17-Sicurezza dei dati

  • Home » 17-Sicurezza dei dati
Corso Informatica

17-Sicurezza dei dati

{gspeech style=2}

L’espressione “sicurezza nei sistemi informatici” fa riferimento alle tecniche che impediscono la violazione dei dati presenti nei computer. Come indicato nel decreto legislativo n. 196 del 30/6/2003 ogni azienda deve adottare una politica di protezione dei dati aziendali e deve inoltre istruire i dipendenti sulle procedure di emergenza da applicare nel caso di violazioni alla politica di sicurezza.
Perdere le informazioni contenute nel computer o subire una profonda alterazioni delle stesse costituisce un grave danno.
Accanto alla sicurezza, un altro problema di enorme importanza per le aziende, gli istituti di ricerca, le Università è quello della riservatezza dei propri dati.

L’argomento «sicurezza dei dati» presenta numerosi aspetti di diversa compii ma noi ci limiteremo a trattare i seguenti problemi:

 

  • backup (copia dei dati importanti);
  • protezione dei dati;
  • crittografia.

 

In informatica, il termine backup indica un duplicato di un gruppo di dati, realizzato come copia di riserva, nel caso l’originale venisse danneggiato o distrutto. È necessario dotarsi di un’unità di memorizzazione esterna, possibilmente di grande capacità, per poter salvare i dati. Tali unità possono essere cartucce magnetiche, dischi fissi aggiuntivi, unità di memorizzazione esterne oppure supporti ottici come CD e DVD. In caso di perdita di dati è possibile recuperarli dalla copia di backup mediante un’operazione di ripistrino. Esistono numerosi programmi che permettono di effettuare il backup. Tra le Unità di sistema esiste un programma che permette di salvare i propri dati su un supporto esterno e, in caso di necessità, di ripristinarli.

 

Normalmente si distingue fra tre tipi di backup: 

  • completo: i dati vengono copiati interamente e per ripristinarli occorre semplicemente effettuare la copia in senso inverso;
  • differenziale: vengono aggiunti al backup solo i file creati o modificati dall’ultimo backup completo;
  • incrementale: vengono salvati solo i file aggiunti o modificati dopo l’ultimo backup completo o differenziale.

In molti casi i dati possono essere riservati o essere dati sensibili tutelati dalle norme sulla privacy e occorre pertanto proteggerli da intrusioni. In questo caso è necessario adottare apposite misure per la protezione dei dati.

Un primo livello di protezione viene adottato limitando l’accesso al computer alle sole persone riconosciute mediante un proprio «identificativo» (ID utente) e in possesso di una «parola chiave» (password). Una buona password deve essere: 

  • sufficientemente lunga (ma non impossibile da ricordare);
  • non prevedibile (l’ideale sarebbe formarla con un insieme di lettere e numeri);
  • non conservata in un documento di testo nel computer;
  • cambiata con frequenza. 

Un metodo utilizzato per creare una password è quello di scegliere una frase semplice da ricordare e, partendo da questa, costruire una sequenza di caratteri, per esempio: 

 

quarantaquattro gatti in fila per sei col resto di due ® 44gifx6crd2

 

Un’ulteriore protezione può essere effettuata mediante la cifratura che permette di nascondere i dati con tecniche crittografiche.

La crittografia è una vera e propria scienza, che si occupa dell’elaborazione di sistemi di scrittura in codice, comprensibili solo a chi ne conosca la chiave di lettura.

La crittografia ha origini antiche. Tra le prime testimonianze si cita la consuetudine di alcuni scribi di invertire le lettere dell’alfabeto, utilizzando l’ultima lettera al posto della prima, la penultima al posto della seconda, e così via; in questo modo essi cercavano di proteggere i propri scritti. Secondo quanto riportato da alcuni storici romani, Giulio Cesare, per proteggere i propri messaggi di carattere militare, utilizzava un alfabeto in cui ogni lettera era spostata di tre posti rispetto all’alfabeto di uso comune.

Un esempio letterario può essere tratto da Lo scarabeo d’oro, di E.A. Poe. Il protagonista, Legrand, deve interpretare il seguente testo trascritto su una pergamena:

 

53111305) ) 6* ;4826) 4+; 806*; 48t8960) ) 85;It ( ; : t*8t83 (88)5 *t;46(; 88*96*?; 8)M ( ;485) ;5*t2 : ** ( ; 4956*2 (5*-4) 898*; 40692 85) 😉 6t8)4tt;I(t9 ; 48081; 8 : 811 ; 48t85 ; 4)4851528806*81 ( + 9 ; 4 8; (8 8 ; 4 ( t ? 3 4 ; 4 8)4 t; 161 ; : 18 8 ; t ? ;

 

Si tratta delle indicazioni, scritte in un codice segreto, che portano a un tesoro nascosto. Il protagonista risolve facilmente il crittogramma contando le ricorrenze dei caratteri e ipotizzando che il simbolo 8 (ripetuto ben 33 volte) corrisponda alla lettera «e», la più frequente nella lingua inglese.

L’ipotesi è avvalorata dal fatto che l’8 è sovente raddoppiato, cosa che avviene frequentemente con la lettera «e» nella lingua inglese. Legrand, proseguendo con lo stesso criterio, arriva a decifrare il testo e a trovare il tesoro. Naturalmente tutto sarebbe stato più facile se Legrand fosse stato in possesso non solo della sorgente dell’informazione, ma anche del codice per decifrarla.

Al giorno d’oggi le tecniche crittografiche sono usate per garantire la riservatezza delle informazioni elettroniche, in modo particolare quando vengono trasmesse in rete, per esempio nei processi di autenticazione (password) o nelle transazioni economiche del commercio elettronico (numeri di carte di credito).

La privacy
Tutelare la privacy non significa soltanto proteggere la sfera privata delle persone ma anche controllare l’uso e la circolazione dei dati personali.
Il Codice della privacy, entrato in vigore dal 1/1/2004, recepisce e applica, riunendoli in un Testo Unico, la legge n. 196 (30/06/2003) oltre a tutti i regolamenti, le disciplinari e i codici deontologici, tenendo anche conto delle direttive dell’Unione europea e dei pronunciamenti del Garante per la protezione dei dati personali. Le norme inserite nel Testo Unico tendono a salvaguardare il diritto alla tutela dei dati personali, anche informatici.
Dati identificativi: sono i dati personali che permettono l’identificazione diretta, come ad esempio il nome e cognome, il codice fiscale o la fotografia di una persona.
Dati sensibili: possono rivelare l’origine razziale o etnica, le convinzioni religiose, filosofiche o d’altro genere, le opinioni politiche, l’adesione a partiti, sin dacati, lo stato di salute e la vita sessuale. I dati sensibili possono essere trattati dai privati soltantc con il consenso scritto dell’interessato e con l’autorizzazione del Garante.
Dati giudiziari: rappresentano le informazioni riguardanti l’anagrafe giudiziale di una persona, come ad esempio le eventuali sanzioni amministrative, i provvedimenti penali di condanna definitivi, la liberazione condizionale, il divieto o obbligo di soggiorno, le misure alternative alla detenzione o la qualità di imputato o di indagato. Il trattamento dei dati giudiziari è ammesso solo se autorizzato da espressa disposizione di legge o provvedimento del Garante, che ne specifichi le finalità, i tipi di dati e le operazioni autorizzate.
Ogni persona interessata al trattamento dei dati deve essere informato, dal responsabile che ne detiene i dati, sulle finalità e modalità di trattamento, sulla natura obbligatoria o facoltativa del conferimento dei dati, sulle conseguenze al rifiuto a rispondere, sui soggetti ai quali i dati personali possono essere comunicati o ceduti e sul loro ambito di diffusione. L’interessato ha inoltre diritto a ottenere comunicazioni in relazione all’esistenza di dati personali che lo riguardano, l’indicazione dei responsabili del trattamento, oltre all’eventuale cancellazione dei dati trattati in violazione di legge.

La Cookie Law
Il 3/6/2015 è entrata in vigore la legge disposta dal Garante alla privacy chiamata Cookie Law (legge sui Cookie). Lo scopo della legge è quello di tutelare la privacy dell’utente che naviga in Internet, obbligando i siti a informarlo (con un banner) sulla politica dei cookie adottata dal sito che sta consultando e di subordinare la sua accettazione al proseguimento della navigazione. I cookie sono dei file di testo che memorizzano sul nostro computer, durante la navigazione, ad esempio le ultime ricerche effettuate o i dati di autenticazione (password e nome utente) presso i siti ai quali ci siamo registrati.

Ergonomia

L’ergonomia (dal greco érgos = lavoro e nómos = controllo) è la disciplina che persegue la progettazione di prodotti, ambienti e servizi adatti alle necessità dell’utente, migliorando la sicurezza, la salute, il comfort, il benessere e la prestazione umana. Si tratta di una scienza interdisciplinare che coinvolge l’anatomia, l’ingegneria, la biologia, la fisiologia, la psicologia, l’ambiente di lavoro ecc. Il suo obiettivo principale è sancito dal decreto legislativo n. 81 del 9/4/2008 (chiamato Testo Unico sulla Sicurezza).Tale decreto stabilisce le soluzioni in grado di tutelare la salute del lavoratore, nella sua interazione con le macchine e l’ambiente, e di conseguenza accrescere l’efficienza e la sicurezza sul posto di lavoro, garantendo l’integrità fisica e psicologica del lavoratore e potenziandone le capacità operative. Tale testo è stato ulteriormente integrato dal decreto legislativo n. 106 del 3/8/2009. Sostanzialmente il suo obiettivo preliminare è quello di aumentare l’efficienza del lavoratore e di contribuire al suo benessere. In seguito all’avvento e alla diffusione del computer nel lavoro, una larga parte dell’ergonomia è dedicata ai contesti di lavoro in cui il computer rappresenta l’elemento preponderante.


È bene tenere presenti alcune norme ed evitare comportamenti non corretti che, a lungo andare, potrebbero compromettere la salute dell’utilizzatore del computer, e che possono riguardare:

  • disturbi della vista con sindrome da fatica visiva oppure mal di testa o emicranie;
  • disturbi a carico dell’apparato muscolare e scheletrico.

Tali disturbi hanno come cause principali:

  • le cattive condizioni di illuminazione; 
  • lo sforzo ottico prolungato; 
  • eventuali difetti della vista già preesistenti;
  • assunzione di una postura statica e rigida indotta spesso da un alto livello di concentrazione (collo, spalle, colonna vertebrale, schiena);
  • necessità di compiere movimenti ripetitivi (braccia e mani).

Virus

Una grande minaccia alla sicurezza dei dati è costituita dai virus.

Un virus è un programma in grado di infettare altri file e riprodursi facendo copie di se stesso, all’insaputa dell’utente. I virus possono essere più o meno dannosi per il sistema infettato, ma comportano comunque uno spreco di risorse in termini di utilizzo del processore, della memoria e dello spazio sul disco fisso. I virus più devastanti risiedono nei programmi (cioè nei file .exe o .dll o .com), ma anche nelle macro dei file di Office (Word, Excel, PowerPoint, Access)
.Un virus è un programma, spesso collocato all’interno di un altro, che:

 

  • si diffonde con i comuni canali di scambio dati: dischi esterni, collegamenti in rete, collegamenti Internet;
  • si annida all’interno di altri programmi;
  • si attiva, sviluppando la sua azione distruttiva, al determinarsi di un particolare evento: lancio di un programma, apertura di file, data prefissata.

 

  1. I virus non possono danneggiare l’hardware ma soltanto il software. A volte tuttavia possono modificare le impostazioni degli hard disk rendendoli di fatto inutilizzabili.
  2. Il termine più corretto da usare per identificare i virus è malware. Per la precisione i virus non sono altro che un particolare tipo di malware.

Il primo vero virus risale al 1986, si chiamava Brain ed era abbastanza innocuo, nel senso che si replicava etichettando i floppy con la scritta Brain. Il primo virus italiani progettato al Politecnico di Torino e, poiché faceva apparire sullo schermo una pallina rimbalzante, fu denominato Ping pong. Attualmente i virus noti sono decine di migliaia e ne vengono prodotti di nuovi ogni giorno. I più dannosi sono quelli che cancellano tutti i dati sul disco fisso, modificano i file o danneggiano i dati, infettano la posta elettronica. Le dimensioni del fenomeno sono ormai così ampie che tutto il mondo il informatizzato ne è colpito.

Tra le più frequenti tipologie di virus si riscontrano: 

  • cavalli di troia: sono programmi, in genere presentati come di utilità, con un’istruzione virale che fa sì che vengano avviati dall’utente in modo inconsapevole; Non possiedono funzioni di auto-replicazione, quindi per diffondersi devono essere consapevolmente inviati alla vittima. Spesso si ricevono se si naviga su siti non attendibili.
  • polimorfici: sono virus mutanti che generano figli diversi da loro;
  • stealth: sono virus residenti nella memoria del computer in grado di nascondere le modifiche apportate e di rendersi, come dice il nome, «invisibili»;
  • criptati: sono composti da un codice cifrato e da un programma che viene eseguito per decifrare il codice del virus che è poi libero di agire;
  • worms: sono programmi autoeseguibili e si replicano in memoria come «vermi» diminuendo le prestazioni del sistema e rallentando il funzionamento del computer, non hanno bisogno di infettare altri file per diffondersi, perché modificano il sistema operativo della macchina ospite in modo da essere eseguiti automaticamente e tentare di replicarsi sfruttando per lo più Internet;
  • macro: sono presenti sotto forma di macroistruzioni (che servono per automatizzare delle procedure) in applicazioni come gli elaboratori di testo o i fogli elettronici e si attivano all’apertura dei file;
  • spyware: software usato per raccogliere informazioni dal sistema su cui sono installati e per trasmetterle ad un destinatario interessato. Spesso vengono carpite all’utente le password personal.

Per evitare il contagio dei virus, occorre prestare molta attenzione alle possibili situazioni di rischio attuando opportune precauzioni come: non utilizzare CD O DVD «piratati», non aprire file allegati alla posta elettronica di cui non si conosce la provenienza, fare attenzione ad alcuni siti Internet, non attivare l’esecuzione di macroistruzioni in documenti sconosciuti.

Per difendersi dall’attacco di virus si può ricorrere a particolari programmi chiamati antivirus.

Ogni programma antivirus è dotato di un elenco di definizioni di virus che è in grado di intercettare e disinfettare. Tale elenco deve essere però continuamente aggiornato scaricando gli aggiornamenti da Internet.

Esaminiamo brevemente il funzionamento di un programma antivirus freeware: AVAST.

Nella figura possiamo controllare lo stato di sicurezza: il segnale:

avverte che le definizioni dei virus sono aggiornate; per consentire l’aggiornamento occorre, supponendo che il collegamento a Internet sia attivo, selezionare la voce AGGIORNAMENTO.

 

Se selezioniamo la voce CONTROLLA compare una finestra nella quale è possibile: 

  • esaminare su richiesta i file contenuti in una o tutte le unità disco del sistema (SCANSIONE COMPLETA DEL SISTEMA per la scansione dell’intero sistema oppure SCANSIONE DI MEDIA RIMOVIBILI O SELEZIONA LA CARTELLA DA ANALIZZARE per selezionare solo alcune unità);
  • effettuare la scansione del sistema all’avvio impostando la programmazione;
  • controllare costantemente il sistema senza interrompere il lavoro dell’utente per intercettare eventuali situazioni di pericolo;
  • controllare i messaggi di posta elettronica sia in ingresso sia in uscita;
  • effettuare l’aggiornamento automatico delle definizioni dei virus.

Tra i numerosi antivirus ricordiamo: Avast, AVG Antivirus, F-Secure, McAfee Viruscan, Norton Antivirus, Panda Antivirus, Kaspersky.

È buona norma effettuare controlli periodici del computer e, soprattutto, aggiornare costantemente il proprio antivirus attraverso Internet, dal momento che la quantità dei virus in circolazione cresce sempre più rapidamente, in modo particolare quella dei virus collegati alla posta elettronica.

Se il computer dispone di un collegamento continuo a Internet, un’ulteriore minaccia è costituita dalla possibilità di accesso al computer attraverso la rete da parte di utenti non autorizzati. In quest’ultimo caso è anche necessario disporre di un firewall che consenta di proteggere il computer da tali accessi. Per garantire una protezione completa del computer occorre utilizzare sia un firewall sia un software antivirus.

Il termine hacker, per i mass-media, è sinonimo di pirata informatico e viene usato per indicare chi si introduce nei computer o nelle reti altrui per spiare e manomettere dati e programmi. In realtà esistono categorie molto diverse: 

  • hacker: esperto informatico che si prefigge di superare tutte le barriere; non crea danni al computer o alla rete e spesso non lascia traccia del suo intervento;
  • cracker: termine dispregiativo usato per identificare chi compie azioni criminali a scopo di lucro o per spirito distruttivo;
  • cyber warrior: si introduce nei sistemi altrui perché è pagato per farlo;
  • lamer: nel gergo della rete si intende chi, pur non avendo competenze specifiche, cerca di imitare gli hacker.

Un altro tipo di minaccia o, come si dice in gergo, di malware (codice maligno) è costituito dai cosiddetti spyware. Uno spyware è un programma che raccoglie informazioni riguardanti l’attività on line di un utente (siti visitati, acquisti eseguiti in rete ecc.) senza il suo consenso, trasmettendole tramite Internet a un’organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l’invio di pubblicità mirata. A differenza dei virus, questi programmi non si trasmettono autonomamente ma devono essere installati dall’utente, anche se spesso si nascondono all’interno di programmi distribuiti gratuitamente in modo subdolo, e costituiscono essenzialmente una minaccia per la privacy dell’utente.

Diritto d’autore e aspetti giuridici
Quando si acquista un libro, l’acquirente entra in pieno possesso dell’oggetto e può quindi leggerlo, sottolinearlo, ricopiarlo su un quadernetto di appunti, regalarlo a un amico. La stessa cosa non avviene nel mondo dell’informatica.
Quando si acquista un prodotto software, questo viene concesso in licenza, non viene cioè venduto nello stesso modo in cui si vende un libro.
La licenza è un contratto che specifica quale utilizzo si può fare del programma. Vi sono diversi tipi di licenze per il software, ma normalmente queste prevedono che l’utente possa solo installare e utilizzare una copia del prodotto su di un singolo computer e farne, unicamente per proprio uso, una copia di riserva da utilizzare in caso di danneggiamento dell’originale.
Non possono pertanto essere fatte copie del programma per distribuirlo o venderlo ad altri perché si violerebbe la legge che tutela il diritto d’autore relativo al software e il contratto di licenza.
Esistono però anche programmi che vengono distribuiti liberamente e gratuitamente in rete o sui CD O DVD allegati alle riviste specializzate. Questi software posso appartenere a diverse categorie.

DEMOWARE Sono normalmente versioni limitate di software commerciali, che le funzionalità del programma sono state ridotte a fine dimostrativo (demo). Lo scopo principale è quello di permettere la prova del software prima di decidere un eventuale acquisto.
FREEWARE Sono applicazioni o utilità completamente gratuite, spesso scritte da hobbisti, che si possono usare, copiare e ridistribuire senza problemi, pur essendo materiale che rimane di proprietà dell’autore. Talvolta questi programmi sono messi a disposizione da aziende che rendono «libera» (free) una vecchia versione dei loro prodotti al fine di invogliare chi ne fa uso ad acquistare l’ultima versione.
SHAREWARE I programmi di questo tipo si possono utilizzare solo per un periodo di prova, scaduto il quale occorre pagare per registrare il programma, oppure eliminarlo dal proprio computer. Talvolta questi programmi hanno un meccanismo che li rende inutilizzabili (almeno parzialmente) dopo il periodo di prova. Il principio che sta alla base dello shareware «prima prova e poi compra».
SOFTWARE LIBERO È un software distribuito con una licenza che ne consente l’utilizzo e duplicazione. Normalmente è gratuito ma il termine libero (free in inglese) non si riferisce a questo aspetto, a differenza del software freeware.

L’unico software a non essere protetto da diritto d’autore è quello public domain (per esempio, il protocollo TCP/IP utilizzato per la comunicazione in rete), il quale, può essere utilizzato senza alcun tipo di limitazione e a titolo gratuito.
Gli autori di programmi software sono garantiti dalla medesima legge che tutela gli autori di opere letterarie, il cosiddetto copyright. Di conseguenza, solo coloro ai quali è concesso il diritto di copyright possono permettere la diffusione di copie del software. La normativa di riferimento è la Legge 22 aprile 1941 n. 633, ma, ovviamente, ci sono state numerose innovazioni che hanno modificato il quadro giuridico. Il diritto consiste di due elementi fondamentali: in primo luogo, il diritto alla nominalità dell’opera (anche detto diritto morale), per il quale ciò che è stato creato dall’autore deve essere riferito all’autore medesimo, evitando che altre persone possano gloriarsi di quanto da lui fatto. Secondariamente, il diritto contiene la facoltà di sfruttamento economico.
La legge sul copyright riguarda anche i file grafici, musicali o filmati scaricati o condivisi in Internet.
È importante sapere che la violazione di questa legge è un reato penale, punibile con multe elevate e anche con il carcere, con sanzioni maggiori se la violazione è fatta a scopo di lucro.
In questo momento si stanno sviluppando le licenze di tipo Creative Commons, che permettono a quanti detengono dei diritti di copyright di trasmettere alcuni di questi diritti al pubblico e di conservare gli altri, per mezzo di una varietà di schemi di licenze e di contratti che includono la destinazione di un bene privato al pubblico dominio o ai termini di licenza di contenuti aperti (open content).
Le licenze Creative Commons sono strutturate in due parti: la prima parte indica le libertà concesse dall’autore per la propria opera; la seconda, invece, espone le condizioni di utilizzo dell’opera stessa.

 

Legislazione sulla protezione dei dati
Un secondo aspetto giuridico è quello relativo alla tutela della riservatezza dei dati personali. Il diritto alla privacy è stato messo a punto per i cittadini della Comunità Europea da una direttiva specifica, la 95/46/CE del 24 ottobre 1995: «per la tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione dei dati». Ogni stato membro dell’Unione l’ha poi tradotta in legge all’interno del proprio parlamento. In seguito ci sono stati diversi pareri espressi dal garante europeo della protezione dei dati che hanno definito alcuni aspetti della materia.

Nel nostro Paese la direttiva ha trovato applicazione in diverse leggi. La complessità della situazione normativa venutasi a creare in seguito all’emanazione di norme integrative ha reso indispensabile provvedere all’emanazione di un Testo Unico intitolato Codice in materia di protezione dei dati personali. L’ultima versione è del giugno 2010, in particolare il Testo Unico sulla privacy indica espressamente quali sono le misure minime di sicurezza che devono essere implementate da chiunque effettui il trattamento dei dati per mezzo di strumenti informatici. Tale normativa ha lo scopo di garantire che il trattamento dei dati personali (cioè di qualunque informazione relativa a persona fisica, giuridica, associazione o ente che permetta di identificarli direttamente o indirettamente) sia effettuato nel rispetto dei diritti, della libertà e della dignità delle persone fisiche, con particolare riguardo alla riservatezza e all’identità personale.

{/gspeech} 

Commento all'articolo