Prof. Andrea Ferraresso Consulente Informatico, formatore - Cybersicurezza e privacy IISS Lombardo Radice Bojano (CB)
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
DeA Formazione Cybersicurezza e privacy IISS Lombardo Radice Bojano (CB) Prof. Andrea Ferraresso Consulente Informatico, formatore sui temi del digitale
Andrea Ferraresso Autore e formatore di De Agostini Scuola. Coding / Robotica / Tecnologia. Dal 2014 CoderDojo Fossò - Venezia @ Ca’ Foscari. Consulente informatico. Socio Federprivacy.
Attacco a forza bruta Si tentano tutte le possibili combinazioni. Se usiamo solo caratteri alfanumerici (A-Z e 0-9) per trovare una password di soli due caratteri possiamo metterci fino a 36 x 36 tentativi (e senza tener conto delle lettere maiuscole…). Quindi non il metodo adottato dagli hacker.
Attacco con il dizionario Invece che provare caratteri a caso, si provano parole prese dal dizionario (o combinazioni di parole prese dal dizionario). Ovviamente esistono degli espedienti per bloccare i vari tentativi: limitare il numero di tentativi a 10, aumentare il tempo di pausa tra un tentativo e l’altro, usare i CAPTCHA per tagliar fuori i sistemi automatici ecc.
Navigazione e cookie - 1 Quando vogliamo consultare una pagina web, scriviamo il suo indirizzo univoco (Uniform Resource Locator, in sigla URL), es: La nostra richiesta arriva a un server web (in questo caso quello di DeA Scuola).
Navigazione e cookie - 2 Il server web ci restituisce la risorsa richiesta (nel caso precedente, l’home page) ed eventualmente ci restituisce anche il contenuto che finisce in un piccolo file (il “cookie”) che viene memorizzato nel nostro computer. Quanto inviamo una nuova richiesta allo stesso serve, gli inviamo anche il cookie (che poi ci viene “restituito” con eventuali modifiche.
Cancellare i cookie in Chrome - 1 Cercare a destra il menu con i tre “pallini”. Selezionare “Altri Strumenti” -> “Cancella dati navigazione”.
Cancellare i cookie in Chrome - 2
Cancellare i cookie in Chrome - 3 Tab “Avanzate”.
Cancellare i cookie in Chrome - 4 Una volta terminato, visto che ci siamo, un bel controllo di sicurezza…
Cancellare i cookie in Firefox - 1 Dal menu in alto a destra (tre righette) si sceglie l’opzione “Preferenze).
Cancellare i cookie in Firefox - 1 Da menu a sinistra “Privacy e sicurezza”.
Cancellare i cookie in Firefox - 2 Per restringere il campo di azione dei cookie.
Cancellare i cookie in Firefox - 3 Ottima anche l’ultima opzione (“alla chiusura”).
15 Antivirus, scelta e impostazione
La scelta dell’antivirus Il termine antivirus ormai indica software in grado di individuare e possibilmente rimuovere numerosi tipi di malware (non solo “virus”). La scelta dev’essere fatta in base alle esigenze, al sistema operativo del device da proteggere ecc. Come parzialmente già visto esistono entità indipendenti che testano periodicamente gli antivirus.
AV-TEST https://www.av-test.org/en/
Virus Bulletin https://www.virusbulletin.com/
AV-Comparatives https://www.av-comparatives.org/
Solo per computer? Ci sono degli ottimi report su problemi ancora poco noti, come la sicurezza delle IP cam: https://www.av-comparatives.org/wp-content/ uploads/2020/07/ avc_pcmagazin_ipcamtest_2020_en.pdf
IP cam (telecamera IP) È una videocamera in grado di connettersi a una rete informatica come se fosse un qualsiasi altro device. Raccoglie il segnale video e lo digitalizza. Nella stessa rete può (o meno) esserci un computer centrale dedicato a raccogliere i segnali delle IP cam e a memorizzarli su disco fisso.
Dall’IP cam allo smartphone Le potenzialità di questo sistema sono molto, i problemi di sicurezza altrettanti. hjps://www.mi-italia.it/pub/media/drop/product/1667/0_5e38101b58274.jpeg
Come rendere più sicura una IP cam? Non sempre si può. Per prima cosa meglio scegliere quelli con sistemi di crittazione. Cambiare, ovviamente, username e password del sistema. Aggiornare il firmware periodicamente. Cambiare la porta di default (di solito è 8100).
Antivirus, non basta installarlo - 1 Tenerlo aggiornato (in maniera automatica).
Antivirus, non basta installarlo - 2 Impostare scansioni periodiche.
Antivirus, non basta installarlo - 3 Attivare la protezione dei browser.
Antivirus, non basta installarlo - 4 Proteggere file e directory, limitando l’accesso delle varie applicazioni all’indispensabile.
Antivirus, non basta installarlo - 5 Proteggere i backup.
Antivirus, non basta installarlo - 6 Proteggere i backup.
Sistemi antivirus “centralizzati” Consentono di tenere aggiornati e controllare i vari device dell’organizzazione da un unico pannello di controllo (spesso in cloud). hjps://www.eset.com/fileadmin/_processed_/c/9/csm_ESET_Cloud_Administrator_Dashboard_02_3_9ad23eeb5b.png
16 La crittografia che ci aiuta
Che cosa succede se la perdiamo? O se viene rubata? Ovviamente questo discorso vale anche per tutte le memoria di massa, anche fisse.
E se fosse “crittografata”? Se il contenuto di una memoria di massa (hard disk fisso, rimovibile, chiavette USB ecc.) è crittografato, solo chi conosce la password (o riesce in qualche maniera a ottenerla) è in grado di leggerne i contenuti. Ma come possiamo fare?
Veracrypt - 1 Si tratta di un un software applicativo gratuito e open source in gradi di criptare e decriptare intere directory. https://www.veracrypt.fr/en/Home.html
Veracrypt - 2 Esiste per Windows, macOS, Linux (varie distribuzioni). https://www.veracrypt.fr/en/Downloads.html Deriva dal “vecchio” Truecrypt (non più sviluppato da 2014 e quindi ritenuto non sicuro).
Veracrypt - 3 Si comincia creando un “volume”, ovvero un file “contenitore” che ospiterà cartelle e file.
Veracrypt - 4 Il file “contenitore” può essere memorizzato in dischi fisso o unità rimovibili. Si apre solo con la password (attenzione a non dimenticarla!). In generale il sistema è abbastanza veloce (poi dipende anche dal computer).
Sistemi di crittografia “nativi” I sistemi Windows e macOS hanno dei meccanismi di crittazione di cartelle è file. BitLocker (Windows). “Pannello di controllo” -> “Sistema e sicurezza” -> “Crittografia unità BitLocker”. FileVault (macOS). “Apple” -> “Preferenze di Sistema, Sicurezza e Privacy,FileVault
17 Sistemi operativi come matrioske
Virtualizzazione Un meccanismo software che ci consente di installare un sistema operativo su un hardware virtuale (che viene “simulato” da un altro sistema operativo). Esempio in un sistema operativo macOS installo un software di virtualizzazione e su questo ci installo una distribuzione di Linux, che “credere” di essere installato in una vera macchina.
VirtualBox È un software applicativo per l’esecuzione di macchine virtuali, gratuito e open source https://www.virtualbox.org/
Che cosa possiamo farci? Possiamo, ad esempio, installare un sistema operativo Linux (“leggero”, come Lubuntu https:// www.ubuntu-it.org/derivate/lubuntu) per navigare in siti che non riteniamo sicuri. Le macchine virtuali possono essere distrutte e reinstallate in qualsiasi momento.
18 Un po’ di privacy in rete
VPN (Virtual Private Network) In breve, è un insieme di tecnologie che consente di estendere una rete privata (es. quella del nostro ufficio), utilizzando una rete pubblica (Internet). Utilizza, ovviamente, la crittografia.
VPN e privacy - 1 Le VPN possono anche contribuire a proteggere l’identità online. Esistono VPN (solitamente a pagamento) che funzionano così: mi connetto ai loro server tramite un software che mi viene fornito e utilizzo Internet come se fossi loro. Possono avere più server sparsi per il mondo.
VPN e privacy - 2 Una VPN è utile per proteggere i nostri dati se stiamo immettendo qualcosa in un sito che non utilizza il protocollo HTTPS, ma solo quello HTTP.
VPN e privacy - 3 Una VPN è utile per proteggere i nostri dati quando ci connettiamo a reti Wi-Fi pubbliche, che strutturalmente non possono dirsi sicure.
19 I sistemi anti intrusione
IDS (Intrusion detection system) Sono sistemi hardware/software in grado di in grado di verificare se i nostri computer (o nella nostra rete) sono in corso accessi non autorizzati. Famosi IDS open source: • Snort (https://www.snort.org/); • Suricata (https://suricata-ids.org/).
Come funzionano I breve: • analizzano quello che passa nella rete, tenendo conto che spesso i vari malware generano un traffico di rete che è riconoscibile. Va precisato che alcuni firewall possono incorporare la funzione di IDS. Inoltre possono generare un buon numero di falsi allarmi.
20 Il penetration testing
È un lavoro da white hacker Si testa un sistema informatico (in generale, quindi una rete, un sito web, un'applicazione stand-alone ecc.) alla ricerca di vulnerabilità sfruttabili da malintenzionati. Si può trattare di test automatici o effettuati a mano.
Come funziona C’è una fase preliminare di studio, in cui si analizzato i sistemi da “da attaccare”. Si effettua il testing. Si riportano i risultati. Si vede che cosa si può migliorare. NB: Si tratta di un’istantanea.
Strumenti open source Esistono distribuzioni Linux, ad esempio Parrot OS che contengono al proprio interno numerosi strumenti per effettuare un penetration testing (e altre cose ancora). https://parrotlinux.org/
21 Tenersi aggiornati (in italiano)
Newsletter gratuita Di Carola Frediani, giornalista. Ha cadenza settimanale. https://guerredirete.substack.com/
22 In pratica, a scuola…?
Il sito web della scuola In moltissimi casi il sito web della scuola è realizzato utilizzando una piattaforma software per la gestione dei contenuti (CMS). Ad esempio: Wordpress, Joomla, Drupal (tutte ottime soluzioni opensource).
Il CMS va costantemente aggiornato Perché? Perché WordPress, Joomla, Drupal, ad esempio, sono estremamente diffusi e, quindi sono anche molto studiati dalla criminalità informatica. Ogni nuova versione spesso, tra le altre cose, sistema problemi di sicurezza delle versioni precedenti.
Backoffice (1) Può essere usato come semplice vetrina oppure può avere un’area riservata (ad esempio per i docenti e/o per studenti e genitori ecc.). In ogni caso ci saranno uno o più account amministrativi per l’inserimento e la modifica dei contenuti e già questi sono dati personali.
Backoffice (2) La presenza di aree riservate implica la possibilità di memorizzazione di dati personali. Esempio: i dati legati agli account (nome, cognome, email ecc.), che sono solitamente memorizzati in un database (che potrebbe anche non trovarsi nel server che fa “girare” il sito).
I contenuti del sito web I contenuti (pubblici o ad accesso ristretto) potrebbero essere memorizzati: • nello stesso database degli account; • direttamente nel filesystem del server in cui gira il sito (spesso nel caso di immagini, file pdf ecc.).
Backup e restore Problema: dobbiamo capire bene dove si trovano i dati relativi al sito web (tutti i dati). Perché, se dobbiamo gestire i backup (i dati personali potrebbero essere un po’ ovunque). • Che fine fanno i backup? • Siamo in grado di fare un restore (ripristino)?
Il lucchetto del sito Storicamente i dati scambiati in Internet non venivano crittografati (cioè resi illeggibili da chi non possiede la chiave per decrittarli). Il protocollo HTTPS protegge i dati in transito. Se il sito web della scuola ha, ad esempio, una pagina di raccolta contatti, deve usare il protocollo HTTPS.
Le analitiche del sito Si tratta di sistemi di tracciamento degli utenti di un sito web, per vari motivi (statistica, profilazione, ecc.). Chi ha accesso a tali statistiche? Se c’è di solito è Google Analytics (si implementa avendo un account Google ed inserendo nel codice HTML delle pagine web del sito delle particolari istruzioni). Attenzione che vanno segnalate nell’informativa (e c’è anche la questione cookies…).
CMS e il problema dei plug-in Si tratta di estensioni su cui si ha ben poco controllo. A volte servono solo per ragioni estetiche. Spesso non sono così diffuse come il sistema principale e quindi il codice sorgente potrebbe non essere accuratamente controllato.
Cloud (1) L'utente finale utilizza risorse informatiche quali l'archiviazione o l'elaborazione messe a disposizione da altri (gratis o a pagamento). I dati dell'utente finale sono nel computer di qualcun altro e viene quindi meno una parte del potere di controllo su tali dati.
Cloud (2) Alcune servizi spesso utilizzati a scuola. • WeTransfer è un servizio per il trasferimento di file di grandi dimensioni. • Google Drive e Dropbox sono servizio di memorizzazione online di dati (file hosting). Tutto dipende da come vengono usati e per quali dati.
Cloud (3) Fino a qualche mese fa avrei scritto: verificare se i servizi extra EU aderiscono al GDPR o almeno allo Privacy Shield (accordo che regolamenta il trasferimento di dati tra Unione europea e USA). https://www.privacyshield.gov Per il momento la situazione è in evoluzione: https://www.federprivacy.org/informazione/societa/la-corte-di- giustizia-dell-ue-invalida-il-privacy-shield-stop-a-trasferimenti-di- dati-personali-negli-usa
Cloud (4) Google ha un sezione apposita a riguardo https://cloud.google.com/security/gdpr/ “[...] La conformità con il GDPR è una priorità assoluta per Google Cloud e per i nostri clienti. Il GDPR mira a rafforzare la protezione dei dati personali in Europa [...]”
Se cambio / elimino un computer I computer hanno: • memorie volatili (si “cancellano”) in assenza di alimentazione. • memorie fisse (hard disk ecc.). Le memorie fisse vanno cancellate in maniera definitiva (N.B. il cestino di Windows non è definitivo…).
Esistono software per la cancellazione? Sì, ma teniamo presente che CCleaner, ad esempio, nel 2017 è stato manomesso.
Eraser Software applicativo per la rimozione sicura dei file, gratuito e open source. Funziona solo con Windows. https://eraser.heidi.ie/
E quindi?
Si scherzava! Un degausser (smagnetizzatore) genera un campo magnetico molto forte (esistono ditte che offrono questo servizio e rilasciano una sorta di certificazione). NB: Per i dischi SSD servono soluzioni differenti.
Scambio di tablet (es. studenti) Valutare se: • rimuovere password / biometria ecc. • effettuare il ripristino dei dati di fabbrica (HARD RESET). Meglio comunque approntare una procedura scritta.
Pilastri dell’insegnamento online Learning Management System (applicazioni per gestire corsi online). Sistemi di video conferenza. Archivi per la distribuzione sincrone e asincrona di tutto quello che viene prodotto. Registro elettronico.
LMS & c. Esistono LMS (Learning Management System) sia open source (Moodle) sia proprietarie. Alcuni sono rivolti prevalentemente alle scuole, altri puntano alla formazione aziendale. Non tutti hanno le stesse funzionalità. Spesso (vale anche per i sistemi di videoconferenza ecc.) sono “vecchi” sistemi adattati a nuovi utilizzi.
Funzionalità di una LMS “ideale” Gestione di corsi, classi, singoli, docenti singoli studenti. Inserimento di materiali multimediali, link verso risorse esterne. Strumenti sociali quali forum, blog, wiki, chat (con possibilità di scambiarsi messaggi privati tra utenti) ecc.
LMS e dati Queste piattaforme: • raccolgono dati personali degli utenti (spesso nome, cognome, data di nascita, sesso, username, password, email, indirizzo ecc.); • hanno degli utenti amministratori (con vari ruoli); • hanno degli utenti fruitori (molto spesso minorenni).
Il fruitore della piattaforma LMS… • partecipa a lezioni; • carica documenti, foto, materiali vari ecc. Quindi potrebbe, in alcuni casi, condividere dati personali propri o di terzi (quindi l’utilizzo di queste piattaforme va spiegato per evitare “incidenti”).
Docenti e studenti che lasciano Cosa succede quando si elimina un account (es. docente che cambia scuola, studente che si diploma o si trasferisce ecc.)? Esiste una procedura chiara per “togliersi”? Che fine fanno i dati personali (e il materiale caricato)?
Chiediamoci dove sono installati Se uso sistemi open source (es. Jitsi per la videoconferenza) dove sono installati? Il server è nella disponibilità della scuola? Il “sistemista” è una figura chiaramente identificata?
Smart working e BYOD Bring your own device (BYOD) = porta il tuo dispositivo. Esiste un regolamento interno? Bisognerebbe dotarsi di misure minime di sicurezza.
SPAZIO ALLE DOMANDE Scrivi i tuoi quesiti al relatore nella sezione domande (sulla destra)
Grazie! corsi@deascuola.it blog.deascuola.it formazione.deascuola.it /DeAScuola @DeAScuola deascuola
Puoi anche leggere