Sicurezza

Come posso stabilire se un sito è sicuro?

L'accesso a informazioni personali e le transazioni di dati o di denaro sono alcune delle operazioni online più delicate.
Solamente un sito sicuro offre la garanzia che tutti i dati vengano utilizzati solo per lo scopo per cui sono stai inseriti e siano visualizzati unicamente da utenti autorizzati.

Un sito sicuro deve:
  1. fornire certezze sull'identità del sito
  2. avere un certificato digitale che:
    • garantisca la riservatezza della comunicazione
    • accerti l'identità dell'utente (login)
L'area protetta, il certificato digitale

Verificato chi sia il proprietario del sito in cui dovremmo inserire i nostri dati, il secondo passo da fare è quello di controllare il certificato digitale. Questo contribuirà a darci conferma sull'identità del sito e dell'utente, ma soprattutto ci garantirà la riservatezza della comunicazione.



Da Http:// a Https://
All 'ingresso di una pagina sicura o di un'area riservata deve apparire un 'Avviso di protezione'.
Il segnale indica che da quel momento ci si trova in una zona difesa, con numerosi strumenti, dalle interferenze esterne. A questo punto l'URL (l'indirizzo del sito) non sarà più preceduto dal noto http:// ma dalla sigla https://, in cui la 's' sta per 'secure'.
Ciò significa che il flusso di informazioni da questo momento sarà non decifrabile, perché i server inviano e ricevono informazioni utilizzando un protocollo criptato, che è in grado di assicurare la riservatezza dei dati, ponendo la comunicazione tra il cliente e il sistema informativo dell'azienda in un canale sicuro, cifrato ed esclusivo.
Molti siti hanno naturalmente una parte generica non protetta e una riservata protetta.

Controllare il lucchetto
L'ingresso in un'area sicura è segnalato anche da un lucchetto che appare nella 'status bar', la barra in basso del browser (a destra o a sinistra a seconda di quale browser utilizzate). Con un doppio click sul lucchetto l'utente potrà accedere a tutte le informazioni riguardanti il certificato digitale.
Verificare sempre che il lucchetto sia chiuso.
La prima pagina di un'area riservata contiene i campi per effettuare il login, ovvero l'inserimento del nome dell'utente e quello della password.
Un sito sicuro è protetto già nella pagina riservata al login.
E' sicuro quel sito in cui appare il lucchetto già al momento di inserimento della password
.
Questo garantisce la sicurezza dell'informazione.
Alcuni siti, specialmente quelli attraverso i quali si effettuano transazioni di denaro, possono avere un doppio livello di sicurezza: una prima password permette di accedere, ad esempio, alla consultazione dei propri dati, ma solo l'inserimento di una seconda parola chiave offre la possibilità di effettuare transazioni. In questo modo l'accesso a questo secondo livello gode di una protezione ulteriore: due ostacoli spesso bloccano chi non ha buone intenzioni.

Qualche accorgimento tecnico
Prima di tutto l'utente dovrebbe eliminare dalle impostazioni del proprio computer tutte quelle funzioni che permettono di salvare le password e di memorizzare la compilazione dei form (le pagine che contengono campi riempibili con un testo). Queste tracce possono infatti essere facilmente scoperte e rendere del tutto inutili gli ostacoli creati da un sito sicuro.
(Se ad esempio come browser usate Internet Explorer, dovrete seguire questo percorso partendo dalla barra degli strumenti posta in alto: Strumenti- Opzioni Internet- Protezione- Livello personalizzato, e quindi scorrerere la finestra fino a che non si arriva alla voce Persistenza dati utente. Facendo un click su 'disattiva', la funzione verrà resa non funzionante).

zoom
La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo.
Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password.

Guida alla scelta
La tentazione più forte è quella di scegliere un nome facile e breve; invece è indispensabile attuare un compromesso tra l'importanza dei dati protetti e una password che può richiedere qualche sforzo in più nella ricerca della sua codificazione, che possa essere anche meno semplice da ricordare.
Queste sono alcune linee guida indispensabili da seguire per trovare la miglior password possibile:
  • scegliere una password di una lunghezza non inferiore agli 8 caratteri;
  • non utilizzare parole di senso compiuto usate comunemente: esistono numerosi applicativi software freeware che, basandosi su dizionari internazionali, verificano tutte le parole caricate fino ad individuare quella corretta;
  • tenere a mente che le password più sicure contengono numeri, lettere e simboli. Ad esempio, se scelgo come password "mondo" posso creare una password molto sicura inserendo prima, dopo o all'interno, un numero: mondo433, 433mondo, mon433do e così via. I numeri e i simboli posizionati tra le lettere (o viceversa) aumentano il numero di opzioni possibili per un determinato carattere, questo rende più sicura l'intera password;
  • evitare i nomi dei propri figli, del coniuge o di un animale domestico, le date di nascita dei parenti più stretti, e tutte quelle parole che derivano da informazioni personali facilmente ottenibili da malintenzionati;
  • verificare la sicurezza di una password utilizzando un qualsiasi motore di ricerca (es. Google): se restituisce meno di 10 risultati, hai trovato una password sicura;
  • non usare una password che contenga parte dell'ID utente o dell'indirizzo e-mail;
  • non utilizzare la stessa password per numerosi servizi on-line. Sebbene sia un ottimo metodo per non dimenticarla, alla fine la probabilità che venga identificata aumenta in maniera esponenziale. Ogni volta che dovete scegliere una password, inventatene una differente. Se usate la stessa password per il pc, per la posta elettronica, i vari giochi, gli account dell'ufficio e i database aziendali, c'è un'altissima probabilità che qualcuno venga a conoscenza di una delle vostre password.
Protezione della password
Tutti i consigli sopra esposti, se applicati, rendono sicura la navigazione. Ma definire e utilizzare una password sicura è un punto di partenza che deve necessariamente proseguire con una corretta conservazione.
Una volta scelta la password, si dovrebbero seguire questi criteri per assicurarsi che nessuno la scopra:
  • non digitare la password in presenza di estranei, che magari si trovano alle vostre spalle mentre la componete sulla tastiera. Un occhio attento può seguire i movimenti e memorizzare la password;
  • non trascrivere la password su un foglio di carta, nè in altro luogo;
  • non archiviarla in un file di un pc;
  • non rivelare ad altri la propria password;
  • non memorizzare la password nei tasti funzione di un terminale;
  • modificare la password di tanto in tanto: l'uso costante e abitudinario della solita password è un comportamento rischioso.
Banca Marche adotta tutte le misure necessarie a garantire la massima sicurezza dei propri servizi di internet banking, a partire proprio dall'accesso al servizio stesso. Questo è infatti protetto da codici identificativi personali che permettono l'ingresso all'Area Riservata solo all'utente che ne è in possesso.

Codice e password
Banca Marche fornisce al proprio cliente un codice utente, che rimane invariato nel tempo, e una password, che invece è personalizzabile e modificabile in qualsiasi momento. Le aziende avranno anche un codice personale, anch'esso mutabile. La personalizzazione della password e del codice personale è un'arma a difesa dei propri dati sensibili. Sostituire periodicamente questi codici di accesso garantisce infatti una sicurezza, proprio perché rende complessa l'eventuale intrusione da parte di un estraneo alle informazioni dei rapporti bancari di un utente.

Creare codici sicuri
I codici di accesso personalizzabili possono essere composti utilizzando un insieme di lettere e numeri, da un minimo di 8 ad un massimo di 20 caratteri. L'accesso al sito riconosce come differenti le lettere maiuscole da quelle minuscole; tutto questo fornisce infinite possibilità di costruirsi password assolutamente sicure.

Attenzione
  • Banca Marche non chiede e non chiederà mai attraverso una e-mail o un contatto telefonico i dati di accesso al servizio di internet banking di un cliente.
  • nella pagina di accesso al Servizio Self Bank Famiglie, viene richiesto esclusivamente l’inserimento di “Codice Utente” e “Password”. In tale pagina, non viene mai richiesto l’inserimento del codice numerico OTP (One Time Password). Pertanto, qualora dovessero essere richieste credenziali di accesso diverse da “Codice Utente” e “Password”, non deve mai essere digitato il codice numerico OTP.
Qualora si ricevessero comunicazioni di questo tipo, Banca Marche mette a disposizione dei propri clienti un Help Desk a cui segnalare il caso; il numero da chiamare è 800 605 500.
Oltre ai codici di accesso, la sicurezza del servizio di internet banking di Banca Marche è garantita dal criptaggio delle pagine web: è possibile effettuare transazioni e scambiare dati personali solamente dopo l'identificazione dei soggetti e il loro reciproco riconoscimento. I dati criptati sono infatti tradotti in un linguaggio leggibile solamente da chi possiede le chiavi di traduzione: in questo caso Banca Marche e il suo cliente di internet banking.

Certificazione di sicurezza
La riservatezza dell'autenticazione e dello scambio dei dati è garantita dal protocollo SSL 3.0 che fa uso di una chiave pubblica a 128 bit. La crittografia è certificata da Verisign.

Alcuni suggerimenti
L'utente può contribuire alla sicurezza dei propri dati attraverso alcuni piccoli suggerimenti. Innanzitutto non accedere mai ai servizi di internet banking da un link inserito in una e-mail o da un sito sconosciuto. Inoltre verificare che già a partire dalla pagina di accesso all'Area Riservata l'indirizzo della pagina web sia preceduto dalla sigla https:// e compaia il lucchetto chiuso nella barra di stato del browser.

Le pagine web di accesso ai servizi internet banking Banca Marche sono:

  

LA FIRMA DIGITALE
La Firma Digitale è l'equivalente elettronico della firma autografa, ed ha il suo stesso valore legale. Associata ad un documento elettronico ne garantisce l'integrità, l'autenticità e la non ripudiabilità.

Self Bank Imprese Banca Marche prevede l'utilizzo della Firma Digitale nella conferma delle disposizioni impartite alla Banca.
La firma digitale avviene utilizzando il token (chiavetta) contenente il "certificato digitale di firma", ed il PIN di firma.

Il "certificato di firma" viene rilasciato all'utente che ne fa richiesta da Actalis , Certification Authority accreditata presso CNIPA (Centro Nazionale per l'Informatica nella Pubblica Amministrazione), ed è un file che contiene al suo interno informazioni che riguardano l'identità del titolare, la chiave pubblica attribuitagli al momento del rilascio, il periodo di validità del certificato stesso, oltre ai dati dell'Ente Certificatore che lo ha rilasciato.
Il certificato di firma viene generato e conservato attraverso un dispositivo sicuro, il token USB (chiavetta).

La firma delle disposizioni è consentita solo se l'accesso al servizio di internet banking avviene tramite il Menù di Accesso del token. Questo permette di operare con la massima sicurezza, perché la navigazione avviene all'interno del token in una sessione protetta.
Se l'accesso alla pagina del servizio "Self Bank imprese" avviene da altre percorsi (ad es. dall'home page di www.bancamarche.it > Accesso utenti registrati), all'utente è consentito solo consultare le informazioni, preparare le disposizioni, ma non di firmare le disposizioni.

Con l'utilizzo della Firma Digitale, Banca Marche garantisce ai propri clienti Self Bank Imprese il massimo in termini di sicurezza oggi presente sul mercato, ed un dispositivo in linea con le direttive CBI.

Come attivare la firma digitale
All'atto dell'adesione al servizio Self Bank Imprese, Banca Marche consegna al cliente un Kit di Firma digitale, contenente un Token USB e i codici necessari alla predisposizione e all'attivazione del certificato di firma.
Tutte le indicazioni operative da eseguire per l'attivazione e l'utilizzo della Firma Digitale sono contenute nella sezione "ISTRUZIONI per l'utilizzo della Firma Digitale".

Nel caso in cui il cliente volesse effettuare una transazione online, ad esempio un bonifico bancario, il sistema richiederà il certificato di firma e un PIN personalizzabile con la quale confermare l'autenticazione del dispositivo di firma.
Con il servizio Self Bank Famiglie , l'abilitazione e la conferma delle disposizioni online (bonifici, giroconto, pagamento bollettini postali ...) viene effettuata utilizzando un dispositivo elettronico di firma: l'OTP Banca Marche (che deriva dalle iniziali delle parole One Time Password). L'OTP è uno strumento estremamente sicuro e di semplice utilizzo, che alla pressione di un pulsante visualizza un numero da utilizzare come password quando richiesto nella procedura dell'internet banking. La password consente di effettuare l'autenticazione certa del cliente e di validare le operazioni online.

Self Bank prevede l'utilizzo di tre diverse tipologie di dispositivi di firma OTP, che differiscono tra loro nel colore, nella forma ed in parte nel funzionamento, ma sono tutti accomunati dall'elevato livello di sicurezza che garantiscono nell'operatività online.

  Il dispositivo delle dimensioni di un portachiavi, consente di generare delle password usa e getta di 6 cifre, valide per confermare una singola operazione. Le password vengono generate sulla base di un algoritmo e di un orario fornito da un “real time clock” interno al dispositivo.
     
  Il dispositivo delle dimensioni di un portachiavi, consente di generare delle password usa e getta di 8 cifre, valide per confermare una singola operazione. Le password vengono generate sulla base di un algoritmo e di un orario fornito da un “real time clock” interno al dispositivo.
     
  Il dispositivo consente:

> la firma semplice delle disposizioni tramite generazione delle password usa e getta: tali password sono valide per firmare una singola operazione e vengono generate sulla base di un algoritmo e di un orario fornito da un “real time clock” interno al dispositivo;

> la firma elettronica delle disposizioni: in questo caso le password da utilizzare per firmare le disposizioni vengono generate successivamente alla digitazione di 5 cifre attraverso il tastierino numerico del dispositivo OTP e legate all'operazione posta in essere.

Attenzione
Anche la massima sicurezza non può fare a meno dell'attenzione. L'OTP Banca Marche va custodito con cura, se ciò nonostante il dispositivo viene smarrito/sottratto o danneggiato, basta rivolgersi alla Filiale o contattare l'Help Desk al numero 800 605500.
Cos'è un virus?
Il virus è un codice scritto che contiene istruzioni come un qualsiasi altro programma per computer. Un virus informatico, così come quello biologico, ha dimensioni molto piccole (pochi byte), perché creato solamente per compiere due operazioni: infettare e moltiplicarsi. Un virus riposa nel computer e si attiva solamente nel momento in cui l'utente apre il programma al quale si è attaccato e da lì inizia a diffondersi. Un virus può colpire qualsiasi componente del computer; basterà quindi un qualsiasi contatto tra un computer infettato ed un altro per farlo espandere. I danni che un virus può provocare sono numerosi.

Quanti tipi di virus esistono?
Solamente parlando di virus in senso stretto, se ne possono contare decine di tipologie. Mentre le principali caratteristiche rimangono invariate, ciò che li differenzia è essenzialmente il luogo in cui essi si appoggiano. Ci sono i Macrovirus, che sono contenuti in un documento di Word, Excel o Powerpoint; i Boot virus, che sono contenuti nei supporti magnetici (floppy disk, hard disk o cd) o i virus di programma, quelli che attaccano i file con estensioni .exe. Esistono virus per ogni genere di supporto e per ogni tipologia di file, persino per gli stessi antivirus: i retrovirus sono in grado di infiltrarsi nel sistema immunitario del computer e metterlo fuori uso.
I worm, come i virus, sono creati per propagarsi da un computer all'altro, ma a differenza di questi non hanno bisogno di appoggiarsi ad alcun supporto. I worm assumono immediatamente il controllo delle funzioni del computer destinate al trasporto dei dati. Una volta che è entrato, il worm è quindi in grado di viaggiare liberamente. Rispetto ai virus, i worm hanno molta più facilità di riprodursi e di raggiungere zone estremamente utili alla loro diffusione (ad esempio l'elenco dei nostri contatti di posta elettronica). I worm hanno anche effetti estremamente dannosi, arrivando a bloccare temporaneamente il nostro computer.
Come quello leggendario, anche il Cavallo di Troia informatico (Troyan Horse) si presenta come un bellissimo dono, magari come un aggiornamento dell'antivirus o del nostro sistema operativo, inviato però da qualcuno attraverso la posta elettronica. Purtroppo una volta aperto si presenta per quello che è: un virus che ha come scopo quello di trasportare un virus o un worm.
Come combattere i virus, i worm e gli altri nemici
Purtroppo non esiste una protezione totale contro i virus, però alcuni accorgimenti possono limitare la possibilità che questi attachino il nostro computer. Innanzitutto non scaricare mai file o programmi da siti di cui non si è sicuri, e tantomeno da mittenti di posta elettronica sconosciuti. Nel caso delle e-mail è inoltre opportuno contattare il mittente della mail prima di scaricare un suo allegato: come si è detto, infatti, alcuni nemici possono prendere le sembianze di un mittente sicuro e dimostrarsi invece micidiali. Per proteggersi è opportuno anche disabilitare la funzione anteprima nei programmi per leggere le mail.
Ad esempio per Microsoft Outlook disattivare il 'Riquadro di anteprima' partendo da 'Visualizza' nella barra degli strumenti in alto.

L'antivirus
Oltre a questi accorgimenti, è comunque necessario installare sul proprio computer un antivirus: un programma che controlla i file contenuti nel computer e ne verifica lo stato di salute, segnalando all'utente quelli che trova infettati da un virus. Se il virus è conosciuto, l'antivirus tenta di rimuoverlo. Se non dovesse riuscirci o non dovesse conoscerlo, l'antivirus metterà il file contaminato nella 'quarantine zone', una directory in cui questo file viene isolato ed eventualmente eliminato dopo un ulteriore controllo. Ogni antivirus utilizza un database dove sono elencati i tipi di virus, il loro modo di diffondersi e il sistema per distruggerli. Questo database viene aggiornato continuamente, anche più volte in una settimana, e gli aggiornamenti sono messi a disposizione degli utenti gratuitamente. Per essere protetti si deve sempre scaricare l'ultimo aggiornamento disponibile. Proprio perché dai virus non si è mai immuni, è consigliabile fare spesso il backup dei propri dati.
Spyware, programmi spia
Con il termine spyware (formato dall'unione delle parole inglesi "spy", spia, e "software") si descrivono quei programmi finalizzati a spiare le nostre attività on line e a compiere determinate operazioni a nostra insaputa e senza il nostro consenso. Scopriamo come agiscono e come possiamo proteggere il nostro computer dai suoi attacchi.

Cosa può fare un programma spia?
La presenza di uno spyware all'interno del pc consente al creatore del software di penetrare nel nostro computer, di forzare l'utente a scelte involontarie e di causare una minore stabilità e protezione del sistema, problemi di navigazione, la continua apertura di finestre pop up pubblicitarie, oppure nei casi più estremi la violazione della legge sulla privacy, attraverso una serie di funzioni dannose le cui più comuni sono:
  • la registrazione delle nostre informazioni personali contenute nel pc (password, numeri di carte di credito, numeri telefonici, indirizzi email ecc.) e di tutto ciò che digitiamo sulla tastiera;
  • l'acquisizione di dati sul nostro comportamento in internet: tempi di navigazione, orari di connessione, siti visitati. Le informazioni raccolte vengono mandate ad un computer remoto che provvede ad inviarci pubblicità mirata sulle preferenze ricavate dall'analisi del comportamento di navigazione;
  • il collegamento automatico a siti non desiderati (in connessioni permanenti) o il dirottamento verso siti prestabiliti (di contenuto commerciale);
  • l'esecuzione di chiamate tramite il nostro modem, anche verso numeri telefonici a tariffazione elevata (es. 899...);
  • lo scaricamento di materiale illegale a nostra insaputa.
Come ci imbattiamo in uno spyware?
I software-spia non si diffondono autonomamente come i virus, ma richiedono l'intervento dell'utente per essere installati. Inoltre l'installazione avviene in automatico, senza che ci venga notificata.
Per difendersi è importante quindi conoscere alcuni dei modi più comuni per "infettarsi" che sono:
  • tramite allegati presenti nei messaggi di posta indesiderata (spam);
  • attraverso la navigazione in internet, visitando siti web sospetti e pericolosi;
  • installando programmi di cui non si conosce l'esatta provenienza;
  • attraverso la frequentazione di reti peer to peer che consentono lo scambio di risorse, incorrendo nel rischio di scaricare inconsapevolmente nel proprio sistema operativo programmi indesiderati all'interno di siti o server;
  • installando programmi "freeware", ovvero software gratuiti che vengono distribuiti via internet o in cd-rom, in particolare quelli che hanno banner pubblicitari. Alcuni di questi vengono sfruttati per "spiarci" attraverso funzioni nascoste all'interno del programma, facendo uso della nostra connessione internet o a volte sostituendola con una connessione alternativa a pagamento.
Come prevenire lo spyware
Esistono programmi antispyware efficienti, in grado di rilevare programmi nocivi alla sicurezza e alla privacy; non sempre però, anche se intercettati, riescono ad estirparli totalmente. E' importante quindi seguire innanzitutto alcune regole di comportamento, che possono anche richiedere la modifica di alcune nostre abitudini in rete, come:
  • assicurarsi che il software (sistema operativi in uso) sia aggiornato;
  • usare browser di navigazione aggiornati o alternativi rispetto a quelli più popolari e conosciuti;
  • installare sul proprio pc sistemi di protezione come il firewall;
  • eseguire download sicuri. Un messaggio di avviso viene visualizzato quando si sta per scaricare un nuovo software sul computer. Prestare molta attenzione alle informative sulla privacy, avvisi di protezione e contratti di licenza associati al software che si scarica. A meno che non si è certi che un programma è totalmente affidabile, non scaricarlo o installarlo sul computer.
Cos'è il phishing?
Il 'Phishing' è una tecnica del cosiddetto 'social engeneering'; il suo nome deriva dal verbo inglese 'to fish' (in italiano 'pescare') e consiste in una truffa informatica ideata per ottenere le informazioni personali e i dati sensibili direttamente dagli utenti. Come i pesci in mare, anche gli utenti della Rete devono prestare molta attenzione alle esche che vengono preparate dai phisher. La principale vittima di questa pesca informatica è chi usufruisce dei servizi di home banking e recentemente anche di e- business (e- Bay, ad esempio).

Un aspetto innocuo
Finora il phishing si è presentato sotto forma di e-mail. Apparentemente inviata dalla propria banca, questa comunicazione avverte di un imprecisato problema tecnico; per risolverlo è necessario collegarsi al sito ed effettuare un nuovo login. Per agevolare quest'operazione nella e-mail è già inserito un link al sito della banca; l'utente può così effettuare velocemente l'inserimento dei suoi dati sensibili (user- Id e password, ad esempio). Se si seguono tutti questi passaggi significa che l'esca ha funzionato e tutte le informazioni dell'utente saranno 'pescate'.

Cosa accade realmente?
Per un pirata informatico costruire una pagina simile ad una già esistente, come ad esempio quella di un home banking, è molto semplice. Cliccando il link riportato nella e-mail l'utente viene solo apparentemente trasportato nel sito della propria banca, mentre quella pagina nasconde in realtà un indirizzo diverso. I dati sensibili che l'utente immette vengono quindi memorizzati su un altro server e utilizzati dal phisher, che accederà così ai suoi servizi bancari e al suo conto corrente (o nel caso dell'e-businness alla carta di credito).

Non abboccare è semplice
Il phishing induce l'utente a cadere in trappola, perché la sua semplicità rende il trucco insospettabile. Per evitare di trovarsi impigliati in questa rete è sufficiente essere molto scrupolosi e seguire questi semplici consigli:
  • gli istituti bancari e le aziende di e-businness non richiedono mai informazioni personali tramite e-mail. Nel caso in cui sorga il dubbio che la mail sia vera, prima di inserire qualsiasi dato è opportuno contattare la banca telefonicamente e chiedere conferma a riguardo.
  • non utilizzare mai il collegamento contenuto nella e-mail. Per visitare il sito web della vostra banca digitare sempre l'indirizzo URL (ad esempio www.bancamarche.it) nella barra degli indirizzi. Posizionando il mouse sul link verso cui il messaggio ci invita a recarci, senza cliccare, potremmo osservare sulla barra di navigazione il nome dell’indirizzo verso il quale ci condurrebbe il collegamento. Leggendo attentamente quell’indirizzo ci accorgeremmo che non corrisponde affatto a quello della nostra banca, ma magari si differenzia da esso solamente per l'aggiunta o l'assenza di una lettera.
  • Esaminare regolarmente i rendiconti bancari e quelli della carta di credito, in modo da accorgersi prontamente di un qualsiasi spostamento sospetto. Nel caso si ritenga di essere vittime di una truffa, contattare immediatamente la Polizia Postale e l'ufficio preposto della vostra banca.
Nel campo della sicurezza informatica il social engineering è lo studio del comportamento individuale e l'insieme delle strategie psicologiche usate dagli aggressori online al fine di ottenere dall'utente dati personali o sensibili oppure di indurlo a compiere una serie di azioni pericolose, superando le barriere di sicurezza.
Conoscere le tecniche di social engineering è il modo migliore per non diventarne noi stessi vittime.

Le strategie di attacco
Gli ingegneri sociali (social engineer) agiscono camuffando la propria identità, ingannando per infondere fiducia nella vittima, sfruttando la sua disponibilità, la buona fede e anche un pizzico di curiosità. Nella maggioranza dei casi sono abilissimi nei rapporti umani, risultano affascinanti, educati e simpatici. Quasi tutti ci basiamo sull'assunto che nessuno ci ingannerà mai. La persona che porta l'attacco è conscia di questa credenza comune e riesce a far sembrare tanto ragionevole la sua richiesta da non sollevare nessun sospetto mentre sfrutta la vittima. La rassegna delle astuzie escogitate da chi ordisce raggiri telematici è piuttosto variegata.
L'aggressore si spaccia per un vostro amico, un collega o per una fonte autorevole (per esempio Microsoft, Ebay, la vostra banca...), al fine di indurre l'utente ad aprire file contenenti virus o spyware. Il social engineer invia una e-mail in cui ci chiede, per esempio, di installare un software allegato (per esempio un falso "aggiornamento di sicurezza" di Windows) oppure di leggere un documento allegato o visitare un certo sito pericoloso. L'allegato o il sito contengono software che veicolano l'infezione o rubano dati personali, e così il social engineer ottiene i risultati sperati. Invece uno dei sistemi specifici di social engineering utilizzati per ricavare dal malcapitato nome utente e password di un suo account o codici di accesso ad esempio della propria banca è il phishing.
Le tecniche del social engineering agiscono anche via telefono fingendo ad esempio di essere un tecnico informatico e dopo aver descritto una situazione di pericolo sul nostro computer, propone una soluzione urgente che richiede di riferire una serie di informazioni riservate. A questo punto, nonostante i sistemi di sicurezza che avremmo adottato, con questo semplice stratagemma l'hacker ottiene tutte le informazioni desiderate.

Qui sotto riportiamo un esempio di social engineering perpetrato tramite messaggio di posta elettronica:
Da: Servizio_Tecnico@TopService.com
A: utente@provider.it
Oggetto: Software Internet Provider

Gentile Utente,

per offrirLe un miglior servizio abbiamo aggiornato il server software del ns. Internet Provider. Per problemi tecnici non ci è stato possibile importare il database Utenti, motivo per cui La preghiamo di volerci comunicare al più presto il suo username e la sua password, scrivendo al nostro indirizzo email: Servizio_Tecnico@TopService.com

La ringraziamo per la cortese attenzione.

Cordiali saluti

Dr. Antonio Brambilla
Resp. le Servizio Tecnico
Come difendersi
Per difenderci dai pericoli del social engineering i suggerimenti sono di:
  •  verificare l'autenticità della fonte di qualsiasi richiesta ci venga fatta tramite le modalità che abbiamo visto, prima di decidere cosa farne, e chiedere conferma (ad es. alla banca, provider di servizi Internet...);
  •  nel dubbio, meglio non eseguire le operazioni richieste;
  •  essere prudenti nella trasmissione di informazioni: non comunicare dati confidenziali ad altre persone.
Cosa sono i cookies?
I cookies (in italiano 'biscottini') sono file di testo di piccole dimensioni che i siti web utilizzano per conservare alcuni dati dell'utente che li visita. Questi file vengono inviati dal sito al computer che vi si collega e memorizzati all'interno del suo stesso disco rigido. Ad ogni successivo accesso, questi file verranno mostrati a quel sito come fossero la carta d'identità dell'utente.

Più informazioni, più tempo risparmiato
Grazie a questo sistema si ottiene un notevole risparmio di tempo durante la navigazione. La memorizzazione di queste informazioni da parte del server consente di saltare i passaggi che danno accesso al sito, proprio perché le informazioni necessarie vengono ritrovate e fornite, magari con la sola esclusione di una password (è infatti l'utente che decide quali informazioni comunicare). Essendo file di testo (ovvero con estensione .txt), i cookies non sono mai portatori di virus e quindi non bisogna temere la loro presenza nel computer. Un virus, infatti, per attivarsi deve poter essere eseguito, mentre i file di testo possono solamente essere letti.

I cookies e la privacy
La memorizzazione dei dati dell'utente porta come inevitabile conseguenza un'invasione, seppur lieve, della privacy. Leggendo i cookies è infatti possibile tracciare una mappatura delle abitudini durante la navigazione di ogni singolo utente, e seguendoli rintracciare le strade percorse in Rete.

Ma allora perché i cookies?
Innanzitutto per il risparmio di tempo. E se è vero che le aziende possono utilizzarli per scopi impropri, allo stesso modo è vero che i cookies sono di proprietà dell'utente. Questo vuol dire che si può configurare il proprio browser in modo da accettare o rifiutare automaticamente tutti i cookies, oppure ricevere una nota di avviso nel momento in cui vengono inviati al proprio browser. Per queste operazioni, ogni browser ha comandi e impostazioni specifiche, perché il funzionamento dei cookies è totalmente dipendente dal programma di navigazione che l'utente usa. È opportuno ricordare che l'eliminazione totale dei cookies oltre a negare una comodità, può anche non permettere l'accesso ad alcuni siti o ad alcuni servizi online.

Come comportarsi
Ogni cookies ha una data di scadenza
. Alcuni scadono subito e servono unicamente a far funzionare i siti interattivi e di e-commerce; altri cookies invece hanno una scadenza molto lunga e a volte ingiustificata. In quest'ultimo caso è dunque importante considerare seriamente se si vuole memorizzare la user e la password al fine di accedere velocemente ad un sito protetto; la cosa importante è comunque rifiutare sempre i cookies per l'accesso ai siti di home banking.
Firewall, la barriera di protezione
I principali attacchi rivolti ai sistemi informatici provengono da Internet. Per difendersi da intrusioni esterne di utenti non autorizzati o da violazioni di varia natura (virus, spyware, cookies...) è necessario quindi un sistema di sicurezza efficiente: questa barriera di protezione si chiama firewall (letteralmente "muro di fuoco").

Cos'è e a cosa serve
Un firewall è un dispositivo hardware oppure un software posto fra la rete locale e internet con protezioni di vario livello, la cui funzionalità principale è di creare un filtro sulle connessioni entranti ed uscenti da e verso una rete di computer in modo da:
  • permettere sia agli utenti interni che a quelli esterni di operare col massimo della sicurezza e protezione;
  • consentire lo scambio di traffico e il passaggio dei soli dati autorizzati.
Un firewall può essere realizzato con un normale computer (con almeno due schede di rete e software apposito), può essere una funzione inclusa in un router o un apparato specializzato. Un router è un'apparecchiatura che collega una rete di computer ad Internet mediante un collegamento di tipo isdn/adsl (per una più rapida consultazione delle informazioni) o altro. Esso permette la configurazione personalizzata, con la possibilità di discriminare orari e tempi di connessione e tipologia di accesso per ogni postazione connessa alla rete.

Inoltre esistono i cosiddetti "firewall personali", che sono programmi installati sui normali computer, che filtrano solamente i pacchetti che entrano ed escono. I dati in entrata ed in uscita dal nostro computer verso internet vengono trasmessi infatti in pacchetti contenenti informazioni, come mittente, destinatario o altro sulla natura della comunicazione (email, web...); oltre ovviamente ad una parte del contentuo specifico di quella comunicazione (se il contenuto è grande, un immagine ad esempio, viene spezzettato in molti pacchetti).
All'interno del sistema di protezione vengono impostate le regole di filtraggio dei pacchetti scambiati tra internet e la rete interna, perché differenti sono le esigenze e le tipologie di reti. Infatti il firewall è uno dei programmi di protezione più efficaci grazie non solo ai meccanismi di controllo degli accessi, ma anche alla possibilità di gestire e personalizzare le funzioni da utilizzare per la sicurezza.



Tipologie
Qualche firewall permette solo il passaggio di e-mail, proteggendo quindi la rete da attacchi diversi da quelli mirati a questo servizio. Altri bloccano servizi che tradizionalmente hanno problemi di sicurezza. Di solito i firewall sono configurati per proteggere contro i login non autenticati dall'esterno. Esistono poi firewall più complicati che bloccano il traffico dall'esterno all'interno, ma permettono agli utenti interni di comunicare liberamente con l'esterno.
Esistono quindi diverse tipologie di firewall, ma le attività principali che esso esercita si possono così riassumere:
  • monitoraggio, controllo e modifica sulle intestazioni dei pacchetti che transitano nella nostra rete;
  • intercettazione del traffico e autenticazione degli utenti;
  • analisi dei pacchetti, oltre al solo filtraggio, e verifica dei contenuti.
L’ente maggiormente riconosciuto che certifica l’affidabilità di un prodotto firewall è l’ICSA (www.icsa.net).