arc-convert-01
Home : Archivio
Scrivere di informatica è spesso una proverbiale fatica di Sisifo. In questo universo spesso in tumultuosa evoluzione, è difficile formulare pensieri la cui validità temporale superi qualche settimana. A maggior ragione per la manualistica, campo in cui è sempre concreto il rischio dell'obsolescenza ancora prima della pubblicazione. Il Piccolo dodecalogo di sicurezza online -che qui potete leggere integralmente- è un documento sulla sicurezza informatica, scritto da Paolo Attivissimo nel 2003, che ebbe una grande diffusione nella Internet italiana di quegli anni. Incidentalmente si tratta anche di una delle letture che innescarono molti anni fa il mio interesse per i temi della sicurezza informatica. Ad agosto il dodecalogo diventerà maggiorenne e mi è sembrato quindi interessante provare a capire se e quanto lo schema proposto sia ancora attuale. Diciotto anni sono un tempo lunghissimo in informatica durante il quale sono cambiati molti paradigmi del settore a cominciare dal mobile first. Cosa si può dunque ancora salvare di quelle dodici regole? E cosa invece è irrimediabilmente perso?
Prima di iniziare mi preme un'ultima questione: Sarebbe ovviamente assai più interessante se questa analisi la facesse lo stesso autore del dolecalogo. Io posso solo filtrarla attraverso quelle che sono le mie competenze e valutazioni, che come sempre lasciano il tempo che trovano.
Microsoft si decise ad attivare di default un firewall in Windows Xp solo con il rilascio del Service Pack 2 nel 2004. Fino ad allora i suoi sistemi operativi esponevano porte e servizi alla rete, per la gioia di worm come Blaster. Fino a quella data insomma, un firewall di terze parti era praticamente indispensabile. Con la famiglia Windows 6.x (Vista, 7, 8, 8.1) e poi con Windows 10 la situazione migliorò nettamente al punto da ridimensionare drasticamente il mercato dei firewall di terze parti. Il firewall delle versioni moderne di Windows è bidirezionale anche se la sua configurazione è sempre piuttosto macchinosa. Questo ha dato spazio a strumenti come Windows Firewall Control che sono vere e proprie interfacce alternative (e più amichevoli) al firewall di sistema.
Lo storico ZoneAlarm ma anche il noto Comodo Firewall esistono ancora anche in versioni gratuite. Probabilmente però l'utente medio oggi non ne ha più uno stringente bisogno, proprio perché può fare affidamento sul firewall di sistema. Restano invece interessanti per quegli utenti che ambiscono ad avere un controllo molto più rigoroso sui dati che entrano ed escono dal sistema.
Questione antivirus. La situazione oggi è forse mediamente più tranquilla dato che i file infetti sempre più spesso vengono bloccati dai filtri dei provider email o direttamente dal browser. D'altro canto però la complessità degli attacchi in circolazione è notevolmente cresciuta per cui la semplice prudenza non garantisce l'immunità. Similmente a quanto fatto per il firewall, Microsoft ha dovuto procedere all'integrazione di un modulo antivirus nel sistema operativo. I risultati sono stati inizialmente deludenti, ma le cose sono poi migliorate rapidamente tanto che oggi un sistema Windows 10 può ritenersi ben protetto fin da subito. Gli antivirus di terze parti ne sono forse usciti ridimensionati, ma allo stesso tempo hanno focalizzato meglio i propri prodotti verso gli utenti avanzati e le aziende.
Sull'indispensabilità di firewall e antivirus, il dodecalogo aveva dunque perfettamente ragione tanto che questi due componenti sono stati integrati nel sistema.
E sul fronte mobile? Android nasce con una impostazione molto diversa rispetto ai sistemi operativi desktop. L'utente è trattato quasi come un elemento ostile, non ha mai pieni poteri e deve subire passivamente le scelte del produttore. Le applicazioni d'altro canto sono confinate in sandbox e limitate attraverso la gestione di permessi per l'accesso alle informazioni condivise. Sembrerebbe un terreno assai ostile ad ogni genere di attacco informatico, ed invece... Da un lato ci sono impostazioni di default assolutamente ostili alla privacy dell'utente. Dall'altro non sono affatto necessari permessi elevati per iniettare pubblicità, spam, spyware in una app. Un sistema di permessi troppo capillare fa si che gli utenti accettino senza riflettere tutte le richieste. Infine l'impossibilità di accedere a livello root fa si che non si possano realizzare veri firewall per Android e che gli stessi antivirus abbiano a disposizione strumenti molto limitati. Risultato? La sicurezza di Android è legata a doppio filo alle scelte di Google e all'efficacia dei controlli del Play Store. Due elementi finora non certo a prova di critica.
Poco da dire qui. Il backup dei dati resta indispensabile anche se oggi mediamente è forse più difficile perdere tutto per un blackout. La crescita iperbolica della quantità dei dati da salvare è però un problema in parte nuovo. Alcune migliaia di foto dallo smartphone, video ed altri media sono enormemente più ingombranti di quanto potessero essere i classici file di Office e qualche gif. Lo stesso accade con il backup immagine di un intero sistema operativo che ora può occupare anche centinaia di gigabyte. Ne deriva che i supporti di backup più economici (CD e DVD) siano ormai quasi sempre insufficienti ed occorra affidarsi a supporti più impegnativi sia a livello di costo che di manutenzione.
Nel mobile dilaga il backup sul cloud, con tutto ciò che ne consegue. La comodità di avere una copia costantemente aggiornata è notevole, ma altrettanto notevoli sono i rischi che quelle informazioni vengano violate.
La mia opinione sull'importanza delle patch del sistema operativo Windows è andata cambiando nel tempo. Tranne i casi di vulnerabilità particolarmente gravi, sono convinto che sia preferibile una buona configurazione del sistema piuttosto che una continua rincorsa agli aggiornamenti. La famigerata esecuzione di codice da remoto che spesso popola i bollettini di sicurezza Microsoft è quasi sempre puramente concettuale e si può concretizzare solo in condizioni molto particolari. Aggiornare quindi sì, ma con i propri tempi scavalcando i meccanismi automatici del sistema operativo.
Discorso diverso su Android. Qui l'utente non ha modo (come detto sopra) di mitigare il rischio attraverso la configurazione del sistema operativo. Deve affidarsi necessariamente alle patch per risolvere i problemi di sicurezza. Spesso la difficoltà maggiore diventa ottenere nuovi aggiornamenti, dato che in genere i produttori offrono un supporto temporale molto limitato e Google non ha alcun genere di controllo su queste politiche.
Anche su questo punto non penso ci sia molto da discutere. Windows è oggi molto più efficace nella disinstallazione, ma difficilmente questa avviene in maniera perfetta. Per cui è sempre meglio limitarsi a ciò di cui davvero si ha necessità. Ci sono però due strade, oggi più mature, per provare nuovo software senza incasinare il sistema operativo. Da una parte esistono progetti come PortableApps e WinPenPack che consentono di utilizzare centinaia di applicazioni senza sporcare il sistema operativo. Dall'altro lato sistemi di light virtualization come Sandboxie permettono di provare nuovi programmi in maniera ragionevolmente sicura. Resta assolutamente valido il principio di non installare nulla che non arrivi da fonti assolutamente affidabili. Ma questo dovrebbe ormai essere scontato ;)
Sul fronte Android, la compartimentazione delle app consente di provarle senza grossi rischi per il dispositivo. Ma serve a ben poco rispetto agli altri problemi di sicurezza di cui abbiamo parlato (furto di dati, tracciamento, spyware, pubblicità molesta, etc.).
Problema sostanzialmente risolto, almeno in ambiente Windows. Outlook Express è stato abbandonato da Microsoft con il lancio di Vista, senza un erede altrettanto forte. Più in generale è l'intero settore dei client email autonomi ad essere stato drasticamente ridimensionato. Le webmail dominano, POP3 ed IMAP sono utilizzati più che altro come canali di backup, e chi come me utilizza ancora Thunderbird comincia a sentire l'effetto riserva indiana. Insomma oggi non esiste più un problema di sicurezza legato alla posizione dominante di un client nel settore della posta elettronica. Aggiungeteci tecnologie molto più mature lato server (antivirus, DMARC, etc.) per avere un quadro decisamente più positivo.
Non altrettanto si può dire lato browser. Ci siamo messi alle spalle il monopolio di Internet Explorer ma lo abbiamo sostituito con un secondo, quello di Google Chrome. Chrome è nato più robusto rispetto ad Internet Explorer, ma le sue vulnerabilità sono comunque molto numerose e potenzialmente disastrose per effetto della posizione largamente dominante nel mercato. Di questo scenario ho parlato in altre occasioni per cui vi rimando a questi articoli per altre considerazioni.
In questo caso peraltro la situazione nel mobile mi sembra molto simile a quanto vale per il desktop.
è probabilmente questa la regola del dodecalogo oggi più invecchiata. ActiveX e Visual Basic Scripting sono ormai due non-problemi dal momento che si tratta di tecnologie cadute in disuso e legate a doppio filo con Internet Explorer. Lo stesso però non si può dire per Javascript. Nel 2003 l'uso di Javascript era limitato, al punto che la maggior parte delle pagine web era visitabile senza problemi eccessivi anche disabilitando questo elemento nel browser. Ma da allora il web è completamente cambiato e Javascript da linguaggio ausiliario all'HTML si è trasformato nell'ossatura del web. Visitare oggi una pagina web con Javascript disabilitato significa in gran parte dei casi ritrovarsi con lo schermo bianco. Certo esistono ancora siti a contenuto prevalentemente testuale che sono leggibili anche senza script, ma parliamo di un piccolo sottoinsieme e di una esperienza comunque assai parziale.
Insomma Javascript è oggi indispensabile per usare il web moderno. Possiamo discutere se sia un bene o un male, ma il dato di fatto è questo. Ciò che invece ha ancora senso provare a fare è gestire Javascript in maniera flessibile, abilitandolo sui siti di nostra fiducia, durante sessioni di navigazione specifiche e bloccandolo sui domini che consideriamo ostili (per esempio sui siti che tracciano gli utenti). Se l'argomento vi appassiona date un'occhiata alla mia guida a NoScript per Firefox.
L' italiana TgSoft, che produce l'antivirus VirIT, pubblica settimanalmente un sempre interessante report sulle campagne del così detto MalSpam, vale a dire campagne di spam che veicolano la diffusione di malware. Se guardiamo ai dati della settimana dal 14 al 21 giugno 2021 scopriamo che la società ha monitorato ben 135 campagne di MalSpam di cui 17 specificamente rivolte agli utenti di lingua italiana. Ogni campagna di questo genere può coinvolgere decine di migliaia di utenti con il classico meccanismo a strascico tipico dello spam.
In queste campagne MalSpam, circa i nove decimi del malware arriva sotto forma di applicativi per Windows, con macrovirus e script a dividersi il restante. Tipicamente gli attacchi si presentano come email di banche, Poste, ecommerce o corrieri che invitano a scaricare documenti da remoto. Documenti che, opportunamente mascherati, rappresentano il malware vero e proprio. A differenza del passato, è diventato molto più raro il caso del malware direttamente allegato alla email, mentre la tecnica più diffusa oggi rimanda al download da uno delle migliaia di file hosting sparsi per il web.
TgSoft offre un monitoraggio della realtà italiana anche per quanto riguarda gli attacchi di tipo phishing. In questa pagina ad esempio è possibile dare un'occhiata agli attacchi più diffusi nel mese di giugno. Anche in questo ambito le modalità d'azione sono ben note: email che sembrano provenire da istituti di credito, hosting provider, assicurazioni, corrieri, ecommerce e via di seguito, che invitano ad effettuare delle verifiche su una operazione sospetta. Seguendo il link si finisce nei classici siti-trappola costruiti per sottrarre informazioni personali ai malcapitati.
Insomma, la situazione non è sostanzialmente molto diversa da quella del 2003 descritta nel dodecalogo. Forse l'unica differenza apprezzabile è che oggi molte caselle email dispongono di filtri migliori in grado di bloccare una buona fetta di MalSpam e phishing. Strumenti come DMARC (a cui ho già accennato) rendeno più difficile lo spoofing degli indirizzi, ma difficilmente possono bloccare messaggi da account creati appositamente su domini generici. Anche i browser hanno implementato meccanismi di block list che in molti casi riescono a inibire l'accesso ai siti-trappola poco dopo la loro comparsa in rete.
Esistono quindi strumenti più raffinati per riconoscere e bloccare i pericoli che viaggiano con la posta elettronica, ma siamo ancora ben lontani da una soluzione. Non aprire/scaricare allegati dubbi e non seguire link nelle email restano dunque due precauzioni raccomandabili.
Metto assieme anche queste due regole del dodecalogo perché a mio avviso presentano delle analogie significative. La posta elettronica in formato testo puro resta una opzione praticabile e implicitamente più sicura della posta formattata con HTML. Di fatto però i vantaggi di resa grafica della seconda alla fine hanno preso nettamente il sopravvento sulla semplicità della prima. Di contro il problema di esecuzione degli script nelle email è stato affrontato lato client con la maggior parte dei programmi per la posta elettronica che blocca preventivamente il contenuto attivo. Similmente il download di contenuti remoti, utilizzato dagli spammer per verificare gli indirizzi, è sempre bloccato o facilmente bloccabile. Semmai, come detto già sopra, è proprio l'idea del client email ad essere in declino, spostando questo genere di problemi sulle webmail e di conseguenza sul browser.
Questione allegati. Dai dati cui ho accennato sopra appare evidente che il problema dei macrovirus nella posta non è scomparso. E gli onnipresenti file di Office ne restano il principale veicolo. Rispetto al passato però, le applicazioni Office hanno introdotto molte limitazioni all'esecuzione di macro rendendo questo genere di malware meno efficace. Quanto ai meta-dati inclusi nei file Word, è un problema annoso ma che in una certa misura vale per tutti i formati documentali. Si tratta più che altro di scegliere: se si ha bisogno di strumenti di attribuzione, revisione e commento, allora è inevitabile che una certa quantità di meta-dati viaggi assieme ai file.
In linea di principio il suggerimento del dodecalogo di utilizzare formati alternativi come il PDF o l'HTML resta valido ma di difficile applicazione. Il PDF è pensato come formato di sola lettura con opzioni di modifica molto limitate ed è quindi poco adatto a documenti da modificare. L'HTML è oggi un formato troppo complesso ed implementato in maniera troppo diversa nei vari editor per poter essere una credibile alternativa.
Piaccia o meno, i formati di Office restano la soluzione più pratica per scambiare documenti, soprattutto per l'enorme numero di programmi che sono in grado di gestirli (seppure in forme spesso imperfette). Le alternative come OpenDocument alla fine sembrano aver ereditato molti dei difetti dei file di Office con l'ulteriore limite di essere modificabili da un numero molto inferiore di applicazioni.
Se nel 2003 avreste dovuto scommettere sulla validità negli anni di una delle regole del dodecalogo, questa sarebbe stata probabilmente la più sicura. I canali informativi non specializzati continuano a fare a gara nel fornire informazioni imprecise o del tutto forvianti quando si parla di internet e tecnologia.
A ruota gli appelli, i passaparola digitali, le teorie più strampalate continuano a diffondersi a macchia d'olio. Esistono probabilmente casi in buona fede, ma è ormai evidente che la maggior parte della disinformazione viaggia sorretta da interessi diretti di tipo economico, sociale o politico; dalla volontà di attrarre click, di creare consenso, di manipolare la percezione degli eventi. Se abbiamo dovuto aggiungere ai nostri vocabolari espressioni come fake news o post truth è evidente che la situazione è solo peggiorata nel tempo.
Diffidare, verificare, per quanto possibile risalire alle fonti resta un processo necessario per quanto faticoso. Ci aggiungerei anche il bisogno di selezionare con maggiore severità le fonti partendo dall'evidenza che non basta più la notorietà di una testata a renderne affidabile i contenuti.
Direi che alla soglia della maggiore età il dodedcalogo di Paolo Attvissimo ci arrivi in buona forma. Come ho cercato di illustrare, la maggior parte dei presupposti resta valido e si tratterà di volta in volta di adattarli ad un contesto mutato. A maggior ragione, sarebbe assai interessante se l'autore ci rimettesse mano per riproporlo in una chiave moderna che tenga conto soprattutto dello spostamento dell'utenza verso il mobile.
Di mio, posso aggiungere una ulteriore considerazione. In tutti i sistemi operativi moderni con gestione avanzata dei permessi, si ottiene un enorme incremento della sicurezza operando con diritti limitati. La separazione della parte amministrativa (Administrator in Windows, root in Linux) da quella operativa aggiunge uno strato di sicurezza molto robusto ed in grado di prevenire una parte rilevante dei danni in caso di attacchi virali.
Windows Xp offriva già una efficace separazione degli account dovendo però convivere con un parco software ancora modellato su Windows 98/Me e quindi incompatibile con i vari livelli di esecuzione. Forse anche per questo, di separazione degli account nel dodecalogo non si fa cenno. Con gli anni anche questa limitazione è progressivamente venuta a mancare e già nella seconda parte della carriera commerciale di Xp l'uso di account limitati non poneva restrizioni o scomodità eccessive. è un modello che continuo a replicare su tutti i computer che adopero e a cui difficilmente saprei rinunciare ;)
Bene, alla soglia delle ventimila battute, è tempo di salutarci. Alla prossima.