(C) 2003 by Paolo Attivissimo -- http://www.attivissimo.net/
Prima versione: 25 agosto 2003. Ultimo aggiornamento: 1 luglio 2004
Questo documento può essere duplicato e distribuito liberamente purché in forma gratuita e lasciando intatta l'indicazione dell'autore (Paolo Attivissimo) e di dove reperire le versioni più aggiornate (http://www.attivissimo.net/).
Non illudetevi che queste semplici regole
vi rendano assolutamente invulnerabili: tanto per cominciare, coprono principalmente la navigazione in Internet,
che oggigiorno è la fonte principale di attacchi informatici. Inoltre la
sicurezza assoluta è una chimera. Un aggressore deciso ed esperto,
che prenda di mira specificamente voi, è in grado di aggirare queste precauzioni
basilari e probabilmente è in grado di aggirare qualsiasi precauzione, ricorrendo anche a tecniche
non strettamente informatiche (corruzione, pedinamento, infiltrazione nell'organizzazione,
furto materiale del computer, eccetera).
Ma la realtà è che il pericolo più frequente
e probabile per l'utente medio è costituito da attacchi non mirati, in cui l'aggressore spara nel mucchio,
sperando di trovare vittime facili, e chi spara è uno dei tantissimi dilettanti
e aspiranti vandali che appestano la Rete. Questo comporta due cose:
Per capirci, queste regole sono sufficienti a farvi evitare tutti i più recenti attacchi informatici che
hanno fatto notizia ultimamente e a tenervi al riparo anche dalla stragrande
maggioranza degli attacchi futuri.
La brevità di questo documento, concepito come "miniposter" da appendere al muro come promemoria,
mi impedisce di spiegare a fondo molti aspetti della sicurezza. Qui c'è
spazio soltanto per le regole e qualche parola di spiegazione: i dettagli,
se tutto va bene, andranno in un documento separato che sta diventando un
libro intitolato L'acchiappavirus.
Queste regole non hanno la pretesa di essere
le Tavole della Legge: sono semplicemente consigli basati sulla mia
esperienza e sui suggerimenti raccolti ascoltando chi ne sa più di me, temperati
dall'esigenza di renderli pratici e comprensibili anche all'utente non esperto.
Queste regole non hanno durata eterna.
Sono valide al momento in cui le scrivo (la data è indicata all'inizio della
pagina). Purtroppo, con l'evolversi (e talvolta devolversi) della tecnologia, rimedi un tempo
sicuri diventano inutili e affiorano altri nuovi rischi.
Queste regole si applicano a TUTTE le connessioni
Internet. Non importa se siete connessi tramite cellulare, su linea
telefonica normale, su ADSL oppure con Fastweb: si tratta di regole generali
valide in ogni caso.
Il Dodecalogo riguarda principalmente i
problemi di sicurezza dell'uso di Internet; non riguarda altri aspetti,
come la sicurezza fisica del vostro computer, che richiederebbero
una lunga trattazione separata ma sono di interesse più ristretto rispetto
al problema universale della sicurezza contro gli attacchi informatici perpetrati
via Internet.
Dodecalogo di sicurezza informatica |
(tratto da www.attivissimo.net) |
Scarica il Dodecalogo in formato Acrobat (PDF)
Lo so, la Regola Zero non c'è nell'elenco sintetico. La aggiungo qui, assegnandole il numero zero, perché è un po' estrema e radicale rispetto alle altre. Ma è la più efficace, anche se impegnativa da mettere in pratica.
Le ragioni di questa regola sono fondamentalmente due:
Lo so che è una proposta radicale e apparentemente insensata, ma il fatto
è che usare Linux (che ormai offre
praticamente tutte le stesse potenzialità e applicazioni di Windows, a patto
di studiare un po') o Mac (che le
offre da un pezzo con meno studio ma a caro prezzo) elimina in un sol colpo tutti i vostri problemi di sicurezza.
Nessun virus, worm o allegato infetto può
farvi nulla se la vostra macchina Linux o Mac è correttamente configurata.
La cosa interessante è che i sistemi operativi alternativi vengono automaticamante
configurati correttamente per la sicurezza. Windows no.
Se vi interessa saperne di più su Linux, potreste cominciare dalla guida
introduttiva che ho scritto, intitolata Da Windows a Linux, che potete scaricare
gratuitamente dal mio sito.
Se ritenete che sia davvero impossibile abbandonare Windows, allora leggete
le regole successive: vi permetteranno di rendere Windows meno insicuro.
Un esempio di buon antivirus, oltretutto gratuito, è AVG Free (http://www.grisoft.com/). E' quello che uso io sulle mie macchine
Windows, e funziona. In alternativa, fra gli antivirus gratuiti ci sono
anche Antivir Personal Edition (http://www.free-av.com/) e Nod32
(http://www.nod32.it/), giusto per citarne due. Trovate una lista
più completa nel mio libro L'acchiappavirus.
E per l'amor del cielo, ricordatevi di
tenere aggiornato il vostro antivirus. Escono virus nuovi letteralmente
tutti i giorni, e l'antivirus li può riconoscere soltanto se lo aggiornate.
Avere un antivirus non aggiornato è intelligente quanto
riciclare i preservativi usati. Dovete aggiornarlo almeno una volta
la settimana e preferibilmente una volta al giorno. E' un obbligo, non un consiglio, altrimenti l'antivirus
non serve assolutamente a nulla.
Non commettete l'errore di pensare "a me l'antivirus non serve, tanto non apro gli allegati".
Molti virus sono in grado di colpire le macchine Windows anche senza
che apriate un allegato (un esempio per tutti è il famigerato MSBlaster).
Molte versioni dei programmi Microsoft meno recenti tuttora in circolazione,
inoltre, aprono automaticamente gli
allegati. Alcuni virus, se colpiscono computer con Internet Explorer e/o
Outlook Express non recenti, riescono a farsi eseguire semplicemente visualizzando l'anteprima del messaggio al quale
sono allegati.
L'antivirus non va usato soltanto sugli allegati che ricevete via Internet,
ma su tutti i file che arrivano al vostro
computer da qualsiasi fonte: quindi anche sulla musica che scaricate,
sui programmi che prelevate da Internet o dai CD allegati alle riviste,
sui video, insomma su tutto, compresi i file che ricevete da altri utenti
della vostra rete locale. Un virus può annidarsi
anche in un dischetto o in un CD: anzi, prima del boom di Internet
questo era il metodo di diffusione principale.
Sotto Windows, inoltre, è molto facile
nascondere la vera natura di un file, per esempio spacciando per
un innocuo documento (.doc) ciò che in realtà è un virus eseguibile (.com,
.pif, .exe), anche perché Windows, nella sua installazione standard, non visualizza le estensioni dei nomi dei file,
rendendo più difficile all'utente riconoscerne il tipo.
Anche se l'antivirus vi dice che un file
che avete ricevuto nella posta è "pulito", non fidatevi. Passa un
certo tempo (qualche ora o più) fra quando inizia la circolazione di un
nuovo virus e il momento in cui viene reso disponibile l'aggiornamento dell'antivirus
che lo riconosce. Verificate sempre che
il mittente voleva davvero mandarvelo.
Almeno una volta la settimana, eseguite
una scansione completa del vostro computer
subito dopo aver aggiornato l'antivirus.
Ricordate che l'antivirus non protegge
contro i "dialer" (i programmi presenti in tante pagine Web che promettono
di farvi scaricare suonerie, musica o pornografia gratis se solo cliccate
su "Sì", ma che poi vi addebitano cifre dolorosissime in bolletta). Trovate
un approfondimento qui.
Un firewall è l'equivalente digitale di un buttafuori. Serve a tenere fuori gli indesiderati e a far passare soltanto i dati che autorizzate a circolare. E là fuori, su Internet, ci sono tanti individui indesiderati e indesiderabili.
Windows XP è dotato di un firewall, ma
è normalmente disattivato (verrà attivato automaticamente nelle prossime
versioni). Il che è profondamente stupido, come mettere una porta blindata
in casa e non chiuderla a chiave. Navigare
in Internet con Windows senza firewall significa cercarsi guai.
Non perdete tempo ad attivare il firewall integrato in Windows: per ammissione della stessa Microsoft, è un colabrodo (support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203) e comunque non blocca il traffico uscente dal vostro computer, per cui un virus che vi infetta può lanciare attacchi dal vostro PC verso altri utenti senza che il firewall Microsoft lo fermi in alcun modo.
Procuratevi un firewall separato,
come per esempio Zone Alarm (gratuito,
http://www.zonelabs.com/); ma
l'ideale, se potete permettervelo, è un firewall
hardware: un aggeggio (che può anche essere un vecchio computer con
su Linux) dedicato all'unico scopo di filtrare il traffico da e verso Internet.
Soprattutto se avete una connessione ADSL, è altamente consigliabile sostituire
al normale modem ADSL un router ADSL,
che contiene una sorta di firewall hardware.
Gli esperti storceranno il naso, ma usare
Zone Alarm è sempre meglio che esporre a Internet un computer indifeso.
E' come un casco per la moto: non vi salverà la vita se vi centra un carrarmato,
ma vi proteggerà dagli incidenti più comuni.
Zone Alarm sostituisce più che egregiamente il firewall di Windows, e in
più vi permette di decidere quali programmi
sono autorizzati a trasmettere dati dal vostro computer verso Internet
e ad accedere alla Rete. Questo vi consente, per esempio, di non autorizzare
Internet Explorer (programma estremamente vulnerabile) a uscire su Internet,
ma di autorizzare invece un programma alternativo (di cui vi parlerò tra
poco).
Zone Alarm è soltanto uno dei tanti firewall gratuiti e a pagamento disponibili in Rete. Ne trovate un elenco nel mio libro L'acchiappavirus.
Ricordate comunque che il firewall da solo
non basta: deve far parte di un insieme di contromisure difensive. Cosa ancora
più importante, nei firewall che permettono di scegliere quali programmi
autorizzare a comunicare via Internet, il criterio di base è "autorizzare soltanto l'indispensabile; nel dubbio, non autorizzare". In altre
parole, se non siete veramente sicuri di cosa fa un certo programma che
chiede l'autorizzazione, non autorizzatelo; autorizzatelo soltanto se l'uso
di Internet è impossibile senza quest'autorizzazione. Tenete sempre presente
che i vandali della Rete non aspettano altro che un vostro passo falso.
E' facile perdere i propri dati. Il disco rigido che li contiene si può scassare, una cliccata distratta li può cancellare, un virus può devastarli, un crash di Windows può renderli irrecuperabili, uno sbalzo di tensione può fulminarvi il computer, un ladro può rubarvi il PC portatile, un'installazione infelice di un programma o di un aggiornamento di Windows può mandarlo in tilt. Eccetera.
Fate dunque il backup (copia di sicurezza)
almeno dei vostri dati. Copiateli su un CD (che è immune ai campi
magnetici, a differenza del disco rigido), copiateli su un altro disco rigido
situato altrove (in un altro computer, per esempio), copiateli su un portachiavi
USB, insomma fate quello che volete, ma fate
il backup.
Meglio ancora, se volete evitare la sofferenza di una reinstallazione e
riconfigurazione da capo di Windows e di tutti i programmi, fate anche una copia
di backup del sistema operativo e dei programmi installati,
usando programmi come Norton
Ghost (a pagamento) o Partimage (gratuito).
Fatelo
spesso. L'esatto significato di "spesso" varia da persona
a persona e da situazione a situazione. Il criterio fondamentale è questo:
quante ore (o giorni) di lavoro al computer sareste disposti a rifare? La
cadenza dei backup deve essere più ravvicinata di quel periodo di perdita
sopportabile. Inoltre il backup va fatto prima
di ogni modifica al computer: in altre parole, prima di installare
o rimuovere programmi, prima di installare aggiornamenti del sistema operativo
e prima di installare o rimuovere dispositivi (stampanti, schede, memoria,
eccetera) nel computer.
Fatelo SEMPRE. E' facile adagiarsi
e cominciare a pensare "tanto oggi cosa
vuoi che succeda" e smettere di fare il backup regolarmente. Ed è
proprio allora che la sfiga (che notoriamente ci vede benissimo) vi colpirà.
Io ne so qualcosa; i backup quotidiani di tutti i miei dati mi hanno salvato
in tante occasioni da disastri sia a livello professionale (perdita di lavoro)
sia a livello personale (diari, dati, foto, appunti, filmati che altrimenti
avrei perso per sempre).
E collaudatelo! Può capitare che
ci sia un errore di scrittura o di procedura per cui il backup sembra essere
stato creato regolarmente ma in realtà è inservibile. Provate ogni tanto
a ripristinare qualche file di prova.
Dal punto di vista della
sicurezza informatica, il backup è l'estrema linea di difesa.
Il suo scopo è intervenire quando ogni altra precauzione ha fallito e l'aggressore
ha compromesso il vostro computer. Se avete un backup, potete ripristinare
la situazione a com'era prima dell'attacco. Se non l'avete, siete in braghe
di tela.
Come qualsiasi software, anche il software Microsoft ha numerose vulnerabilità, che vengono scoperte e corrette man mano dalla comunità degli informatici e da Microsoft stessa. Le correzioni vengono distribuite esclusivamente da Microsoft sotto forma di programmi scaricabili gratuitamente da Internet. Non vengono mai distribuite come allegati a e-mail.
In Windows è integrata una funzione, denominata Windows Update, che provvede
ad automatizzare il procedimento per chiedere a Microsoft se ci sono nuove
correzioni e poi scaricarle e installarle.
Molti utenti non permettono questo aggiornamento
automatico del loro computer. Temono l'effetto "Grande Fratello"
(quello orwelliano), ossia che Microsoft usi queste patch per intrufolarsi nel loro computer e faccia
lo spione. A parte il fatto che salvo casi rarissimi a Microsoft non potrebbe
fregar di meno di quello che contiene il computer dell'utente medio, chi
ha queste paranoie non ha capito che se Microsoft o chi per essa volesse
entrargli nel computer, potrebbe sfruttare proprio le vulnerabilità che
le patch vogliono correggere. In altre parole,
non aggiornare Windows è stupido.
E poi scusate, se non vi fidate di Microsoft, perché diavolo continuate
a usare i suoi prodotti?
Un esempio lampante delle conseguenze di questa diffusa incoscienza è la
devastazione causata ad agosto 2003 dal virus (o più correttamente worm) MSBlast/Lovsan. La patch che correggeva la falla sfruttata da quest'aggressore
era già disponibile un mese prima che iniziasse a circolare il virus; persino
il Dipartimento di Difesa statunitense aveva diramato avvisi invitando gli
utenti a scaricare la patch. Ma milioni di utenti non l'avevano scaricata
e installata, e pertanto si sono infettati. Così imparano. Forse.
Un'altra ragione più fondata per la quale molti utenti non installano gli
aggiornamenti Microsoft è che ogni tanto
questi aggiornamenti automatici non funzionano o addirittura guastano Windows.
Questo purtroppo effettivamente capita, anche se non molto spesso (www.pcworld.com/news/article/0,aid,105144,00.asp). Pertanto
è consigliabile fare un backup prima di
installare queste patch.
Questi disagi non significano che le patch
non vanno installate; semplicemente vanno
installate con cautela, e limitandosi
alle patch effettivamente necessarie (in base al software che avete
installato). La possibilità che la
patch faccia danni esiste, ma è di solito molto più modesta della possibilità
-- spesso certezza -- di danni se non la installate. Se proprio non ve la
sentite di installare ogni singola patch offerta da Microsoft, installate almeno quelle etichettate "critiche",
che correggono le vulnerabilità più gravi.
Se tutta questa tiritera di patch e backup vi sembra una scocciatura eccessiva,
valutate l'idea di passare a sistemi operativi alternativi, come Linux o
MacOS, per i quali le patch sono assai meno frequenti, con costi e fastidi
di manutenzione conseguentemente ridotti.
Molti utenti hanno l'abitudine di installare programmi "per prova". Non fatelo. Più cose installate nel vostro computer, più vi esponete al rischio di cambiarne o appesantirne il funzionamento.
Un programma installato "per prova" può
decidere arbitrariamente di diventare quello che parte quando fate doppio
clic su un file, anche se voi ne usavate un altro e vorreste continuare
a farlo. Riportare il computer al funzionamento originale è un'impresa.
Alcuni programmi, inoltre, si installano
in modo da partire automaticamente a ogni avvio, rallentando enormemente
i tempi di avvio del computer e occupandone inutilmente la memoria. Questo
a sua volta rallenta il funzionamento generale del PC.
Per quanto riguarda il software pirata, viene naturalmente distribuito
senza alcuna garanzia di integrità. Nel caso
migliore, può mancarne un pezzo, per cui il software non funziona o fa danni
ai vostri dati. Nel caso peggiore, il software
piratato può contenere virus o altri programmi-spia (i cosiddetti
trojan horse o "cavalli di Troia") che vengono installati a vostra insaputa e
permettono a un aggressore di avere pieno accesso al vostro computer. E'
una situazione assai più frequente
di quel che potreste pensare.
Va da sé, inoltre, che il software pirata
non prevede assistenza tecnica. Per cui se non funziona o non sapete
come ottenere un certo risultato, vi dovete arrangiare.
Soprattutto nel caso di Windows, le versioni piratate di solito non consentono
di scaricare i frequenti e indispensabili aggiornamenti di sicurezza (patch).
Senza queste patch, il vostro Windows è un colabrodo.
A parte queste considerazioni pratiche, piratare il software è illegale e le pene sono
pesanti. Esiste moltissimo software legalmente copiabile e distribuibile
(c'è addirittura Linux, un sistema operativo completo che sostituisce Windows),
per cui non avete alcuna vera scusa che giustifichi la pirateria software.
Per dubbia provenienza
intendo anche siti che promettono di offrire suonerie, musica o pornografica
gratis scaricando un "programma gratuito": il programma è sì gratuito, ma
la connessione che il programma stesso crea no: usa un salatissimo numero
899. E' una truffa, e questi programmi sono tristemente noti come dialer. Trovate un approfondimento qui.
Purtroppo anche alcuni programmi dall'aria
"regolare" contengono il cosiddetto spyware, o "software spia".
Sono in genere programmi per lo scambio di musica (come alcune versioni
di Kazaa) o per inviare messaggi istantanei, che vengono offerti gratuitamente
ma hanno un "prezzo" occulto: raccolgono segretamente dati sulle nostre
abitudini di navigazione o altri nostri dati personali e li trasmettono
a chissà chi. Prima di installare qualsiasi
programma, quindi, occorre informarsi sulla sua natura. Chiedete ai vostri
amici o a Google se ci sono informazioni sulla presenza di spyware nel programma che vi interessa.
Se scoprite che un programma che avete installato contiene spyware oppure
volete controllare la situazione del vostro computer, potete usare programmi
gratuiti come Ad-aware o Spybot.
Internet Explorer è estremamente vulnerabile, e le sue vulnerabilità sono quelle preferite dagli aggressori informatici, perché sono facili da sfruttare e possono fare un elevatissimo numero di vittime.
Se usate Internet Explorer per visitare le pagine Web, vi esponete al rischio
di imbattervi in pagine Web che per il solo
fatto di essere visualizzate possono infettarvi il computer. Questo
fatto viene riconosciuto da Microsoft in quasi tutti i suoi advisory (comunicati in cui annuncia l'esistenza
di una falla e la procedura da adottare per correggerla).
Anche Outlook/Outlook Express è un rischio sicurezza, sia perché ha delle
vulnerabilità tutte sue, sia perché usa Internet Explorer per la visualizzazione
dei messaggi: in pratica, quando riceve un e-mail, lo passa (salvo vostra
impostazione differente) a Internet Explorer per l'interpretazione, come
se fosse una pagina Web, con tutti i pericoli che questo comporta. Pertanto,
non basta rinunciare a Internet Explorer per la navigazione
nel Web; occorre rinunciare anche a Outlook per la posta.
Internet Explorer e Outlook/Outlook Express
sono entrambi nella top ten delle maggiori
vulnerabilità di Windows pubblicate dal Sans Institute, una delle più rinomate
fonti di informazioni sulla sicurezza informatica.
L'estrema vulnerabilità di Internet Explorer e Outlook è verificabile per
esempio tramite i test del Qualys
Browser Check o quelli del mio piccolo Browser Challenge (www.attivissimo.net/security/bc/pagina01.htm). Internet Explorer,
se non correttamente aggiornato, vi espone più di altri browser alle truffe
grazie a falle come quella dei "falsi siti", documentata presso www.attivissimo.net/security/fakesites/fakesites.htm.
Al posto di Internet Explorer, usate programmi alternativi come Opera (http://www.opera.com/, anche in italiano) o Mozilla/Firefox (http://www.mozilla.org/, in italiano presso http://www.mozillaitalia.org/), disponibili gratuitamente.
Al posto di Outlook Express, usate alternative come queste:
Il vantaggio dei programmi di posta alternativi è che a differenza di Outlook
Express non si appoggiano a Internet Explorer per visualizzare i messaggi
(o possono essere impostati in modo da non farlo): li visualizzano come testo semplice, disattivando pertanto qualsiasi
contenuto pericoloso. Outlook Express, invece, usa Internet Explorer
per visualizzare i messaggi (perlomeno nelle versioni meno recenti), per
cui è possibile confezionare un e-mail che attacca l'utente tramite una
delle tante falle di Internet Explorer.
Inoltre, siccome i programmi alternativi sono meno diffusi dei prodotti
Microsoft, le loro eventuali falle sono oggetto di minori attenzioni da
parte degli aggressori informatici.
Questi nomi vi sono forse poco familiari: semplificando, identificano linguaggi di programmazione, nati per scopi non pericolosi, che però gli aggressori informatici sanno manipolare a fini vandalistici. Questi linguaggi consentono di annidare veri e propri microprogrammi all'interno di e-mail e pagine Web. Ovviamente un aggressore può usarli per creare microprogrammi ostili che danneggiano il vostro computer.
Il guaio è che nell'impostazione normale di Windows questi microprogrammi vengono eseguiti automaticamente.
Per cui basta visualizzare un e-mail o una
pagina Web ostili contenenti questi microprogrammi per infettarsi o essere
attaccati, per esempio obbligandovi a visitare un determinato sito
o depositando programmi-spia nel vostro PC.
Imparate pertanto a disattivare l'esecuzione
automatica di questi linguaggi. La procedura esatta dipende dal software
che usate. Per esempio:
Se vi sembra troppo drastico il consiglio di disabilitare Javascript, vi
invito a immettere in Google queste tre parole, racchiudendole tra virgolette:
javascript vulnerability browser.
Poi ne riparliamo. Lo stesso ragionamento, naturalmente, vale per gli altri
linguaggi citati.
Grazie alla poca furbizia e alla scarsa competenza tecnica di molti realizzatori
di pagine Web, questa disattivazione comporta che alcuni siti non funzionano
più. Il rimedio è semplice: riattivate l'esecuzione soltanto sui siti di cui vi fidate e tenetela disattivata quando visitate siti di cui non
vi fidate. Meglio ancora, disattivatela
e tenetela disattivata, riattivandola solo
se assolutamente necessario (ossia se la pagina del sito fidato non funziona se non riattivate l'esecuzione
di questi linguaggi).
Ripeto: di qualunque tipo e chiunque ne sia il mittente. Ripeto ancora: chiunque.
Perché insisto tanto sul "chiunque ne sia il mittente"?
Perché una tecnica molto in voga fra gli autori di virus consiste
nell'inviare alla vittima un e-mail infettante che sembra provenire da una
persona o azienda che conosce e di cui si fida.
Per esempio, gli autori dei virus spesso creano e-mail che fingono di provenire da Microsoft e dichiarano di contenere un allegato costituito da una patch di correzione per difendervi dall'ennesimo virus, mentre è in realtà è esso stesso un virus.
Microsoft ha addirittura una pagina apposita di smentita (www.microsoft.com/italy/technet/solutions/security/falsi_bolletini.asp), che dice fra l'altro che è facile capire quando un e-mail che apparentemente ha come mittente Microsoft è in realtà fasullo: "Il messaggio non è firmato tramite la chiave PGP del Microsoft Security Response Center. Prima di inviare i bollettini, Microsoft appone sempre una firma digitale che è possibile controllare utilizzando la chiave pubblicata all'indirizzo www.microsoft.com/technet/security/bulletin/notify.asp. In caso di dubbi sull'autenticità di un bollettino ricevuto per posta elettronica, è possibile confrontarlo con le versioni ufficiali dei bollettini pubblicate sul sito Web Microsoft TechNet." [...] "I bollettini autentici non contengono mai un collegamento a una patch, ma rimandano alla versione completa del bollettino pubblicata sul sito Web di Microsoft, in cui è disponibile il collegamento alla patch."
Un'altra tecnica molto diffusa fra i realizzatori di virus è attingere alla rubrica degli indirizzi della vittima.
Per esempio, un virus può infettare
il computer di un vostro conoscente, nella cui rubrica trova il vostro indirizzo.
Il virus poi confeziona un messaggio infetto in cui il mittente è appunto
il vostro conoscente e il destinatario è ciascuno degli indirizzi presenti
nella rubrica, e quindi arriva anche a voi. In questo modo, il messaggio
contenente il virus vi arriva da una fonte apparentemente affidabile, e
questo tende a farvi superare il naturale dubbio che avreste verso un allegato
proveniente da uno sconosciuto; così aprite l'allegato, infettandovi e perpetuando
l'infezione.
Una ulteriore variante popolarissima di questa tecnica virale è usare come falso mittente un indirizzo a caso tratto
dalla rubrica della vittima. Per esempio, l'utente tizio@tin.it viene infettato: la sua rubrica
contiene (fra i tanti) gli indirizzi di caio@libero.it e sempronio@yahoo.com. Il virus confeziona un
e-mail contenente come allegato una copia di se stesso, indicando come mittente
non il vero mittente, come nel caso
precedente, ma un mittente falso pescato
dalla rubrica: in questo esempio, si spaccia per un allegato proveniente
non da tizio, ma da caio, e diretto a sempronio.
Questo crea una confusione pazzesca
che facilita la diffusione del virus: mentre nella tecnica precedente è
facile risalire all'origine dell'infezione e avvisare l'untore, perché il
mittente indicato nel messaggio virale è autentico, in questa tecnica il
mittente infetto è irrintracciabile. Sempronio
riceve un e-mail infetto che sembra provenire da caio, ma in realtà proviene da tizio. Di conseguenza sempronio pensa che sia caio l'infetto, ma in realtà l'infetto è tizio, che continua a restare infetto dato che
nessuno lo avvisa del problema. In compenso, tutti avvisano erroneamente
caio che è infetto, generando un ulteriore traffico
di messaggi inutili e confusionari.
E' facilissimo creare un e-mail che contiene un link ingannevole, che sembra rimandare a un sito regolare ma invece vi porta da tutt'altra parte, ossia a un sito visivamente identico a quello autentico ma in realtà gestito da truffatori. Questo sistema viene usato per commettere frodi, per esempio rubando password o codici di carta di credito, o per infettarvi, inducendovi con l'inganno a visitare un sito ostile.
Una delle più diffuse tecniche per creare link ingannevoli è spiegata presso
www.attivissimo.net/security/fakesites/fakesites.htm. Guardate
questo link:http://www.microsoft.com&item=q209354@3522684105/. Ci credereste
che non porta al sito Microsoft, ma al sito di Playboy?
Un'altra tecnica ancora più insidiosa, specifica per Internet Explorer
nelle versioni non aggiornate, è presentata presso www.attivissimo.net/security/bc/test10.htm.
La truffa più frequente funziona in questo modo: ricevete un e-mail, di solito in formato HTML, che sembra provenire
dal servizio clienti di qualche banca, provider o società di commercio elettronico
(Paypal.com, per esempio), che vi avvisa di un "controllo a campione" o
di un "problema di verifica dei dati" e vi chiede di visitare il suo sito
usando il link cortesemente fornito nell'e-mail.
Il link è visivamente a posto (inizia
con il nome del sito legittimo), ma è in
realtà truccato, grazie all'uso dell'HTML o delle tecniche citate
sopra, in modo da mascherare il fatto che cliccandovi sopra non si va al
sito dell'azienda autentica, ma a un sito falso che usa la medesima grafica
e vi chiede di immettere i vostri dati, password compresa. Se siete effettivamente
utenti di quel servizio e date i vostri codici di accesso al sito-truffa,
lascio a voi immaginare le ovvie e spiacevoli conseguenze del caso.
Purtroppo il problema si pone, sia pure in misura minore, anche con l'e-mail in formato "testo semplice" (ossia
non in formato HTML). Se però sapete distinguere la posta HTML dalla
posta di testo semplice e siete sicuri che il messaggio che propone il link
è in formato "testo semplice", potete fidarvi dei link che non contengono
caratteri "strani" (chioccioline e simboli di percentuale, tipici sintomi
di un link fraudolento).
Se non sapete distinguere la posta HTML dalla posta in "testo semplice",
non dovete mai fidarvi dei link contenuti all'interno dei messaggi: dovete
invece adoperare un browser sicuro per
andare direttamente al sito citato digitando
da capo il testo del link oppure usando il "copia e incolla" sul testo del link. In
questo modo si evitano eventuali link mascherati con l'HTML, il browser
sicuro elimina il rischio residuo dei link truccati con altre tecniche,
e si è sicuri di visitare davvero il sito autentico.
Visto che me l'avete chiesto in tanti, ebbene sì, questa regola vale anche per la mia newsletter,
che contiene spesso dei link. Dato che sappiamo che è facilissimo falsificare
il mittente di un messaggio, chi vi garantisce che la newsletter che avete
ricevuto è davvero opera mia? Cliccate sui suoi link soltanto se siete capaci
di verificare che il messaggio è in formato "testo semplice" (la mia newsletter
lo è) e se usate un browser sicuro (uno di quelli consigliati dal Dodecalogo).
Questa regola è concepita non soltanto per la vostra difesa, ma anche per la sicurezza altrui, per tenere Internet più pulita. La posta in formato HTML (quella che consente grassetti, corsivi e altri effetti speciali) può veicolare contenuti pericolosi (virus, worm, truffe eccetera) che possono essere eseguiti automaticamente,senza che sia necessario aprire allegati. La posta HTML è una delle tecniche preferite dagli autori di virus. La posta HTML è male. La posta HTML è inoltre più "pesante" (occupa più spazio e richiede più tempo per la ricezione e la trasmissione). Mandarla e riceverla è quindi sia un rischio sicurezza, sia un aggravio inutile per la Rete.
L'e-mail di testo semplice è invece assolutamente sicura.
Rinunciare a qualche effetto tipografico è un sacrificio modesto compensato
da un enorme aumento della sicurezza. La vostra posta assumerà un aspetto
più spartano, ma ne vale la pena. Comunque anche nell'e-mail di testo semplice
è possibile "simulare" il grassetto e il corsivo usando espedienti: per
esempio, si può **evidenziare** una parola oppure __sottolinearla__. Si
può anche URLARE. MI SONO SPIEGATO, VERO?
Praticamente tutti i programmi di posta possono essere impostati in modo
che inviino l'e-mail come testo semplice. Fatelo.
Le istruzioni sono nel relativo manuale.
Se dovete distribuire documenti in forma elettronica, usate invece il testo semplice (.txt), l'HTML, il PostScript o il formato Acrobat (PDF). Rispetto a Word, questi formati hanno il vantaggio di non includere automaticamente i vostri dati personali, vale a dire (per ammissione della stessa Microsoft) "il vostro nome, le vostre iniziali, il nome della vostra società o organizzazione, il nome del vostro computer, il nome del server di rete o del disco rigido sul quale avete salvato il documento, altre proprietà del file e informazioni riepilogative, porzioni non visibili di oggetti OLE embedded, i nomi degli autori precedenti, le revisioni e le versioni del documento, informazioni sul modello, testo nascosto e commenti". Questo può condurre a figuracce spettacolari, come ben sa il primo ministro inglese Tony Blair (www.apogeonline.com/webzine/2003/07/30/01/200307300101).
Trovate maggiori ragguagli sull'entità del problema presso www.attivissimo.net/security/word_documents/word_documents.htm.
Uno strumento gratuito (se per uso personale) per analizzare i contenuti
nascosti dei file Word è Docscrubber,
disponibile presso http://www.docscrubber.com/.
I documenti Word sono da considerare pericolosi anche perché possono veicolare i cosiddetti macrovirus, ossia piccoli programmi annidati all'interno del documento Word che vengono eseguite automaticamente appena si apre il documento. Le recenti versioni di Word non eseguono più automaticamente le macro, ma è possibile indurre Word a eseguirle lo stesso (www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp) a meno che l'utente installi una patch di correzione.
Un altro motivo per cui conviene usare un formato diverso da Word per distribuire
documenti è che se usate Word potete comunicare
soltanto con gli utenti Windows (e, in misura limitata, con quelli Mac).
Gli utenti di altri sistemi operativi sono praticamente tagliati fuori o
costretti a usare software apposito a pagamento. Se volete essere sicuri che il vostro interlocutore possa leggere
il documento elettronico che gli inviate, usate i formati che vi consiglio.
Per il formato Acrobat, il programma di lettura è disponibile gratuitamente
per quasi tutti i sistemi operativi recenti.
Quasi tutti i programmi sono in grado di generare documenti in formati
HTML o Postscript. Anche generare documenti in formato Acrobat (PDF) è facilissimo:
basta acquistare un programma apposito:
Trovate altri programmi gratuiti o a pagamento per generare e leggere file
PDF presso siti come http://www.pdfzone.com/. In alternativa, potete
usare uno dei tanti servizi di conversione online (reperibili digitando
"convert to pdf" in Google) oppure
adoperare la suite gratuita OpenOffice.org, le cui versioni dalla 1.1 in poi includono un'opzione
che consente appunto di salvare i documenti in formato PDF.
Se vi state chiedendo come mai non consiglio il formato RTF, la ragione è semplice: è un formato
troppo poco standard, o più precisamente è implementato in modi troppo dissimili
o incompleti dai vari programmi, compresi Microsoft Word e OpenOffice, col
risultato che documenti generati da programmi diversi (o da versioni diverse
dello stesso programma) sono spesso incompatibili o producono impaginazioni
differenti. L'RTF offre insomma poche garanzie di universalità e di completezza.
La Rete e i giornali non specialistici sono pieni di falsi allarmi riguardanti virus inesistenti o la cui azione è descritta con tragica incompetenza. Gli utenti ingenui diffondono questi allarmi ad amici e colleghi credendo di aiutarli. In realtà avvisi di questo genere non servono a nulla, se non a generare insicurezza e traffico inutile di messaggi.
Fidatevi
soltanto delle informazioni pubblicate dai siti antivirus o dagli addetti
ai lavori; diffidate degli avvisi pubblicati dai giornalisti non specializzati;
nel dubbio, non inoltrate nulla.
Non cadete nella trappola del "non so se
è vero, ma nel dubbio lo inoltro". Il rischio di fare disinformazione
è altissimo. Controllate i siti antivirus
e antibufala e anche il mio Servizio Antibufala prima di decidere che
fare. Se scoprite che qualcuno vi ha mandato un avviso fasullo, scrivetegli
informandolo del suo errore e indicando la fonte della smentita, in modo
da stroncare la diffusione del falso allarme.
Il modo migliore per distinguere un vero allarme da uno falso è vedere se include un rimando a un sito di un produttore di antivirus. Se il rimando è autentico e descrive quanto indicato nell'allarme, allora l'allarme è autentico. Altrimenti, anche se ve lo manda il vostro migliore amico o lo dice la tivù o il giornale, è meglio diffidare e non diffondere ulteriormente.
Sarà anche bello bardarsi con tutte queste tecniche di difesa, ma come
si fa poi a verificare che funzionano davvero? Se non potete metterle alla
prova, non vi rendete conto del fatto che sono così preziose e vi stanno
silenziosamente difendendo.
Per verificare l'integrità del vostro firewall,
potete ricorrere ai test non distruttivi offerti da siti come Grc.com
(in particolare le pagine ShieldsUp! e LeakTest) oppure HackerCheck di Trend
Micro, o anche ai miei piccoli test nel Browser
Challenge. I dettagli di come procedere saranno pubblicati in un libro
e sul mio sito se questo Dodecalogo striminzito riscuote successo.
Per verificare l'efficacia del vostro antivirus,
potete usare i "falsi virus" messi a disposizione dalle principali società
antivirali. Si tratta di file innocui che però contengono parti di codice presenti
nei più diffusi virus ma rese inoffensive. Scaricando questi file, o ricevendoli
come allegati, il vostro antivirus deve riconoscerli come virus.
Verificare l'efficacia delle patch di Windows
è più difficile: il metodo da usare
varia a seconda del problema risolto dalla patch. Spesso Microsoft non spiega
esattamente qual è il problema risolto dalla patch e quindi è impossibile
creare le specifiche condizioni in cui la patch deve agire. Ci sono vari
siti dedicati alla sicurezza che offrono test per questa o quella patch
(per esempio GRC.com offre un test
per la patch DCOM), ma le patch sono troppo numerose perché io riesca
ad elencare qui ogni singolo test disponibile. Non vi resta che sperare
che la patch funzioni come dichiarato. Purtroppo non sempre è così.
Grazie a Silver, riccardo,
emenotti, stefano, matteoelst, filippo.sim**e, placerenza, paolo.ripam***i,
markus, sciechi, rossemarlboro,
roberto_***zo, ornico, mac76flash, carlo.santago***no, sverx, forward, gerrymail, andrew,
daniele, morenot, brucopeloso, emmeesse, a_r_q, mos6956, francesco.deb****li,
ferrigno, nicola.70, monella2004, dongiobenve
e ai tanti altri lettori che hanno reso migliore questo documento snidando
i miei errori e i passaggi poco chiari.