• If you are citizen of an European Union member nation, you may not use this service unless you are at least 16 years old.

  • Dokkio Sidebar (from the makers of PBworks) is a Chrome extension that eliminates the need for endless browser tabs. You can search all your online stuff without any extra effort. And Sidebar was #1 on Product Hunt! Check out what people are saying by clicking here.

View
 

La diffusione delle informazioni

Page history last edited by Roberto Saia 12 years, 9 months ago

Secondo alcune statistiche redatte da fonti affidabili, quasi il 90% delle grandi aziende svolge la propria attività anche attraverso Internet o, almeno, possiede un sito Web di riferimento per la clientela: oltre alle numerose realtà private, anche tantissime strutture pubbliche offrono i loro servizi attraverso la grande Rete.

 

Questo scenario, che da un lato procura innegabili vantaggi ai cittadini, dall’altro genera situazioni di pericolo connesse alle possibili azioni criminali che alcuni malintenzionati potrebbero mettere in atto: danni economici, violazioni di privacy o, semplicemente, una perdita della credibilità derivante da azioni di defacement (termine anglosassone traducibile in deturpazione, utilizzato per indicare un’azione svolta nei confronti di un sito Web allo scopo di cambiarne i contenuti), rappresentano solo una ristretta rosa di possibili esempi.

Per queste ragioni è assolutamente necessario che ciascun utente in rete operi attivamente in questa sorta di battaglia in difesa di coloro che da Internet vogliono trarre tutti i benefici possibili e contro quelli che, invece, sfruttano la Rete per perseguire fini più o meno illegali: un’azione del genere è possibile solo attraverso una corretta informazione e preparazione.

L’obiettivo primario è quello di fornire a ciascun utente le nozioni necessarie per implementare autonomamente sul proprio sistema quelle misure minime di sicurezza che gli consentano almeno di fronteggiare gli attacchi più comuni. Così come in passato ha imparato ad adoperare con attenzione e criterio assegni bancari e carte di credito, l’utente deve oggi prendere confidenza con gli strumenti che possono difenderlo dalle aggressioni di tipo informatico.

Molto spesso, in relazione a queste tematiche, alcuni addetti ai lavori operano in modo poco trasparente nei confronti degli utenti finali, nascondendo preziosi consigli dietro a complesse terminologie ed ergendosi su di una sorta di piedistallo.

Questo tipo di atteggiamento non aiuta certo a risolvere questo genere di problemi. Quindi, se dalla parte di chi ascolta è indispensabile una grande umiltà e attenzione, dall’altra occorre utilizzare un linguaggio chiaro che non ecceda nell’uso di termini e acronimi di scarsa comprensibilità.

A questo punto, soffermiamoci un attimo per delineare in modo sommario quali sono le specifiche che un sistema informatico deve possedere per poter essere considerato sicuro:

 

  • il primo requisito è quello che viene definito confidenzialità, cioè la garanzia che le informazioni siano protette dalle letture non autorizzate accidentali o dolose;

     

  • il secondo, definito integrità e autenticità, si raggiunge quando le informazioni sono protette da ogni possibile alterazione provocata da accessi non autorizzati, accidentali o dolosi;

     

  • l’ultimo requisito prende il nome di disponibilità ed è assicurato quando le risorse dell’elaboratore risultano sempre disponibili agli utenti legittimi (con l’unica eccezione rappresentata dai momenti di blocco causati da un guasti tecnici).

 

Appare subito evidente la difficoltà di soddisfare integralmente specifiche di questo genere, sia a causa del fattore umano sia per le caratteristiche di alcuni elementi in gioco, che già per propria natura sono afflitti da alcune fragilità intrinseche: uno degli esempi più calzanti è rappresentato dalla famiglia di protocolli denominata TCP/IP (Transmit Control Protocol/Internet Protocol), universalmente utilizzata nell’ambito delle comunicazioni sulla rete Internet ma afflitta da diverse debolezze architetturali a causa della sua obsolescenza. I problemi nei quali ci si imbatte nel tentativo di soddisfare i requisiti appena citati sono:

 

Confidenzialità

Difficile da soddisfare, dato che molte comunicazioni avvengono in chiaro (cioè, senza alcuna codificazione che le renda illeggibili agli intrusi). Quindi, tutto quello che transita per la Rete può essere facilmente intercettato, mediante apposite tecniche (sniffing), da chiunque. La situazione è comunque destinata a modificarsi in meglio, in quanto, essendo oggi palesi i rischi derivanti dalla comunicazioni in chiaro, sono sempre di più servizi che utilizzano modalità di comunicazione cifrata.

 

Integrità e autenticità

Non si possono ottenere con gli strumenti standard, dato che essi non sono in grado di garantire che i dati pervenuti non siano stati modificati durante il percorso e, soprattutto, non possono fornire la certezza che l’indirizzo del mittente da noi rilevato corrisponda a quello reale. Un aggressore, attraverso una particolare tecnica (spoofing), può intervenire su un pacchetto di dati in transito, alterando alcune delle sue informazioni originali come, appunto, l’indirizzo di origine

 

Disponibilità

Risulta evidente che neppure l’ultimo requisito può essere soddisfatto. Infatti, sono molti gli elementi in gioco che possono mettere completamente fuori servizio un sistema: difetti nel software adoperato, presenza di virus, attacchi di tipo denial of service ecc.

 

 

Comments (0)

You don't have permission to comment on this page.