L’internet è cresciuto così tanto e così velocemente da lasciare impreparate molte persone riguardo la sicurezza (cybersecurity). Quello che maggiormente ha complicato la vita dell’utente medio di internet è la proliferazione e la maggiore reperibilità di potenti strumenti di attacco, capaci di attentare alla sicurezza di un sistema. Oggi tali strumenti sono facilmente accessibili mentre prima il loro utilizzo era prerogativa di persone con determinate conoscenze tecniche.
Tutti siamo a rischio. Questo significa che tutti abbiamo la stessa probabilità di un attacco informatico? Non proprio! Una cosa è essere un privato cittadino, un’altra essere una banca o un istituto finanziario. Infatti, in entrambi i casi si potrebbe essere soggetti ad attacchi, ma di natura diversa. Un cittadino potrebbe trovarsi ad essere infastidito da virus o spam. Una banca o un’istituzione finanziaria potrebbe trovarsi nella condizione di subire attacchi continui nel tempo.
Quali problemi può darci la mancanza di adeguati sistemi di cybersecurity? Perdite di dati, furti, intrusioni, diffusione informazioni riservate sono solo alcune delle conseguenze di attacchi andati a segno. Nel migliore dei casi, tutto ciò può tradursi in costi e minore produttività.
Vista la sua diretta ricaduta anche sui singoli cittadini, questo dovrebbe farci prendere sul serio l’argomento. La sicurezza informatica è responsabilità primaria di un tecnico informatico, anche se creare un piano di sicurezza non è cosa semplice considerato le numerose entità coinvolte: dispositivi, persone e applicazioni. Ognuna di esse con il proprio comportamento è chiave del successo o dell’insuccesso del piano di sicurezza.
Ma quand’è che si può considerare un sistema sicuro? “Un sistema è sicuro quando si comporta nel modo previsto”.
Diciamolo subito: la sicurezza assoluta non esiste. La si può raggiungere solo considerandola parte di un processo globale che inizia dalla individuazione delle vulnerabilità fino alla pianificazione del sistema di sicurezza. A un’adeguata sicurezza dei dati si arriva tramite la valutazione dei software, i sistemi operativi, i protocolli di trasmissione, gli apparati di rete coinvolti e il coinvolgimento e la sensibilizzazione degli utenti. Il processo che porta alla sicurezza è complesso.
La parola “vulnerabilità” deriva dal latino vulnus che significa “ferita”. Vulnerabile è tutto quello che può essere attaccato e danneggiato. Nella cybersecurity ci si riferisce ad una vulnerabilità quando si vuole indicare un punto debole di un sistema: un software progettato male e configurato peggio, un software non aggiornato, un bug nel sistema operativo o una password troppo debole. Queste sono solo alcune delle falle di sicurezza attraverso le quali un hacker potrebbe compromettere l’integrità e la riservatezza dei dati.
Gli attacchi si possono raggruppare in due categorie: attacchi passivi e attacchi attivi. Ma come possiamo definire un attacco a un sistema informatico? L’attacco ad un sistema informatico è un’azione con lo scopo di sfruttare a proprio vantaggio una vulnerabilità. Gli attacchi passivi sono eseguiti per trafugare informazioni riservate spiando il traffico di rete e analizzando la possibilità di attacco ed intrusione nel sistema. A questa categoria appartengono le tecniche di sniffing.
Gli attacchi attivi cercano di modificare i messaggi in rete o le informazioni nel sistema per danneggiarlo o per rubare i dati. A questa categoria di attacchi informatici appartengono i DoS – Denial of Service. Tale attacco tenta di esaurire le risorse del sistema per ridurlo al collasso saturandone le proprie risorse inviando molti pacchetti di richieste.
Per difenderci da qualcosa bisogna conoscere la minaccia. Le minacce informatiche sono molte e in continua evoluzione. Virus, worm, trojan possono essere installati su PC non necessariamente collegati alla rete mentre backdoor, spyware, adware, denial of service, spam trovano il loto humus nella rete.
I virus si “legano” a software già presenti nel sistema variandone anche le dimensioni. Si caricano nella memoria centrale del sistema restandone residenti allo scopo di infettare altri programmi. Si diffondono tramite file infetti, mail o allegati. Uno dei primi metodi di analisi di un antivirus è quello di “pesare” i file, cioè controllarne le dimensioni. Altro metodo è l’analisi euristica. In breve, l’antivirus controlla comportamenti anomali del programma, analizzandone il codice e confrontandolo con virus noti e presenti nel suo database.
Gli worm sono programmi autonomi. Per procedere all’esecuzione usano il sistema operativo dell’ospite e sfruttano bug di programmazione. Si diffondono tramite la rete e la posta elettronica, spesso sono gli utenti stessi ad eseguirli, scambiandoli per programmi utili.
Il primo worm di cui si ha notizia è quello creato da Robert Morris, uno studente del MIT di Boston, nel 1988. Sfruttava alcune vulnerabilità di Unix e non era stato scritto a scopo malevolo ma per testare la capacità di Internet. Dopo poche ore dalla diffusione riuscì ad infettare circa 6000 computer.
I trojan, sotto sembianze di software utile, possono cancellare o modificare dati, copiarli, inviarli ed eseguire altri programmi. Non si autoreplicano come i virus. Un particolare Trojan è il CryptoLocker che ha come caratteristica quella di infettare i sistemi e crittografarne i dati contenuti. Questo allo scopo di chiedere un pagamento in cambio della chiave di decrittazione.