Internet per tutti - quarta edizione (1999)

di Paolo Attivissimo

© 1999-2006 Paolo Attivissimo (http://www.attivissimo.net). Questo documento è liberamente distribuibile purché intatto.

[copertina Internet per Tutti]

10. Privacy e sicurezza

Internet è uno strumento pericoloso. Non nel senso morale in cui lo intendono i giornalisti, che credono che il pericolo della Rete stia nella disponibilità abbondante, immediata e gratuita di corpi nudi, ma nel senso pratico e tangibile in cui lo è un coltello se viene messo nelle mani di chi non è stato preparato a maneggiarlo.

Vedo che gli utenti entrano in Rete con troppa fiducia verso gli strumenti che usano per interagire con Internet. Credono che il coltello non possa ferire loro le dita. Diamine, il fabbricante l'avrà reso conforme ai migliori standard di sicurezza, no?

No.

Probabilmente pensate che io stia esagerando. Ne riparleremo dopo che avrete letto questo capitolo. Nel frattempo, considerate questi piccoli fatti:

Cominciate a sentirvi leggermente inquieti? Bene. Meglio la consapevolezza del rischio che l'illusione della sicurezza. Non basta certo un capitolo di un testo introduttivo come questo per spiegare tutto quel che c'è da sapere in fatto di sicurezza informatica; vorrei semplicemente attivare questa consapevolezza. Sarà poi la Rete a darvi tutta la documentazione necessaria per saperne di più.

Prima di proseguire in questa esplorazione del lato oscuro della Rete, lasciatemi chiarire una cosa; la voglio dire il più chiaramente possibile. Tutti i prodotti che ho citato nei paragrafi precedenti sono di Microsoft. Anche Hotmail, il servizio di e-mail via Web violato con estrema facilità da un gruppo di esperti, rendendo pubblicamente consultabile la corrispondenza di quaranta milioni di utenti, è un servizio Microsoft. Coincidenza?

Certo che no. Il fatto che sta emergendo chiaro e inequivocabile è che Microsoft sa vendere molto bene, ma produce programmi e servizi pessimi dal punto di vista della sicurezza. Windows (altro prodotto Microsoft) è un autentico colabrodo in questo campo: la password di avvio si scopre in meno di due minuti. Ed è inutile argomentare che violazioni della sicurezza avvengono anche con programmi e sistemi operativi di altre case produttrici. La differenza è che i prodotti Microsoft contengono un numero incomparabilmente maggiore di falle; cosa peggiore, sono falle che si potrebbero rimediare con un impegno davvero minimo. Non è sfortuna: è incompetenza.

Per farla breve, andare in Internet con un computer che usa la normale dotazione di programmi per Windows senza prendere una congrua serie di misure per reimpostarlo e personalizzarne il funzionamento è pericoloso.

Bene, mi sono levato il peso dalla coscienza. Vi ho avvisato.

Adesso vediamo come rimediare a questi pericoli, che possono colpire non soltanto i computer ma anche (sia pure in misura molto minore) qualsiasi altro apparecchio per collegarsi a Internet. La strada migliore per evitare un pericolo passa per la sua conoscenza.

Lei non sa chi sono io: autenticazione

Il giorno prima di un importante appuntamento d'affari, la persona che dovete incontrare vi manda un e-mail avvisandovi che l'incontro dovrà slittare di due ore. Nessun problema: per un buon cliente, questo e altro. Quando arrivate puntuali sul luogo dell'incontro, però, non c'è nessuno. Al vostro rientro in ufficio, il vostro capo vi dice che l'affare vi è stato soffiato dalla concorrenza perché non vi siete presentati all'appuntamento, né avete avvisato che eravate in ritardo. Il cliente è rimasto un'ora ad aspettarvi, poi s'è stufato. Con gente come voi non si fanno affari.

Cos'è successo? Benvenuti nel torbido universo della fakemail (letteralmente "posta falsa", pronunciata "fèik-mèil"). Falsificare l'origine di un e-mail è facilissimo. Su Internet tutti i messaggi hanno lo stesso aspetto: non c'è voce, calligrafia, firma o carta intestata da imitare. L'identità di chi scrive è indicata soltanto dall'indirizzo del mittente, che compare obbligatoriamente in ogni messaggio. Perciò basta alterare i propri dati nel mailer e si assume l'identità di qualcun altro.

C'è un modo molto semplice per scongiurare questo tipo di pericolo: saper leggere l'e-mail su due livelli. Il primo è quello del normale contenuto testuale del messaggio: se vi sembra sospetto o poco plausibile, è sempre meglio avere una conferma attraverso un canale di comunicazione più sicuro (basta una telefonata). Se poi c'è qualcosa di importante che dipende dal contenuto di un e-mail (un amore, un contratto, una prenotazione), la verifica è un obbligo anche per i messaggi apparentemente autentici. Sembreranno consigli sciocchi, ma sapeste quanta gente non li applica, ipnotizzata dalla potenza del mezzo elettronico.

Il secondo livello è quello tecnico, costituito dalle intestazioni dei messaggi. Per leggerle, ovviamente, ci vuole un programma che sia in grado di mostrarvele in forma completa, invece di nasconderle come è di moda adesso. Per avere garanzie ragionevoli sull'autenticità del mittente di un e-mail (o di un messaggio in un newsgroup) bisogna confrontare l'intestazione del messaggio sospetto con quella di uno affidabile.

L'intestazione infatti contiene vari indizi molto meno facili da falsificare del semplice indirizzo di e-mail del mittente. Tanto per cominciare c'è il punto della Rete dal quale è entrato il messaggio: se il vostro interlocutore sta a Messina e improvvisamente ricevete un suo e-mail da Rovigo, tramite un fornitore d'accesso diverso, è il caso di drizzare le antenne.

Un altro elemento interessante e rivelatore dell'intestazione è il tipo di mailer del mittente. Se l'interlocutore usa Eudora e ricevete un messaggio composto con Outlook, è possibile che siate di fronte a una fakemail. Fra l'altro l'intestazione indica anche il numero di versione e sottoversione del mailer, per cui il falsario dovrebbe procurarsi esattamente la medesima versione, nella medesima lingua, usata dall'utente che vuole impersonare.

Certamente possono esserci molte ragioni validissime per queste differenze nelle intestazioni. Il vostro amico potrebbe essere in viaggio o potrebbe aver mandato il messaggio da un altro computer. Ma l'importante è che vi abituiate a non prendere per autentico tutto quello che vi compare sullo schermo. Dubitate, dubitate!

Avrete forse notato che ho parlato di garanzie "ragionevoli". Non bisogna infatti cadere nell'errore logico opposto, cioè credere che se due intestazioni sono identiche sono entrambe autentiche. Un buon manipolatore della Rete è in grado di imitare anche questi dati.

Questo non vuol dire che dobbiamo abbandonarci alla paranoia totale. È molto improbabile che un sabotaggio così raffinato abbia come bersaglio un utente medio: certi talenti si riservano per vittime ben più appetibili, come aziende, amministrazioni pubbliche, banche e simili. Per l'utente normale di Internet, la sicurezza offerta dal saper leggere le intestazioni è più che sufficiente: servirà a non farsi ingannare dai burloni.

La fakemail è rintracciabile?

In altre parole, è possibile risalire al vero mittente? Dipende da quanto è stato bravo il falsario.

Come abbiamo visto, l'intestazione integrale di un e-mail contiene il nome del sito di provenienza. Teoricamente il cosiddetto file di log del fornitore d'accesso che gestisce questo sito dovrebbe riportare lo userid dell'utente che vi ha spedito la fakemail. La maggior parte delle fakemail è generata in questo modo e quindi è facile da rintracciare, a patto di ottenere la collaborazione del fornitore (improbabile salvo che il caso di fakemail sia tanto grave da coinvolgere le autorità giudiziarie).

Ci sono però tecniche che mascherano anche queste informazioni, per cui la fakemail di un vero esperto è sostanzialmente impossibile da rintracciare. Siamo allora alla mercé dei pirati informatici? Certamente no. Basta ricordarsi di non fare affidamento cieco e totale su Internet. Procuratevi conferme esterne. Il telefono esiste ancora anche nell'era di Internet; usatelo!

Autentica in bollo, grazie

Davvero non c'è modo di essere sicuri della provenienza di un e-mail? Siccome non è un problema di poco peso, le migliori menti si sono messe all'opera. La soluzione si chiama crittografia a chiave pubblica e la sua realizzazione più diffusa si chiama PGP.

Esempio: Marco e Anna devono comunicare via e-mail. Non sono preoccupati che i loro messaggi vengano intercettati, ma semplicemente desiderano essere sicuri che siano autentici. In tal caso possono usare una delle tante versioni del programma PGP, disponibile per esempio presso http://www.pgpi.com, per generare una chiave (una sequenza di lettere e numeri univoca) da mettere in coda a ciascun messaggio.

Quando Marco vuole mandare un messaggio ad Anna, lo compone e poi lo dà in pasto a PGP, che genera la chiave specifica per quel messaggio sulla base di vari parametri (fra cui un codice che solo Marco conosce, denominato chiave privata) e sulla base delle sequenze di lettere contenute nell'e-mail in questione.

Quando Anna riceve l'e-mail, lo passa attraverso il suo PGP, che legge la chiave presente in coda al messaggio e la confronta con il testo. Se l'e-mail è di Marco, PGP lo confermerà: solo Marco infatti può aver generato quella chiave per quel messaggio (c'è sotto della matematica che non faccio neppure finta di capire, ma funziona). Non solo: se l'e-mail è stato alterato in qualche punto, PGP se ne accorge dal confronto fra la chiave e il testo, per cui è possibile autenticare sia la provenienza del messaggio, sia l'integrità del suo contenuto.

Chi diavolo è Luther Blissett?

Vi sarà capitato, o vi capiterà presto, di vedere messaggi nei newsgroup o di ricevere e-mail recanti la firma di un certo Luther Blissett.

Se avete buona memoria, forse ricorderete che proprio Luther Blissett era il nome di chi montò la storia dei Bambini di Satana dalle parti di Viterbo, fra il 1995 e il 1997, che poi si rivelò una burla da Scherzi a parte.

Non vi preoccupate: è un nome che molti utenti di Internet adottano per dire "io sono un vero internettaro ribelle" (poi magari hanno a casa mammina che gli stira le camicie). È un'antica tradizione della Rete, ancora molto viva tra aspiranti pirati telematici e fra coloro che usano la Rete per fare qualche scherzo ai giornalisti creduloni.

Il Grande Fratello vi legge: privacy

Molti utenti di Internet sono convinti che un e-mail goda della stessa riservatezza che hanno le lettere. Non è vero. Chiunque può leggere un e-mail altrui, se usa gli strumenti giusti (facilmente reperibili in Rete).

Certo, certo, il Garante per la privacy del governo italiano dice che l'e-mail gode della stessa tutela della corrispondenza epistolare o telefonica. Come no. Ma la legge dice solo che è vietato leggere l'e-mail altrui: non dice che non è tecnicamente possibile. Del resto in Italia è vietato guidare senza le cinture di sicurezza allacciate, però basta guardarsi in giro per vedere quanto viene rispettato questo divieto. Se succede per le cinture, può succedere per l'e-mail.

Per esempio, l'e-mail può essere intercettata mentre risiede sul computer del mittente o del destinatario: basta infettare il computer con un apposito programma. Si può anche creare una mail falsa che sembra provenire dal fornitore d'accesso della vittima e chiede alla vittima di visitare una pagina Web del fornitore per reimmettere i propri codici, ma in realtà proviene dallo spione di turno e porta a una pagina Web creata dallo spione come copia identica di quella autentica. So che alcuni fornitori d'accesso sbirciano la posta elettronica e i messaggi dei VIP, dei politici e delle celebrità.

Se volete un paragone con la posta cartacea, un e-mail non è una lettera, è una cartolina: chiunque la maneggi può leggerne il testo. Vi aspettate che una cartolina sia soggetta al segreto epistolare? In teoria sì, ma in pratica, beh, scordatevelo.

Per sua natura, Internet trasporta la posta elettronica lungo percorsi estremamente complessi e ricchi di tappe intermedie. Inoltre i dati contenuti nei messaggi vengono trasmessi lungo ciascuna di queste tappe "in chiaro", cioè senza alcuna forma di codifica, così come li avete digitati. Questo significa che in teoria i vostri messaggi potrebbero essere letti da chiunque si trovi o si metta lungo il percorso.

Oltretutto gli amministratori tecnici dei siti Internet, compreso quello del vostro fornitore d'accesso, devono avere accesso completo ai loro computer e quindi possono leggere la vostra posta (e sapere molto altro ancora della vostra attività informatica su Internet), se ci tengono.

Ci sono dozzine di modi diversi di intercettare un e-mail (per "intercettare" intendo soltanto leggere e copiare: il messaggio non viene bloccato, anzi arriva a destinazione senza che il destinatario si renda conto che è stato letto da qualcun altro strada facendo), molti dei quali sono di una semplicità disarmante. Per penetrare la posta degli utenti di Hotmail già citati sono bastate nove righe di codice HTML. Per cui la strategia per difendere la vostra riservatezza è altrettanto semplice:

Ci sono molti programmi per la crittografia; per l'uso normale sono tutti accettabili. Lasciate stare le funzioni di crittografia integrate in alcuni programmi, come Word o Winzip: su Internet sono liberamente disponibili tutti i grimaldelli per farle saltare. Se avete bisogno di una particolare protezione per i vostri dati, la soluzione più diffusa è lo stesso PGP incontrato poco fa a proposito di autenticazione.

-----BEGIN PGP MESSAGE-----
Version: 2.6.i
iQCVAgUALqGgF7Cfd7bM70R9AQE9aAP9EGKObLQKgkoUPm8kZVZuu6Zat2zs8gYg
tN69f9v51qc7dgqv3BZkEi+PKspQSyLh3Mc5hFJm9NGCab5odz/x/H2IwBeZLZ2l
4PgwQLE6wKJawpKiZycEHL6/++FK9SyrIjeq+xMye094LA0QXbhcmgFL4bAaEELZ
KlHVXg6gsWg=
=9gcW
-----END PGP MESSAGE-----

Un messaggio protetto da occhi indiscreti con PGP.

Perdersi tra la folla

Il difetto della crittografia è che dà nell'occhio. Un messaggio protetto con PGP o altri sistemi simili si riconosce subito rispetto a quelli normali: ci sono programmi appositi per farlo automaticamente. Per cui è facile scoprire chi ha qualcosa da nascondere (al Fisco, alla concorrenza, al marito) e concentrare i propri sforzi su quell'utente, magari mettendolo sotto sorveglianza anche fuori della Rete. In molti casi il messaggio sarebbe più al sicuro da occhi indiscreti lasciandolo "in chiaro" (non cifrato) e mescolandolo ai milioni di altri messaggi che circolano per Internet: si perderebbe nella folla. Se siete utenti qualsiasi, l'anonimato della massa è la vostra migliore protezione.

La situazione è ben diversa per chi non è utente qualsiasi (penso per esempio ai perseguitati politici di ogni latitudine, per i quali Internet è spessissimo l'unico canale sicuro per comunicare). L'ideale sarebbe avere un sistema di crittografia che non desse nell'occhio, dissimulando il vero contenuto del messaggio in un e-mail dall'aria apparentemente normale e innocente. Questo sistema esiste e si chiama steganografia.

The raindrop grudgingly infects to the dull monolith. I push wastefully units near the quiet hard star. Sometimes, games point behind squishy markets, unless they're old. Never run wanly while you're questioning through a green unit. We strongly plain around blue tall oceans. While units lazily believe, the balls often wonder on the idle frames. Other red idle stickers will play mercilessly with dogs. Going below a obelisk with a tag is often dry. Have a idle sandwich.

Non è un mio maldestro tentativo di poesia ermetica in inglese maccheronico: è la versione steganografata di un file cifrato, preparata con Texto, uno dei tanti programmi di steganografia disponibili nelle biblioteche di software di Internet. Agli occhi di un lettore distratto, e soprattutto a quelli di un programma automatico di ricerca di informazioni cifrate, sembra testo normale. Non avrà molto senso, ma ne ha quanto basta per passare inosservato pur essendo cifrato.

Nascondersi non basta

La steganografia non è un vero metodo di cifratura delle informazioni: serve soltanto a occultarle. Infatti se qualcuno si rende conto che un messaggio contiene informazioni steganografate, basta che esegua il programma che le ha generate per riottenere le informazioni originali: non occorre conoscere password o altro. Un messaggio va quindi protetto con un buon sistema di cifratura come PGP e poi steganografato. Solo così il messaggio è occultato e indecifrabile.

E-mail anonima

Un altro modo per proteggere la propria privacy è usare l'e-mail anonima. In questo sistema, il testo del messaggio non è codificato, ma vengono eliminati i dati che identificano il mittente, come l'indirizzo di e-mail e l'indirizzo del mail server d'origine.

Il servizio Internet che consente di scambiare e-mail e messaggi con i newsgroup senza rivelare il proprio indirizzo in Rete si chiama anonymous remailer ("anonimus rimèiler"). Invece di mandare l'e-mail direttamente al destinatario, lo inviate ad un sito che offre questo servizio, dove il vostro messaggio viene privato della sua intestazione originale (che contiene i vostri dati Internet personali), che viene sostituita da una fittizia; il messaggio così modificato viene poi spedito al destinatario.

Chi riceve un messaggio anonimo può capirne la natura dal tipo d'indirizzo del mittente, ma può comunque rispondere nella maniera abituale: la risposta verrà infatti rimandata all'anonymous remailer (o più propriamente a un nym server), che a sua volta lo inoltrerà a voi. È un sistema molto pratico, facile e affidabile. Volendo aumentare la sicurezza, si possono usare tanti anonymous remailer in cascata.

Il livello di garanzia di riservatezza del servizio di anonymous remailer dipende interamente dal sito che lo offre. I migliori sono congegnati in modo che neppure loro sanno a chi corrisponde un determinato indirizzo anonimizzato. I siti che offrono questo servizio sono numerosi, ma data la sua natura controversa capita spesso che ci sia un avvicendamento molto rapido: li troverete tramite un buon motore di ricerca. Uno dei più stabili è Anonymizer (http://www.anonymizer.com).

home page di anonymizer.com

Anonymizer, un sito che offre un servizio di e-mail anonima insieme a molti altri strumenti di difesa della privacy.

Ma perché mai dovreste voler inviare e-mail anonima? Prima che pensiate che vi stia istigando alla delazione o all'omertà, riflettete un momento. Ci sono molti casi in cui l'anonimato ha una funzione sociale fondamentale positiva.

Fermi con la firma!

Se usate un anonymous remailer e ci tenete a restare anonimi, ricordatevi di non includere nei messaggi la vostra "firma" o signature automatica che riporta il vostro nome, cognome e indirizzo di e-mail, altrimenti addio anonimato. Lo so che sembra una raccomandazione stupida, ma sapeste quante volte l'ho visto fare...

Newsgroup in anonimato

Un'estensione dell'e-mail anonima è costituita dai posting anonimi. Il principio è lo stesso: invece di comunicare direttamente con un newsgroup, si dialoga con un anonymous news server, che elimina dai nostri messaggi tutti i dati che possono consentire di risalire a chi siamo. Un sito facile da usare è lo stesso Anonymizer appena citato a proposito di e-mail. Su Internet esistono numerosi newsgroup dedicati a problemi molto difficili da discutere, anche attraverso il relativo anonimato dell'e-mail normale, se si deve indicare il proprio nome, cognome e indirizzo. Un esempio per tutti è it.discussioni.sessualita, dove molti partecipanti raccontano e chiedono aiuto per i loro dubbi o problemi soltanto perché sanno di essere protetti dall'anonimato.

Difendersi dai molestatori

La maggior parte della gente che trovate su Internet è normale ed innocua, ma su duecento milioni di utenti è inevitabile imbattersi in qualche deviato. Niente panico; con qualche semplice cautela potete godervi Internet in tutta tranquillità.

Certamente non voglio sembrarvi paranoico, ma purtroppo queste cose accadono; è inutile nasconderlo. Accadevano prima di Internet, grazie agli annunci sui giornali, e accadranno sempre, finché c'è gente che pensa "tanto a me non succede". Già adesso Internet ha una reputazione scarsa nell'opinione pubblica: ci manca solo che comincino a circolare storie di giovani circuite da maniaci conosciuti in Rete.

Navigazione sicura nel Web

Cosa ci può essere di più tranquillo e sicuro di una bella navigazione nelle pagine del Web? Ce ne stiamo lì, sereni e passivi, a chiamare le pagine Web che ci interessano. Guardiamo e non tocchiamo. Ci sentiamo sicuri.

barca in mare
Il mare è liscio, il sole splende...

Siete convinti che sfogliare le pagine del Web sia come guardare la televisione, nel senso che nessuno può sapere quale canale state seguendo? Ricredetevi. Se avete visitato il sito di Penthouse e poi passate al sito del Vaticano, l'amministratore di sistema della Santa Sede lo sa. Se gli interessa saperlo, beninteso. Ma può saperlo. La vostra anima immortale potrebbe essere in pericolo.

Scettici? Se visitate il sito di Anonymizer già citato, trovate una pagina dove elenca i dati che ha carpito dal vostro computer (in questo caso, dal mio):

analisi di anonymizer

Anonymizer mostra quante tracce lasciamo in Rete.

Procediamo con ordine e vediamo cosa sa di me Anonymizer:

Per carità, Anonymizer è mosso da buone intenzioni: infatti il sito offre un servizio di "anonimizzazione" che appunto impedisce ai siti che visitate di carpire queste informazioni. Se usate il servizio, potrete navigare senza il timore che qualcuno si faccia i fatti vostri, magari per vendervi Viagra, stimolatori addominali o tagliabecchi per polli oppure per perseguitarvi. Altri siti potrebbero essere meno corretti.

Le conseguenze di questa messe di dati che fornite inconsapevolmente a ogni singolo sito che visitate possono essere difficili da intuire. Immaginatevi di avere un'amica sieropositiva e di volerne sapere di più via Internet. Qualche giorno dopo, ricevete una telefonata dalla vostra compagnia d'assicurazione: la vostra polizza salute è rescissa perché qualcuno ha fatto sapere alla compagnia che avete visitato una pagina Web che parla di AIDS. Fantascienza? è tecnicamente fattibile. Conviene anonimizzarsi, in modo che queste ipotesi rimangano tali.

barca fra gli iceberg

Ora che il quadro è completo, la navigazione deve farsi più prudente.

Fare acquisti con la carta di credito

È pericoloso mandare il proprio numero di carta di credito in un e-mail o immetterlo in una pagina Web, per fare acquisti sulla Rete? Dipende più che altro da voi.

Se siete paranoici, la risposta è assolutamente . Tecnicamente è infatti possibile, e neppure troppo difficile, creare un programma che si legga i pacchetti dei dati Internet mentre transitano da un sito ed estrarne eventuali numeri di carta di credito.

Un utente malintenzionato potrebbe così compilarsi un bell'elenco di numeri e fare shopping addebitando le spese ai malcapitati. È già successo e indubbiamente succederà ancora.

Ma se questa preoccupazione vi affligge, allora non dovreste mai dare il vostro numero di carta di credito a nessuno, nemmeno nel mondo reale. Invece di temere di subire l'attacco di un esperto pirata informatico, fareste meglio a sorvegliare il cameriere al ristorante, il benzinaio o il negoziante: chi vi dice che quando fate acquisti nel mondo reale il venditore non si annoti il vostro numero di carta e poi ne abusi? è molto più semplice che intercettare un e-mail.

Personalmente ho fatto diversi acquisti tramite Internet e non ho mai subito addebiti ingiustificati; ma non nego che potrebbe succedermi di essere vittima di uno scroccone.

Tuttavia, allo stesso modo potrebbe capitarmi di essere colpito da un Jumbo Jet che precipita, ma non per questo ho deciso di vivere in un bunker sotterraneo e non uscire di casa. I benefici della possibilità di acquistare libri, programmi, oggetti introvabili da negozi sparsi per il mondo compensano abbondantemente i rischi.

Fidarsi ciecamente, però, non è mai una bella cosa. Il mio consiglio per ridurre enormemente i rischi degli acquisti via Internet è semplice:

Java, ActiveX e soci: meglio evitare

Molti dei sistemi concepiti per vivacizzare le pagine del Web possono essere veicolo di incursioni informatiche. Nelle pagine Web si possono includere microprogrammi, chiamati script, controlli o applet, scritti in linguaggi dai nomi esotici come Java, Javascript, Visual J++, ActiveX e Jscript, che un apposito interprete sul vostro apparecchio esegue automaticamente.

È proprio questo il problema: eseguire automaticamente qualsiasi cosa arrivi dalla Rete, senza alcun controllo di sicurezza, è come lasciare la cabriolet in strada con le porte aperte e il tettuccio ripiegato. Ammesso di trovarla ancora quando andate riprenderla, potreste trovare che dal cielo è piovuta qualche "sorpresa" sgradevole.

Per quanto i progettisti di questi linguaggi si siano adoperati per evitare "sorprese", pare che sia possibile celare almeno un minivirus nei programmi scritti in Java o ActiveX e quindi nelle pagine Web che contengono questi programmi. È molto improbabile che un sito normale e di buona reputazione celi intenzionalmente minivirus nelle proprie pagine, ma molti siti che offrono servizi meno leciti lo fanno. Inoltre l'esecuzione di un programma di questo tipo rallenta notevolmente la visualizzazione di una pagina Web.

Anche qui, dunque, è meglio adottare un po' di prudenza. Disattivate Java e soci per la normale navigazione (tutti i browser lo consentono): se vi imbattete in una pagina che esige l'attivazione di questi linguaggi, valutatene caso per caso l'affidabilità e la reputazione, poi decidete se accettare la richiesta o meno.

Cookie: biscottini avvelenati?

Si fa un gran parlare di cookie (si pronuncia "cùchi") quando si gira sul Web. Questa parola, in inglese americano, significa "biscotti": il vostro browser ve ne offre con una certa frequenza, ma non è detto che tutti siano digeribili.

Non vi preoccupate, non è un mio delirio dovuto alla troppa navigazione nel ciberspazio. Cookie è il termine usato per indicare i piccoli gruppi di dati che i server Web possono memorizzare sul vostro disco rigido: ne abbiamo incontrato uno durante la visita ad Anonymizer. I cookie registrano informazioni riguardanti la vostra visita ad un sito specifico e possono essere riletti in seguito soltanto dal sito che li ha creati.

Spesso i cookie vengono usati per rendere più personalizzata ed efficiente la vostra navigazione in Rete, ma c'è chi teme che un abuso dei cookie possa portare a una violazione della privacy. Vediamo come.

Sono sempre più numerosi i siti che usano cookie per rendere migliore la vostra esperienza d'interazione con il Web e per attivare funzioni piuttosto accattivanti. Faccio qualche esempio.

Cosa c'è in un cookie

Tutta quest'attività di lettura e scrittura di cookie avviene di norma senza che l'utente si renda conto che sta avvenendo dietro le quinte. I cookie si insediano in vari posti sul vostro disco rigido, a seconda del browser e del sistema operativo.

È importante ricordare che un cookie non può immagazzinare dati personali, come per esempio il vostro nome, il vostro indirizzo di e-mail o il numero di telefono, a meno che siate voi stessi a immettere queste informazioni in un modulo (form) presso il sito che crea il cookie.

Le funzioni di sicurezza integrate nella tecnologia dei cookie non consentono a un gestore di un sito Web di frugare nei file presenti sul vostro disco rigido o di esaminare i cookie creati da altri siti.

Fra le briciole digitali contenute nei cookie potreste trovare il vostro nome di domain (la parte a destra del simbolo "@" nel vostro indirizzo di e-mail), la data e l'ora della vostra visita, il tipo di computer, il tipo di sistema operativo e di browser che avete e un elenco cronologico delle pagine che avete visitato presso un sito specifico.

Detto così, non sembrano dati per cui perdere il sonno, ma...

I cookie possono causare danni?

Nessuna delle informazioni contenute nei file dei cookie è veramente allarmante in sé e per sé. Tuttavia, la capacità di tenere traccia dei siti specifici e delle esatte pagine che visitate desta preoccupazione in molti utenti.

Dal momento che società pubblicitarie come la DoubleClick sono presenti in molti dei siti più famosi (come per esempio AltaVista), in linea teorica potrebbero raccogliere silenziosamente informazioni sulle abitudini di navigazione Internet delle singole persone. Finora non è successo, ma nulla vieta che prima o poi succeda.

Eliminare i cookie

Se siete convinti che i cookie costituiscano una minaccia per la vostra privacy e siete disposti a vivere senza i loro servigi, ci sono vari modi per bloccare, cancellare e addirittura prevenire completamente i cookie.

Virus

Uno dei pericoli spesso segnalati sui giornali con grande enfasi è quello di beccarsi un bel virus attraverso Internet. La verità, come sovente capita, non è esattamente così drammatica come la dipingono certi giornalisti, anche se è saggio adottare comunque qualche cautela. Vediamo i termini reali del problema.

Cos'è un virus

In informatica, un virus è un programmino il cui unico scopo è fare danni (talvolta gravissimi) al vostro computer o altro apparecchio digitale. Come le pulci, i virus si diffondono attaccandosi a un ospite: in questo caso, un normale programma o un documento. I giochi e i documenti scritti da Word ed Excel sono fra gli ospiti preferiti; anche alcune pagine di Internet possono trasmettere particolari virus.

Quando avviate o leggete programmi, documenti o pagine Web contenenti un virus, il pestifero parassita inizia la sua opera distruttiva, che talvolta diventa evidente solo a distanza di tempo.

Come si prendono i virus informatici

I virus informatici si annidano in qualsiasi tipo di file, ma hanno modo di diffondersi e causare danno soltanto quando si nascondono dentro qualcosa di eseguibile: in altre parole, in un elemento (un file, una pagina Web) che per un periodo anche breve ha modo di prendere il controllo del vostro computer e dargli delle istruzioni.

Esistono anche virus che si annidano nel cosiddetto settore di boot dei dischi. Questi virus si attivano quando avviate il computer lasciando un dischetto inserito nel drive oppure, se hanno infettato il disco rigido, ogni volta che avviate il computer.

Soltanto i file eseguibili possono infettare un computer. Questo vuol dire che se prelevate da Internet un file non eseguibile, come per esempio un'immagine o un testo in formato ASCII, non esiste assolutamente alcun pericolo d'infezione.

Non solo: i file eseguibili possono causare infezione soltanto se vengono eseguiti. In altre parole, se vi capita di prelevare un file infetto e di conservarlo sul vostro computer, non vi succede niente, a meno che lo eseguiate.

Il vero problema è distinguere chiaramente cosa è eseguibile da cosa non lo è e sapere quando i file eseguibili vengono eseguiti sul vostro computer. Infatti non sempre è possibile tracciare una linea netta di separazione fra file eseguibili e file non eseguibili.

Normalmente, quando si pensa ad un file eseguibile si pensa ad un programma, di quelli che nel mondo DOS e Windows terminano con l'estensione com oppure exe. In realtà le cose sono leggermente più complesse.

Alcuni file che non sono eseguibili direttamente contengono istruzioni o dati che possono essere eseguiti in circostanze particolari: mi riferisco, se mi si perdona la digressione tecnica, alle cosiddette librerie, ai driver, ai file di overlay e alle macro contenute nei documenti di programmi come Microsoft Word, Excel e Access. Anche i file di stampa in formato PostScript possono contenere istruzioni d'infezione. Le pagine Web, come accennato, possono contenere istruzioni eseguibili scritte in linguaggi come Javascript e ActiveX.

Sapere quando un determinato file viene eseguito ormai è praticamente impossibile. Ai tempi del buon vecchio DOS era un po' più facile, ma con l'arrivo di Windows il numero di file eseguiti durante una sessione è aumentato vertiginosamente e quindi non basta guardare lo schermo per sapere quali file vengono eseguiti.

Inoltre, il fatto che sia tutto sommato raro infettarsi (io sono stato colpito da un blandissimo virus una sola volta in quindici anni d'informatica) rende ancora più pericolosa l'infezione. L'utente non se l'aspetta quando gli capita, e tende quindi a lasciar cadere le difese che esistono per contrastare questo rischio.

Come evitare di prendersi un virus

La prima misura da prendere per evitare contagi tramite Internet è stare attenti a cosa si riceve e da dove lo si riceve. Per esempio, se il vostro hobby è prelevare immagini di Brad Pitt o Pamela Anderson, non correte alcun rischio d'infezione (almeno al computer... i danni cerebrali li lascio valutare a voi).

Se prelevate la posta elettronica non correte assolutamente alcun pericolo, salvo che ci sia un allegato eseguibile e abbiate la sciagurata idea di eseguirlo senza controllarlo.

Anche il sito da cui prelevate è un fattore di sicurezza importante. Alcuni siti sono meglio controllati di altri. Se prelevate un file da un sito Internet della Microsoft, sarà molto improbabile che vi troviate dei virus (alcuni sostengono che Windows è un virus, dato che come un virus invade il disco rigido e si mangia un sacco di memoria, ma questa è un'altra storia). Se invece prelevate un programma da un sito poco conosciuto, il rischio è maggiore.

È logico che se poi decidete di avventurarvi in qualche bassofondo di Internet dove si pratica la pirateria di programmi, beh... sono affari vostri. Esistono effettivamente dei siti Internet dove qualcuno mette a disposizione degli altri utenti copie di programmi commerciali e videogame. Le persone che compiono questo tipo di operazione, ovviamente del tutto illegale, di solito non sono emblemi d'integrità.

Questi siti facilmente nascondono virus nei loro file. Ma se li prelevate, siete colpevoli anche voi di pirateria (compite una sorta di ricettazione informatica), per cui l'infezione, se vi capita, ve la siete cercata.

Antivirus

La seconda misura è dotarsi di un buon programma antivirus. Si tratta di programmi che sono in grado di esplorare i file che ricevete da Internet, senza eseguirli, e di riconoscere le "impronte digitali" dei principali virus. Ce ne sono per tutte le tasche e di tutti i tipi, ma per fortuna alcuni dei migliori sono gratuiti o quasi.

Uno dei più diffusi è quello della McAfee, disponibile gratuitamente in prova per un mese presso http://www.mcafee.com, ma ce ne sono molti altri, come F-Prot (http://www.datafellows.com) e AVP (http://www.avp.it), che potete provare prima dell'acquisto e a volte trovare in italiano. Ricordatevi di prelevare periodicamente le versioni più aggiornate, che riconoscono i nuovi virus.

sito mcafee

Il sito della McAfee, dal quale potete prelevare in prova un ottimo antivirus.

Il primo passo, importantissimo, verso la vera sicurezza è prelevare l'antivirus direttamente dal sito Internet del produttore. Non fidatevi di copie offerte da altri siti o dagli amici; potrebbero essere già infette. Fatto questo, seguite le istruzioni di installazione: di solito basta avviare il programma che avete appena prelevato.

Ecco il momento della verità: lanciate il programma installato e ditegli di eseguire una "scansione" integrale del vostro computer (memoria e disco rigido). La procedura esatta varia da un antivirus all'altro, ma la trovate spiegata nella documentazione del programma.

L'antivirus legge uno dopo l'altro ogni bit registrato nel vostro computer e controlla se ci sono "impronte digitali" di virus. Se ne trova, cerca di debellare l'infezione; di solito ci riesce, ma ricordate che la migliore cura è sempre la prevenzione.

virus trovato

Il momento che ogni buon informatico teme: l'antivirus trova un'infezione.

Ora il vostro computer è "pulito"; il problema è mantenerlo tale.

Paranoia? Chiedetelo a chi è già stato vittima di un virus.

Virus nell'e-mail: la madre di tutte le bufale

Sinceramente comincio a stufarmi un po' di ripetere sempre la stessa solfa. Sono anni che ogni tanto questa storia fa di nuovo capolino, e ogni tanto le fonti autorevoli di Internet sono obbligate a far circolare la solita smentita.

Sicuramente riceverete nella vostra corrispondenza elettronica, o leggerete nei newsgroup, un messaggio di questo tipo:

>>Oggetto : Attenzione VIRUS da Internet !!!!!
>>ATTENZIONE PERICOLO!(comunicazione Microsoft)
>>Egregi Signori,
>>LEGGETE ATTENTAMENTE L'EFFETTO DI QUESTI VIRUS
>>ATTENZIONE! se ricevete una mail intitolata "JOIN THE CREW" NON APRITELA!
>>devasterà qualsiasi cosa avete sull' Hard Drive. Spedite la seguente
>lettera a 
>>tutti coloro che sono nella V.s. mailing list e divulgate la notizia al
>>maggior numero di persone che potete. 
>>QUESTO E' UN NUOVO VIRUS E MOLTI NON NE SANNO ANCORA NIENTE.
>>Abbiamo ricevuto questa informazione in mattinata dall' IBM. Per favore
>>condividete questa comunicazione con tutti coloro che accedono in Internet.

È dal 1994 circa che la versione originale di questo messaggio circola in Internet. Vorrei ricordare, il più energicamente possibile, che non è possibile prendere un virus dalla normale e-mail (quella di solo testo).

Non importa se il messaggio che ricevete cita fonti Microsoft, cita l'IBM, America Online, il Corano o la Bibbia. Non importa se parla di codici ANSI nascosti. Non importa se ve lo manda un amico fidato, vostra madre, Rosy Bindi, il mago Otelma o Enrico Mentana in persona: probabilmente lo fanno perché ci sono cascati anche loro.

Insomma, qualsiasi sia il contenuto del testo di avvertimento, è una bufala. È sempre stata una bufala. Sarà sempre una bufala. Non esiste modo di infettare un computer leggendo un e-mail di solo testo.

Anche se il titolo dell'e-mail è diverso da "Join the Crew", "VIRUS ALERT", "Deeyenda", "Penpal Greetings" o "UNDELIVERABLE MESSAGE", e anche se dovesse essere "Beccati-questo-virus-orribile-che-ti-mangia-il mallureddu", non cambia una virgola. Ci sono poche cose categoriche su Internet, ma questa è una: l'e-mail di puro testo non può contenere virus.

Le cose importanti da tenere presente sono queste:

Vorrei sottolineare che tutto questo non è teoria. È un fatto già discusso in Rete fino alla nausea. Ciononostante, c'è sempre qualcuno che abbocca a scherzi come "Join the Crew". Se ci siete cascati, non prendetevela; ci cascano tutti i nuovi arrivati in Rete.

Se avete ricevuto il messaggio prima di leggere questo testo e l'avete subito mandato a tutti i vostri conoscenti, c'è poco che potete fare. Ci siete cascati: niente di male, l'importante è non cascarci più.

Se volete rimediare al vostro errore, mandate un messaggio a chi vi ha mandato l'avvertimento, citandomi come fonte se lo ritenete opportuno. Oppure non fate niente: è già un aiuto per debellare questa bufala.

L'importante è che non distribuiate il falso messaggio d'allarme. In nessun caso: neanche perché "non si sa mai, potrebbe essere vero".

Visioni consigliate

Sia ben chiaro che un tema sfaccettato e importante come la difesa della propria privacy e la sicurezza informatica non si può coprire con un capitoletto come questo. Ci vuole ben altro: qui posso soltanto avvisarvi che il problema esiste ed è serio.

Se volete saperne di più, provate questi tre titoli. Sono tutti di Apogeo, ma non li ho scelti per questo. Li ho selezionati perché sono scritti bene e con competenza, rispecchiano la (desolante) realtà italiana, compresi gli aspetti giuridici e alcune storie di ordinaria persecuzione, e offrono informazioni difficilmente reperibili altrove.

Alla fine della lettura di questi veri e propri manuali di autodifesa per il terzo millennio potreste sentirvi un po' depressi: vedrete il mondo e il governo del vostro paese con occhi meno velati ma un po' più sconsolati. Per tirarvi su, provate allora un buon film: I Signori della truffa (Sneakers), con Robert Redford e Ben Kingsley e la partecipazione straordinaria di un mitico supercomputer Cray (è la panchetta circolare su cui si siedono Redford e Kingsley in una scena di dialogo).