La sicurezza non si compra: le 10 regole di base

Come raccontato in un post precedente, non ho molto tempo per il blog, in questi giorni. Vorrei comunque fare una riflessione su un argomento che da sempre spopola tra gli informatici ma, ancora di piu', tra "gli informatici" e tra "quelli che ci capiscono": la sicurezza e' un processo, non qualcosa di acquistabile.

Nel mondo reale viviamo situazioni nelle quali non ci sentiamo sicuri. Una ragazza sola che cammina di notte per strada non si sentira' sicura. Puo' essa comprare "qualcosa" che la faccia sentire sicura? No, poiche' anche se avesse una pistola nella borsetta, questa non sarebbe sufficiente a garantirle la tranquillita' di non essere aggredita.

Perche' allora ci illudiamo di poter comprare qualcosa che metta in sicurezza i nostri computer?

Windows ha cercato di spiegare al mondo che bastano un firewall e un antivirus e possiamo stare tranquilli. Magari poi l'utente lascia la password attaccata allo schermo con il classico Post-it e chiunque puo' entrare e fare quello che vuole, alla faccia dei firewall e di tutto il resto.

La sicurezza non si compra: si ottiene grazie ad una serie di accorgimenti a 360 gradi. Nessuno puo' garantire sicurezza. Perche' allora nessuna azienda informatica rilascia mai certificazione in cui si prende la responsabilita' per qualsiasi "intrusione non autorizzata"?

Qualunque software, anche quello piu' collaudato e sicuro, puo' contenere un bug in grado di compromettere l'inviolabilita' del sistema. Poche settimane fa, ad esempio, si e' scoperto che Debian e tutte le sue derivate generano da circa due anni chiavi di crittografia facilmente prevedibili. Chi poteva sospettarlo? Nessuno, direi, considerando che Debian ha un security team talmente rapido ed efficiente da fare un baffo anche ad aziende di tutt'altro calibro.

Eppure e' successo, e questo dovrebbe far riflettere sul quanto sia ingenuo credere che i nostri computer siano al riparo da intrusioni non autorizzate. Una macchina, per essere sicura, deve essere spenta.

Come possiamo difenderci? Ci sono sicuramente delle buone tecniche per minimizzare le possibilita' di intrusione o, comunque, di ridurre i danni nel caso in cui questo possa succedere.

Ecco dieci regole di base, valide in qualunque situazione e per qualunque sistema operativo:

1. spegniamo tutti i servizi inutili. Ci serve un server ftp sul nostro portatile? No? Allora via, disattiviamolo. Risparmieremo anche preziosa memoria ram
2. utilizziamo la crittografia per tutto quello che lo consente. Non conosciamo la strada che i nostri dati faranno e, con essi, le nostre password. Mettiamo le nostre lettere nelle buste e poi mandiamo i nostri dati bancari in chiaro?
3. non usiamo sempre la solita password e, comunque, usiamone una intelligente. Il nome del cane, del figlio, della mamma, la data di nascita, ecc. sono tutte cose banali e facilmente riscontrabili.
4. manteniamo aggiornato il sistema e installiamo tutti gli update proposti. Ci sono bug di sicurezza ovunque ma, una volta tracciati, vengono corretti rapidamente.
5. usiamo sistemi operativi sicuri. E qui non commento :-)
6. configuriamo un firewall. Senza esagerare, comunque. Molti miei colleghi sono terrorizzati e blindano tutto, chiudono quasi tutte le porte sia in entrata che in uscita poi magari installano un'arcaica e bacatissima versione di sendmail su Unix o IIS su Windows NT e vivono tranquilli, "tanto c'e' il firewall", senza capire che a chi attacca basta una porta. Quella con dietro il programma nella giusta versione. Nel frattempo pero' la rete e' quasi inutilizzabile.
7. proteggiamo per bene le nostre reti WiFi. Usiamo il WPA, basta anche il PSK (per ora), con password adeguate
8. impariamo a distinguere tra "gli specialisti della sicurezza" che cercano di vendere dei prodotti da quelli che studiano la situazione e danno delle indicazioni. Conosco aziende che avevano messo apparati da migliaia di euro, atti a filtrare la rete cablata e poi avevano degli access point collegati a monte, prima degli apparati stessi. Si sentivano sicuri: "il XYZ ASD che ci hanno venduto e' inviolabile!". Lui si, quelli che lo hanno montato un po' meno.
9. Peter Norton non e' mai stato un genio dell'informatica. E' invece da sempre un ottimo industriale. Ricordiamocelo quando ci promette il computer blindato. E ricordiamoci anche che, tra un anno, ci dira' che il nuovo prodotto e' ancora piu' inviolabile di quello dell'anno precedente, ormai superato.
10. Nessuno, e dico nessuno puo' avere un quadro completo di tutto. Sia nell'informatica generale, tantomeno nella sicurezza. Fidiamoci di quello che ci dicono gli esperti, quelli veri. No, non il figlio quindicenne del vicino di casa che ci sa fare perche' "gioca tutto il giorno con i computer" oppure il giovane blogger che si autoproclama paladino della sicurezza e della conoscenza informatica e non ha neanche una ADSL per fare dei test, parlo di esperti veri, quelli che si trovano quotidianamente ad affrontare problematiche serie.

Fareste smontare il motore della vostra auto da un conoscente solo perche' da ragazzino cambiava le marmitte ai motorini? Raccontereste i fatti vostri al primo che passa per strada? I computer rivelano tante cose su di noi e, come tali, vanno preservati a dovere.

Alla ragazza che gira di notte da sola, quindi, suggerisco non l'acquisto di una pistola ma di vestirsi adeguatamente, passare in strade illuminate e trafficate e, se possibile, di farsi accompagnare.

Perche' la sicurezza non la si ottiene comprando qualcosa.