Hacking : Le leggi della sicurezza

In questo articolo voglio riportare e commentare alcune delle leggi fondamentali della sicurezza in ambito informatico. Si tratta di leggi che non bisogna mai dimenticare, a prescindere dalla parte della barricata da cui si combatte.
Anche l’utente medio può trarre importanti insegnamenti da queste leggi, consiglio pertanto la lettura di questo articolo a tutti coloro che non vogliono vivere con le fette di salame davanti agli occhi.

L’unico modo per fermare un hacker, è pensare come lui. (Cit)

leggi sulla sicurezzaQuando un aggressore cerca di scoprire le vulnerabilità di un sistema impiega un elenco mentale di comportamenti osservabili dall’esterno. Se riesce ad osservare un determinato comportamento può dedurre quali tratti non sicuri presenta il sistema e concentrare gli sforzi sui punti deboli, anche senza effettuare altre analisi approfondite.

Questo elenco è chiamato “Leggi sulla sicurezza”.
Si tratta di linee guida adatte a controllare la protezione mentre si rivede un sistema, o lo si progetta..

Il sistema, può essere un singolo software, una intera rete di computer con firewall e IDS, o anche il proprio pc domestico.

Sia che lo si difenda o che lo si attacchi è importante capire quali sono i punti deboli.

Le leggi sulla sicurezza identificano proprio questi punti e consentono di concentrare gli sforzi sulle aree più facilmente attaccabili.

In questo articolo mi limiterò ad elencare ogni legge, e a commentarla brevemente.
Successivamente pubblicherò altri articoli sulla sicurezza dove approfondirò ogni legge portando anche esempi e soluzioni.

Le leggi sulla sicurezza :

  • La sicurezza sul lato client non funziona
  • Non è possibile scambiare le chiavi di crittografia in modo protetto senza un’informazione condivisa.
  • Non è possibile essere protetti al 100% dal codice maligno.
  • Qualunque codice maligno può assumere altre forme per aggirare il rilevamento della firma.
  • I firewall non possono proteggere al 100% dagli attacchi.
  • Tutti gli IDS (Intrusion Detecion System) possono essere elusi.
  • Gli algoritmi di crittografia segreti non sono sicuri.
  • Se non è richiesta una chiave non si tratta di crittografia ma di codifica.
  • Le password non possono essere memorizzate in modo sicuro sul client, a meno che non vi sia una password per proteggerle.
  • Per essere considerato sicuro, un sistema deve superare un apposito controllo di protezione indipendente.
  • La sicurezza mediante l’oscurità non funziona.

Come potete vedere si tratta di un elenco sintetico, ma che copre numerosi ambiti, dalla crittografia, agli antivirus e ai firewall.

Una delle cose più importanti da capire è che non importa quanto grande o complesso sia il sistema da proteggere (o attaccare), tutti i sistemi, anche il singolo computer sono soggetti alle medesime leggi.

Alcuni lettori potrebbero non avere familiarità con alcuni degli argomenti cui le leggi si riferiscono, per questa ragione voglio ricordare che continuerò a pubblicare articoli sull’argomento dove spiegherò in modo più approfondito ognuna delle leggi.

Voglio però raccogliere alcuni suggerimenti per gli utenti medi, la cui unica preoccupazione è quella di proteggere il proprio computer o la rete domestica.

Vi prego di considerare questi suggerimenti come tali, e di non pensare che la sola applicazione di quello che scrivo ora garantisca la sicurezza totale, perché non è così.

Consiglio sulla sicurezza 1 :

Il primo che mi sento di darvi è : non fidatevi dell’antivirus.
Questi programmi sono molto migliorati, è vero, ma non possono garantire la sicurezza di un sistema.

La migliore protezione è la vostra testa.

Controllate i formati dei file, e effettuate download da siti fidati.

Inoltre, un antivirus non aggiornato non è preferibile alla sua totale assenza, meglio non averlo del tutto se non lo si aggiorna. La ragione è che un antivirus non aggiornato non è utile, perché da un falso senso si sicurezza mentre protegge da virus che probabilmente non sono più in circolazione perché debellati.

Aggiorna l’antivirus ogni giorno.

 

Consiglio sulla sicurezza 2 :

Navigate con la zucca, non con le mele.

Usa un browser che è noto per essere sicuro (o almeno mette molti sforzi nello sviluppo della sicurezza).
Prova Firefox oppure Chrome. NON usare Internet Explorer se non hai una ragione veramente valida (sistemi aziendali o siti ufficiali che sono fatti apposta per IE, purtroppo una volta accadeva che alcuni siti venissero sviluppati per un browser in particolare, se i servizi sono i tuoi ti prego aggiornali).

Non importa cosa dicano quelli che difendono IE perché … boh, forse non lo sanno nemmeno loro. I dati parlano chiaro, potete andare a fare ricerche, oltre ad essere quello che è meno compatibile con le nuove tecnologie del web è anche quello meno sicuro, lento e fetente.

Non cliccate come in preda ad uno spasmo su tutto quello che si muove, e controllate quando scaricate un file di scaricare realmente quello che intendete e non altri formati.

Non dovreste generalmente fidarvi di programmi scaricati dalla rete, a meno che il sito di provenienza non sia molto famoso ed autorevole (o comunque fidato).

Dovreste fuggire senza voltarvi se quando volete scaricare un mp3, un’immagine, un archivio, o qualunque cosa che non sia un programma vi viene offerto un eseguibile (.exe).

I “dowloader” sono la principale causa dello scaricamento di malware o di software indesiderato degli ultimi anni.

 

Consiglio sulla sicurezza 3 :

Le toolbar ! Danno solo fastidio, e a volte sono un vero rischio per il computer.
In generale, non installare mai addon per il browser se non sai quello che stai facendo o non provengono da un produttore fidato (ed anche in quel caso, chiediti se davvero ti serve quella funzione nel browser).

Attenzione ai programmi di installazione !

Non tutti lo sanno, ma esiste un modo per monetizzare le installazioni, per cui molti piccoli sviluppatori o siti che distribuiscono software lo usano per avere un introito senza far pagare nulla a chi scarica.

Come funziona ?
L’installer propone e “consiglia” altri programmi da installare, e se vengono installati, chi ha messo l’annuncio paga il produttore del software che state installando.
Per non accettare i consigli, basta togliere la spunta durante l’installazione.

Leggi, non premere solo avanti !

Per chi scarica non è pericoloso, e non si paga nulla, il difetto è che se accettate tutti i “consigli” vi ritroverete con un pc pieno di immondizia. In più, molti autoproclamati software di sicurezza si pubblicizzano mediante questi consigli ed oltre ad essere poco efficaci (o per nulla efficaci) molti possono creare conflitti con i reali software di sicurezza installati. Evita di installare software consigliati, a meno che tu non li voglia veramente.

Voglio concludere con un altro elenco di leggi sulla sicurezza.

Siccome tantissimi dei miei lettori usano Windows voglio raccogliere queste leggi formulate da Scott Culp, manager della sicurezza di Microsoft (all’epoca della pubblicazione delle leggi). Si chiamano “The then Immutable Laws of Security” e sono principalmente orientate agli utenti finali.

Le dieci leggi immutabili sulla sicurezza

  1. Se una persona disonesta ti convince ad eseguire il suo programma sul tuo computer, quello non è più il tuo computer.
  2. Se una persona disonesta riesce a modificare il sistema operativo del tuo computer, quello non è più il tuo computer.
  3. Se un aggressore ottiene l’accesso fisico illimitato al tuo computer, quello non è più il tuo computer.
  4. Se consenti ad una persona disonesta di caricare programmi sul tuo sito web, quello non è più il tuo sito web
  5. Le password deboli hanno la meglio su una sicurezza robusta.
  6. Una macchina è sicura quanto l’attendibilità dell’amministratore
  7. I dati crittografati sono sicuri solo quanto lo è la chiave di decodifica
  8. Un analizzatore di virus non aggiornato è preferibile solamente in parte alla sua totale assenza.
  9. L’anonimato assoluto non è utile, né nella vita reale, né sul web.
  10. la tecnologia non è una panacea.

Questo articolo si conclude qui, nei prossimi analizzerò una per una tute le leggi della sicurezza in modo chiaro e comprensibile.

Your turn !

Questi consigli ti sono stati utili ?

Voglio sentire la tua storia, lascia un commento.

 

Computer geek e appassionato di elettronica dall'infanzia. Nel tempo libero oltre a realizzare progetti inutili ma entusiasmanti mi dedico ai videogiochi, rigorosamente su pc. Condivido su questo blog e su youtube i miei interessi nella speranza di entusiasmare tutti i matti come me.

2 comments for “Hacking : Le leggi della sicurezza

  1. ball
    24 maggio 2015 at 1:16

    Salve
    punto N°9 ANONIMATO (L’anonimato assoluto non è utile, né nella vita reale, né sul web.)
    PER ME E’ COMPLETAMENTE SBAGLIATO:
    1)LA RIPROVA DI QUELLO CHE DICO E’ L’ESISTENZA DI ANONIMUS
    2)SE NESSUNO SA’ IL MIO S.O. NE’ IL MIO IP NE’ IL MIO MAC AD. SARA’ + DIFFICILE che qualcuno mi possa controllare
    basta cosi’ ho detto troppo
    saluti

    • 24 maggio 2015 at 13:33

      Ciao,
      Il punto 9 di queste leggi si applica a tutti gli utenti normali, ed è una legge che afferma che la sicurezza del tuo sistema non aumenta se sei completamente anonimo. (In condizioni normali)
      Non è utile perchè per un utilizzo normale del web e dei suoi servizi l’anonimato non è di fatto raggiungibile, e se riesci a raggiungerlo non potrai usufruire delle cose che ti interessano in modo corretto. (siamo sempre in uno scenario di utilizzo normale della rete e dei suoi servizi)

      Il tuo esempio è vero, ma fuori contesto. Un hacker attivista che svolge azioni al limite della legalità (o compltamete illegali) ha bisogno dell’anonimato per proteggersi da ritorsioni, e usa l’anonimato per svolgere operazioni particolari. Gli utenti medi, non solo non trarrebbero benefici dall’anonimato, ma nella maggior parte dei casi sarebbero convinti di essere anonimi (magari nascondendo il loro indirizzo ip mediante proxy) e poi navigherebbero tranquillamente senza bloccare la profilazione, o loggandosi su gmail o facebook, che è forse ancora peggio di essere consapevoli di essere tracciati e agire di conseguenza.

      Concludendo, un hacker non è un utente normale, usa la rete in modo diverso. In quel caso l’anonimato può essere utile per non incorrere in sanzioni o problemi riguardanti il proprio operato (giusto o sbagliato che sia). In tutti gli altri casi, l’anonimato totale non aiuta a far funzionare meglio le cose (anzi a volte lo rende quasi impossibile), nè aiuta a prevenire le minacce più comuni della rete.

Lascia una risposta

L'indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Verifica anti-spam *