Web), che possono produrre effetti dannosi sul nostro sistema solo attivandosi nel browser. Le impostazioni di sicurezza elevate bloccano l'esecuzione automatica di questi programmini potenzialmente pericolosi (anche se nel 99% dei casi Java e Javascript vengono utilizzati per arricchire in maniera assolutamente sicura i contenuti delle pagine Web).
Se usate IE6, potete anche rifiutare in maniera molto semplice i cookies (vedi sezione profiling): andate in Strumenti, Opzioni Internet, Privacy ed impostate la protezione massima (o quella immediatamente inferiore): con la massima vi è un'ottima tutela della privacy, ma alcuni siti non vi permetteranno di accedere alle loro pagine. Anche qui, non scendete mai sotto il livello Medio-Alto di impostazione. Se usate IE5 o IE5.5 dovete invece andare ad impostarli a mano, selezionando il “livello personalizzato di sicurezza” dalla schermata Sicurezza.
G) Un suggerimento per chi usa Netscape Communicator:
Come i vostri colleghi che usano Internet Explorer, potete bloccare l'esecuzione automatica di codici pericolosi andando su Modifica, Preferenze, Avanzate. Lì deselezionate Java, Javascript, ed impostate Cookies su “Accetta solo i cookies inviati al server di origine” o su “disattiva cookies” (ma, come abbiamo già detto, in questo secondo caso alcuni siti non potrete visitarli).
H) Un suggerimento per tutti:
Se avete dei dati sensibili, si consiglia caldamente di mettere un nome fuorviante alla directory dove sono ospitati. Ad esempio, eviteremo di creare una directory "Cartelle Cliniche", con il nome dei files corrispondenti ai nomi dei pazienti; potremo invece nominare la directory come "Util", o "Circolo Tennis", ed i files con nomi quali "torneomarzo.doc" più che "contabilità99.xls"; nel peggiore dei casi, potremo accontentarci di mettere solo le iniziali dei pazienti, senza nomi completi. Questa procedura (che è d'obbligo almeno a livello di directories) garantisce semplicemente un minimo di riservatezza nel caso di accessi occasionali da parte di estranei abbastanza sprovveduti; nel caso di intrusioni finalizzate, o di attaccanti minimamente informatizzati, è una protezione solo formale.
Si possono anche nascondere certe directories, in modo che normalmente non vengano visualizzate da Esplora Risorse; ma, anche in questo caso, si tratta di un ostacolo elementare facilmente superabile (che anzi può spingere anche l'ultimo dei curiosi a domandarsi perchè certe directories fossero state "nascoste").
|
