Prof. Andrea Ferraresso Consulente Informatico, formatore - Cybersicurezza e privacy IISS Lombardo Radice Bojano (CB)

DeA Formazione

                       Cybersicurezza e privacy
                        IISS Lombardo Radice
                              Bojano (CB)

                      Prof. Andrea Ferraresso
                 Consulente Informatico, formatore
                        sui temi del digitale

Andrea Ferraresso

Autore e formatore di De Agostini Scuola.

Coding / Robotica / Tecnologia.

Dal 2014 CoderDojo Fossò - Venezia @ Ca’ Foscari.

Consulente informatico.

Socio Federprivacy.

“ La sicurezza informatica
  è un processo, non è un
  prodotto.                  “

13   Attacco alla
     password (cenni)

Attacco a forza bruta

Si tentano tutte le possibili combinazioni.

Se usiamo solo caratteri alfanumerici (A-Z e 0-9)
per trovare una password di soli due caratteri
possiamo metterci fino a 36 x 36 tentativi (e
senza tener conto delle lettere maiuscole…).

Quindi non il metodo adottato dagli hacker.

Attacco con il dizionario

Invece che provare caratteri a caso, si provano
parole prese dal dizionario (o combinazioni di
parole prese dal dizionario).

Ovviamente esistono degli espedienti per
bloccare i vari tentativi: limitare il numero di
tentativi a 10, aumentare il tempo di pausa tra un
tentativo e l’altro, usare i CAPTCHA per tagliar
fuori i sistemi automatici ecc.

14   Approfondimento
     sui cookie

Navigazione e cookie - 1

Quando vogliamo consultare una pagina web,
scriviamo il suo indirizzo univoco (Uniform
Resource Locator, in sigla URL), es:

La nostra richiesta arriva a un server web (in
questo caso quello di DeA Scuola).

Navigazione e cookie - 2

Il server web ci restituisce la risorsa richiesta (nel
caso precedente, l’home page) ed eventualmente
ci restituisce anche il contenuto che finisce in un
piccolo file (il “cookie”) che viene memorizzato
nel nostro computer.

Quanto inviamo una nuova richiesta allo stesso
serve, gli inviamo anche il cookie (che poi ci viene
“restituito” con eventuali modifiche.

Cancellare i cookie in Chrome - 1

Cercare a destra il menu con i tre “pallini”.

Selezionare “Altri Strumenti” -> “Cancella dati
navigazione”.

Cancellare i cookie in Chrome - 2

Cancellare i cookie in Chrome - 3

Tab “Avanzate”.

Cancellare i cookie in Chrome - 4

Una volta terminato, visto che ci siamo, un bel
controllo di sicurezza…

Cancellare i cookie in Firefox - 1

Dal menu in alto a destra (tre righette) si sceglie
l’opzione “Preferenze).

Cancellare i cookie in Firefox - 1

Da menu a sinistra “Privacy e sicurezza”.

Cancellare i cookie in Firefox - 2

Per restringere il campo di azione dei cookie.

Cancellare i cookie in Firefox - 3

Ottima anche l’ultima opzione (“alla chiusura”).

15   Antivirus, scelta e
     impostazione

La scelta dell’antivirus

Il termine antivirus ormai indica software in grado
di individuare e possibilmente rimuovere
numerosi tipi di malware (non solo “virus”).

La scelta dev’essere fatta in base alle esigenze, al
sistema operativo del device da proteggere ecc.

Come parzialmente già visto esistono entità
indipendenti che testano periodicamente gli
antivirus.

AV-TEST

https://www.av-test.org/en/

Virus Bulletin

https://www.virusbulletin.com/

AV-Comparatives

https://www.av-comparatives.org/

Solo per computer?

Ci sono degli ottimi report su problemi ancora
poco noti, come la sicurezza delle IP cam:

https://www.av-comparatives.org/wp-content/
uploads/2020/07/
avc_pcmagazin_ipcamtest_2020_en.pdf

IP cam (telecamera IP)

È una videocamera in grado di connettersi a una
rete informatica come se fosse un qualsiasi altro
device.

Raccoglie il segnale video e lo digitalizza.

Nella stessa rete può (o meno) esserci un
computer centrale dedicato a raccogliere i segnali
delle IP cam e a memorizzarli su disco fisso.

Dall’IP cam allo smartphone

Le potenzialità di questo sistema sono molto, i
problemi di sicurezza altrettanti.

   hjps://www.mi-italia.it/pub/media/drop/product/1667/0_5e38101b58274.jpeg

Come rendere più sicura una IP cam?

Non sempre si può. Per prima cosa meglio
scegliere quelli con sistemi di crittazione.

Cambiare, ovviamente, username e password del
sistema.

Aggiornare il firmware periodicamente.

Cambiare la porta di default (di solito è 8100).

Antivirus, non basta installarlo - 1

Tenerlo aggiornato (in maniera automatica).

Antivirus, non basta installarlo - 2

Impostare scansioni periodiche.

Antivirus, non basta installarlo - 3

Attivare la protezione dei browser.

Antivirus, non basta installarlo - 4

Proteggere file e directory, limitando l’accesso
delle varie applicazioni all’indispensabile.

Antivirus, non basta installarlo - 5

Proteggere i backup.

Antivirus, non basta installarlo - 6

Proteggere i backup.

Sistemi antivirus “centralizzati”

  Consentono di tenere aggiornati e controllare i
  vari device dell’organizzazione da un unico
  pannello di controllo (spesso in cloud).

hjps://www.eset.com/fileadmin/_processed_/c/9/csm_ESET_Cloud_Administrator_Dashboard_02_3_9ad23eeb5b.png

16   La crittografia che ci
     aiuta

Che cosa succede se la perdiamo?

O se viene rubata? Ovviamente questo discorso
vale anche per tutte le memoria di massa, anche
fisse.

E se fosse “crittografata”?

Se il contenuto di una memoria di massa (hard
disk fisso, rimovibile, chiavette USB ecc.) è
crittografato, solo chi conosce la password (o
riesce in qualche maniera a ottenerla) è in grado
di leggerne i contenuti.

Ma come possiamo fare?

Veracrypt - 1

Si tratta di un un software applicativo gratuito e
open source in gradi di criptare e decriptare
intere directory.

https://www.veracrypt.fr/en/Home.html

Veracrypt - 2

Esiste per Windows, macOS, Linux (varie
distribuzioni).

https://www.veracrypt.fr/en/Downloads.html

Deriva dal “vecchio” Truecrypt (non più
sviluppato da 2014 e quindi ritenuto non sicuro).

Veracrypt - 3

Si comincia creando un “volume”, ovvero un file
“contenitore” che ospiterà cartelle e file.

Veracrypt - 4

Il file “contenitore” può essere memorizzato in
dischi fisso o unità rimovibili.

Si apre solo con la password (attenzione a non
dimenticarla!).

In generale il sistema è abbastanza veloce (poi
dipende anche dal computer).

Sistemi di crittografia “nativi”

I sistemi Windows e macOS hanno dei
meccanismi di crittazione di cartelle è file.

BitLocker (Windows). “Pannello di controllo” ->
“Sistema e sicurezza” -> “Crittografia unità
BitLocker”.

FileVault (macOS). “Apple” -> “Preferenze di
Sistema, Sicurezza e Privacy,FileVault

17   Sistemi operativi
     come matrioske

Virtualizzazione

Un meccanismo software che ci consente di
installare un sistema operativo su un hardware
virtuale (che viene “simulato” da un altro sistema
operativo).

Esempio in un sistema operativo macOS installo
un software di virtualizzazione e su questo ci
installo una distribuzione di Linux, che “credere”
di essere installato in una vera macchina.

VirtualBox

È un software applicativo per l’esecuzione di
macchine virtuali, gratuito e open source

https://www.virtualbox.org/

Che cosa possiamo farci?

Possiamo, ad esempio, installare un sistema
operativo Linux (“leggero”, come Lubuntu https://
www.ubuntu-it.org/derivate/lubuntu) per
navigare in siti che non riteniamo sicuri.

Le macchine virtuali possono essere distrutte e
reinstallate in qualsiasi momento.

18   Un po’ di privacy in
     rete

VPN (Virtual Private Network)

In breve, è un insieme di tecnologie che consente
di estendere una rete privata (es. quella del
nostro ufficio), utilizzando una rete pubblica
(Internet).

Utilizza, ovviamente, la crittografia.

VPN e privacy - 1

Le VPN possono anche contribuire a proteggere
l’identità online.

Esistono VPN (solitamente a pagamento) che
funzionano così: mi connetto ai loro server
tramite un software che mi viene fornito e utilizzo
Internet come se fossi loro.

Possono avere più server sparsi per il mondo.

VPN e privacy - 2

Una VPN è utile per proteggere i nostri dati se
stiamo immettendo qualcosa in un sito che non
utilizza il protocollo HTTPS, ma solo quello HTTP.

VPN e privacy - 3

Una VPN è utile per proteggere i nostri dati
quando ci connettiamo a reti Wi-Fi pubbliche, che
strutturalmente non possono dirsi sicure.

19   I sistemi anti
     intrusione

IDS (Intrusion detection system)

Sono sistemi hardware/software in grado di in
grado di verificare se i nostri computer (o nella
nostra rete) sono in corso accessi non autorizzati.

Famosi IDS open source:

• Snort (https://www.snort.org/);

• Suricata (https://suricata-ids.org/).

Come funzionano

I breve:

• analizzano quello che passa nella rete, tenendo
  conto che spesso i vari malware generano un
  traffico di rete che è riconoscibile.

Va precisato che alcuni firewall possono
incorporare la funzione di IDS. Inoltre possono
generare un buon numero di falsi allarmi.

20   Il penetration
     testing

È un lavoro da white hacker

Si testa un sistema informatico (in generale,
quindi una rete, un sito web, un'applicazione
stand-alone ecc.) alla ricerca di vulnerabilità
sfruttabili da malintenzionati.

Si può trattare di test automatici o effettuati a
mano.

Come funziona

C’è una fase preliminare di studio, in cui si
analizzato i sistemi da “da attaccare”.

Si effettua il testing.

Si riportano i risultati.

Si vede che cosa si può migliorare.

NB: Si tratta di un’istantanea.

Strumenti open source

Esistono distribuzioni Linux, ad esempio Parrot
OS che contengono al proprio interno numerosi
strumenti per effettuare un penetration testing (e
altre cose ancora).

https://parrotlinux.org/

21   Tenersi aggiornati
     (in italiano)

Newsletter gratuita

Di Carola Frediani, giornalista. Ha cadenza
settimanale.

https://guerredirete.substack.com/

22   In pratica, a
     scuola…?

Il sito web della scuola

In moltissimi casi il sito web della scuola è realizzato
utilizzando una piattaforma software per la gestione
dei contenuti (CMS).

Ad esempio: Wordpress, Joomla, Drupal (tutte
ottime soluzioni opensource).

Il CMS va costantemente aggiornato

Perché?

Perché WordPress, Joomla, Drupal, ad esempio,
sono estremamente diffusi e, quindi sono anche
molto studiati dalla criminalità informatica.

Ogni nuova versione spesso, tra le altre cose,
sistema problemi di sicurezza delle versioni
precedenti.

Backoffice (1)

Può essere usato come semplice vetrina oppure
può avere un’area riservata (ad esempio per i
docenti e/o per studenti e genitori ecc.).

In ogni caso ci saranno uno o più account
amministrativi per l’inserimento e la modifica dei
contenuti e già questi sono dati personali.

Backoffice (2)

La presenza di aree riservate implica la possibilità
di memorizzazione di dati personali.

Esempio: i dati legati agli account (nome,
cognome, email ecc.), che sono solitamente
memorizzati in un database (che potrebbe anche
non trovarsi nel server che fa “girare” il sito).

I contenuti del sito web

I contenuti (pubblici o ad accesso ristretto)
potrebbero essere memorizzati:

• nello stesso database degli account;

• direttamente nel filesystem del server in cui
  gira il sito (spesso nel caso di immagini, file pdf
  ecc.).

Backup e restore

Problema: dobbiamo capire bene dove si trovano
i dati relativi al sito web (tutti i dati).

Perché, se dobbiamo gestire i backup (i dati
personali potrebbero essere un po’ ovunque).

• Che fine fanno i backup?

• Siamo in grado di fare un restore (ripristino)?

Il lucchetto del sito

Storicamente i dati scambiati in Internet non
venivano crittografati (cioè resi illeggibili da chi
non possiede la chiave per decrittarli).

Il protocollo HTTPS protegge i dati in transito.

Se il sito web della scuola ha, ad esempio, una
pagina di raccolta contatti, deve usare il protocollo
HTTPS.

Le analitiche del sito

Si tratta di sistemi di tracciamento degli utenti di un sito
web, per vari motivi (statistica, profilazione, ecc.). Chi ha
accesso a tali statistiche?

Se c’è di solito è Google Analytics (si implementa avendo
un account Google ed inserendo nel codice HTML delle
pagine web del sito delle particolari istruzioni).

Attenzione che vanno segnalate nell’informativa (e c’è
anche la questione cookies…).

CMS e il problema dei plug-in

Si tratta di estensioni su cui si ha ben poco
controllo.

A volte servono solo per ragioni estetiche.

Spesso non sono così diffuse come il sistema
principale e quindi il codice sorgente potrebbe
non essere accuratamente controllato.

Cloud (1)

L'utente finale utilizza risorse informatiche quali
l'archiviazione o l'elaborazione messe a
disposizione da altri (gratis o a pagamento).

I dati dell'utente finale sono nel computer di
qualcun altro e viene quindi meno una parte del
potere di controllo su tali dati.

Cloud (2)

Alcune servizi spesso utilizzati a scuola.

• WeTransfer è un servizio per il trasferimento di file
  di grandi dimensioni.

• Google Drive e Dropbox sono servizio di
  memorizzazione online di dati (file hosting).

Tutto dipende da come vengono usati e per quali dati.

Cloud (3)

Fino a qualche mese fa avrei scritto: verificare se i servizi extra EU
aderiscono al GDPR o almeno allo Privacy Shield (accordo che
regolamenta il trasferimento di dati tra Unione europea e USA).

https://www.privacyshield.gov

Per il momento la situazione è in evoluzione:

https://www.federprivacy.org/informazione/societa/la-corte-di-
giustizia-dell-ue-invalida-il-privacy-shield-stop-a-trasferimenti-di-
dati-personali-negli-usa

Cloud (4)

Google ha un sezione apposita a riguardo

https://cloud.google.com/security/gdpr/

“[...] La conformità con il GDPR è una priorità
assoluta per Google Cloud e per i nostri clienti. Il
GDPR mira a rafforzare la protezione dei dati
personali in Europa [...]”

Se cambio / elimino un computer

I computer hanno:

• memorie volatili (si “cancellano”) in assenza di
  alimentazione.

• memorie fisse (hard disk ecc.).

Le memorie fisse vanno cancellate in maniera definitiva
(N.B. il cestino di Windows non è definitivo…).

Esistono software per la cancellazione?

Sì, ma teniamo presente che CCleaner, ad
esempio, nel 2017 è stato manomesso.

Eraser

Software applicativo per la rimozione sicura dei
file, gratuito e open source.

Funziona solo con Windows.

https://eraser.heidi.ie/

E quindi?

Si scherzava!

Un degausser
(smagnetizzatore) genera un
campo magnetico molto forte
(esistono ditte che offrono
questo servizio e rilasciano
una sorta di certificazione).

NB: Per i dischi SSD servono
soluzioni differenti.

Scambio di tablet (es. studenti)

Valutare se:

• rimuovere password / biometria ecc.

• effettuare il ripristino dei dati di fabbrica (HARD
  RESET).

Meglio comunque approntare una procedura
scritta.

Pilastri dell’insegnamento online

Learning Management System (applicazioni per
gestire corsi online).

Sistemi di video conferenza.

Archivi per la distribuzione sincrone e asincrona
di tutto quello che viene prodotto.

Registro elettronico.

LMS & c.

Esistono LMS (Learning Management System) sia
open source (Moodle) sia proprietarie. Alcuni sono
rivolti prevalentemente alle scuole, altri puntano
alla formazione aziendale. Non tutti hanno le
stesse funzionalità.

Spesso (vale anche per i sistemi di videoconferenza
ecc.) sono “vecchi” sistemi adattati a nuovi utilizzi.

Funzionalità di una LMS “ideale”

Gestione di corsi, classi, singoli, docenti singoli
studenti.

Inserimento di materiali multimediali, link verso risorse
esterne.

Strumenti sociali quali forum, blog, wiki, chat (con
possibilità di scambiarsi messaggi privati tra utenti) ecc.

LMS e dati

Queste piattaforme:

• raccolgono dati personali degli utenti (spesso nome,
  cognome, data di nascita, sesso, username,
  password, email, indirizzo ecc.);

• hanno degli utenti amministratori (con vari ruoli);

• hanno degli utenti fruitori (molto spesso minorenni).

Il fruitore della piattaforma LMS…

• partecipa a lezioni;

• carica documenti, foto, materiali vari ecc.

Quindi potrebbe, in alcuni casi, condividere dati
personali propri o di terzi (quindi l’utilizzo di
queste piattaforme va spiegato per evitare
“incidenti”).

Docenti e studenti che lasciano

Cosa succede quando si elimina un account (es.
docente che cambia scuola, studente che si
diploma o si trasferisce ecc.)?

Esiste una procedura chiara per “togliersi”?

Che fine fanno i dati personali (e il materiale
caricato)?

Chiediamoci dove sono installati

Se uso sistemi open source (es. Jitsi per la
videoconferenza) dove sono installati?

Il server è nella disponibilità della scuola?

Il “sistemista” è una figura chiaramente
identificata?

Smart working e BYOD

Bring your own device (BYOD) = porta il tuo
dispositivo.

Esiste un regolamento interno?

Bisognerebbe dotarsi di misure minime di
sicurezza.

SPAZIO ALLE DOMANDE

Scrivi i tuoi quesiti al relatore nella sezione domande (sulla destra)

Grazie!
             corsi@deascuola.it

       blog.deascuola.it     formazione.deascuola.it

/DeAScuola          @DeAScuola          deascuola