IT SECURITY Uso sicuro del Web Navigazione in rete L’attività di spionaggio informatico è particolarmente orientata sui siti attraverso i quali si effettuano attività commerciali o finanziarie. Il cracker ha come obiettivo principale il furto di identità Il cracker cerca di ottenere illegalmente: Credenziali dell’utente (account + password); Numero della carta di credito; PIN della carta di credito; Ente di emissione della carta di credito; Numero di conto corrente. Per mettersi al riparo dai cracker bisogna sempre accertarsi che il sito sia “sicuro”, cercando di riconoscere i siti che esibiscono il certificato digitale controllabile direttamente in linea, oltre al simbolo del lucchetto chiuso, accanto all’indirizzo della pagina il protocollo, con protocollo https La maggior parte dei siti web utilizza il protocollo http che consente un accesso rapido, senza che debba essere attivata alcuna procedura per ottenere il collegamento. I siti che possono trattare dai “sensibili” adottano invece il protocollo https (http Sicuro) che associa al protocollo HTTP la crittografia a chiavi asimmetriche dei dati trasferiti. Https – Siti di orgine finanziaria o assicurativa, commercio online, cliniche mediche, programmi di posta elettronica e browser web che trattano dati sensibili….. Sulla barra degli indirizzi deve apparire il simbolo di un lucchetto chiuso; Sulla barra degli indirizzi deve apparire il protocollo https; Deve essere possibile la verifica del certificato del sito, cliccando due volte sul simbolo del lucchetto chiuso. Es. Verificare la presenza del protocollo https in un sito bancario Pharming il malintenzionato tenta di impossessarsi dell’identità della vittima: nome, indirizzo ecc. indirizzandola verso un sito pirata, clone di un sito realmente operante. Quindi il cracker fa uno studio dell’azienda e del suo sito per simularne un altro quanto più possibile simile all’originale Phishing – riguarda il rapporto del cracker con la vittima “da prendere all’amo”. I siti web che praticano attività finanziarie o commerciali, come pure i siti web che distribuiscono il software, attestano la loro identità attraverso un certificato digitale. Il certificato digitale è basato sulla crittografia a chiavi asimmetriche, ed è costituito da un pacchetto di informazioni firmato da un’autorità riconosciuta. Il pacchetto deve contenere: Generalità di un sito web o di un computer o di un’organizzazione, ai quali il certificato si riferisce; Chiave pubblica del titolare del certificato; Periodo di validità attestato dall’autorità riconosciuta. Se si clicca due volte sul lucchetto, parte la procedura di convalida del certificato digitale. Viene automaticamente inviato all’indirizzo del sito un testo crittografato con la chiave pubblica riportata nel certificato e, se il sito è quello reale, esso deve poter rispondere con l’uso della corrispondente chiave privata, generando accanto al simbolo del lucchetto, il messaggio: Sito sicuro o Sito verificato Es. Verificare il certificato di un sito Convalidare il certificato di un sito commerciale Uno dei maggiori rischi per la sicurezza delle reti aziendali (VPN), deriva dagli accessi effettuati dai dipendenti che lavorano fuori sede, tipicamente i venditori e i tecnici d’assistenza. Ogni volta che effettuano un login, mettono un estraneo in condizione di apprendere la maniera di entrare abusivamente nella rete aziendale Per evitare questo rischio, è stato inventato il metodo della one time password che vuol dire password per una sola volta. Le tecniche di realizzazione sono varie, la più usata si basa sulla richiesta di accesso, da parte del computer o del cellulare chiamante, verificandone le credenziali e inviando poi una password utilizzabile una volta soltanto. Il codice di accesso viene generato da un complesso algoritmo, ovviamente segreto. Particolare attenzione deve essere posta al completamento automatico, che potrebbe facilitare il compito della solita “spia informatica” che si aggira tra le scrivanie. L’attivazione del completamento automatico della password può essere attivato solo su PC domestico. L’attivazione e disattivazione vanno eseguite sul browser Internet utilizzato. La disattivazione del completamento automatico non comporta automaticamente la cancellazione dei dati conservati in precedenza. Es. Disattivare il completamento automatico dal browser In alcune pagine web, può accadere che il sito visitato invii dei cookie, ossia un file che si deposita nel disco del calcolatore dal quale è partita la richiesta di visualizzazione. Quando si ritorna a visitare lo stesso sito, il cookie passa un insieme di dati che identificano il computer ed una serie di dati di tipo statistico commerciale. I cookie sono usati particolarmente dalle aziende che praticano il commercio online. attraverso il sistema dei cookie, è possibile costruire il “profilo” degli utenti della rete e, di conseguenza, offrire agli utenti pubblicità “mirata”. I browser offrono la possibilità di bloccare tutti o in parte i cookie. Alcuni cookie devono essere necessariamente installati se il sito con il quale si vuole dialogare (es.istituto bancario) lo richiede. Es. Bloccare tutti i cookie -Consentire solo cookie di un sito-Bloccare cookie di un sito Quando si lavoro con il computer di un amico, di un collega o di un fornitore, al termine dell’attività svolta nel posto di lavoro occasionale, occorro ricordarsi di non lasciare tracce di alcun tipo. ES. Cancellare con il browser, tutti i dati di navigazione di un computer ES. Con il browser cancellare la cronologia e i file temporanei Se in casa c’è un bambino, sarebbe bene permetterne l’utilizzo soltanto con un genitore. Esistono rischi in 5 grandi aree di attività: Durata dell’uso quotidiano del computer; Siti visitati nel web; Messaggi di posta elettronica; Chat line; Reti sociali (Facebook e altre). Esistono programmi che possono impedire il funzionamento delle applicazioni specifiche o addirittura dello stesso computer, al di fuori degli orari decisi dal genitore, per ciascun giorno della settimana. Software di controllo sono installati anche sui server web di alcune aziende,uffici pubblici dotati di PC a disposizione del pubblico (controllo dei contenuti) ES. Controllo genitoriale del PC (Parental control) Reti sociali Bisogna porre particolare attenzione nella divulgazione dei propri dati, immagini, riflessioni, perché una volta messi in rete, questi elementi possono essere diffusi e di nuovo fatti circolare per anni, anche se sono stati immediatamente cancellati sul sito originale. Quando si utilizza una rete sociale si possono avere due obiettivi: 1. facilitare il lavoro di gruppo; Per facilitare e rendere più produttivo il lavoro ci si registra con il proprio nome e cognome, badando di non fornire più informazioni di quelle richieste. 2. giocare/passare del tempo. Sarebbe bene non fornire mai indicazioni che possano far risalire alla propria identità, ma utilizzare un nickname (nome di fantasia) Le reti sociali mettono a disposizione dei loro utenti una serie di restrizioni nella diffusione di notizie e delle immagini (es.Facebook) Nella pagina impostazione della privacy e strumenti: Chi può vedere le mie cose? Pubblica (Senza alcuna restrizione) Amici, tranne conoscenti Solo io Personalizzata Amici più stretti Familiari Altre liste Chi può contattarmi Chi può cercarmi Come in tutti gli ambiti umani, “la Rete” è popolata da persone valide e personaggi poco raccomandabili. Specie le donne e i minori devono frequentare la Rete con discrezione ed interrompere i rapporti “virtuali” al primo sospetto di poca limpidezza. Atteggiamenti persecutori: Cyber bullismo: alcuni individui, forti del fatto che non possono essere facilmente individuati, si divertono a perseguitare altre persone attraverso email, sms, post su reti sociali Adescamento: Mezzo attraverso il quale un frequentatore poco serio induce una persona psicologicamente debole ad accettare un incontro fisico Falsa identità: alcuni individui ne costruiscono una, fingendo di essere una donna o un coetaneo per attirare ad un incontro fisico la propria vittima. Informazioni, link, messaggi fraudolenti Phishing (prendere qualcuno all’amo come un pesce) Pharming (utilizzare in maniera illegale log, sito e immagine di un’azienda)