© 2003-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).
Prima versione: 25/8/2003. Ultimo aggiornamento: 10/11/2006.
Questo documento può essere duplicato e distribuito liberamente purché in forma gratuita e lasciando intatta l'indicazione dell'autore (Paolo Attivissimo) e di dove reperire le versioni più aggiornate (www.attivissimo.net).
Non illudetevi che queste semplici regole vi rendano assolutamente invulnerabili: tanto per cominciare, coprono principalmente la navigazione in Internet, che oggigiorno è la fonte principale di attacchi informatici, ma non coprono la sicurezza fisica del computer.
Inoltre la sicurezza assoluta è una chimera. Un aggressore deciso ed esperto, che prenda di mira specificamente voi, è in grado di aggirare queste precauzioni basilari e probabilmente è in grado di aggirare qualsiasi precauzione, ricorrendo anche a tecniche non strettamente informatiche (corruzione, pedinamento, infiltrazione nell'organizzazione, furto materiale del computer, eccetera).
Ma la realtà è che il pericolo più frequente e probabile per l'utente medio è costituito da attacchi non mirati, in cui l'aggressore spara nel mucchio, sperando di trovare vittime facili, e chi spara è uno dei tantissimi aspiranti vandali che appestano la Rete. Questo comporta due cose:
Per capirci, queste regole sono sufficienti a farvi evitare tutti i più recenti attacchi informatici che hanno fatto notizia ultimamente e a tenervi al riparo anche dalla stragrande maggioranza degli attacchi futuri.
La brevità di questo documento, concepito come "miniposter" da appendere al muro come promemoria, mi impedisce di spiegare a fondo molti aspetti della sicurezza. Qui c'è spazio soltanto per le regole e qualche parola di spiegazione: i dettagli li trovate nel mio libro intitolato L'Acchiappavirus.
Queste regole non hanno la pretesa di essere le Tavole della Legge: sono semplicemente consigli basati sulla mia esperienza e sui suggerimenti raccolti ascoltando chi ne sa più di me, temperati dall'esigenza di renderli pratici e comprensibili anche all'utente non esperto.
Queste regole non hanno durata eterna. Sono valide al momento in cui le scrivo (la data è indicata all'inizio della pagina). Purtroppo, con l'evolversi (e talvolta devolversi) della tecnologia, rimedi un tempo sicuri diventano inutili e affiorano altri nuovi rischi.
Queste regole si applicano a TUTTE le connessioni Internet. Non importa se siete connessi tramite cellulare, su linea telefonica normale, su ADSL oppure con il cavo a fibre ottiche: si tratta di regole generali valide in ogni caso.
Dodecalogo di sicurezza informatica |
(tratto da www.attivissimo.net) |
Scarica il Dodecalogo in formato Acrobat (PDF)
Scarica il Dodecalogo in formato OpenDocument (ODT)
Lo so, la Regola Zero non c'è nell'elenco sintetico. La aggiungo qui, assegnandole il numero zero, perché è un po' estrema e radicale rispetto alle altre. Ma è la più efficace, anche se impegnativa da mettere in pratica.
Le ragioni di questa regola sono fondamentalmente due:
Lo so che è una proposta radicale e apparentemente insensata, ma il
fatto è che usare Linux (che ormai offre praticamente tutte le stesse potenzialità e
applicazioni di Windows, a patto di studiare un po') o Mac (che le offre da un pezzo con meno studio ma a
caro prezzo) elimina in un sol colpo tutti
i vostri problemi di sicurezza. Nessun virus, worm o allegato infetto
può farvi nulla se la vostra macchina Linux o Mac è correttamente
configurata e usate il buon senso. La cosa interessante è che i sistemi operativi alternativi
vengono automaticamante configurati correttamente per la sicurezza.
Windows no.
Se vi interessa saperne di più su Linux, potreste cominciare dalla guida introduttiva che ho scritto, intitolata Da Windows a Linux, che potete scaricare gratuitamente dal mio sito. Non è aggiornatissima, ma i principi di base sono ancora validi.
Se ritenete che sia davvero impossibile abbandonare Windows, allora
leggete le regole successive: vi permetteranno di rendere Windows meno insicuro.
Un firewall è l'equivalente digitale di un buttafuori. Serve a tenere fuori gli indesiderati e a far passare soltanto i dati che autorizzate a circolare. E là fuori, su Internet, ci sono tanti individui indesiderati e indesiderabili.
Windows XP è dotato di un firewall,
ma è normalmente disattivato (verrà attivato automaticamente nelle prossime versioni). Il che è profondamente stupido,
come mettere una porta blindata in casa e non chiuderla a chiave. Navigare in Internet con Windows senza
firewall significa cercarsi guai.
Non perdete tempo ad attivare il firewall integrato in Windows: per ammissione della stessa Microsoft, è un colabrodo (support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203) e comunque non blocca il traffico uscente dal vostro computer, per cui un virus che vi infetta può lanciare attacchi dal vostro PC verso altri utenti senza che il firewall Microsoft lo fermi in alcun modo.
Procuratevi un firewall separato,
come per esempio Zone Alarm
(www.zonelabs.com, disponibile anche in una versione gratuita un po' nascosta nel sito del produttore);
ma l'ideale, se potete permettervelo, è un firewall hardware:
un aggeggio (che può anche essere un vecchio computer con su Linux)
dedicato all'unico scopo di filtrare il traffico da e verso Internet.
Soprattutto se avete una connessione ADSL, è altamente consigliabile
sostituire al normale modem ADSL un router ADSL, che contiene una sorta di firewall hardware.
Gli esperti storceranno il naso, ma usare
Zone Alarm è sempre meglio che esporre a Internet un computer indifeso.
E' come un casco per la moto: non vi salverà la vita se vi centra un
carrarmato, ma vi proteggerà dagli incidenti più comuni.
Zone Alarm
sostituisce più che egregiamente il firewall di Windows, e in più vi permette di decidere quali programmi sono
autorizzati a trasmettere dati dal vostro computer verso Internet
e ad accedere alla Rete. Questo vi consente, per esempio, di non
autorizzare Internet Explorer (programma estremamente vulnerabile) a
uscire su Internet, ma di autorizzare invece un programma alternativo
(di cui vi parlerò tra poco).
Zone Alarm è soltanto uno dei tanti firewall gratuiti e a pagamento disponibili in Rete. Ne trovate un elenco nel mio libro L'acchiappavirus.
Ricordate comunque che il firewall da solo non basta: deve far parte di un insieme di contromisure difensive. Cosa ancora più importante, nei firewall che permettono di scegliere quali programmi autorizzare a comunicare via Internet, il criterio di base è "autorizzare soltanto l'indispensabile; nel dubbio, non autorizzare". In altre parole, se non siete veramente sicuri di cosa fa un certo programma che chiede l'autorizzazione, non autorizzatelo; autorizzatelo soltanto se l'uso di Internet è impossibile senza quest'autorizzazione. Tenete sempre presente che i vandali della Rete non aspettano altro che un vostro passo falso.
Un esempio di buon antivirus, oltretutto gratuito, è AVG Free (free.grisoft.com). E' quello
che uso io sulle mie macchine Windows, e funziona. In alternativa, fra gli antivirus gratuiti ci sono anche Antivir Personal Edition (www.free-av.com) e Nod32 (www.nod32.it), giusto per citarne due. Trovate una lista più completa nel mio libro L'acchiappavirus.
E per l'amor del cielo, ricordatevi di tenere aggiornato il vostro antivirus. Escono virus nuovi letteralmente tutti i giorni, e l'antivirus li può riconoscere soltanto se lo aggiornate. Avere un antivirus non aggiornato è intelligente quanto riciclare i preservativi usati. Dovete aggiornarlo almeno una volta la settimana e preferibilmente una volta al giorno. E' un obbligo, non un consiglio, altrimenti l'antivirus non serve assolutamente a nulla.
Non commettete l'errore di pensare "a me l'antivirus non serve, tanto non apro gli allegati". Molti virus sono in grado di colpire le macchine Windows anche senza che apriate un allegato (un esempio per tutti è il famigerato MSBlaster). Molte versioni dei programmi Microsoft meno recenti tuttora in circolazione, inoltre, aprono automaticamente gli allegati. Alcuni virus, se colpiscono computer con Internet Explorer e/o Outlook Express non recenti, riescono a farsi eseguire semplicemente visualizzando l'anteprima del messaggio al quale sono allegati.
L'antivirus non va usato soltanto sugli allegati che ricevete via
Internet, ma su tutti i file che
arrivano al vostro computer da qualsiasi fonte: quindi anche
sulla musica che scaricate, sui programmi che prelevate da Internet o
dai CD allegati alle riviste, sui video, insomma su tutto, compresi i
file che ricevete da altri utenti della vostra rete locale. Un virus può annidarsi anche in un
dischetto o in un CD: anzi, prima del boom di Internet questo era
il metodo di diffusione principale.
Sotto Windows, inoltre, è molto facile nascondere la vera natura di un file,
per esempio spacciando per un innocuo documento (.doc) ciò che in
realtà è un virus eseguibile (.com, .pif, .exe), anche perché Windows,
nella sua installazione standard, non visualizza le estensioni dei nomi dei file, rendendo più difficile all'utente riconoscerne il tipo.
Anche se l'antivirus vi dice che un
file che avete ricevuto nella posta è "pulito", non fidatevi.
Passa un certo tempo (qualche ora o più) fra quando inizia la
circolazione di un nuovo virus e il momento in cui viene reso
disponibile l'aggiornamento dell'antivirus che lo riconosce. Verificate sempre che il mittente voleva
davvero mandarvelo.
Almeno una volta la settimana,
eseguite una scansione completa del vostro computer subito dopo aver aggiornato l'antivirus.
Ricordate che l'antivirus non protegge contro i "dialer" (i programmi presenti in tante pagine Web che promettono di farvi scaricare suonerie, musica o pornografia gratis se solo cliccate su "Sì", ma che poi vi addebitano cifre dolorosissime in bolletta). Trovate un approfondimento qui.
E' facile perdere i propri dati. Il disco rigido che li contiene si può scassare, una cliccata distratta li può cancellare, un virus può devastarli, un crash di Windows può renderli irrecuperabili, uno sbalzo di tensione può fulminarvi il computer, un ladro può rubarvi il PC portatile, un'installazione infelice di un programma o di un aggiornamento di Windows può mandarlo in tilt. Eccetera.
Fate dunque il backup (copia di
sicurezza) almeno dei vostri dati. Copiateli su un CD (che è immune ai
campi magnetici, a differenza del disco rigido), copiateli su un altro
disco rigido situato altrove (in un altro computer, per esempio),
copiateli su un portachiavi USB, insomma fate quello che volete, ma fate il backup.
Meglio ancora, se volete evitare la sofferenza di una
reinstallazione e riconfigurazione da capo di Windows e di tutti i
programmi, fate anche una copia di backup del sistema operativo e dei programmi installati, usando programmi come Norton Ghost (a pagamento) o Partimage (gratuito).
Fatelo
spesso. L'esatto significato di "spesso" varia da persona
a persona e da situazione a situazione. Il criterio fondamentale è
questo: quante ore (o giorni) di lavoro al computer sareste disposti a
rifare? La cadenza dei backup deve essere più ravvicinata di quel
periodo di perdita sopportabile. Inoltre il backup va fatto prima di ogni modifica al computer:
in altre parole, prima di installare o rimuovere programmi, prima di
installare aggiornamenti del sistema operativo e prima di installare o
rimuovere dispositivi (stampanti, schede, memoria, eccetera) nel
computer.
Fatelo SEMPRE. E'
facile adagiarsi e cominciare a pensare "tanto oggi cosa vuoi che succeda" e
smettere di fare il backup regolarmente. Ed è proprio allora che la
sfiga (che notoriamente ci vede benissimo) vi colpirà. Io ne so
qualcosa; i backup quotidiani di tutti i miei dati mi hanno salvato in
tante occasioni da disastri sia a livello professionale (perdita di
lavoro) sia a livello personale (diari, dati, foto, appunti, filmati che
altrimenti avrei perso per sempre).
E collaudatelo! Può capitare
che ci sia un errore di scrittura o di procedura per cui il backup
sembra essere stato creato regolarmente ma in realtà è inservibile.
Provate ogni tanto a ripristinare qualche file di prova.
Dal punto
di vista della sicurezza informatica, il backup è l'estrema linea di
difesa. Il suo scopo è intervenire quando
ogni altra precauzione ha fallito e l'aggressore ha compromesso il
vostro computer. Se avete un backup, potete ripristinare la situazione
a com'era prima dell'attacco. Se non l'avete, siete in braghe di tela.
Come qualsiasi software, anche il software Microsoft ha numerose vulnerabilità, che vengono scoperte e corrette man mano dalla comunità degli informatici e da Microsoft stessa. Le correzioni vengono distribuite esclusivamente da Microsoft sotto forma di programmi scaricabili gratuitamente da Internet. Non vengono mai distribuite come allegati a e-mail.
In Windows è integrata una funzione, denominata Windows Update, che provvede ad
automatizzare il procedimento per chiedere a Microsoft se ci
sono nuove correzioni e poi scaricarle e installarle.
Molti utenti non permettono questo
aggiornamento automatico del loro computer. Temono l'effetto
"Grande Fratello" (quello orwelliano), ossia che Microsoft usi queste patch per intrufolarsi nel loro
computer e faccia lo spione. A parte il fatto che salvo casi rarissimi
a Microsoft non potrebbe fregar di meno di quello che contiene il
computer dell'utente medio, chi ha queste paranoie non ha capito che se
Microsoft o chi per essa volesse entrargli nel computer, potrebbe
sfruttare proprio le vulnerabilità che le patch vogliono correggere. In altre
parole, non aggiornare Windows è
stupido.
E poi scusate, se non vi fidate di Microsoft, perché
diavolo continuate a usare i suoi prodotti?
Un esempio lampante delle conseguenze di questa diffusa incoscienza è la devastazione
causata ad agosto 2003 dal virus (o più correttamente worm) MSBlast/Lovsan. La patch che correggeva la falla
sfruttata da quest'aggressore era già disponibile un mese prima che
iniziasse a circolare il virus; persino il Dipartimento di Difesa
statunitense aveva diramato avvisi invitando gli utenti a scaricare la patch. Ma milioni di utenti non
l'avevano scaricata e installata, e pertanto si sono infettati. Così
imparano. Forse.
Un'altra ragione più fondata per la quale molti utenti non
installano gli aggiornamenti Microsoft è che ogni tanto questi aggiornamenti automatici
non funzionano o addirittura guastano Windows. Questo purtroppo
effettivamente capita, anche se non molto spesso (www.pcworld.com/news/article/0,aid,105144,00.asp).
Pertanto è consigliabile fare un backup prima di installare queste
patch.
Questi disagi non significano che le patch non vanno installate;
semplicemente vanno installate con cautela, e limitandosi alle patch effettivamente necessarie (in base al software che avete installato).
La possibilità che la patch faccia danni esiste, ma è di solito molto
più modesta della possibilità -- spesso certezza -- di danni se non la
installate. Se proprio non ve la sentite di installare ogni singola
patch offerta da Microsoft, installate almeno quelle etichettate "critiche", che correggono le vulnerabilità più gravi.
Se tutta questa tiritera di patch e backup vi sembra una scocciatura
eccessiva, valutate l'idea di passare a sistemi operativi alternativi,
come Linux o MacOS, per i quali le patch sono assai meno frequenti, con
costi e fastidi di manutenzione conseguentemente ridotti.
Molti utenti hanno l'abitudine di installare programmi "per prova". Non fatelo. Più cose installate nel vostro computer, più vi esponete al rischio di cambiarne o appesantirne il funzionamento.
Un programma installato "per prova" può decidere arbitrariamente di
diventare quello che parte quando fate doppio clic su un file, anche se
voi ne usavate un altro e vorreste continuare a farlo. Riportare il
computer al funzionamento originale è un'impresa.
Alcuni programmi, inoltre, si installano in modo da partire
automaticamente a ogni avvio, rallentando enormemente i tempi di avvio
del computer e occupandone inutilmente la memoria. Questo a sua volta
rallenta il funzionamento generale del PC.
Per quanto riguarda il software pirata, viene naturalmente distribuito senza alcuna garanzia di integrità.
Nel caso migliore, può mancarne un pezzo, per cui il software non
funziona o fa danni ai vostri dati. Nel caso peggiore, il software
piratato può contenere virus o altri programmi-spia (i cosiddetti trojan horse o "cavalli di Troia") che vengono
installati a vostra insaputa e permettono a un aggressore di avere
pieno accesso al vostro computer. E' una situazione assai più frequente
di quel che potreste pensare.
Va da sé, inoltre, che il software
pirata non prevede assistenza tecnica. Per cui se non funziona o
non sapete come ottenere un certo risultato, vi dovete arrangiare.
Soprattutto nel caso di Windows, le versioni piratate di solito non
consentono di scaricare i frequenti e indispensabili
aggiornamenti di sicurezza (patch).
Senza queste patch, il vostro Windows è un colabrodo.
A parte queste considerazioni pratiche, piratare il software è illegale e le
pene sono pesanti. Esiste moltissimo software legalmente copiabile e
distribuibile (c'è addirittura Linux, un sistema operativo completo che
sostituisce Windows), per cui non avete alcuna vera scusa che
giustifichi la pirateria software.
Per dubbia provenienza
intendo anche siti che promettono di offrire suonerie, musica o
pornografica gratis scaricando un "programma gratuito": il programma è
sì gratuito, ma la connessione che il programma stesso crea no: usa un
salatissimo numero 899. E' una truffa, e questi programmi sono
tristemente noti come dialer. Trovate un approfondimento qui.
Purtroppo anche alcuni programmi dall'aria "regolare" contengono il cosiddetto spyware,
o "software spia". Sono in genere programmi per lo scambio di musica
(come alcune versioni di Kazaa) o per inviare messaggi istantanei, che
vengono offerti gratuitamente ma hanno un "prezzo" occulto: raccolgono
segretamente dati sulle nostre abitudini di navigazione o altri nostri
dati personali e li trasmettono a chissà chi. Prima di installare qualsiasi
programma, quindi, occorre informarsi sulla sua natura. Chiedete ai
vostri amici o a Google se ci sono informazioni sulla presenza di spyware nel programma che vi interessa.
Se scoprite che un programma che avete installato contiene spyware
oppure volete controllare la situazione del vostro computer, potete
usare programmi gratuiti come Ad-aware o Spybot.
Internet Explorer è estremamente vulnerabile, e le sue vulnerabilità sono quelle preferite dagli aggressori informatici, perché sono facili da sfruttare e possono fare un elevatissimo numero di vittime.
Se usate Internet Explorer per visitare le pagine Web, vi esponete
al rischio di imbattervi in pagine Web che per il solo fatto di essere visualizzate
possono infettarvi il computer. Questo fatto viene riconosciuto da
Microsoft in quasi tutti i suoi advisory (comunicati
in cui annuncia l'esistenza di una falla e la procedura da adottare per
correggerla).
Anche Outlook/Outlook Express è un rischio sicurezza, sia perché ha
delle vulnerabilità tutte sue, sia perché usa Internet Explorer per la
visualizzazione dei messaggi: in pratica, quando riceve un e-mail, lo
passa (salvo vostra impostazione differente) a Internet Explorer per
l'interpretazione, come se fosse una pagina Web, con tutti i pericoli
che questo comporta. Pertanto, non basta rinunciare a Internet Explorer per la navigazione nel Web; occorre rinunciare anche a Outlook per la posta.
Internet Explorer e Outlook/Outlook Express sono entrambi nella top ten
delle maggiori vulnerabilità di Windows pubblicate dal Sans Institute,
una delle più rinomate fonti di informazioni sulla sicurezza
informatica.
L'estrema vulnerabilità di Internet Explorer e Outlook è verificabile per esempio tramite i test del Qualys Browser Check o quelli del mio piccolo Browser Challenge (www.attivissimo.net/security/bc/pagina01.htm).
Internet Explorer, se non correttamente aggiornato, vi espone più di
altri browser alle truffe grazie a falle come quella dei "falsi siti",
documentata presso www.attivissimo.net/security/fakesites/fakesites.htm.
Al posto di Internet Explorer, usate programmi alternativi come Opera (www.opera.com, anche in italiano) o Mozilla/Firefox (www.mozilla.org, in italiano presso www.mozillaitalia.org), disponibili gratuitamente.
Al posto di Outlook Express, usate alternative come queste:
Il vantaggio dei programmi di posta alternativi è che a differenza
di Outlook Express non si appoggiano a Internet Explorer per
visualizzare i messaggi (o possono essere impostati in modo da non
farlo): li visualizzano come testo semplice, disattivando pertanto qualsiasi contenuto pericoloso. Outlook Express, invece, usa Internet
Explorer per visualizzare i messaggi (perlomeno nelle versioni meno
recenti), per cui è possibile confezionare un e-mail che attacca
l'utente tramite una delle tante falle di Internet Explorer.
Inoltre, siccome i programmi alternativi sono meno diffusi dei
prodotti Microsoft, le loro eventuali falle sono oggetto di minori
attenzioni da parte degli aggressori informatici.
Questi nomi vi sono forse poco familiari: semplificando, identificano linguaggi di programmazione, nati per scopi non pericolosi, che però gli aggressori informatici sanno manipolare a fini vandalistici. Questi linguaggi consentono di annidare veri e propri microprogrammi all'interno di e-mail e pagine Web. Ovviamente un aggressore può usarli per creare microprogrammi ostili che danneggiano il vostro computer.
Il guaio è che nell'impostazione normale di Windows questi microprogrammi vengono eseguiti
automaticamente. Per cui basta
visualizzare un e-mail o una pagina Web ostili contenenti questi
microprogrammi per infettarsi o essere attaccati, per esempio
obbligandovi a visitare un determinato sito o depositando
programmi-spia nel vostro PC.
Imparate pertanto a disattivare
l'esecuzione automatica di questi linguaggi. La procedura esatta
dipende dal software che usate. Per esempio:
Se vi sembra troppo drastico il consiglio di disabilitare
Javascript, vi invito a immettere in Google queste tre parole,
racchiudendole tra virgolette: javascript vulnerability browser. Poi ne riparliamo. Lo stesso ragionamento, naturalmente, vale per gli altri linguaggi citati.
Grazie alla poca furbizia e alla scarsa competenza tecnica di molti realizzatori di pagine Web,
questa disattivazione comporta che alcuni siti non funzionano più. Il
rimedio è semplice: riattivate l'esecuzione soltanto sui siti di cui vi fidate e tenetela disattivata quando visitate siti di cui
non vi fidate. Meglio ancora, disattivatela
e tenetela disattivata, riattivandola solo se assolutamente necessario (ossia se la pagina del sito fidato non funziona se non riattivate l'esecuzione di questi linguaggi).
Ripeto: di qualunque tipo e chiunque ne sia il mittente. Ripeto ancora: chiunque.
Perché insisto tanto sul "chiunque ne sia il
mittente"? Perché una
tecnica molto in voga fra gli autori di virus consiste nell'inviare
alla vittima un e-mail infettante che sembra provenire da una persona o
azienda che conosce e di cui si fida.
Per esempio, gli autori dei virus spesso creano e-mail che fingono di provenire da Microsoft e dichiarano di contenere un allegato costituito da una patch di correzione per difendervi dall'ennesimo virus, mentre è in realtà è esso stesso un virus. Microsoft ha addirittura una pagina apposita di smentita, che dice fra l'altro che è facile capire quando un e-mail che apparentemente ha come mittente Microsoft è in realtà fasullo: "I bollettini autentici non contengono mai un collegamento a una patch, ma rimandano alla versione completa del bollettino pubblicata sul sito Web di Microsoft, in cui è disponibile il collegamento alla patch."
Un'altra tecnica molto diffusa fra i realizzatori di virus è attingere alla rubrica degli indirizzi
della vittima. Per
esempio, un virus può infettare il computer di un vostro conoscente,
nella cui rubrica trova il vostro indirizzo. Il virus poi confeziona un
messaggio infetto in cui il mittente è appunto il vostro conoscente e il
destinatario è ciascuno degli indirizzi presenti nella rubrica, e
quindi arriva anche a voi. In questo modo, il messaggio contenente il
virus vi arriva da una fonte apparentemente affidabile, e questo tende a
farvi superare il naturale dubbio che avreste verso un allegato
proveniente da uno sconosciuto; così aprite l'allegato, infettandovi e
perpetuando l'infezione.
Una ulteriore variante popolarissima di questa tecnica virale è usare come falso mittente un indirizzo a
caso tratto dalla rubrica della vittima. Per esempio, l'utente tizio@tin.it viene infettato: la sua
rubrica contiene (fra i tanti) gli indirizzi di caio@libero.it e sempronio@yahoo.com. Il virus
confeziona un e-mail contenente come allegato una copia di se stesso,
indicando come mittente non il vero
mittente, come nel caso precedente, ma un mittente falso pescato dalla rubrica:
in questo esempio, si spaccia per un allegato proveniente non da tizio, ma da caio, e diretto a sempronio.
Questo crea una confusione pazzesca
che facilita la diffusione del virus: mentre nella tecnica precedente è
facile risalire all'origine dell'infezione e avvisare l'untore, perché
il mittente indicato nel messaggio virale è autentico, in questa tecnica
il mittente infetto è irrintracciabile. Sempronio riceve un e-mail infetto
che sembra provenire da caio,
ma in realtà proviene da tizio.
Di conseguenza sempronio pensa
che sia caio l'infetto, ma in
realtà l'infetto è tizio, che
continua a restare infetto dato che nessuno lo avvisa del problema. In
compenso, tutti avvisano erroneamente caio
che è infetto, generando un ulteriore traffico di messaggi inutili e
confusionari.
E' facilissimo creare un e-mail o una pagina Web che contiene un link ingannevole, che sembra rimandare a un sito regolare ma invece vi porta da tutt'altra parte, ossia a un sito visivamente identico a quello autentico ma in realtà gestito da truffatori. Questo sistema viene usato per commettere frodi, per esempio rubando password o codici di carta di credito, o per infettarvi, inducendovi con l'inganno a visitare un sito ostile.
Una delle più diffuse tecniche per creare link ingannevoli è spiegata presso www.attivissimo.net/security/fakesites/fakesites.htm. Guardate questo link:www.microsoft.com&item=q209354@3522684105. Ci credereste che non porta al sito Microsoft, ma al sito di Playboy?
Un'altra tecnica ancora più insidiosa, specifica per Internet Explorer nelle versioni non aggiornate, è presentata presso www.attivissimo.net/security/bc/test10.htm.
La truffa più frequente funziona in questo modo: ricevete un e-mail,
di solito in formato HTML, che sembra provenire dal servizio clienti di
qualche banca, provider o società di commercio elettronico (Paypal.com,
per esempio), che vi avvisa di un "controllo a campione" o di un
"problema di verifica dei dati" e vi chiede di visitare il suo sito
usando il link cortesemente fornito nell'e-mail.
Il link è visivamente a posto (inizia con il nome del sito legittimo), ma è in
realtà truccato,
grazie all'uso dell'HTML o delle tecniche citate sopra, in modo da
mascherare il fatto che cliccandovi sopra non si va al sito
dell'azienda autentica, ma a un sito falso che usa la medesima grafica
e vi chiede di immettere i vostri dati, password compresa. Se siete
effettivamente utenti di quel servizio e date i vostri codici di
accesso al sito-truffa, lascio a voi immaginare le ovvie e spiacevoli
conseguenze del caso.
Purtroppo il problema si pone, sia pure in misura minore, anche con l'e-mail in formato "testo semplice" (ossia non in formato HTML). Se
però sapete distinguere la posta HTML dalla posta di testo semplice e
siete sicuri che il messaggio che propone il link è in formato "testo
semplice", potete fidarvi dei link che non contengono caratteri
"strani" (chioccioline e simboli di percentuale, tipici sintomi di un
link fraudolento).
Se non sapete distinguere la posta HTML dalla posta in "testo
semplice", non dovete mai fidarvi dei link contenuti all'interno dei
messaggi: dovete invece adoperare un browser sicuro per andare
direttamente al sito citato digitando da capo il testo del link oppure usando il "copia e incolla" sul testo del link. In
questo modo si evitano eventuali link mascherati con l'HTML, il browser
sicuro elimina il rischio residuo dei link truccati con altre tecniche,
e si è sicuri di visitare davvero il sito autentico. Se il sito citato
nel link è uno di quelli che visitate spesso, memorizzatelo nei
Preferiti e usate la versione memorizzata invece di quella fornita nel
link.
Visto che me l'avete chiesto in tanti, ebbene sì, questa regola vale anche per la mia newsletter,
che contiene spesso dei link. Dato che sappiamo che è facilissimo
falsificare il mittente di un messaggio, chi vi garantisce che la
newsletter che avete ricevuto è davvero opera mia? Cliccate sui suoi
link soltanto se siete capaci di verificare che il messaggio è in
formato "testo semplice" (la mia newsletter lo è) e se usate un browser
sicuro (uno di quelli consigliati dal Dodecalogo).
Questa regola è concepita non soltanto per la vostra difesa, ma anche per la sicurezza altrui, per tenere Internet più pulita. La posta in formato HTML (quella che consente grassetti, corsivi e altri effetti speciali) può veicolare contenuti pericolosi (virus, worm, truffe eccetera) che possono essere eseguiti automaticamente, senza che sia necessario aprire allegati. La posta HTML è una delle tecniche preferite dagli autori di virus. La posta HTML è male. La posta HTML è inoltre più "pesante" (occupa più spazio e richiede più tempo per la ricezione e la trasmissione). Mandarla e riceverla è quindi sia un rischio sicurezza, sia un aggravio inutile per la Rete.
L'e-mail di testo semplice è invece assolutamente
sicura.
Rinunciare a qualche effetto tipografico è un sacrificio modesto
compensato da un enorme aumento della sicurezza. La vostra posta
assumerà un aspetto più spartano, ma ne vale la pena. Comunque anche
nell'e-mail di testo semplice è possibile "simulare" il grassetto e il
corsivo usando espedienti: per esempio, si può **evidenziare** una parola
oppure __sottolinearla__. Si può anche URLARE. MI SONO SPIEGATO, VERO?
Praticamente tutti i programmi di posta possono essere impostati in
modo che inviino l'e-mail come testo semplice. Fatelo. Le istruzioni sono nel
relativo manuale.
Se dovete distribuire documenti in forma elettronica, usate invece il testo semplice (.txt), l'HTML, il PostScript o il formato Acrobat (PDF). Rispetto a Word, questi formati hanno il vantaggio di non includere automaticamente i vostri dati personali, vale a dire (per ammissione della stessa Microsoft) "il vostro nome, le vostre iniziali, il nome della vostra società o organizzazione, il nome del vostro computer, il nome del server di rete o del disco rigido sul quale avete salvato il documento, altre proprietà del file e informazioni riepilogative, porzioni non visibili di oggetti OLE embedded, i nomi degli autori precedenti, le revisioni e le versioni del documento, informazioni sul modello, testo nascosto e commenti". Questo può condurre a figuracce spettacolari, come ben sa il primo ministro inglese Tony Blair (www.apogeonline.com/webzine/2003/07/30/01/200307300101).
Trovate maggiori ragguagli sull'entità del problema presso www.attivissimo.net/security/word_documents/word_documents.htm. Uno strumento gratuito (se per uso personale) per analizzare i contenuti nascosti dei file Word è Docscrubber, disponibile presso www.docscrubber.com.
I documenti Word sono da considerare pericolosi anche perché possono veicolare i cosiddetti macrovirus, ossia piccoli programmi annidati all'interno del documento Word che vengono eseguite automaticamente appena si apre il documento. Le recenti versioni di Word non eseguono più automaticamente le macro, ma è possibile indurre Word a eseguirle lo stesso (www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp) a meno che l'utente installi una patch di correzione.
Un altro motivo per cui conviene usare un formato diverso da Word
per distribuire documenti è che se usate Word potete
comunicare soltanto con gli utenti Windows (e, in misura limitata, con
quelli Mac). Gli utenti di altri sistemi operativi sono praticamente tagliati
fuori o costretti a usare software apposito a pagamento. Se volete essere sicuri
che il vostro interlocutore possa leggere il documento elettronico che
gli inviate, usate i formati che vi consiglio. Per il formato Acrobat, il programma di lettura è
disponibile gratuitamente per quasi tutti i sistemi operativi recenti.
Quasi tutti i programmi sono in grado di generare documenti in
formati HTML o Postscript. Anche generare documenti in formato Acrobat
(PDF) è facilissimo: basta acquistare un programma apposito:
Trovate altri programmi gratuiti o a pagamento per generare e leggere file PDF presso siti come http://www.pdfzone.com. In alternativa, potete usare uno dei tanti
servizi di conversione online (reperibili digitando "convert to pdf" in Google) oppure adoperare la suite gratuita OpenOffice.org, le cui versioni dalla
1.1 in poi includono un'opzione che consente appunto di salvare i documenti in
formato PDF.
Se vi state chiedendo come mai non consiglio il formato RTF, la ragione è semplice: è
un formato troppo poco standard, o più precisamente è implementato in
modi troppo dissimili o incompleti dai vari programmi, compresi
Microsoft Word e OpenOffice, col risultato che documenti generati da
programmi diversi (o da versioni diverse dello stesso programma) sono
spesso incompatibili o producono impaginazioni differenti. L'RTF offre
insomma poche garanzie di universalità e di completezza.
La Rete e i giornali non specialistici sono pieni di falsi allarmi riguardanti virus inesistenti o la cui azione è descritta con tragica incompetenza. Gli utenti ingenui diffondono questi allarmi ad amici e colleghi credendo di aiutarli. In realtà avvisi di questo genere non servono a nulla, se non a generare insicurezza e traffico inutile di messaggi.
Fidatevi soltanto delle informazioni pubblicate dai siti antivirus o
dagli addetti ai lavori; diffidate degli avvisi pubblicati dai
giornalisti non specializzati; nel dubbio, non inoltrate nulla. Non cadete nella trappola del "non so se è vero, ma nel dubbio lo inoltro". Il rischio di fare disinformazione è altissimo. Controllate i siti antivirus e antibufala e anche il mio Servizio Antibufala
prima di decidere che fare. Se scoprite che qualcuno vi ha mandato un
avviso fasullo, scrivetegli informandolo del suo errore e indicando la
fonte della smentita, in modo da stroncare la diffusione del falso
allarme.
Il modo migliore per distinguere un vero allarme da uno falso è vedere se include un rimando a un sito di un produttore di antivirus. Se il rimando è autentico e descrive quanto indicato nell'allarme, allora l'allarme è autentico. Altrimenti, anche se ve lo manda il vostro migliore amico o lo dice la tivù o il giornale, è meglio diffidare e non diffondere ulteriormente.
Sarà anche bello bardarsi con tutte queste tecniche di difesa, ma come si fa poi a verificare che funzionano davvero? Se
non potete metterle alla prova, non vi rendete conto del fatto che sono
così preziose e vi stanno silenziosamente difendendo.
Per verificare l'integrità del
vostro firewall, potete ricorrere ai test non distruttivi
offerti da siti come Grc.com (in particolare le pagine ShieldsUp! e LeakTest) oppure HackerCheck di Trend Micro, o anche ai miei piccoli test nel Browser Challenge. I dettagli di come procedere saranno pubblicati in un libro e sul mio sito se questo Dodecalogo striminzito riscuote successo.
Per verificare l'efficacia del
vostro antivirus, potete usare i "falsi virus" messi a
disposizione dalle principali società antivirali. Si tratta di file innocui che però contengono parti di
codice presenti nei più diffusi virus ma rese inoffensive. Scaricando
questi file, o ricevendoli come allegati, il vostro antivirus deve
riconoscerli come virus.
Verificare l'efficacia delle patch di Windows è più difficile:
il metodo da usare varia a seconda del problema risolto dalla patch.
Spesso Microsoft non spiega esattamente qual è il problema risolto
dalla patch e quindi è impossibile creare le specifiche condizioni in
cui la patch deve agire. Ci sono vari siti dedicati alla sicurezza che
offrono test per questa o quella patch (per esempio GRC.com offre un test per la patch DCOM),
ma le patch sono troppo numerose perché io riesca ad elencare qui ogni
singolo test disponibile. Non vi resta che sperare che la patch
funzioni come dichiarato. Purtroppo non sempre è così.
Grazie a Silver, riccardo, emenotti, stefano,
matteoelst, filippo.sim**e, placerenza, paolo.ripam***i, markus, sciechi, rossemarlboro, roberto_***zo, ornico, mac76flash, carlo.santago***no, sverx, Giulio Fornasar, gerrymail, andrew, daniele, morenot, brucopeloso, emmeesse, a_r_q, mos6956, francesco.deb****li, ferrigno, nicola.70, monella2004, dongiobenve e ai tanti altri lettori che hanno reso
migliore questo documento snidando i miei errori e i passaggi poco
chiari.
Attivissimo.net è un sito gratuito, e questo documento è liberamente pubblicabile e distribuibile, ma le donazioni sono sempre ben accette, sia tramite PayPal, sia tramite il collaudato sistema della banconota in una busta. Se volete dettagli e istruzioni su come procedere, sono qui.