LA CYBER SECURITY

I sistemi informatici sono sempre più connessi tra loro e collegati in rete 24 ore al giorno. Offrono una
quantità sempre maggiore di servizi e applicazioni liberamente fruibili, che purtroppo possono essere
utilizzate da malintenzionati per carpire informazioni o creare danni.
Si è, quindi, reso sempre più necessario attuare tecniche di prevenzione e difesa dei sistemi informatici,
che prendono il nome di cyber security. Essa viene concretizzata intervenendo su:

• sistemi informatici proteggendoli da:

• intrusioni: cioè, dagli accessi non autorizzati intervenendo con firewall, autenticazione degli utenti
e crittografia;
• infezioni: cioè, dalla corruzione dei dati o dei sistemi informatici;
• perdite: cioè, dall’indisponibilità dei contenuti digitali;
• educazione dell’utente: insegnandogli una maggiore attenzione nell’utilizzo degli strumenti
informatici.

Intervento sui sistemi informatici: protezione

da intrusioni
Per proteggere i sistemi informatici dagli accessi non autorizzati è possibile intervenire in tre modi, cioè
introducendo firewall, autenticazione degli utenti e crittografia.

I FIREWALL
I firewall sono elementi (software o hardware) che vengono interposti fisicamente tra le reti da proteggere
(sistema informatico) e Internet.

La loro funzione è quella di ispezionare il traffico in entrata e in uscita dalla rete locale e consentire (o
negare) l’accesso alla LAN sulla base di specifiche regole precedentemente
configurate dall’amministratore del sistema.
I firewall next-gen (next generation) oppure UTM (Unified Threat Management) sono più sofisticati e
includono quasi sempre funzionalità antivirus/antimalware. Sono in grado di riconoscere le singole
applicazioni offrendo una protezione e un filtraggio del traffico più precisi e puntuali.
Esistono anche software o moduli di sistema operativo che effettuano, limitatamente al PC su cui operano,
un filtraggio analogo ai firewall perimetrali; questi prendono il nome di firewall personali.

L’AUTENTICAZIONE DEGLI UTENTI

Una volta superato il controllo del firewall, il sistema deve verificare che l’utente che chiede l’accesso sia
autorizzato. L’identificazione dell’utente viene effettuata utilizzando un id (per esempio username, e-mail
ecc.) e una password.

L’autenticazione, cioè la verifica e la conferma dell’identità della persona, consente al sistema di stabilire
a quali risorse l’utente può accedere.

In alcuni contesti (per esempio il mondo bancario), l’accesso con credenziali non è
reputato sufficientemente sicuro, di conseguenza esistono anche i sistemi di autenticazione a due
fattori che, per essere efficaci, richiedono all’utente di fornire due diverse modalità di identificazione,
scegliendo fra le seguenti:

• qualcosa che so (password o pin del bancomat);

• qualcosa che ho: smartphone usato come token (sul quale arriva un SMS contenente un codice
numerico), tessera del bancomat ecc.;
• qualcosa che sono (riconoscimento biometrico: impronta digitale, identificazione facciale,
impronta vocale o scansione della retina).

IMEL A CRITTOGRAFIA
Internet è una rete intrinsecamente non sicura. I dati “viaggiano” in chiaro e quindi sono esposti
a intercettazione e alterazione, spesso di natura accidentale, ma che possono anche avere natura dolosa.
Per proteggere i dati in transito sulle linee, vengono utilizzati dei sistemi di crittografia o cifratura,
realizzabili in due modi con:

• chiave simmetrica (preshared-key): il messaggio viene crittato utilizzando un’unica chiave che
funziona sia per la codifica sia per la decodifica. La chiave deve precedentemente essere inviata al
destinatario su un canale sicuro;
chiave asimmetrica: per crittare il messaggio si usano due chiavi: una per la codifica (chiave pubblica) e
una per la decodifica (chiave privata). Il destinatario fornisce al mittente la chiave pubblica, che può essere
nota a chiunque. La chiave privata, invece, è conosciuta solo dal destinatario, che non deve divulgarla per
nessun motivo.

L’uso della crittografia consente di godere di alcuni vantaggi:

• riservatezza dei dati: gli algoritmi di cifratura rendono il contenuto della comunicazione decifrabile
esclusivamente da chi è in possesso delle chiavi;
• integrità dei dati: se durante il transito i dati subiscono qualche alterazione (casuale o dolosa) il
processo crittografico viene invalidato e il destinatario elimina i dati corrotti;
• attendibilità della sorgente dei dati: esiste la possibilità di richiedere un certificato digitale che
attesti l’identità di un soggetto (persona, società, computer ecc.). L’ente riconosciuto come autorità
di certificazione (CA, Certification Authority), a seguito di accertamenti, rilascia un documento
elettronico di identificazione che nel caso del web, può essere visibile facendo clic sul lucchetto che
compare nel browser prima dell’URL.

APPROFONDIMENTO - CHE COS’È UN TOKEN?

I token erano oggetti forniti dalle banche che generavano un codice numerico (OTP, One Time Password)
inserito come ulteriore protezione per le operazioni sui conti correnti. Oggi i token hardware sono in disuso
e i codici OTP vengono generati da token software (per esempio app per dispositivi mobili come Google
Authenticator). I codici OTP hanno due caratteristiche fondamentali:
1. durata temporale limitata: se il codice scade, non è più valido, viene eliminato e ne viene generato un
altro;
2. possono essere usati una sola volta: il codice generato è valido per un solo eventuale accesso.
Intervento sui sistemi informatici: protezione
da infezioni
Il termine virus viene comunemente usato come sinonimo di malware. L’equivoco viene ulteriormente
alimentato dal fatto che gli antivirus rilevano e rimuovono tutti i malware, non solo i virus. I
malware, oltre ai virus, includono una varietà più ampia di software maligni, creati per causare danni ai
computer e/o per sottrarre informazioni e/o per trarre profitto illecito.
Esistono diverse categorie di malware:

• virus: sono parti di codice che alterano il codice eseguibile dei programmi applicativi.
Vengono eseguiti ogni volta che il file infetto viene aperto e si auto-copiano da un applicativo
all’altro come un’infezione biologica. La trasmissione da un computer all’altro avviene tramite lo
spostamento o la copia dei file infetti;
• worm: simili ai virus ma non necessitano di legarsi ad altri applicativi per diffondersi in
quanto modificano il sistema operativo del computer e lo infettano in modo da essere lanciati
ogni volta che viene avviata la macchina. Tentano di replicarsi sfruttando Internet, di solito tramite
la posta elettronica o sfruttando i bug dei siti web;
• Trojan horse: usano una strategia simile a quella usata dai greci per entrare nella città di Troia.
Questi software si presentano con funzionalità apparentemente lecite e giudicate utili dagli utenti
(che per questo motivo sono indotti a utilizzarli), ma contengono anche istruzioni dannose che
vengono poi eseguite dal malware all’insaputa dell’utente;
• spyware: il termine deriva da SPY softWARE. Questi malware vengono usati
per raccogliere fraudolentemente informazioni dal sistema informatico su cui sono installati e
trasmetterle via Internet a un destinatario interessato, all’insaputa della vittima. Le informazioni
carpite possono andare dalle abitudini di navigazione, alle password o alle chiavi crittografiche.
Nelle versioni più evolute gli spyware riescono a prendere il controllo del microfono o della
webcam del PC e quindi intercettare illegalmente audio, labiale o informazioni visive sull’ambiente
in cui l’utente opera;
• keylogger: sono programmi in grado di registrare tutto ciò che un utente digita su una
tastiera (o che copia e incolla) rendendo così possibile il furto di password o altri dati che
potrebbero interessare qualche malintenzionato. La presenza del keylogger sul computer non viene
avvertita perché l’esecuzione del malware non causa il rallentamento del PC;
• ransomware: è un malware che critta tutti i dati presenti su un disco, utilizzando una chiave di
cifratura complessa, e poi invia all’utente messaggi intimandogli di pagare un riscatto per poter
ottenere la chiave di decifratura e far ritornare i dati in chiaro. Questi software sono pericolosi in
modo direttamente proporzionale alla quantità, al valore e alla riservatezza dei dati presenti sul
disco.
GLI ANTIVIRUS
I danni provocati dai malware possono essere diversi, tra cui:

• rallentamento del dispositivo;

• impossibilità di utilizzare alcune applicazioni;
• comparsa di scritte o immagini indesiderate;
• messaggi di errore;
• furto di dati riservati.

Per proteggersi si devono usare opportuni software chiamati sistemi antivirus, che in realtà sappiamo
essere antimalware (più categorie di malware identificano e combattono, meglio è). Gli antivirus devono
essere continuamente aggiornati perché ogni giorno nascono e si diffondono nuove minacce.
Quando un antivirus riconosce un elemento malevolo sul sistema può effettuare, generalmente, tre azioni:

1. correzione: se un file è stato infettato in modo reversibile, è possibile rimuovere la minaccia e

ripristinare il file originale, senza perdita di dati;
2. quarantena: un file ritenuto pericoloso e non risanabile automaticamente viene posto in un’area
riservata del disco in cui non può essere eseguito e sulla quale potranno essere intraprese ulteriori
azioni in futuro, anche in attesa di aggiornamenti dell’antivirus;
3. eliminazione: se viene ritenuto che un ripristino del file originale non sia attuabile, l’antivirus può
cancellarlo in modo definitivo.

In alcuni casi, per debellare il malware è necessario reinstallare il sistema operativo, le applicazioni e
recuperare i documenti da una copia non corrotta. Questo è uno dei motivi per cui sono molto
importanti i backup.

Intervento sui sistemi informatici: protezione

da perdite di dati
I dati possono essere persi o corrotti per molte ragioni, fra cui:

• errore umano (per esempio cancellazione accidentale);

• bug del software;
• guasto, malfunzionamento hardware o blackout elettrico;
• evento doloso (per esempio malware o attività umana);
• furto;
• calamità naturale (per esempio allagamento, incendio).
Per salvaguardare le informazioni è quindi necessario intervenire attraverso il backup o il disaster
recovery.

IL BACKUP
Nei sistemi informatici complessi nei quali sono custoditi dati molto importanti (per esempio i dati
relativi ai conti correnti bancari) è assolutamente necessario prevenire l’eventualità che cancellazioni o
danneggiamenti, anche accidentali, conducano alla perdita dei dati memorizzati.
Il backup è il salvataggio periodico di una copia dei dati, effettuato su supporti diversi da quelli usati
normalmente dai sistemi, in modo tale che, in caso di emergenza, i dati copiati possano essere utilizzati per
ripristinare la situazione originale.

I supporti sui quali vengono salvate le copie di backup possono essere conservati in prossimità del
computer, ma è buona norma custodirli in luoghi fisicamente separati considerati più sicuri.
I backup professionali (per esempio in banca) vengono normalmente effettuati durante le ore
notturne (o comunque nelle ore non lavorative) per tre motivi fondamentali:

• la memorizzazione di grandi quantità di dati richiede molto tempo. Se il backup venisse fatto di
giorno ci sarebbe il rischio di copiare dati inconsistenti (cioè in parte aggiornati e in parte no);
• il backup (anche se fosse rapido) impegna le risorse del sistema, se venisse fatto di giorno,
rallenterebbe il sistema;
• normalmente i sistemi informatici rimangono comunque accesi anche di notte, in una
politica di sostenibilità economica e ambientale, le risorse vengono impiegate in modo utile.

I backup domestici preservano i dati contenuti sia nel personal computer sia in smartphone e tablet (per
esempio le fotografie possono essere copiate sul PC o su hard disk esterni).
Attraverso una semplice copia delle cartelle su un supporto di memorizzazione o utilizzando
opportuni software di backup è possibile prevenire sgradevoli sorprese.

Attenzione
Negli ultimi anni si è diffusa anche la possibilità di effettuare backup nel cloud.

Lo sapevi che
Tra i diversi software di backup, quello gratuito messo a disposizione dalla Veeam, Veam Agent for
Microsoft Windows è in grado di copiare l’intero disco fisso del computer.
Le tre metodologie di backup utilizzate sono il salvataggio:

• completo: i dati vengono copiati integralmente. Il primo backup deve essere sempre di questo
tipo;
• differenziale: vengono copiati solo i dati che hanno subìto modifiche dall’ultimo backup
completo. Deve essere successivo a un backup completo;
• incrementale: vengono copiati solo i dati che hanno subìto modifiche dall’ultimo backup
(completo o incrementale precedente). Deve essere successivo a un backup completo.

Come si può notare dalle figure, nel caso di backup differenziale il volume dei dati aumenta con il passare
del tempo. Questo significa che il backup incrementale occupa mediamente meno spazio. Al contrario,
il restore da backup differenziale è mediamente più rapido rispetto a quello da backup incrementale perché
la ricostruzione dei dati viene effettuata considerando solo l’ultimo backup differenziale e il backup
completo precedente. L’equivalente restore da backup incrementale richiede che la ricostruzione dei dati
venga effettuata considerando l’ultimo backup incrementale, il backup completo precedente e tutti gli
incrementali intermedi.

Un aspetto importante da considerare, è il retention time sui supporti, che indica “quanto a lungo” le
informazioni salvate dovranno essere conservate prima di essere distrutte o sovrascritte.
Un metodo classico per gestire il retention time è lo schema “nonno-padre-figlio” che salva i dati
utilizzando tempi di persistenza diversi, effettuando:

• backup giornalieri (su supporti “figlio”);

• backup settimanali (su supporti “padre”);
• backup mensili (su supporti “nonno”).

In base a questo schema, ogni giorno vengono eseguiti dei backup mentre, su supporti differenti, vengono
eseguite anche delle copie settimanali e mensili. Si ottengono così dei salvataggi con diverso retention
time che consentono di non occupare troppo spazio sui supporti di backup e di contenere i costi di
mantenimento.
restore / ripristino
retention time / tempo di persistenza

Attenzione
La presenza di dati ridondanti (cioè identici e ripetuti più volte) come nel backup differenziale consente, in
generale, un’elaborazione più rapida a scapito dello spazio di memoria occupato.

IL DISASTER RECOVERY
L’esistenza delle copie di backup consente il ripristino dei dati, ma in alcune applicazioni più critiche, questa
operazione potrebbe non essere sufficiente.

ESEMPIO
Un sistema informatico bancario, in caso di emergenza, deve essere in grado di recuperare i dati sui conti
correnti e di garantire i servizi essenziali ai propri clienti, come il prelevamento di denaro dai bancomat.

Quando, oltre ai dati, è necessario ripristinare i servizi che li utilizzano, si parla di disaster recovery.

Per poter attuare un ripristino dei servizi occorre prevedere l’esistenza sia di un supporto secondario in
cui memorizzare i dati, sia di un luogo secondario (completamente diversi, distanti anche centinaia di
kilometri) in cui:

• copiare periodicamente i dati provenienti dal luogo primario;

• avere a disposizione risorse hardware e software sufficienti per fornire almeno un ripristino
parziale dei servizi più importanti.

Educazione CIVICA - L’EDUCAZIONE DELL’UTENTE

Per proteggere i dati e i sistemi informatici da frodi, furti, danni ecc. il comportamento dell’utente è
fondamentale; è quindi importante informarsi e aggiornarsi sulle tecniche di attacco che via via si
diffondono su Internet.
Per prima cosa si deve prestare attenzione ai siti web sui quali si naviga e alle e-mail che si ricevono,
evitando di credere che siano sempre attendibili. In particolare:
• quando, per raggiungere un sito web, viene fornito un link cliccabile è buona norma controllare che
l’URL di destinazione sia effettivamente quello desiderato. Nel dubbio, è meglio raggiungere i siti
Internet digitando direttamente i loro indirizzi;
• quando si riceve un’e-mail da un mittente apparentemente conosciuto, occorre controllare l’indirizzo
che potrebbe essere simile (ma non uguale) a quello di un contatto della propria rubrica. Anche quando
l’indirizzo del mittente è identico a quello conosciuto, non va comunque scartata l’eventualità che l’e-
mail, in realtà, sia stata inviata da un malintenzionato e quindi occorre comunque fare attenzione agli
allegati perché la loro esecuzione potrebbe lanciare, per esempio, pericolosi ransomware;
• la presenza di numerosi errori sintattici nel testo delle e-mail (o di un sito web) può essere sintomo di
un messaggio fraudolento. In caso vengano identificati elementi che facciano dubitare della validità dell’e-
mail, è buona norma contattare con altro mezzo (per esempio telefono) il mittente e verificare che sia
stato lui a inviare la comunicazione sospetta.
Un’altra buona norma da seguire è quella di non fornire mai i propri dati sensibili tramite e-mail, in
particolare quelli bancari. Nessun sito attendibile utilizza una semplice e-mail come forma di
comunicazione per raccogliere informazioni sui dati sensibili. Nel caso si ricevesse un’e-mail con una
richiesta di questo tipo, non si deve assolutamente rispondere.

L’ingegneria sociale
L’ingegneria sociale studia le tecniche psicologiche che vengono utilizzate per manipolare le persone,
con lo scopo di indurle a compiere azioni o a fornire informazioni riservate.

Queste tecniche fanno leva sulla stimolazione di emozioni, che possono essere sollecitate dal
ricevimento di un comando autorevole, dalla stimolazione di un senso di colpa o di panico, dall’igenuità
delle persone ecc.
Tra le tecniche di ingegneria sociale, le più conosciute sono:

• phishing (dalla storpiatura della parola inglese fishing): è basata sulla diffusione di e-mail
ingannevoli, in cui il phisher segnala il blocco di un account (o di una carta di credito),
richiedendo alla vittima le credenziali per fare verifiche e procedere allo sblocco, ma che in realtà è
solo un trucco per ottenere i dati;
• shoulder surfing: carpisce le credenziali dell’utente spiandolo di persona mentre le digita (su
bancomat, tastiera dell’antifurto di casa, smartphone ecc.);
• dumpster diving: è basata sull’analisi della spazzatura della vittima (per esempio ricevute con dati
sensibili, fogli con password buttati via ecc.).
NTO
Una macro è una serie di istruzioni o comandi che vengono eseguiti
automaticamente per svolgere un'attività ripetitiva o complessa in modo
più rapido ed efficiente.
Dove si usano le macro?
Le macro vengono utilizzate in diversi ambiti, tra cui:
• Microsoft Excel e altri software Office – per automatizzare
operazioni ripetitive, come la formattazione di dati o calcoli
complessi.
• Programmazione e sviluppo software – per definire sequenze di
codice riutilizzabili.
• Gaming – per eseguire azioni automatiche nei videogiochi.
• Sistemi operativi e software di automazione – per semplificare
processi lavorativi.