Home Facoltà http://www.scienze.univr.it/fol/image/topBanner.jpg
 
| contatticontatti | | dove siamodove siamo | | telefono emailtelefono email | |   |
map map


Home Ateneo 
Home Facoltà 

Sicurezza in rete

La rete di Facoltà è il luogo virtuale che tutto il personale condivide tramite il proprio elaboratore. Di seguito ci sono alcuni consigli per evitare gli inconvenienti di questa convivenza.

Sommario

Motivazioni
Come mettere in sicurezza il proprio elaboratore
Installazione dell'antivirus di Ateneo (Windows)
Configurazione di un Firewall gratuito (Windows)

Motivazioni

La posta in gioco

Gli elaboratori nella rete di Facoltà contentengono i nostri dati (i miei, i tuoi). Sono dati sensibili, sono prodotto di lavoro (retribuito) o investimenti; possono essere confidenziali. Hanno un valore quantificabile anche monetariamente.

È perció naturale che esista una responsabilità legata a tali dati: la gestione di quelli che si detiene e l'illecito legato all'accesso non autorizzato a dati di terzi.

Esiste la responsibilità legata alle proprie azioni in rete. E di conseguenza l'importanza di dover legare queste azioni ad identità (persone) del mondo reale.

Gli obiettivi di un ambiente di rete "sicuro"

I primi che vengono alla mente sono:

  • Il mantenimento del controllo sui dati che si detengono nelle macchine connesse alla rete
  • Un ambiente che promuova i comportamenti responsabili e censuri quelli illeciti
  • Come prerequisito del punto precedente, l'instaurazione di un ambiente in cui la responsabilità delle azioni in rete siano associate a persone reali

Chi interessa la sicurezza della rete?

La risposta non è: solo chi sia connesso alla rete. Non è solo chi possiede dati a cui si attribuisce un valore.

Hai capito dove voglio arrivare: interessa tutti. Chiunque abbia a che fare con la Facoltè e non solo.

Chi possiede dati di valore, vuole che gli strumenti che utilizza, gli permettano di mantenere il controllo su di essi. Se una persona terza utilizza dati che ci appartengono, l'interesse che l'ambiente in cui essa lavora sia sicuro è anche nostro.

La sicurezza in rete richiede comportamenti specifici. Ciò ha un costo, per lo meno in termini di tempo. La cosa importante è che un ambiente di rete non sicuro può causare danni — o tempo perso — in genere ben maggiori del costo legato a comportamenti ragionevolmente restrittivi, che la creazione di un ambiente di rete sicuro comporta.

Visto che un ambiente di rete viene condiviso, il mancato rispetto di comportamenti atti a renderlo sicuro, può essere causa indiretta di danno a gli altri utenti della stessa rete.

Mettere in sicurezza il proprio elaboratore

Uno dei punti messi in evidenza sopra è il mantenimento del controllo di quanto accade attraverso il proprio elaboratore e nei dati in esso conservati. Uno dei maggiori pericoli per ciò che qua abbiamo chiamato un ambiente sicuro, è infatti la possibilità che altre persone o programmi possano prendere il controllo del nostro sistema.

Mettere in sicurezza il proprio elaboratore significa contrastare tale eventualità.

Alcuni consigli pratici

Per punti, un piccolo vademecum di pratiche minime ed indispensabili per la sicurezza del proprio elaboratore:

Definire un amministratore per la sola manutenzione del sistema:
Comportamenti responsabili derivano dall'individuazione delle responsabilità. Solo una persona deve avere accesso amministrativo alla macchina, custodendo la relativa password. Tale utenza è riservata per gli interventi di manutenzione. Questo è possibile se gli altri utenti, sono nella condizione di poter lavorare in condizioni normali senza dover modificare la configurazione della macchina.

Assegnare utenze strettamente personali:
Come l'amministratore si assume la responsabilità della manutenzione della macchina, ogni utente deve essere responsabile della propria condotta durante l'utilizzo di un elaboratore. I sistemi operativi multiutente consentono che ciò sia possibile attraverso utenti personali e separati, privi di diritti amministrativi, le cui azioni possono essere discriminate. Questo evita inoltre che un utente debba risentire di utilizzi scorretti delle persone con cui condivide lo stesso elaboratore.

Accertarsi che venga applicata una politica di accesso per i file dei vari utenti di una macchina:
Perché esista una vera separazione tra i vari utenti deve necessariamente esistere anche una politica di accesso (o negazione dell'accesso) ai file personali di un altro utente o del sistema operativo. Per questo motivo sistemi operativi quali Windows 95, 98, Millenium Edition, Windows XP Home Edition sono del tutto o in parte inadatti all'utilizzo multiutente. Sistemi operativi come Windows XP Professional chiedono sia l'amministratore a decidere se rendere privati i dati dei vari utenti.
Queste restrizioni rendono più difficile a virus o altro software maligno l'intaccamento dell'intero sistema operativo ed evitano che azioni maldestre o fraudolente di un utente intacchino l'ambiente di lavoro altrui.

Accertarsi che venga applicata una politica di accesso per i file tra macchine differenti:
Spesso la condivisione di file tra varie macchine (in modo particolare in ambiente Microsoft Windows) viene fatta in modo superficiale. La condivisione file e stampanti di Windows è infatti una dei primi veicoli (secondo solo alla posta elettronica e lo sfruttamento delle vulnerabilità di browser internet quali Internet Explorer) per la diffusione di codici maligni (virus, worm, troiani) in rete.
La condivisione di file consentita a tutti i computer ed a qualsiasi utente della rete espone a due pericoli: il primo è lo sfuttamento di vulnerabilità del sistema operativo tramite connessioni di rete, il secondo è lo sfruttamento di vulnerabilità del software applicativo con cui si utilizzano i documenti messi in condivisione (ad. es. Word, Excel).
Lo sfruttamento di una vulnerabilità significa l'utilizzo di situazioni impreviste da parte degli sviluppatori di un software (da un applicativo come un elaboratore di testi, a parti di un sistema operativo, ad esempio quelle utilizzate per la comunicazione in rete). Alcune di queste condizioni possono essere sfruttate per avviare codice eseguibile all'insaputa dell'utente, arrivando anche a compromettere il sistema operativo ed i dati contenuti nell'elaboratore.
La compromissione di elaboratori su scala grande o media, può venir sfruttata per condurre attacchi verso parti di rete o elaboratori, riducendone le funzionalità tramite l'intasamento dei canali di comunicazione. Può essere utilizzata per carpire dati personali degli utenti o per compiere attività illecite tramite gli elaboratori di utenti inconsapevoli.

Una delle soluzioni per ovviare a questi rischi è restringere (ad esempio tramite un firewall) gli elaboratori autorizzati a connettersi alla propria macchina, o addirittura disabilitare i servizi di condivisione se non utilizzati. Per scongiurare che da remoto si possa modificare, eliminare, o ancora peggio infettare documenti in condivisione, è consigliabile rendere i documenti accessibili con il minimo indispensabile di autorizzazioni (ad es. solo in lettura) e solo ad utenti specifici.

Mantenere il software della macchina aggiornato:
Come citato al punto precedente, sistemi operativi, software operanti in rete ed applicativi, possono avere vulnerabilità. Queste possono essere sfruttate fornendo a programmi specifici dati creati ad hoc (reperiti da internet, contenuti in documenti infetti, ricevuti attraverso connessioni con altri elaboratori in rete), infettando il sistema, propagando ulteriormente l'azione verso altri elaboratori e talvolta corrompendo dati.
La falla di sicurezza aperta dalle vulnerabilità è particolarmente grave soprattutto se presente in parti del sistema operativo operanti con privilegi pari all'amministratore della macchina, in quanto sufficienti per prendere pieno controllo della stessa.
È considerato quindi essenziale, mano mano che gli sviluppatori scoprono e correggono tali falle di sicurezza, aggiornare il software presente nella propria macchina. In primo luogo il sistema operativo, ma non secondariamente anche altro software che può essere utilizzato per avviare codice fraudolento. Una delle modalità classiche di attacco è infatti quella di usare falle di programmi eseguiti con i privilegi di un utente semplice per accedere alla macchina; da qua, sfruttare una seconda vulnerabilità di programmi in esecuzioni con privilegi maggiori, e compromettere l'intero sistema.

Installare un firewall:
Il firewall è una sorta di stazione di frontiera tra l'interno del nostro computer e la rete esterna. Esso permette infatti di scegliere quali programmi nel nostro elaboratore siano autorizzati a comunicare, e con quali computer della rete.
Il firewall è una misura di sicurezza che agisce sia in modo preventivo, che in modo contenitivo: consente di ridurre le connessioni ai soli computer fidati, riducendo il rischio di intrusioni di vario genere; riduce il rischio che il proprio elaboratore, se infetto, propaghi a tutta la rete circostante un virus, bloccandone la comunicazione in rete se non riconosciuto come programma autorizzato.
Tutti i sistemi operativi più recenti mettono a disposizione un firewall già installato. Windows 2000, nonostante sia un sistema operativo pensato per l'utilizzo in rete, ne è purtroppo sprovvisto. Sono però disponibili in rete alcuni firewall gratuiti per un utilizzo personale.

Installare un antivirus e mantenerlo aggiornato:
L'antivirus è la misura automatizzata per bloccare dati infetti dopo che siano entrati nel sistema, o per ripristinare la situazione dopo che l'infezione si sia manifestata.
Il punto importante è che i vari codici maligni, sfruttando varie vulnerabilità o caratteristiche di software e sistemi operativi, devono continuamente esserne creati in forme nuove. I produttori di antivirus, d'altro canto ricercano ed identificano continuamente nuove forme di virus, distribuendo regolarmente aggiornamenti che consentono ai loro prodotti di estendere la loro azione di contrasto alle forme al virali al momento individuate. L'azione di un software antivirus è quindi pienamente efficace solo se regolarmente aggiornato.
Per sistemi operativi diffusi come Microsoft Windows è quasi d'obbligo l'installazione di un antivirus capace di arginare l'enorme produzione di virus per esso sviluppati. L'Ateneo mette a disposizione gratuitamente un antivirus ed i suoi aggiornamenti per tutti gli elaboratori operanti in questa rete.

Negare aggiornamenti / installazioni agli utenti:
Perché una macchina venga infettata da una qualche forma di codice maligno è necessario che in qualche modo tale software venga eseguito. Per quanto sorprendente possa sembrare, per una consistente fetta di tali software fraudolenti l'esecuzione viene più o meno consapevolmente concessa dall'utente.
I tipici portoni d'ingresso per tali software sono subdole richieste di installazione di parti aggiuntive del browser internet (ad es. componenti ActiveX o plugin per Internet Explorer) o codec per la visione e l'ascolto di file multimediali (codec per Windows Media Player o simili), durante la navigazione o a seguito dell'apertura di allegati di posta.
È quindi opportuno che gli aggiornamenti software siano effettuati automaticamente da fonti attendibili o manualmente dall'amministratore di sistema, disabilitando invece la possibilità che utenti più o meno esperti, tratti in inganno da fonti di dubbia serietà, possano installare software maligno.

Educare ad un utilizzo responsabile della posta elettronica e della navigazione in internet:
Nonostante tutto, è estremamente difficile negare la possibilità ad un utente di eseguire software non precedentemente vagliato come affidabile. Entra in campo perció l'intelligenza e l'esperienza di ciascuno nell'utilizzo di un computer collegato in internet.
Prima di aprire un allegato proveniente da un mittente sconosciuto, domandiamoci perché uno sconosciuto si è scomodato di mandarci questo file? Cosa rischio nell'aprirlo? Oppure: perchè questo sito vuole farmi scaricare questo programma? Cosa rischio nell'eseguirlo?

Prestare attenzione al software operante in rete:
Qualche punto sopra si è accennato all'importanza di restringere (tramite ad es. l'installazione di un firewall) le connessioni a soli pc fidati. Alcuni software, quali ad esempio instant messanger, programmi di Chat o per lo scambio Peer to Peer di file, diffondono l'indirizzo della propria macchina ed aprono la comunicazione con pc sconosciuti. È importante in questi casi essere consapevoli del rischio a cui ci si espone, configurando nel modo più appropriato le impostazioni di privacy di tali software, il proprio firewall, e informandosi in modo continuo sull'individuazione di possibili falle sfruttabili per comportamenti fraudolenti (forum, siti di news, sito del produttore).

Ultimo aggiornamento: 15 Ottobre 2006