Piccolo dodecalogo di sicurezza online

© 2003-2006 by Paolo Attivissimo. Some rights reserved (alcuni diritti riservati).

Prima versione: 25/8/2003. Ultimo aggiornamento: 10/11/2006.

Norme di distribuzione e copyright

Questo documento può essere duplicato e distribuito liberamente purché in forma gratuita e lasciando intatta l'indicazione dell'autore (Paolo Attivissimo) e di dove reperire le versioni più aggiornate (www.attivissimo.net).

Mettiamo in chiaro un paio di cose...

Non illudetevi che queste semplici regole vi rendano assolutamente invulnerabili: tanto per cominciare, coprono principalmente la navigazione in Internet, che oggigiorno è la fonte principale di attacchi informatici, ma non coprono la sicurezza fisica del computer.

Inoltre la sicurezza assoluta è una chimera. Un aggressore deciso ed esperto, che prenda di mira specificamente voi, è in grado di aggirare queste precauzioni basilari e probabilmente è in grado di aggirare qualsiasi precauzione, ricorrendo anche a tecniche non strettamente informatiche (corruzione, pedinamento, infiltrazione nell'organizzazione, furto materiale del computer, eccetera).

Ma la realtà è che il pericolo più frequente e probabile per l'utente medio è costituito da attacchi non mirati, in cui l'aggressore spara nel mucchio, sperando di trovare vittime facili, e chi spara è uno dei tantissimi aspiranti vandali che appestano la Rete. Questo comporta due cose:

Per capirci, queste regole sono sufficienti a farvi evitare tutti i più recenti attacchi informatici che hanno fatto notizia ultimamente e a tenervi al riparo anche dalla stragrande maggioranza degli attacchi futuri.

La brevità di questo documento, concepito come "miniposter" da appendere al muro come promemoria, mi impedisce di spiegare a fondo molti aspetti della sicurezza. Qui c'è spazio soltanto per le regole e qualche parola di spiegazione: i dettagli li trovate nel mio libro intitolato L'Acchiappavirus.

Queste regole non hanno la pretesa di essere le Tavole della Legge: sono semplicemente consigli basati sulla mia esperienza e sui suggerimenti raccolti ascoltando chi ne sa più di me, temperati dall'esigenza di renderli pratici e comprensibili anche all'utente non esperto.

Queste regole non hanno durata eterna. Sono valide al momento in cui le scrivo (la data è indicata all'inizio della pagina). Purtroppo, con l'evolversi (e talvolta devolversi) della tecnologia, rimedi un tempo sicuri diventano inutili e affiorano altri nuovi rischi.

Queste regole si applicano a TUTTE le connessioni Internet. Non importa se siete connessi tramite cellulare, su linea telefonica normale, su ADSL oppure con il cavo a fibre ottiche: si tratta di regole generali valide in ogni caso.

Le regole in breve (da stampare e appendere al muro)

Dodecalogo di sicurezza informatica

  1. Installate un buon firewall.
  2. Installate un buon antivirus, tenetelo costantemente aggiornato e usatelo su tutti i file che ricevete.
  3. Fate il backup (almeno) dei vostri dati. Fatelo spesso. Fatelo SEMPRE.
  4. Installate gli aggiornamenti (patch) di Microsoft.
  5. Non installate software superfluo o di dubbia provenienza.
  6. Non usate Internet Explorer e Outlook Express. Sostituiteli con prodotti alternativi più sicuri.
  7. Tenete disattivati ActiveX, Javascript e Visual Basic Scripting. Riattivateli soltanto quando visitate siti di indubbia reputazione.
  8. Non aprite gli allegati non attesi, di qualunque tipo, chiunque ne sia il mittente, e comunque non apriteli subito, anche se l'antivirus li dichiara "puliti".
  9. Non fidatevi dei link a banche o negozi forniti da sconosciuti. Possono essere falsi e portarvi a un sito-truffa. Usate invece i Preferiti o il copia-e-incolla, oppure digitateli a mano, in un browser sicuro.
  10. Rifiutate la posta in formato HTML e non mandatela agli altri. Usate il testo semplice, molto più sicuro.
  11. Non distribuite documenti Word: trasportano virus e contengono vostri dati personali nascosti.
  12. Non fidatevi dei messaggi di allarme diffusi da stampa generalista, amici e colleghi, e non diffondeteli, se non sono documentati.

(tratto da www.attivissimo.net)

Scarica il Dodecalogo in formato Acrobat (PDF)

Scarica il Dodecalogo in formato OpenDocument (ODT)

Le regole in dettaglio

Regola 0: Se potete, non usate Windows: usate sistemi operativi alternativi come Linux, Mac, BSD, QNX e altri ancora.

Lo so, la Regola Zero non c'è nell'elenco sintetico. La aggiungo qui, assegnandole il numero zero, perché è un po' estrema e radicale rispetto alle altre. Ma è la più efficace, anche se impegnativa da mettere in pratica.

Le ragioni di questa regola sono fondamentalmente due:

Lo so che è una proposta radicale e apparentemente insensata, ma il fatto è che usare Linux (che ormai offre praticamente tutte le stesse potenzialità e applicazioni di Windows, a patto di studiare un po') o Mac (che le offre da un pezzo con meno studio ma a caro prezzo) elimina in un sol colpo tutti i vostri problemi di sicurezza. Nessun virus, worm o allegato infetto può farvi nulla se la vostra macchina Linux o Mac è correttamente configurata e usate il buon senso. La cosa interessante è che i sistemi operativi alternativi vengono automaticamante configurati correttamente per la sicurezza. Windows no.

Se vi interessa saperne di più su Linux, potreste cominciare dalla guida introduttiva che ho scritto, intitolata Da Windows a Linux, che potete scaricare gratuitamente dal mio sito. Non è aggiornatissima, ma i principi di base sono ancora validi.

Se ritenete che sia davvero impossibile abbandonare Windows, allora leggete le regole successive: vi permetteranno di rendere Windows meno insicuro.

Regola 1: Installate un buon firewall.

Un firewall è l'equivalente digitale di un buttafuori. Serve a tenere fuori gli indesiderati e a far passare soltanto i dati che autorizzate a circolare. E là fuori, su Internet, ci sono tanti individui indesiderati e indesiderabili.

Windows XP è dotato di un firewall, ma è normalmente disattivato (verrà attivato automaticamente nelle prossime versioni). Il che è profondamente stupido, come mettere una porta blindata in casa e non chiuderla a chiave. Navigare in Internet con Windows senza firewall significa cercarsi guai.

Non perdete tempo ad attivare il firewall integrato in Windows: per ammissione della stessa Microsoft, è un colabrodo (support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203) e comunque non blocca il traffico uscente dal vostro computer, per cui un virus che vi infetta può lanciare attacchi dal vostro PC verso altri utenti senza che il firewall Microsoft lo fermi in alcun modo.

Procuratevi un firewall separato, come per esempio Zone Alarm (www.zonelabs.com, disponibile anche in una versione gratuita un po' nascosta nel sito del produttore); ma l'ideale, se potete permettervelo, è un firewall hardware: un aggeggio (che può anche essere un vecchio computer con su Linux) dedicato all'unico scopo di filtrare il traffico da e verso Internet. Soprattutto se avete una connessione ADSL, è altamente consigliabile sostituire al normale modem ADSL un router ADSL, che contiene una sorta di firewall hardware.

Gli esperti storceranno il naso, ma usare Zone Alarm è sempre meglio che esporre a Internet un computer indifeso. E' come un casco per la moto: non vi salverà la vita se vi centra un carrarmato, ma vi proteggerà dagli incidenti più comuni.

Zone Alarm sostituisce più che egregiamente il firewall di Windows, e in più vi permette di decidere quali programmi sono autorizzati a trasmettere dati dal vostro computer verso Internet e ad accedere alla Rete. Questo vi consente, per esempio, di non autorizzare Internet Explorer (programma estremamente vulnerabile) a uscire su Internet, ma di autorizzare invece un programma alternativo (di cui vi parlerò tra poco).

Zone Alarm è soltanto uno dei tanti firewall gratuiti e a pagamento disponibili in Rete. Ne trovate un elenco nel mio libro L'acchiappavirus.

Ricordate comunque che il firewall da solo non basta: deve far parte di un insieme di contromisure difensive. Cosa ancora più importante, nei firewall che permettono di scegliere quali programmi autorizzare a comunicare via Internet, il criterio di base è "autorizzare soltanto l'indispensabile; nel dubbio, non autorizzare". In altre parole, se non siete veramente sicuri di cosa fa un certo programma che chiede l'autorizzazione, non autorizzatelo; autorizzatelo soltanto se l'uso di Internet è impossibile senza quest'autorizzazione. Tenete sempre presente che i vandali della Rete non aspettano altro che un vostro passo falso.

Regola 2: Installate un buon antivirus, tenetelo costantemente aggiornato e usatelo su tutti i file che ricevete.

Un esempio di buon antivirus, oltretutto gratuito, è AVG Free (free.grisoft.com). E' quello che uso io sulle mie macchine Windows, e funziona. In alternativa, fra gli antivirus gratuiti ci sono anche Antivir Personal Edition (www.free-av.com) e Nod32 (www.nod32.it), giusto per citarne due. Trovate una lista più completa nel mio libro L'acchiappavirus.

E per l'amor del cielo, ricordatevi di tenere aggiornato il vostro antivirus. Escono virus nuovi letteralmente tutti i giorni, e l'antivirus li può riconoscere soltanto se lo aggiornate. Avere un antivirus non aggiornato è intelligente quanto riciclare i preservativi usati. Dovete aggiornarlo almeno una volta la settimana e preferibilmente una volta al giorno. E' un obbligo, non un consiglio, altrimenti l'antivirus non serve assolutamente a nulla.

Non commettete l'errore di pensare "a me l'antivirus non serve, tanto non apro gli allegati". Molti virus sono in grado di colpire le macchine Windows anche senza che apriate un allegato (un esempio per tutti è il famigerato MSBlaster). Molte versioni dei programmi Microsoft meno recenti tuttora in circolazione, inoltre, aprono automaticamente gli allegati. Alcuni virus, se colpiscono computer con Internet Explorer e/o Outlook Express non recenti, riescono a farsi eseguire semplicemente visualizzando l'anteprima del messaggio al quale sono allegati.

L'antivirus non va usato soltanto sugli allegati che ricevete via Internet, ma su tutti i file che arrivano al vostro computer da qualsiasi fonte: quindi anche sulla musica che scaricate, sui programmi che prelevate da Internet o dai CD allegati alle riviste, sui video, insomma su tutto, compresi i file che ricevete da altri utenti della vostra rete locale. Un virus può annidarsi anche in un dischetto o in un CD: anzi, prima del boom di Internet questo era il metodo di diffusione principale.

Sotto Windows, inoltre, è molto facile nascondere la vera natura di un file, per esempio spacciando per un innocuo documento (.doc) ciò che in realtà è un virus eseguibile (.com, .pif, .exe), anche perché Windows, nella sua installazione standard, non visualizza le estensioni dei nomi dei file, rendendo più difficile all'utente riconoscerne il tipo.

Anche se l'antivirus vi dice che un file che avete ricevuto nella posta è "pulito", non fidatevi. Passa un certo tempo (qualche ora o più) fra quando inizia la circolazione di un nuovo virus e il momento in cui viene reso disponibile l'aggiornamento dell'antivirus che lo riconosce. Verificate sempre che il mittente voleva davvero mandarvelo.

Almeno una volta la settimana, eseguite una scansione completa del vostro computer subito dopo aver aggiornato l'antivirus.

Ricordate che l'antivirus non protegge contro i "dialer" (i programmi presenti in tante pagine Web che promettono di farvi scaricare suonerie, musica o pornografia gratis se solo cliccate su "Sì", ma che poi vi addebitano cifre dolorosissime in bolletta). Trovate un approfondimento qui.

Regola 3: Fate il backup (almeno) dei vostri dati. Fatelo spesso. Fatelo SEMPRE.

E' facile perdere i propri dati. Il disco rigido che li contiene si può scassare, una cliccata distratta li può cancellare, un virus può devastarli, un crash di Windows può renderli irrecuperabili, uno sbalzo di tensione può fulminarvi il computer, un ladro può rubarvi il PC portatile, un'installazione infelice di un programma o di un aggiornamento di Windows può mandarlo in tilt. Eccetera.

Fate dunque il backup (copia di sicurezza) almeno dei vostri dati. Copiateli su un CD (che è immune ai campi magnetici, a differenza del disco rigido), copiateli su un altro disco rigido situato altrove (in un altro computer, per esempio), copiateli su un portachiavi USB, insomma fate quello che volete, ma fate il backup.

Meglio ancora, se volete evitare la sofferenza di una reinstallazione e riconfigurazione da capo di Windows e di tutti i programmi, fate anche una copia di backup del sistema operativo e dei programmi installati, usando programmi come Norton Ghost (a pagamento) o Partimage (gratuito).

Fatelo spesso. L'esatto significato di "spesso" varia da persona a persona e da situazione a situazione. Il criterio fondamentale è questo: quante ore (o giorni) di lavoro al computer sareste disposti a rifare? La cadenza dei backup deve essere più ravvicinata di quel periodo di perdita sopportabile. Inoltre il backup va fatto prima di ogni modifica al computer: in altre parole, prima di installare o rimuovere programmi, prima di installare aggiornamenti del sistema operativo e prima di installare o rimuovere dispositivi (stampanti, schede, memoria, eccetera) nel computer.

Fatelo SEMPRE. E' facile adagiarsi e cominciare a pensare "tanto oggi cosa vuoi che succeda" e smettere di fare il backup regolarmente. Ed è proprio allora che la sfiga (che notoriamente ci vede benissimo) vi colpirà. Io ne so qualcosa; i backup quotidiani di tutti i miei dati mi hanno salvato in tante occasioni da disastri sia a livello professionale (perdita di lavoro) sia a livello personale (diari, dati, foto, appunti, filmati che altrimenti avrei perso per sempre).

E collaudatelo! Può capitare che ci sia un errore di scrittura o di procedura per cui il backup sembra essere stato creato regolarmente ma in realtà è inservibile. Provate ogni tanto a ripristinare qualche file di prova.

Dal punto di vista della sicurezza informatica, il backup è l'estrema linea di difesa. Il suo scopo è intervenire quando ogni altra precauzione ha fallito e l'aggressore ha compromesso il vostro computer. Se avete un backup, potete ripristinare la situazione a com'era prima dell'attacco. Se non l'avete, siete in braghe di tela.

Regola 4: Installate gli aggiornamenti (patch) di Microsoft.

Come qualsiasi software, anche il software Microsoft ha numerose vulnerabilità, che vengono scoperte e corrette man mano dalla comunità degli informatici e da Microsoft stessa. Le correzioni vengono distribuite esclusivamente da Microsoft sotto forma di programmi scaricabili gratuitamente da Internet. Non vengono mai distribuite come allegati a e-mail.

In Windows è integrata una funzione, denominata Windows Update, che provvede ad automatizzare il procedimento per chiedere a Microsoft se ci sono nuove correzioni e poi scaricarle e installarle.

Molti utenti non permettono questo aggiornamento automatico del loro computer. Temono l'effetto "Grande Fratello" (quello orwelliano), ossia che Microsoft usi queste patch per intrufolarsi nel loro computer e faccia lo spione. A parte il fatto che salvo casi rarissimi a Microsoft non potrebbe fregar di meno di quello che contiene il computer dell'utente medio, chi ha queste paranoie non ha capito che se Microsoft o chi per essa volesse entrargli nel computer, potrebbe sfruttare proprio le vulnerabilità che le patch vogliono correggere. In altre parole, non aggiornare Windows è stupido.

E poi scusate, se non vi fidate di Microsoft, perché diavolo continuate a usare i suoi prodotti?

Un esempio lampante delle conseguenze di questa diffusa incoscienza è la devastazione causata ad agosto 2003 dal virus (o più correttamente worm) MSBlast/Lovsan. La patch che correggeva la falla sfruttata da quest'aggressore era già disponibile un mese prima che iniziasse a circolare il virus; persino il Dipartimento di Difesa statunitense aveva diramato avvisi invitando gli utenti a scaricare la patch. Ma milioni di utenti non l'avevano scaricata e installata, e pertanto si sono infettati. Così imparano. Forse.

Un'altra ragione più fondata per la quale molti utenti non installano gli aggiornamenti Microsoft è che ogni tanto questi aggiornamenti automatici non funzionano o addirittura guastano Windows. Questo purtroppo effettivamente capita, anche se non molto spesso (www.pcworld.com/news/article/0,aid,105144,00.asp). Pertanto è consigliabile fare un backup prima di installare queste patch.

Questi disagi non significano che le patch non vanno installate; semplicemente vanno installate con cautela, e limitandosi alle patch effettivamente necessarie (in base al software che avete installato). La possibilità che la patch faccia danni esiste, ma è di solito molto più modesta della possibilità -- spesso certezza -- di danni se non la installate. Se proprio non ve la sentite di installare ogni singola patch offerta da Microsoft, installate almeno quelle etichettate "critiche", che correggono le vulnerabilità più gravi.

Se tutta questa tiritera di patch e backup vi sembra una scocciatura eccessiva, valutate l'idea di passare a sistemi operativi alternativi, come Linux o MacOS, per i quali le patch sono assai meno frequenti, con costi e fastidi di manutenzione conseguentemente ridotti.

Regola 5. Non installate software superfluo o di dubbia provenienza.

Molti utenti hanno l'abitudine di installare programmi "per prova". Non fatelo. Più cose installate nel vostro computer, più vi esponete al rischio di cambiarne o appesantirne il funzionamento.

Un programma installato "per prova" può decidere arbitrariamente di diventare quello che parte quando fate doppio clic su un file, anche se voi ne usavate un altro e vorreste continuare a farlo. Riportare il computer al funzionamento originale è un'impresa.

Alcuni programmi, inoltre, si installano in modo da partire automaticamente a ogni avvio, rallentando enormemente i tempi di avvio del computer e occupandone inutilmente la memoria. Questo a sua volta rallenta il funzionamento generale del PC.

Per quanto riguarda il software pirata, viene naturalmente distribuito senza alcuna garanzia di integrità. Nel caso migliore, può mancarne un pezzo, per cui il software non funziona o fa danni ai vostri dati. Nel caso peggiore, il software piratato può contenere virus o altri programmi-spia (i cosiddetti trojan horse o "cavalli di Troia") che vengono installati a vostra insaputa e permettono a un aggressore di avere pieno accesso al vostro computer. E' una situazione assai più frequente di quel che potreste pensare.

Va da sé, inoltre, che il software pirata non prevede assistenza tecnica. Per cui se non funziona o non sapete come ottenere un certo risultato, vi dovete arrangiare.

Soprattutto nel caso di Windows, le versioni piratate di solito non consentono di scaricare i frequenti e indispensabili aggiornamenti di sicurezza (patch). Senza queste patch, il vostro Windows è un colabrodo.

A parte queste considerazioni pratiche, piratare il software è illegale e le pene sono pesanti. Esiste moltissimo software legalmente copiabile e distribuibile (c'è addirittura Linux, un sistema operativo completo che sostituisce Windows), per cui non avete alcuna vera scusa che giustifichi la pirateria software.

Per dubbia provenienza intendo anche siti che promettono di offrire suonerie, musica o pornografica gratis scaricando un "programma gratuito": il programma è sì gratuito, ma la connessione che il programma stesso crea no: usa un salatissimo numero 899. E' una truffa, e questi programmi sono tristemente noti come dialer. Trovate un approfondimento qui.

Purtroppo anche alcuni programmi dall'aria "regolare" contengono il cosiddetto spyware, o "software spia". Sono in genere programmi per lo scambio di musica (come alcune versioni di Kazaa) o per inviare messaggi istantanei, che vengono offerti gratuitamente ma hanno un "prezzo" occulto: raccolgono segretamente dati sulle nostre abitudini di navigazione o altri nostri dati personali e li trasmettono a chissà chi. Prima di installare qualsiasi programma, quindi, occorre informarsi sulla sua natura. Chiedete ai vostri amici o a Google se ci sono informazioni sulla presenza di spyware nel programma che vi interessa.

Se scoprite che un programma che avete installato contiene spyware oppure volete controllare la situazione del vostro computer, potete usare programmi gratuiti come Ad-aware o Spybot.

Regola 6: Non usate Internet Explorer e Outlook/Outlook Express. Sostituiteli con prodotti alternativi più sicuri.

Internet Explorer è estremamente vulnerabile, e le sue vulnerabilità sono quelle preferite dagli aggressori informatici, perché sono facili da sfruttare e possono fare un elevatissimo numero di vittime.

Se usate Internet Explorer per visitare le pagine Web, vi esponete al rischio di imbattervi in pagine Web che per il solo fatto di essere visualizzate possono infettarvi il computer. Questo fatto viene riconosciuto da Microsoft in quasi tutti i suoi advisory (comunicati in cui annuncia l'esistenza di una falla e la procedura da adottare per correggerla).

Anche Outlook/Outlook Express è un rischio sicurezza, sia perché ha delle vulnerabilità tutte sue, sia perché usa Internet Explorer per la visualizzazione dei messaggi: in pratica, quando riceve un e-mail, lo passa (salvo vostra impostazione differente) a Internet Explorer per l'interpretazione, come se fosse una pagina Web, con tutti i pericoli che questo comporta. Pertanto, non basta rinunciare a Internet Explorer per la navigazione nel Web; occorre rinunciare anche a Outlook per la posta.

Internet Explorer e Outlook/Outlook Express sono entrambi nella top ten delle maggiori vulnerabilità di Windows pubblicate dal Sans Institute, una delle più rinomate fonti di informazioni sulla sicurezza informatica.

L'estrema vulnerabilità di Internet Explorer e Outlook è verificabile per esempio tramite i test del Qualys Browser Check o quelli del mio piccolo Browser Challenge (www.attivissimo.net/security/bc/pagina01.htm). Internet Explorer, se non correttamente aggiornato, vi espone più di altri browser alle truffe grazie a falle come quella dei "falsi siti", documentata presso www.attivissimo.net/security/fakesites/fakesites.htm.

Al posto di Internet Explorer, usate programmi alternativi come Opera (www.opera.com, anche in italiano) o Mozilla/Firefox (www.mozilla.org, in italiano presso www.mozillaitalia.org), disponibili gratuitamente.

Al posto di Outlook Express, usate alternative come queste:

Il vantaggio dei programmi di posta alternativi è che a differenza di Outlook Express non si appoggiano a Internet Explorer per visualizzare i messaggi (o possono essere impostati in modo da non farlo): li visualizzano come testo semplice, disattivando pertanto qualsiasi contenuto pericoloso. Outlook Express, invece, usa Internet Explorer per visualizzare i messaggi (perlomeno nelle versioni meno recenti), per cui è possibile confezionare un e-mail che attacca l'utente tramite una delle tante falle di Internet Explorer.

Inoltre, siccome i programmi alternativi sono meno diffusi dei prodotti Microsoft, le loro eventuali falle sono oggetto di minori attenzioni da parte degli aggressori informatici.

Regola 7: Tenete disattivati ActiveX, Javascript e Visual Basic Scripting. Riattivateli soltanto quando visitate siti di indubbia reputazione.

Questi nomi vi sono forse poco familiari: semplificando, identificano linguaggi di programmazione, nati per scopi non pericolosi, che però gli aggressori informatici sanno manipolare a fini vandalistici. Questi linguaggi consentono di annidare veri e propri microprogrammi all'interno di e-mail e pagine Web. Ovviamente un aggressore può usarli per creare microprogrammi ostili che danneggiano il vostro computer.

Il guaio è che nell'impostazione normale di Windows questi microprogrammi vengono eseguiti automaticamente. Per cui basta visualizzare un e-mail o una pagina Web ostili contenenti questi microprogrammi per infettarsi o essere attaccati, per esempio obbligandovi a visitare un determinato sito o depositando programmi-spia nel vostro PC.

Imparate pertanto a disattivare l'esecuzione automatica di questi linguaggi. La procedura esatta dipende dal software che usate. Per esempio:

Se vi sembra troppo drastico il consiglio di disabilitare Javascript, vi invito a immettere in Google queste tre parole, racchiudendole tra virgolette: javascript vulnerability browser. Poi ne riparliamo. Lo stesso ragionamento, naturalmente, vale per gli altri linguaggi citati.

Grazie alla poca furbizia e alla scarsa competenza tecnica di molti realizzatori di pagine Web, questa disattivazione comporta che alcuni siti non funzionano più. Il rimedio è semplice: riattivate l'esecuzione soltanto sui siti di cui vi fidate e tenetela disattivata quando visitate siti di cui non vi fidate. Meglio ancora, disattivatela e tenetela disattivata, riattivandola solo se assolutamente necessario (ossia se la pagina del sito fidato non funziona se non riattivate l'esecuzione di questi linguaggi).

Regola 8: Non aprite gli allegati non attesi, di qualunque tipo, chiunque ne sia il mittente, e comunque non apriteli subito, anche se l'antivirus li dichiara "puliti".

Ripeto: di qualunque tipo e chiunque ne sia il mittente. Ripeto ancora: chiunque.

Perché insisto tanto sul "chiunque ne sia il mittente"? Perché una tecnica molto in voga fra gli autori di virus consiste nell'inviare alla vittima un e-mail infettante che sembra provenire da una persona o azienda che conosce e di cui si fida.

Per esempio, gli autori dei virus spesso creano e-mail che fingono di provenire da Microsoft e dichiarano di contenere un allegato costituito da una patch di correzione per difendervi dall'ennesimo virus, mentre è in realtà è esso stesso un virus. Microsoft ha addirittura una pagina apposita di smentita, che dice fra l'altro che è facile capire quando un e-mail che apparentemente ha come mittente Microsoft è in realtà fasullo: "I bollettini autentici non contengono mai un collegamento a una patch, ma rimandano alla versione completa del bollettino pubblicata sul sito Web di Microsoft, in cui è disponibile il collegamento alla patch."

Un'altra tecnica molto diffusa fra i realizzatori di virus è attingere alla rubrica degli indirizzi della vittima. Per esempio, un virus può infettare il computer di un vostro conoscente, nella cui rubrica trova il vostro indirizzo. Il virus poi confeziona un messaggio infetto in cui il mittente è appunto il vostro conoscente e il destinatario è ciascuno degli indirizzi presenti nella rubrica, e quindi arriva anche a voi. In questo modo, il messaggio contenente il virus vi arriva da una fonte apparentemente affidabile, e questo tende a farvi superare il naturale dubbio che avreste verso un allegato proveniente da uno sconosciuto; così aprite l'allegato, infettandovi e perpetuando l'infezione.

Una ulteriore variante popolarissima di questa tecnica virale è usare come falso mittente un indirizzo a caso tratto dalla rubrica della vittima. Per esempio, l'utente tizio@tin.it viene infettato: la sua rubrica contiene (fra i tanti) gli indirizzi di caio@libero.it e sempronio@yahoo.com. Il virus confeziona un e-mail contenente come allegato una copia di se stesso, indicando come mittente non il vero mittente, come nel caso precedente, ma un mittente falso pescato dalla rubrica: in questo esempio, si spaccia per un allegato proveniente non da tizio, ma da caio, e diretto a sempronio.

Questo crea una confusione pazzesca che facilita la diffusione del virus: mentre nella tecnica precedente è facile risalire all'origine dell'infezione e avvisare l'untore, perché il mittente indicato nel messaggio virale è autentico, in questa tecnica il mittente infetto è irrintracciabile. Sempronio riceve un e-mail infetto che sembra provenire da caio, ma in realtà proviene da tizio. Di conseguenza sempronio pensa che sia caio l'infetto, ma in realtà l'infetto è tizio, che continua a restare infetto dato che nessuno lo avvisa del problema. In compenso, tutti avvisano erroneamente caio che è infetto, generando un ulteriore traffico di messaggi inutili e confusionari.

Regola 9. Non fidatevi dei link a banche o negozi forniti da sconosciuti. Possono essere falsi e portarvi a un sito-truffa. Usate invece i Preferiti o il copia-e-incolla, oppure digitateli a mano, in un browser sicuro.

E' facilissimo creare un e-mail o una pagina Web che contiene un link ingannevole, che sembra rimandare a un sito regolare ma invece vi porta da tutt'altra parte, ossia a un sito visivamente identico a quello autentico ma in realtà gestito da truffatori. Questo sistema viene usato per commettere frodi, per esempio rubando password o codici di carta di credito, o per infettarvi, inducendovi con l'inganno a visitare un sito ostile.

Una delle più diffuse tecniche per creare link ingannevoli è spiegata presso www.attivissimo.net/security/fakesites/fakesites.htm. Guardate questo link:www.microsoft.com&item=q209354@3522684105. Ci credereste che non porta al sito Microsoft, ma al sito di Playboy?

Un'altra tecnica ancora più insidiosa, specifica per Internet Explorer nelle versioni non aggiornate, è presentata presso www.attivissimo.net/security/bc/test10.htm.

La truffa più frequente funziona in questo modo: ricevete un e-mail, di solito in formato HTML, che sembra provenire dal servizio clienti di qualche banca, provider o società di commercio elettronico (Paypal.com, per esempio), che vi avvisa di un "controllo a campione" o di un "problema di verifica dei dati" e vi chiede di visitare il suo sito usando il link cortesemente fornito nell'e-mail.

Il link è visivamente a posto (inizia con il nome del sito legittimo), ma è in realtà truccato, grazie all'uso dell'HTML o delle tecniche citate sopra, in modo da mascherare il fatto che cliccandovi sopra non si va al sito dell'azienda autentica, ma a un sito falso che usa la medesima grafica e vi chiede di immettere i vostri dati, password compresa. Se siete effettivamente utenti di quel servizio e date i vostri codici di accesso al sito-truffa, lascio a voi immaginare le ovvie e spiacevoli conseguenze del caso.

Purtroppo il problema si pone, sia pure in misura minore, anche con l'e-mail in formato "testo semplice" (ossia non in formato HTML). Se però sapete distinguere la posta HTML dalla posta di testo semplice e siete sicuri che il messaggio che propone il link è in formato "testo semplice", potete fidarvi dei link che non contengono caratteri "strani" (chioccioline e simboli di percentuale, tipici sintomi di un link fraudolento).

Se non sapete distinguere la posta HTML dalla posta in "testo semplice", non dovete mai fidarvi dei link contenuti all'interno dei messaggi: dovete invece adoperare un browser sicuro per andare direttamente al sito citato digitando da capo il testo del link oppure usando il "copia e incolla" sul testo del link. In questo modo si evitano eventuali link mascherati con l'HTML, il browser sicuro elimina il rischio residuo dei link truccati con altre tecniche, e si è sicuri di visitare davvero il sito autentico. Se il sito citato nel link è uno di quelli che visitate spesso, memorizzatelo nei Preferiti e usate la versione memorizzata invece di quella fornita nel link.

Visto che me l'avete chiesto in tanti, ebbene sì, questa regola vale anche per la mia newsletter, che contiene spesso dei link. Dato che sappiamo che è facilissimo falsificare il mittente di un messaggio, chi vi garantisce che la newsletter che avete ricevuto è davvero opera mia? Cliccate sui suoi link soltanto se siete capaci di verificare che il messaggio è in formato "testo semplice" (la mia newsletter lo è) e se usate un browser sicuro (uno di quelli consigliati dal Dodecalogo).

Regola 10: Rifiutate la posta in formato HTML e non mandatela agli altri. Usate il testo semplice, molto più sicuro.

Questa regola è concepita non soltanto per la vostra difesa, ma anche per la sicurezza altrui, per tenere Internet più pulita. La posta in formato HTML (quella che consente grassetti, corsivi e altri effetti speciali) può veicolare contenuti pericolosi (virus, worm, truffe eccetera) che possono essere eseguiti automaticamente, senza che sia necessario aprire allegati. La posta HTML è una delle tecniche preferite dagli autori di virus. La posta HTML è male. La posta HTML è inoltre più "pesante" (occupa più spazio e richiede più tempo per la ricezione e la trasmissione). Mandarla e riceverla è quindi sia un rischio sicurezza, sia un aggravio inutile per la Rete.

L'e-mail di testo semplice è invece assolutamente sicura.

Rinunciare a qualche effetto tipografico è un sacrificio modesto compensato da un enorme aumento della sicurezza. La vostra posta assumerà un aspetto più spartano, ma ne vale la pena. Comunque anche nell'e-mail di testo semplice è possibile "simulare" il grassetto e il corsivo usando espedienti: per esempio, si può **evidenziare** una parola oppure __sottolinearla__. Si può anche URLARE. MI SONO SPIEGATO, VERO?

Praticamente tutti i programmi di posta possono essere impostati in modo che inviino l'e-mail come testo semplice. Fatelo. Le istruzioni sono nel relativo manuale.

Regola 11: Non distribuite documenti Word: trasportano virus e contengono vostri dati personali nascosti.

Se dovete distribuire documenti in forma elettronica, usate invece il testo semplice (.txt), l'HTML, il PostScript o il formato Acrobat (PDF). Rispetto a Word, questi formati hanno il vantaggio di non includere automaticamente i vostri dati personali, vale a dire (per ammissione della stessa Microsoft) "il vostro nome, le vostre iniziali, il nome della vostra società o organizzazione, il nome del vostro computer, il nome del server di rete o del disco rigido sul quale avete salvato il documento, altre proprietà del file e informazioni riepilogative, porzioni non visibili di oggetti OLE embedded, i nomi degli autori precedenti, le revisioni e le versioni del documento, informazioni sul modello, testo nascosto e commenti". Questo può condurre a figuracce spettacolari, come ben sa il primo ministro inglese Tony Blair (www.apogeonline.com/webzine/2003/07/30/01/200307300101).

Trovate maggiori ragguagli sull'entità del problema presso www.attivissimo.net/security/word_documents/word_documents.htm. Uno strumento gratuito (se per uso personale) per analizzare i contenuti nascosti dei file Word è Docscrubber, disponibile presso www.docscrubber.com.

I documenti Word sono da considerare pericolosi anche perché possono veicolare i cosiddetti macrovirus, ossia piccoli programmi annidati all'interno del documento Word che vengono eseguite automaticamente appena si apre il documento. Le recenti versioni di Word non eseguono più automaticamente le macro, ma è possibile indurre Word a eseguirle lo stesso (www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp) a meno che l'utente installi una patch di correzione.

Un altro motivo per cui conviene usare un formato diverso da Word per distribuire documenti è che se usate Word potete comunicare soltanto con gli utenti Windows (e, in misura limitata, con quelli Mac). Gli utenti di altri sistemi operativi sono praticamente tagliati fuori o costretti a usare software apposito a pagamento. Se volete essere sicuri che il vostro interlocutore possa leggere il documento elettronico che gli inviate, usate i formati che vi consiglio. Per il formato Acrobat, il programma di lettura è disponibile gratuitamente per quasi tutti i sistemi operativi recenti.

Quasi tutti i programmi sono in grado di generare documenti in formati HTML o Postscript. Anche generare documenti in formato Acrobat (PDF) è facilissimo: basta acquistare un programma apposito:

Trovate altri programmi gratuiti o a pagamento per generare e leggere file PDF presso siti come http://www.pdfzone.com. In alternativa, potete usare uno dei tanti servizi di conversione online (reperibili digitando "convert to pdf" in Google) oppure adoperare la suite gratuita OpenOffice.org, le cui versioni dalla 1.1 in poi includono un'opzione che consente appunto di salvare i documenti in formato PDF.

Se vi state chiedendo come mai non consiglio il formato RTF, la ragione è semplice: è un formato troppo poco standard, o più precisamente è implementato in modi troppo dissimili o incompleti dai vari programmi, compresi Microsoft Word e OpenOffice, col risultato che documenti generati da programmi diversi (o da versioni diverse dello stesso programma) sono spesso incompatibili o producono impaginazioni differenti. L'RTF offre insomma poche garanzie di universalità e di completezza.

Regola 12. Non fidatevi dei messaggi di allarme diffusi da stampa generalista, amici e colleghi, e non diffondeteli, se non sono documentati.

La Rete e i giornali non specialistici sono pieni di falsi allarmi riguardanti virus inesistenti o la cui azione è descritta con tragica incompetenza. Gli utenti ingenui diffondono questi allarmi ad amici e colleghi credendo di aiutarli. In realtà avvisi di questo genere non servono a nulla, se non a generare insicurezza e traffico inutile di messaggi.

Fidatevi soltanto delle informazioni pubblicate dai siti antivirus o dagli addetti ai lavori; diffidate degli avvisi pubblicati dai giornalisti non specializzati; nel dubbio, non inoltrate nulla. Non cadete nella trappola del "non so se è vero, ma nel dubbio lo inoltro". Il rischio di fare disinformazione è altissimo. Controllate i siti antivirus e antibufala e anche il mio Servizio Antibufala prima di decidere che fare. Se scoprite che qualcuno vi ha mandato un avviso fasullo, scrivetegli informandolo del suo errore e indicando la fonte della smentita, in modo da stroncare la diffusione del falso allarme.

Il modo migliore per distinguere un vero allarme da uno falso è vedere se include un rimando a un sito di un produttore di antivirus. Se il rimando è autentico e descrive quanto indicato nell'allarme, allora l'allarme è autentico. Altrimenti, anche se ve lo manda il vostro migliore amico o lo dice la tivù o il giornale, è meglio diffidare e non diffondere ulteriormente.

Come faccio a sapere se queste regole funzionano?

Sarà anche bello bardarsi con tutte queste tecniche di difesa, ma come si fa poi a verificare che funzionano davvero? Se non potete metterle alla prova, non vi rendete conto del fatto che sono così preziose e vi stanno silenziosamente difendendo.

Per verificare l'integrità del vostro firewall, potete ricorrere ai test non distruttivi offerti da siti come Grc.com (in particolare le pagine ShieldsUp! e LeakTest) oppure HackerCheck di Trend Micro, o anche ai miei piccoli test nel Browser Challenge. I dettagli di come procedere saranno pubblicati in un libro e sul mio sito se questo Dodecalogo striminzito riscuote successo.

Per verificare l'efficacia del vostro antivirus, potete usare i "falsi virus" messi a disposizione dalle principali società antivirali. Si tratta di file innocui che però contengono parti di codice presenti nei più diffusi virus ma rese inoffensive. Scaricando questi file, o ricevendoli come allegati, il vostro antivirus deve riconoscerli come virus.

Verificare l'efficacia delle patch di Windows è più difficile: il metodo da usare varia a seconda del problema risolto dalla patch. Spesso Microsoft non spiega esattamente qual è il problema risolto dalla patch e quindi è impossibile creare le specifiche condizioni in cui la patch deve agire. Ci sono vari siti dedicati alla sicurezza che offrono test per questa o quella patch (per esempio GRC.com offre un test per la patch DCOM), ma le patch sono troppo numerose perché io riesca ad elencare qui ogni singolo test disponibile. Non vi resta che sperare che la patch funzioni come dichiarato. Purtroppo non sempre è così.

Grazie a Silver, riccardo, emenotti, stefano, matteoelst, filippo.sim**e, placerenza, paolo.ripam***i, markus, sciechi, rossemarlboro, roberto_***zo, ornico, mac76flash, carlo.santago***no, sverx, Giulio Fornasar, gerrymail, andrew, daniele, morenot, brucopeloso, emmeesse, a_r_q, mos6956, francesco.deb****li, ferrigno, nicola.70, monella2004, dongiobenve e ai tanti altri lettori che hanno reso migliore questo documento snidando i miei errori e i passaggi poco chiari.

Avete trovato utili queste informazioni?

Attivissimo.net è un sito gratuito, e questo documento è liberamente pubblicabile e distribuibile, ma le donazioni sono sempre ben accette, sia tramite PayPal, sia tramite il collaudato sistema della banconota in una busta. Se volete dettagli e istruzioni su come procedere, sono qui.


Valid HTML 4.01!  HTML 4.01 compliant.