Stefano Marinelli's Blog

Posted in Informatica Generale, Linux & Dintorni by: Stefano
11 Comments

05 giu

La sicurezza non si compra: le 10 regole di base

Come raccontato in un post precedente, non ho molto tempo per il blog, in questi giorni. Vorrei comunque fare una riflessione su un argomento che da sempre spopola tra gli informatici ma, ancora di piu’, tra “gli informatici” e tra “quelli che ci capiscono”: la sicurezza e’ un processo, non qualcosa di acquistabile.

Nel mondo reale viviamo situazioni nelle quali non ci sentiamo sicuri. Una ragazza sola che cammina di notte per strada non si sentira’ sicura. Puo’ essa comprare “qualcosa” che la faccia sentire sicura? No, poiche’ anche se avesse una pistola nella borsetta, questa non sarebbe sufficiente a garantirle la tranquillita’ di non essere aggredita.

Perche’ allora ci illudiamo di poter comprare qualcosa che metta in sicurezza i nostri computer?

Windows ha cercato di spiegare al mondo che bastano un firewall e un antivirus e possiamo stare tranquilli. Magari poi l’utente lascia la password attaccata allo schermo con il classico Post-it e chiunque puo’ entrare e fare quello che vuole, alla faccia dei firewall e di tutto il resto.

La sicurezza non si compra: si ottiene grazie ad una serie di accorgimenti a 360 gradi. Nessuno puo’ garantire sicurezza. Perche’ allora nessuna azienda informatica rilascia mai certificazione in cui si prende la responsabilita’ per qualsiasi “intrusione non autorizzata”?

Qualunque software, anche quello piu’ collaudato e sicuro, puo’ contenere un bug in grado di compromettere l’inviolabilita’ del sistema. Poche settimane fa, ad esempio, si e’ scoperto che Debian e tutte le sue derivate generano da circa due anni chiavi di crittografia facilmente prevedibili. Chi poteva sospettarlo? Nessuno, direi, considerando che Debian ha un security team talmente rapido ed efficiente da fare un baffo anche ad aziende di tutt’altro calibro.

Eppure e’ successo, e questo dovrebbe far riflettere sul quanto sia ingenuo credere che i nostri computer siano al riparo da intrusioni non autorizzate. Una macchina, per essere sicura, deve essere spenta.

Come possiamo difenderci? Ci sono sicuramente delle buone tecniche per minimizzare le possibilita’ di intrusione o, comunque, di ridurre i danni nel caso in cui questo possa succedere.

Ecco dieci regole di base, valide in qualunque situazione e per qualunque sistema operativo:

  1. spegniamo tutti i servizi inutili. Ci serve un server ftp sul nostro portatile? No? Allora via, disattiviamolo. Risparmieremo anche preziosa memoria ram
  2. utilizziamo la crittografia per tutto quello che lo consente. Non conosciamo la strada che i nostri dati faranno e, con essi, le nostre password. Mettiamo le nostre lettere nelle buste e poi mandiamo i nostri dati bancari in chiaro?
  3. non usiamo sempre la solita password e, comunque, usiamone una intelligente. Il nome del cane, del figlio, della mamma, la data di nascita, ecc. sono tutte cose banali e facilmente riscontrabili.
  4. manteniamo aggiornato il sistema e installiamo tutti gli update proposti. Ci sono bug di sicurezza ovunque ma, una volta tracciati, vengono corretti rapidamente.
  5. usiamo sistemi operativi sicuri. E qui non commento :-)
  6. configuriamo un firewall. Senza esagerare, comunque. Molti miei colleghi sono terrorizzati e blindano tutto, chiudono quasi tutte le porte sia in entrata che in uscita poi magari installano un’arcaica e bacatissima versione di sendmail su Unix o IIS su Windows NT e vivono tranquilli, “tanto c’e’ il firewall”, senza capire che a chi attacca basta una porta. Quella con dietro il programma nella giusta versione. Nel frattempo pero’ la rete e’ quasi inutilizzabile.
  7. proteggiamo per bene le nostre reti WiFi. Usiamo il WPA, basta anche il PSK (per ora), con password adeguate
  8. impariamo a distinguere tra “gli specialisti della sicurezza” che cercano di vendere dei prodotti da quelli che studiano la situazione e danno delle indicazioni. Conosco aziende che avevano messo apparati da migliaia di euro, atti a filtrare la rete cablata e poi avevano degli access point collegati a monte, prima degli apparati stessi. Si sentivano sicuri: “il XYZ ASD che ci hanno venduto e’ inviolabile!”. Lui si, quelli che lo hanno montato un po’ meno.
  9. Peter Norton non e’ mai stato un genio dell’informatica. E’ invece da sempre un ottimo industriale. Ricordiamocelo quando ci promette il computer blindato. E ricordiamoci anche che, tra un anno, ci dira’ che il nuovo prodotto e’ ancora piu’ inviolabile di quello dell’anno precedente, ormai superato.
  10. Nessuno, e dico nessuno puo’ avere un quadro completo di tutto. Sia nell’informatica generale, tantomeno nella sicurezza. Fidiamoci di quello che ci dicono gli esperti, quelli veri. No, non il figlio quindicenne del vicino di casa che ci sa fare perche’ “gioca tutto il giorno con i computer” oppure il giovane blogger che si autoproclama paladino della sicurezza e della conoscenza informatica e non ha neanche una ADSL per fare dei test, parlo di esperti veri, quelli che si trovano quotidianamente ad affrontare problematiche serie.

Fareste smontare il motore della vostra auto da un conoscente solo perche’ da ragazzino cambiava le marmitte ai motorini? Raccontereste i fatti vostri al primo che passa per strada? I computer rivelano tante cose su di noi e, come tali, vanno preservati a dovere.

Alla ragazza che gira di notte da sola, quindi, suggerisco non l’acquisto di una pistola ma di vestirsi adeguatamente, passare in strade illuminate e trafficate e, se possibile, di farsi accompagnare.

Perche’ la sicurezza non la si ottiene comprando qualcosa.

[Slashdot] [Digg] [Reddit] [del.icio.us] [Facebook] [Technorati] [Google] [StumbleUpon]
Ti è piaciuto l'articolo? Vota Ok oppure No. Grazie Mille!

Puoi votare l'articolo anche qui, gli articoli precedenti qui.
«
»

11 Responses to “La sicurezza non si compra: le 10 regole di base”

  1. 1
    Aniello Giuseppe Says:

    conosco almeno un centinaio di persone che dovrebbero leggere quest’articolo
    :) bravo concordo in pieno

    giugno 5th, 2008 at 12:48
  2. 2
    shainer Says:

    Articolo molto carino.
    Dovrebbero leggerlo il 90% degli utenti secondo me, che spesso si fanno incantare dalle promesse dei venditori di antivirus tralasciando la vera sicurezza.
    Il paragone finale mi sembra alquanto fuori luogo, ma dato che è un argomento decisamente OT rispetto al discorso, lascio perdere.

    giugno 5th, 2008 at 13:35
  3. 3
    nexso Says:

    “Alla ragazza che gira di notte da sola, quindi, suggerisco non l’acquisto di una pistola ma di vestirsi adeguatamente, passare in strade illuminate e trafficate e, se possibile, di farsi accompagnare.
    Perche’ la sicurezza non la si ottiene comprando qualcosa.”
    I miei complimenti. Davvero un bel articolo.

    giugno 5th, 2008 at 13:58
  4. 4
    dade Says:

    Bellissimo articolo. Lo farò leggere a tutti coloro che mi chiedono consigli sulla sicurezza informatica.

    Scusate l’OT ma fa riflettere molto anche su un altro tipo di sicurezza di cui ci si riempie la bocca in Italia in questo ultimo periodo. Le parole “pacchetto sicurezza” ricordano molto le promesse di Mr.Norton

    giugno 5th, 2008 at 15:53
  5. 5
    RaSca Says:

    Bravo, ottime parole, compreso il paragone finale.

    giugno 5th, 2008 at 16:18
  6. 6
    Sicurezza, questa sconosciuta - Matteo Moro Says:

    [...] Marinelli ha scritto un bell’articolo, con qualche regoletta semplice che aiuta a capire che cos’è la sicurezza informatica. [...]

    giugno 6th, 2008 at 7:04
  7. 7
    Daniele Says:

    Davvero bell’articolo, non basta spendere soldi per avere qualcosa, bisogna pensare alle soluzioni migliori e prendere le dovute precauzioni. Purtroppo abituati al consumismo puro, preferiamo prendere un firewall da 1000 euro che pagare un consulente serio che magari ci sistema tutti i pc e crea un bel firewall e proxy con il nostro server!! Spesso ho visto molte porte blindate con finestre aperte…. purtruppo il mondo và così!!!

    giugno 6th, 2008 at 15:41
  8. 8
    Stefano Says:

    Eh si, Daniele, hai detto bene: possiamo anche sigillare le porte ma se abbiamo le finestre (all’inglese, Windows) aperte…c’è poco da fare! :-)

    luglio 15th, 2008 at 0:16
  9. 9
    FrancesKo Says:

    Bell’articolo, complimenti.

    [quote]
    possiamo anche sigillare le porte ma se abbiamo le finestre (all’inglese, Windows) aperte…c’è poco da fare!
    [/quote]

    e bella questa battuta :P

    agosto 19th, 2008 at 15:11
  10. 10
    kijio Says:

    mmm non male … ma i presupposti della sicurezza dei dati si devono basare anche su altri fattori, come ad esempio:
    1- la possibilita’ di eliminare i dati in maniera veloce e sicura;
    2- l’accessibilita’ fisica dei supporti contenenti i dati sensibili;
    3- gli obblighi di legge (talvota questi sono controcorrente, ad esempio quando ti obbligano ad usare programmi bucati per s.o. bucati);
    4- … potrei continuare .. ma poi l’articolo lo fai tu o io??? :D

    il tuo e’ un ottimo antipasto di un discorso che andrebbe allargato per altri 100 articoli.

    Vorrei sottolineare che talvolta gli “spippoloni” sono piu’ competenti di chi in doppiopetto si presenta con “certificazione” (parlo soprattutto di quelli mircosoft che di fronte ad un terminale incominciano ad avere le palpitazioni …). Bisogna conoscere le basi dell’informatica, compreso l’hardware, per risolvere problemi come quelli scaturiti dalla necessità di sicurezza, non basta ricordarsi il colore dell’icona “start”!.

    ciao e buon lavoro!

    agosto 19th, 2008 at 23:52
  11. 11
    Th3Bree Says:

    Uno dei post più originali che abbia mai letto in questi ultimi tempi.
    Complimenti, parole sante, e continua così ;)

    agosto 21st, 2008 at 13:00

Leave a Reply

© 2010 Stefano Marinelli's Blog | Entries (RSS) and Comments (RSS)

Powered by Wordpress, design by Web4 Sudoku, based on Pinkline by GPS Gazette