Sicurezza informatica - le basi
Chi non si e’ mai posto questa problematica alzi la mano e contemporaneamente si schiaffeggi con la rimanente, anzi, tiratevi proprio un pugno in mezzo alla faccia. Questo inizio e’ stato scritto in questo modo volutamente molto amichevole per enfatizzare un concetto fondamentale come la sicurezza nel mondo informatico.
Vi siete mai chiesti come fanno i cracker (se l’unico significato che vi dice questa parole vi sta facendo sbavare piu’ dei cani di Pavlov vi consiglio di leggere la pagine di wikipedia sull’argomento cosi’ che possiate finalmente aprire gli occhi) ad introdursi nel vostro sistema o a defacciare la vostra paginetta web? Sono dei maghi? Hanno poteri paranormali? Avete usato user admin e password admin? Nel caso meritereste di bruciare all’inferno.
Sono cosi’ spietato contro chi non si fa una cultura della prevenzione perche’ internet e’ circa come una catena. E come tutti ben sapete la forza di una catena e’ uguale alla forza del suo anello piu’ debole. Andiamo a cercare di argomentare questa affermazione prendendo come spunto due casi molto comuni: il proprio sito in un ambiente condiviso ed il proprio computer di casa.
Cosa potrebbe succedere in un ambiente condiviso nel caso in cui il nostro sito venga bucato dal piratozzo di turno? Oltre a poter fare cio’ che vuole con il vostro sito potrebbe (sempre dipendentemente a come il vostro hoster ha settato il sistema fisico) dare molti grattacapi ai vostri vicini, magari riuscendo a distruggere pure i loro dati o per esempio sovraccaricando la macchina fisica eseguendo task molto avidi di risorse o spammando in giro per il mondo con il risultato che l’ip del server finisce in black list e tutti i siti ospitati si trovano tagliati fuori da qualunque server di posta.
Nel migliore delle ipotesi si sprecheranno alcune ore di lavoro e tutto si sistema. Nel peggiore dei casi avete perso tutto e pure tutti gli ospiti dello stesso server. Ipotesi spiacevole, non c’e’ che dire.
Andiamo ora all’esempio del vostro computer di casa. Pensate ad un malintenzionato che ha il controllo totale o parziale del vostro computer e che lo utilizza per i propri comodi. Tolto il poter leggere tutti i vostri dati (e qui sicuro qualcosa di personale c’e') ma soprattutto nel poter utilizzare la vostra connessione a proprio piacimento.
E’ qui che nasce il concetto degli attacchi DOS o DDOS (Denial Of Service e Dynamic Denial Of Service) usati per oscurare i siti tra i quali anche i piu’ famosi. Uno su tutti mi pare di ricordare un attacco del genere su Yahoo che l’ha reso irraggiungibile per un paio di ore.
Questo tipo di attacchi si basa sul semplice concetto che se il server viene talmente sovraccaricato da non poter piu’ gestire le rischieste allora per il mondo risultera’ irraggiungibile. Concetto di una semplicita’ accattivante ma anche di una brutalita’ assurda visto che grazie a queste persone che prima ho mandato all’inferno attualmente sulla rete esistono botnet (reti di macchine rese robot sempre dal piratozzo di turno) immense capaci di generare traffici assurdi.
Quindi posso riaffermare che la vostra sicurezza e’ sicuramente influenzata dalla sicurezza del vostro vicino, in modo indiretto nel caso migliore ma in alcuni casi anche in modo diretto.
Cosa si puo’ fare per aumentare la sicurezza? Beh, noi qui affrontiamo due semplici strategie che sono la base fondamentale e da li poi si puo’ lavorare sul resto e sono in primis la gestione delle password e secondo gli aggiornamenti del sistema.
Le password: user e password uguali equivalgono a salire sulla piattaforma del bunjee jumping e lanciarsi senza essersi legati all’elastico. Una password che si rispetti deve avere lettere minuscole e maiuscole e numeri ed esere almeno almeno 6 caratteri (8 sarebbe l’ideale) senza arrivare a password inifinite impossibili da ricordare. Se seguite questo semplice consiglio siete sempre a posto.
Gli aggiornamenti: se vi state chiedendo quando e’ stata l’ultima volta che avete aggiornato il sistema chiudete questa pagine e non aspettate nemmeno un secondo. Aggiornatelo ora! Questa e’ proprio il requisito minimo. La base di tutto. Il cracker (qui parliamo di quelli da mangiare) su cui spalmare la nutella. Senza questo concetto non si va da nessuna parte, potete avere delle password lunghe quanto volete, riconoscimento di impronte digitali e di retina e delle mutande della nonna ma se non aggiornate non conta nulla.
Ogni giorni vengono scoperti bug nei programmi usati comunemente ed a volta questi errori nel codice permettono al malintenzionato di turno di fare cio’ che vuole con il vostro sistema (naturalmente senza dover inserire password o passare il riconoscimento delle mutande della nonna). Naturalmente questi errori vengono risolti molto in fretta e vengono rilasciate patch o nuove versioni corrette. Per cui se voi non avete aggiornato negli ultimi mesi il vostro computer (o il vostro cms per esempio) lavorate sicuro sicuro in un ambiente vulnerabile sotto piu’ aspetti.
Devo aggiungere qualcosa? Direi proprio di no. E’ anche vero pero’ che ormai coloro che non conoscono queste basi sono davvero pochi e si spera siano sempre meno. Diffondete questo tipo di cultura informatica della prevenzione. Uno e’ gia’ alla meta’ dell’opera se questi concetti sono condivisi tra tutti.
Tags: sicurezza