Matteo Moro

Il concetto di “sicurezza informatica” è forse uno dei più nebulosi dell’intero scibile umano. Non esiste una definizione chiara di sicurezza e le aziende spacciatrici di firewall e antivirus sono le prime a confondere le cose, nel tentativo di vendere qualcosa che dà solamente un’apparente impressione di tranquillità.

Siccome “la vita è una tempesta, ma prenderlo nel culo è un lampo“, è bene capire al più presto che la sicurezza non è qualcosa che si compra: per tutto il resto c’è Mastercard.

Stefano Marinelli ha scritto un bell’articolo, con qualche regoletta semplice che aiuta a capire che cos’è la sicurezza informatica. Qualche anno fa avrei pensato che si tratta di cose banali, ma più conosco il mondo del lavoro e più sono convinto che non sia così.

Riporto le dieci regole, ma vi consiglio di dare una letta all’articolo intero.

1. spegniamo tutti i servizi inutili. Ci serve un server ftp sul nostro portatile? No? Allora via, disattiviamolo. Risparmieremo anche preziosa memoria ram
2. utilizziamo la crittografia per tutto quello che lo consente. Non conosciamo la strada che i nostri dati faranno e, con essi, le nostre password. Mettiamo le nostre lettere nelle buste e poi mandiamo i nostri dati bancari in chiaro?
3. non usiamo sempre la solita password e, comunque, usiamone una intelligente. Il nome del cane, del figlio, della mamma, la data di nascita, ecc. sono tutte cose banali e facilmente riscontrabili.
4. manteniamo aggiornato il sistema e installiamo tutti gli update proposti. Ci sono bug di sicurezza ovunque ma, una volta tracciati, vengono corretti rapidamente.
5. usiamo sistemi operativi sicuri. E qui non commento
6. configuriamo un firewall. Senza esagerare, comunque. Molti miei colleghi sono terrorizzati e blindano tutto, chiudono quasi tutte le porte sia in entrata che in uscita poi magari installano un’arcaica e bacatissima versione di sendmail su Unix o IIS su Windows NT e vivono tranquilli, “tanto c’e’ il firewall”, senza capire che a chi attacca basta una porta. Quella con dietro il programma nella giusta versione. Nel frattempo pero’ la rete e’ quasi inutilizzabile.
7. proteggiamo per bene le nostre reti WiFi. Usiamo il WPA, basta anche il PSK (per ora), con password adeguate
8. impariamo a distinguere tra “gli specialisti della sicurezza” che cercano di vendere dei prodotti da quelli che studiano la situazione e danno delle indicazioni. Conosco aziende che avevano messo apparati da migliaia di euro, atti a filtrare la rete cablata e poi avevano degli access point collegati a monte, prima degli apparati stessi. Si sentivano sicuri: “il XYZ ASD che ci hanno venduto e’ inviolabile!”. Lui si, quelli che lo hanno montato un po’ meno.
9. Peter Norton non e’ mai stato un genio dell’informatica. E’ invece da sempre un ottimo industriale. Ricordiamocelo quando ci promette il computer blindato. E ricordiamoci anche che, tra un anno, ci dira’ che il nuovo prodotto e’ ancora piu’ inviolabile di quello dell’anno precedente, ormai superato.
10. nessuno, e dico nessuno puo’ avere un quadro completo di tutto. Sia nell’informatica generale, tantomeno nella sicurezza. Fidiamoci di quello che ci dicono gli esperti, quelli veri. No, non il figlio quindicenne del vicino di casa che ci sa fare perche’ “gioca tutto il giorno con i computer” oppure il giovane blogger che si autoproclama paladino della sicurezza e della conoscenza informatica e non ha neanche una ADSL per fare dei test. Parlo di esperti veri, quelli che si trovano quotidianamente ad affrontare problematiche serie.