La sicurezza
delle informazioni
nell’era
del Web 2.0

I contributi della wiki IBM
sul tema della sicurezza
informatica e d...
INTRODUZIONE
     “La sicurezza delle informazioni nell’era del Web 2.0” è il tema del progetto promosso da IBM
     per d...
INDICE

     La sicurezza informatica
         Il concetto di sicurezza informatica                            4
         ...
IL CONCETTO DI SICUREZZA                                Gli elementi da considerare in un progetto
     INFORMATICA       ...
ll ruolo dell’amministratore                          In merito alle modalità di verifica, bisogna
     Il ruolo di ammini...
INFORMATION TECHNOLOGY                                 Mentre un attore del panorama IT che si attiene
     E SICUREZZA   ...
L’ANALISI DEI RISCHI                                non rendendosi conto che perfino una macchina
                        ...
CREARE E GESTIRE UN SISTEMA                              5. non è possibile trascriverla.
     PER LE DOMANDE DI SICUREZZA...
informazioni dentro un post in un blog                  social network ci sarà scritto che siamo nati
     o nel proprio p...
questo metodo. Scavate nella vostra memoria          nella domanda, quando usiamo il termine “cosa”).
      e andate a rip...
Commento: Anche se in questo caso il ricordo           pubblicamente. Nel caso dobbiate utilizzare
      è condiviso, non ...
Vantaggi: Senza la conoscenza del codice è              Contrariamente a quanto indicato nel sito
      impossibile per un...
COSA SI INTENDE PER WEB 2.0                               e che migliora con l’utilizzo delle persone,
                   ...
La tendenza attuale è quella di indicare come            che lo contraddiceva nel Web 1.0 per diventare
      Web 2.0 l’in...
Concludendo, gli ingredienti del Web 2.0 sono:        professionale esistono i business social network
      informazione,...
più allargata, l’adozione di nuovi approcci               Su Internet si possono trovare diverse
      tecnologici ed infr...
SERVIZI OFFERTI DAL WEB 2.0                            CLOUD COMPUTING PER IL WEB 2.0
      Il web 2.0 è caratterizzato da...
WEB 2.0 PER LA PUBBLICA                                  L’importante è considerare il Web 2.0 come una
      AMMINISTRAZI...
VULNERABILITÀ DEL WEB 2.0                                competenti e i processi adeguati allora possono
                 ...
ma che possono essere resi pubblici attraverso                 ma potenzialmente dannosi, riduzione della
      la pubblic...
WEB 2.0 VERSUS WEB 3.0                                esplosione di nuovi media comunicativi.
                            ...
dell’interazione” sociale e comunicativa tra            che dà rilevanza al significato reale dei termini
      i due grup...
PRIVACY 2.0                                            Facebook in particolare è il primo strumento
                      ...
Privacy 2.0: nuove generazioni, nuove                 ad un colloquio di lavoro perché, anni prima,
      responsabilità  ...
VIRUS INSERITI NELLA STRUTTURA                          per ottenere la nuova password. Il file allegato è
      DEI SITI ...
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
La Sicurezza delle Informazioni nel Web 2.0
Upcoming SlideShare
Loading in...5
×

La Sicurezza delle Informazioni nel Web 2.0

3,589

Published on

La Sicurezza delle Informazioni nel Web 2.0 - Powered by IBM

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
3,589
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

La Sicurezza delle Informazioni nel Web 2.0

  1. 1. La sicurezza delle informazioni nell’era del Web 2.0 I contributi della wiki IBM sul tema della sicurezza informatica e di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi. Documento pubblicato in collaborazione con IBM sotto licenza Creative Commons. Attribuzione Non commerciale Non opere derivate
  2. 2. INTRODUZIONE “La sicurezza delle informazioni nell’era del Web 2.0” è il tema del progetto promosso da IBM per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi. Il progetto è coordinato dal Dott. Roberto Marmo, consulente informatico, professore a contratto di informatica presso la Facoltà di Ingegneria della Università di Pavia e Facoltà Scienze MM.FF.NN. della Università Insubria – Como e studioso del web 2.0. http://www.robertomarmo.net. Questo progetto vorrebbe idealmente proseguire il percorso iniziato con il tema “La sicurezza aziendale ai tempi di Facebook” promosso in occasione dell’evento IBM Security Day 2009. , Accedi alla documentazione finale e scarica il documento in formato pdf oppure accedi alla pagina in cui si descrivono le finalità del progetto. L’obiettivo di questo progetto Il documento che si intende sviluppare in questo ambiente wiki intende rendere noti i nuovi rischi e pericoli derivanti dall’uso del web 2.0 con priorità rivolta all’ambito aziendale e della Pubblica Amministrazione. Il documento è rivolto in particolare a chi non ha sufficiente fiducia verso le potenzialità del web 2.0 a causa dei pericoli derivanti per la sicurezza informatica dei loro sistemi e la riservatezza dei dati. Si vuole pertanto diffondere la consapevolezza e la cultura per un uso responsabile. 02 Introduzione
  3. 3. INDICE La sicurezza informatica Il concetto di sicurezza informatica 4 Information technology e sicurezza 6 Analisi dei rischi 7 Creare e gestire un sistema per le domande di sicurezza 8 Opportunità offerte dal web 2.0 Cosa si intende per web 2.0 13 Servizi offerti dal web 2.0 17 Cloud computing per il web 2.0 17 Web 2.0 per sensibilizzare alla sicurezza informatica 17 Web 2.0 per la Pubblica Amministrazione 18 Vulnerabilità del Web 2.0 19 Web2.0 versus Web3.0 21 Sicurezza nel Web 2.0 Privacy 2.0 23 Virus inseriti nella struttura dei siti 25 Phishing 25 Vulnerabilità di AJAX 25 Vulnerabilità di RSS 25 Vulnerabilità di tipo Cross Site Scripting 26 Vulnerabilità di Link Injection 27 Vulnerabilità di Denial of Service 28 Vulnerabilità di SQL Injection 28 Gli strumenti per realizzare la sicurezza 2.0 Sicurezza proattiva nel Web di seconda generazione 29 Approccio euristico nella sicurezza nel Web semantico 30 Linee guida per realizzare la sicurezza 2.0 31 Progetti Open Source per la sicurezza delle applicazioni web 32 Reti “fiduciose” 33 Valutare la sicurezza 35 Risorse utili per approfondire Autori 36 Bibliografia 38 Sitografia 38 Glossario 39 03 Indice
  4. 4. IL CONCETTO DI SICUREZZA Gli elementi da considerare in un progetto INFORMATICA di sicurezza informatica sono, nell’ordine: 1. beni da proteggere La sicurezza informatica ha come obiettivi: 2. minacce • il controllo del diritto di accesso alle 3. agenti informazioni; 4. vulnerabilità • la protezione delle risorse da danneggiamenti 5. vincoli volontari o involontari; 6. misure di protezione • la protezione delle informazioni mentre esse Gli elementi elencati sono raccolti nel documento sono in transito sulla rete; di Risk Analysis. Questo documento permette • la verifica dell’identità dell’interlocutore, di conoscere qual è il rischio di subire danni in particolare la certezza che sia veramente al proprio sistema informatico e, di conseguenza, chi dice di essere. di preparare una mappa delle possibili contromisure da adottare. Per creare sicurezza bisogna prima studiare: Il Vulnerability Assesment permette di raccogliere • chi può attaccare il sistema, perché lo fa informazioni sul sistema informatico tramite e cosa cerca; la registrazione dei potenziali problemi • quali sono i punti deboli del sistema; di sicurezza individuati. Si decide poi di proseguire • quanto costa la sicurezza rispetto al valore con il Penetration Test per controllare da proteggere e rispetto al valore dei danni la sicurezza del sistema informatico con una causati; serie di attacchi mirati alla ricerca di problemi • con quale cadenza gli apparati/sistemi di sicurezza. di sicurezza vengono aggiornati. La nascita di nuovi problemi per la sicurezza Il ciclo di vita della sicurezza informatica prevede: informatica 1. Prevention: è necessario implementare delle Tutto ciò ha portato all’uso sempre più diffuso misure per prevenire lo sfruttamento delle con una forte crescita delle opportunità, dei vulnerabilità del sistema. vantaggi, della quantità di informazioni. Il rapido 2. Detection: è importante rilevare prontamente sviluppo, però, non ha ancora permesso una il problema; prima si rileva il problema, più esatta e profonda conoscenza da parte di molte semplice è la sua risoluzione. persone dei meccanismi e della gestione della 3. Response: è necessario sviluppare un piano presenza nei social network. Ecco la forte appropriato di intervento in caso di violazione crescita degli svantaggi e di ricadute negative con individuazione delle responsabilità dovute a furti e truffe di vario tipo, oltre alle e le azioni da intraprendere. eventuali fonti di distrazione e perdite di tempo. Occorre tenere ben presente l’importanza del L’uso degli strumenti tradizionali della sicurezza documento di Auditing del sistema: il documento informatica può fronteggiare solo in parte i nuovi analizza la struttura del sistema e individua pericoli e bisogna perfezionare tali strumenti le operazioni atte a verificare lo stato di salute per adattarli a una piattaforma di comunicazione del sistema con varie tipologie di verifica in grado di far interagire persone con esigenze della sicurezza. molto diverse. 04 La sicurezza informatica
  5. 5. ll ruolo dell’amministratore In merito alle modalità di verifica, bisogna Il ruolo di amministratore della sicurezza deve sempre tener presente che i controlli a distanza comprendere l’educare e rendere consapevoli sono vietati. Occorre sempre un accordo di rischi derivanti da uso in ambito lavorativo. con i sindacati e comunque bisogna evitare la raccolta di informazioni troppo intrusive Quali sono le nuove responsabilità e il nuovo nella privacy dei dipendenti. Tipicamente, ruolo del responsabile della sicurezza ICT? viene individuata una categoria di siti adeguati Il responsabile della sicurezza deve certamente per svolgere l’attività aziendale e una categoria ridurre il rischio che in ufficio il social network di siti proibiti perché non adeguati all’attività venga utilizzato in modo indebito. Deve aziendale. innanzitutto creare chiare regole di disciplina Occorre preparare un sistema di deleghe da aggiornare periodicamente, in cui indicare in caso di assenza dell’addetto alla gestione chiaramente quali sono i comportamenti: del social network per fini aziendali. tollerati, da evitare, in grado di generare una verifica. Il documento deve poi essere fatto ampiamente circolare tra i dipendenti. 05 La sicurezza informatica
  6. 6. INFORMATION TECHNOLOGY Mentre un attore del panorama IT che si attiene E SICUREZZA a questi standard può “certificarsi” secondo le linee guida della norma ISO, se utilizza ITIL Spesso si dimentica che la sicurezza di non è obbligato a seguire le norme ISO, un’infrastruttura IT non è data soltanto dai sistemi ma è sicuro che seguendo queste ultime sarà utilizzati per arginare una serie di problematiche comunque in grado di progettare una struttura IT (attacchi esterni o interni, social engineering, con le dovute caratteristiche business continuity, sicurezza dei sistemi operativi o degli delivery, maintenance, security... applicativi...), ma da tutta una serie di fattori che possono essere analizzati con strumenti Per la gestione della sicurezza ci sono quattro validi. Se, ad esempio, abbiamo un sistema standard che appartengono alla famiglia che esegue svariati processi (in modalità utente ISO/IEC 27000: non privilegiato) è possibile creare un software 1) 27001:2005 Information Security Management ad hoc che consenta di creare errori Systems - Requirements (es. “divisione per zero”) che possono portare 2) 27002:2005 Code of Practice for Information il sistema in una situazione “non giusta” tale Security Management da consentire all’utente che esegue il software 3) 27005:2008 Information Security Risk malevolo, di avere privilegi superiori (es. root). Management È molto difficile scoprire/testare tutti i processi 4) 27006:2007 Requirements for Bodies in esecuzione sul proprio sistema, nell’esempio Providing Audit and Certification of precedente si procede sfruttando vulnerabilità Information Security Management Systems del cuore stesso del sistema operativo, ma è Ed in più: ISO/IEC 27799:2008 Health Informatics possibile che il programmatore abbia veramente - Information Security Management in Health sbagliato nella stesura di un determinato Using ISO/IEC 27002 software, che in alcune situazioni particolari (non testate precedentemente al rilascio) Le altre in preparazione (alcune quasi completate portano ad un rischio veramente grave. e rilasciate tra la fine del 2009 e l’inizio del 2010): - 27000 introduzione con i principi, i concetti Esistono molti strumenti che permettono ed un glossario dei termini un’attenta analisi di ciò che è presente nei nostri - 27003 guida all’implementazione della 27001 e 2 sistemi IT. Anche in Italia la diffusione di best - 27004 analisi per un sistema di gestione practice utilizzate (e nate) in paesi anglosassoni, della sicurezza è in continua evoluzione. Tra tutti questi strumenti - 27007 guida per gli auditor di sistemi è doveroso citare “IT Infrastructure Library - ITIL” di gestione della sicurezza verso le specifiche nella sua versione 3. ITIL è un insieme di best della ISO/IEC 27001 practice per la gestione di un sistema IT, - 27032 Cybersecurity (dovrebbe essere descrivendone i processi, le funzioni l’insieme delle linee guida per gli Internet e le strutture che sono di supporto a molte aree Service Provider e gli utenti della rete) di un sistema IT. - 27033 Network security (preventivate sette sezioni) Tra tutti questi processi vengono descritte - 27034 Sicurezza delle informazioni le linee guida di un sistema di gestione per le applicazioni IT della sicurezza delle informazioni, adattato Parecchie linee guida appartenenti ad ITIL per essere applicato in vari ambiti. e alle linee guida ISO/IEC sono sovrapponibili Gli standard internazionali di riferimento di o comunque “molto vicine” fra loro gestione di servizi IT, appartengono alla famiglia e consentono una gestione EFFICACE ISO/IEC 20000, che è suddivisa in varie parti. del proprio sistema IT. 06 La sicurezza informatica
  7. 7. L’ANALISI DEI RISCHI non rendendosi conto che perfino una macchina dedicata al gioco, priva di qualsiasi dato Molte persone hanno l’abitudine di memorizzare personale, può essere fonte di grossi guai per nei loro elaboratori numerose informazioni di una il suo proprietario qualora non adeguatamente certa importanza come, per esempio, dati relativi protetta: un intruso che riesca ad assumerne ai conti bancari, password di carte di credito il controllo potrebbe adoperarla per accedere e bancomat, ecc. a siti Internet dai contenuti illegali (pedopornografia, terrorismo ecc.) o per attaccare Questo modo di agire, pur non costituendo altri sistemi informatici (banche, aziende, di per sé un problema, diviene estremamente agenzie governative) o, ancora, per memorizzare rischioso quando la macchina destinata temporaneamente materiale illegale (come, a contenere questi dati viene connessa a una per esempio, informazioni derivanti da attività rete informatica: da quel momento, infatti, se di spionaggio). non sono state prese le opportune precauzioni, le probabilità che un aggressore esterno possa Gli esempi che si possono fare sono davvero accedere ai nostri dati sono davvero molto alte. tanti ma il risultato è sempre lo stesso: la paternità di queste azioni ricadrà sempre Paure di questo tipo, che fino a qualche tempo sull’ignaro proprietario della macchina addietro potevano forse essere considerate compromessa, che risponderà in prima persona esagerate, sono oggi confermate da reali per ogni reato commesso. riscontri e, qualora qualcuno avesse ancora dei dubbi in merito, questi possono essere Egli, ovviamente, potrà far valere le sue ragioni rapidamente dissipati attraverso la semplice dichiarandosi estraneo ai fatti ma, considerando lettura dei file di log generati da un comune che questo non avverrà in tempi brevi personal firewall (un software di protezione e che nel frattempo si dovranno subire tutte largamente diffuso); la lettura di questi file le conseguenze del caso (perquisizione, arresto, evidenzia chiaramente come un elaboratore interrogatori ecc.), è certamente auspicabile connesso in rete (per esempio, a Internet) non trovarsi mai in una di queste situazioni. sia continuamente insidiato da svariati tentativi di intrusione finalizzati alla rilevazione La prassi seguita dall’aggressore è quasi di eventuali vulnerabilità utili per la conquista sempre la stessa: quando egli decide di effettuare di un accesso illegittimo. operazioni illegali su di un certo obiettivo remoto, adopera una o più macchine delle quali ha I problemi che un’intrusione può causare precedentemente assunto il controllo, macchine sono numerosi: si va dalla violazione della che, come abbiamo visto in precedenza, privacy, attraverso l’accesso a foto e documenti appartengono a utenti del tutto ignari. personali, ai danni di carattere economico, derivanti dal rilevamento del numero della nostra Fortunatamente, la conquista di un sistema carta di credito o dei parametri per accedere informatico non è immediata ma avviene al nostro servizio di home banking, incautamente per gradi e i tempi che la caratterizzano sono memorizzati all’interno dell’elaboratore. strettamente connessi sia al tipo di vulnerabilità da sfruttare sia al grado di preparazione Quelli appena citati sono solo alcuni esempi dell’attaccante. dei rischi cui un utente può andare incontro ma, nonostante la posta in palio sia alta, molte Pertanto, l’analisi dei rischi è elemento persone continuano a ritenere la sicurezza fondamentale per la scelta delle misure informatica un problema esclusivo di coloro di sicurezza appropriate secondo il valore che gestiscono dati di una certa importanza, delle risorse da proteggere e dei potenziali danni. 07 La sicurezza informatica
  8. 8. CREARE E GESTIRE UN SISTEMA 5. non è possibile trascriverla. PER LE DOMANDE DI SICUREZZA Riguardo l’ultimo punto, qualcuno potrebbe Gran parte dei nostri account su Internet, che obiettare che vi è sempre la possibilità di inserire siano e-mail, registrazioni a siti, Paypal, eBay risposte casuali tenendone poi traccia o altro, presenta una vulnerabilità non da poco: con un programma di salvataggio delle la domanda di sicurezza. Chiedere il nome password, tuttavia ciò snaturerebbe il senso della madre da signorina, o la città dove siamo della domanda di sicurezza, che dovrebbe nati, o il nome del nostro primo cane o gatto essere considerata “l’ultima spiaggia” poteva essere una buona idea (?) anni fa, nei casi in cui detti programmi risultassero ma oggi dobbiamo fare i conti con un aumento indisponibili. esponenziale del numero di siti dai quali Come fare quindi per fornire una risposta è possibile ottenere facilmente tali dati sul nostro robusta ma allo stesso tempo da noi accessibile conto. Mettere ampi stralci della propria vita in caso di emergenza? Ecco una serie in piazza su Facebook e altri social network può di soluzioni che potranno aiutarci a gestire semplificare il lavoro a un ipotetico aggressore meglio questo problema. telematico che desideri impossessarsi di uno qualsiasi dei nostri account. E se anche non 1. AGITARE E MESCOLARE fossimo noi a rivelare dettagli della nostra vita, potrebbero farlo, in buona fede, i nostri amici Nel caso il sito ci consentisse di scrivere su quegli stessi social network. la nostra domanda di sicurezza e la relativa risposta, sarebbe utile creare un quesito difficile Dimentichiamoci quindi di ritenere sicure da risolvere per tutti fuorché per noi, dopodiché informazioni come quelle, o altre sempre inerenti mischiare le risposte e codificarle assieme. alla nostra vita “semi-pubblica” come il modello , di auto che guidiamo o la data del nostro Alcuni esempi di domanda: matrimonio, per fare altri due esempi. D: Numero di telaio della mia seconda auto Poiché la domanda di sicurezza è una procedura e totale della mia dichiarazione dei redditi sempre più usata durante la registrazione del 1998, nell’ordine di ciò che è arrivato prima. ai siti, dobbiamo trovare un modo per continuare D: Numero di protocollo del rogito per l’acquisto a usarla e allo stesso tempo impedire agli altri della mia casa di Perugia e numero della prima - anche alle persone che ci conoscono - di trovarla. carta d’identità che ho chiesto al Comune di Iniziamo con analizzare alcune caratteristiche Roma, nell’ordine di ciò che ho ottenuto prima. di questa domanda di sicurezza e della relativa D: Il voto che ho preso alla maturità moltiplicato risposta: per gli anni di ginnasio che ho effettivamente 1. una volta inserita di solito non la si usa quasi frequentato, diviso per gli anni di lavoro mai, quindi è facile dimenticarla; che ho trascorso prima di conoscere mia moglie. 2. per noi non deve essere necessariamente Se in molti di questi esempi la risposta sembra immediata da trovare o da ricordare, perché lunga da trovare anche per l’interessato, dopotutto la si deve usare solo nei casi di emergenza, ricordate il punto 2. di cui sopra: fornire basta che alla fine si riesca a reperirla; la risposta alla domanda di sicurezza generalmente diviene necessario solo in caso di emergenza, 3. a volte viene chiesto di inserire molteplici quindi non importa quanto sia lunga la ricerca, domande e risposte di sicurezza; l’importante è che alla fine solo noi saremo in grado di trovarla. 4. molti siti ci invitano a cambiare regolarmente la password, ma non la domanda di sicurezza. Vantaggi: Si tratta di parametri immutabili Potremmo quindi essere chiamati a ricordarcela nel tempo e difficilmente reperibili in pubblico, anche dopo molti anni; perché pochi sono soliti pubblicare tali 08 La sicurezza informatica
  9. 9. informazioni dentro un post in un blog social network ci sarà scritto che siamo nati o nel proprio profilo su Facebook. a Roma. Un eventuale malintenzionato non avrà modo di conoscere le risposte, proprio perché Svantaggi: È probabile che per ritrovare le avremo inventate di sana pianta. la risposta dovremo andare a scartabellare un po’ di vecchi documenti, di cui dovremo Vantaggi: È praticamente impossibile necessariamente conservare una copia. Inoltre, che un malintenzionato individui le risposte malgrado siano alquanto difficili da trovare, non scavando nella nostra vita privata. Le risposte è escluso che qualcuno con le adeguate risorse inoltre sono di facile utilizzo da parte nostra, e il tempo necessario sia in grado di reperire l non ci sarà bisogno di scartabellare nulla, e risposte. Infine, è un metodo che si può usare se non la nostra fantasia. solo quando il sito ci permette di scrivere le domande. Svantaggi: Queste informazioni andranno ricordate per sempre, e proprio perché irreali 2. RISPOSTE INVERTITE sarà particolarmente difficile ricordarle tali e quali ad esempio fra dieci o venti anni. Per confondere le idee a tutti fuorché a noi, Inoltre, non bisognerà ovviamente condividere è possibile immaginarsi un certo ordine con cui pubblicamente i dettagli di questo “mondo invertire domande e risposte. Ad esempio se parallelo”. chiedono il cognome da nubile di vostra madre voi inserite la città in cui siete nati, e viceversa. 4. APRIRE IL LIBRO A PAGINA N Vantaggi: È un metodo semplice da ricordare Usare un vecchio libro come fonte di risposte e di immediato utilizzo. Si può usare anche alle nostre domande di sicurezza è uno dei quando il sito non ci permette di scrivere metodi più romantici e allo stesso tempo da noi la domanda di sicurezza, a patto che usi abbastanza efficace, basta non rivelare il titolo domande banali. del libro né l’autore. Quando dovremo scrivere una domanda di sicurezza, sarà sufficente Svantaggi: Bisogna mantenere questo metodo indicare “Pagina venti, quarta riga, quinta parola” segreto. Non funziona quando il sito ci offre e il gioco è fatto. Ovviamente sarà necessario domande non banali (ad es. il nome della prima avere quel dato libro sempre a portata di mano. scuola) e al tempo stesso non ci permette Per sempre. di scrivere le domande da soli. Infine, bisogna ricordarsi quali argomenti sono stati scambiati Vantaggi: È un metodo relativamente sicuro, fra loro, o si rischierà di fare confusione. a patto che manteniate segreti i dati del libro (autore, titolo, edizione). Se avete il libro 3. REALTÀ AD HOC a portata di mano, trovare le risposte sarà È uno dei metodi più curiosi e affascinanti, molto rapido. ma anche il più pericoloso per chi non ha una Svantaggi: Dovrete avere quel libro sempre mente disciplinata. Si inventano alcuni dettagli con voi. Perdetelo e con esso perderete tutte di un mondo immaginario che abbiamo creato le risposte alle domande di sicurezza, almeno ad hoc e che conosciamo solo noi, dove molte fino a quando non lo ricomprerete (sperando informazioni sono alterate. Ad esempio se in di riuscire a trovare esattamente la stessa realtà siamo nati a Roma, il cognome di nostra edizione). Non funziona ovviamente quando madre da nubile è Rossi e al liceo siamo andati il sito non ci permette di scrivere le domande. al Dante Alighieri, possiamo invece stabilire che siamo nati a Milano, il cognome di nostra madre 5. SCAVARE NELLA PROPRIA MEMORIA è Bianchi e al liceo siamo andati al Petrarca. A LUNGO TERMINE Così facendo la risposta alla domanda di sicurezza “dove sei nato” sarà Milano, anche Qui camminiamo su un terreno sdrucciolevole, se ovunque nei nostri documenti e nei nostri quindi sta a voi decidere se usare o meno 09 La sicurezza informatica
  10. 10. questo metodo. Scavate nella vostra memoria nella domanda, quando usiamo il termine “cosa”). e andate a ripescare ricordi vividi di eventi che Se possibile poi usate termini generici quel vi sono capitati almeno dieci anni fa, se non tanto che basta a rendere la vita più difficile ancora prima. Può essere qualsiasi cosa, basta a chi cerca di indovinare la risposta. Se volete che abbia lasciato un ricordo indelebile nella necessariamente indicare il nome di una città, vostra memoria. Alcuni ricordi sono immutabili non scrivete “In che città mi trovavo quando...” , nel tempo, persistono anche quando siamo scrivete piuttosto “In che posto mi trovavo molto in là con gli anni, quindi perché non quando...” perché aprirebbe molti altri ipotetici usarli a nostro vantaggio? Se ad esempio un scenari da individuare, visto che un “posto” giorno siete caduti con la bicicletta in modo può essere un edificio, un locale, una stanza, alquanto disastroso, vi ricorderete quella caduta eccetera. più di ogni altra. La domanda potrà essere “Dove mi trovavo quella volta che sono caduto Fate poi attenzione a non creare delle risposte rovinosamente dalla bicicletta?” . lunghe, perché i sistemi automatici di solito Attenzione tuttavia a non creare delle domande confrontano la risposta lettera per lettera. Una con risposte facili da indovinare. Una domanda domanda del tipo “Perché l’allenatore mi prese sbagliata potrebbe essere “Era giorno o era nella squadra di calcio?” oggi potrebbe essere notte quando sono caduto rovinosamente dalla risposta con un “Perché mi disse che ero bravo” , bicicletta?” visto che bastano due tentativi , ma fra dieci anni potremmo non ricordarci per indovinare la risposta giusta. Stessa cosa le parole esatte che abbiamo usato per scrivere con gli anni, mai chiedersi “Quanti anni avevo la risposta, e un semplice “Perché ero bravo” quando...” perché a meno che non siate o “Perché mi disse che ero capace” Matusalemme, saranno sufficienti poche decine non verranno riconosciute come esatte, di tentativi per trovare la risposta giusta. anche se il senso è lo stesso. In generale, se volete usare questo metodo, Infine, non usate ricordi condivisi, come ponetevi nei panni di un malintenzionato ad esempio il luogo dove avete chiesto a vostra e cercate di capire quanto possa essere facile moglie di sposarvi, perché gli altri “protagonisti” indovinare la risposta anche senza conoscerla. dell’evento potrebbero averlo raccontato Evitate quindi riferimenti ai tratti somatici ad amici o pubblicato on-line, soprattutto se si di una persona (es. “Di che colore ha gli occhi tratta di un evento particolare anche per loro. Tizio?”) perché possono essere individuati dopo Ripescate il più possibile dalla vostra infanzia pochi tentativi. Inoltre, se avete sempre abitato o dalla vostra gioventù, poiché andrete a trovare nella stessa città (e questo potrebbe essere ricordi che hanno resistito alla prova degli anni, facilissimo da individuare, basta scaricare un quindi pressoché indelebili. qualche curriculum che avete messo in rete), Alcuni esempi di domanda corretta: non ponete domande del tipo “Dove abitavo quando...”. D: Cosa avevo fatto a Marina? Cercate dei particolari che nessuno conosce, Commento: La domanda è generica quanto ma che allo stesso tempo sono ben piantati nella basta, e benché il ricordo sia condiviso (Marina vostra memoria. Inoltre, per rendere la procedura fa parte dell’evento) probabilmente non era più difficile, ponete la domanda in modo criptico così importante per l’altro protagonista, sempre per tutti fuorché per voi. Ad esempio se ricordate che quest’ultimo sia in grado di riconoscersi bene come da bambini avete avuto un incidente nell’evento. La risposta può essere qualsiasi che vi ha lasciato un bernoccolo sulla testa, cosa, un disegno, una dichiarazione, chiedete “Cosa mi diede quel bernoccolo?” Sarà uno sgambetto... l’importante è che questa inutile per un eventuale malintenzionato elencare domanda evochi in noi - e solo in noi - subito tutto il pentolame di casa, quando alla fine la risposta giusta. a darvi quel bernoccolo fu vostro fratello maggiore (notare il piccolo trabocchetto insito D: Chi incontrai sul ponte? 010 La sicurezza informatica
  11. 11. Commento: Anche se in questo caso il ricordo pubblicamente. Nel caso dobbiate utilizzare è condiviso, non si sa da chi. La persona può la risposta di sicurezza, l’unico posto che dovrete essere chiunque, se di persona si tratta. andare a scavare sarà la vostra memoria Per indovinare la risposta probabilmente non a lungo termine. basterebbe l’intero libro dei nomi, soprattutto se nella risposta oltre al nome si inserisce anche Svantaggi: Se il ricordo non è indelebile, il cognome. E se invece di una persona o se è sovrapponibile ad altri, l’informazione ci riferiamo a un animale? Lo sappiamo solo noi. rischia di andare persa o confusa con altre. Anche in questo caso ovviamente la domanda Serve un po’ di tempo per trovare il ricordo giusto ci deve far balzare alla memoria subito e formulare la domanda in maniera appropriata. la risposta giusta. L’evento deve essere indelebile, Infine, se formuliamo una domanda troppo non qualcosa accaduto lunedì scorso. generica, rischiamo di non ricordarci più quale aspetto del ricordo volevamo portare D: Dove venni truffato durante quel viaggio? in risalto. Commento: Il ricordo non è condiviso, il viaggio 6. CODIFICARE LE RISPOSTE è generico per tutti fuorché per noi. Inoltre il termine “dove” non lascia intendere Questo metodo funziona da solo o in combinazione se ci riferiamo a una città, un paese, un negozio, con uno qualsiasi dei metodi descritti sopra. un albergo o altro. È sufficiente trovare un modo per codificare le vostre risposte, con un codice semplice Alcuni esempi di domanda sbagliata: o complesso a seconda del vostro grado di D: In che ruolo giocai in quella partita di calcio? capacità di gestire i codici segreti. Commento: Giusto il riferimento a un evento Ad esempio, un codice semplicissimo può sportivo che solo il protagonista riesce essere quello di invertire l’ordine delle lettere a individuare, ma sbagliato il riferimento al ruolo delle risposte reali. Se la città di nascita è Roma, giocato. In campo ci sono undici giocatori, basterà scrivere Amor. Se il cognome da nubile servirebbero quindi solo undici tentativi di vostra madre è Rossi si dovrà scrivere Issor. per individuare la risposta giusta (sedici E via dicendo. Semplice ma già efficace. se contiamo anche arbitri e allenatore). Un codice leggermente più complicato può D: Quanti anni avevo quando mi ruppi il braccio prevedere la trasformazione di determinate cadendo dalla bicicletta? lettere in numeri o in caratteri speciali. Commento: Sbagliato il riferimento a un evento Ad esempio potremmo decidere di trasformare così specifico tale da essere individuato ogni lettera “L” nel numero “1” ogni lettera “S” , anche da altri. Sbagliato inoltre indicare nel segno del dollaro “$” e ogni lettera “A” come risposta un numero abbastanza limitato nel numero “4” L’ipotetico luogo di nascita . e collegato all’età. “Sassari” si trasformerebbe quindi in “$4$$4ri” , o il cognome da nubile di nostra madre “Bianchi” D: Quante guglie aveva l’edificio? diventerebbe “Bi4nchi” . Commento: Giusto il riferimento a un edificio Per rendere il tutto un po’ più complicato generico per tutti tranne che per il protagonista. basta combinare i due codici indicati sopra, Sbagliato il riferimento a un numero comunque la trasformazione delle lettere e la loro limitato e facile da individuare. Quante guglie inversione, ed ecco che “Sassari” diverrebbe potrà avere un edificio? Una? Tre? Venti? “ir4$$4$” e “Bianchi” diverrebbe “ihcn4iB” . Nessuna? Alla fine la risposta si trova. L’importante ovviamente è ricordarsi il codice Vantaggi: La risposta è molto difficile e mantenerlo immutato nel tempo. E naturalmente da scoprire, soprattutto se il ricordo viene non condividere questo segreto con nessuno. scelto bene e se non ne avete mai parlato 011 La sicurezza informatica
  12. 12. Vantaggi: Senza la conoscenza del codice è Contrariamente a quanto indicato nel sito impossibile per un malintenzionato individuare di cui sopra, non sono d’accordo sulla necessità le risposte corrette, mentre per noi sarà facile di assegnare alla domanda di sicurezza indicare il termine giusto dopo aver compiuto la caratteristica di “semplice, facile da ricordare” . solo un paio di operazioni. Questo metodo si può Come già spiegato nell’elenco di caratteristiche utilizzare in combinazione con tutti gli altri metodi all’inizio di questo articolo, non vi è una vera indicati sopra. necessità di ricordare in due secondi la risposta alla domanda di sicurezza, l’importante Svantaggi: Sarà necessario ricordarsi questo è reperirla in un tempo ragionevole. codice anche dopo molti anni, e non modificarlo mai. Infine un ultimo consiglio. Quando troverete il metodo che fa per voi, assicuratevi che sia per La letteratura sempre. Già adesso dovrete andare a cambiare Sorprendentemente, ho trovato pochi testi che praticamente tutte le risposte alle domande trattano in profondità questo argomento. di sicurezza che avete lasciato in giro prima Il sito http://www.goodsecurityquestions.com di oggi. Sarebbe scomodo doverlo fare ogni viene citato da più fonti. Esso fornisce volta che cambiate metodo. un’analisi accurata delle caratteristiche che deve avere una buona domanda di sicurezza, assieme a esempi e a una tabella http://www. goodsecurityquestions.com/compare.htm per confrontare alcune domande di sicurezza secondo tali caratteristiche. 012 La sicurezza informatica
  13. 13. COSA SI INTENDE PER WEB 2.0 e che migliora con l’utilizzo delle persone, sfruttando e mescolando i dati da sorgenti Il web 2.0 è l’insieme delle tecnologie multiple, tra cui gli utenti, i quali forniscono collaborative per organizzare Internet come i propri contenuti e servizi in un modo una piattaforma in cui tutti possono inserire da permetterne il riutilizzo da parte di altri i propri contributi ed interagire con gli altri utenti. utenti, e creando una serie di effetti attraverso Il termine nasce da una frase coniata da O’Reilly “un’architettura della partecipazione” che va e da Dale Dougherty nel 2004 e il documento oltre la metafora delle pagine del Web 1.0 per che ne ha ufficialmente sancito l’inizio risale produrre così user experience più significative”. al 30 settembre del 2005. (traduzione da “Web 2.0: compact definition”, Tim O’Reilly) “Il Web 2.0 è la rete intesa come una piattaforma con tutti i dispositivi collegati; le applicazioni Il web 2.0 vuole segnare una separazione netta Web 2.0 sono quelle che permettono di ottenere con la New Economy dell’inizio millennio definita la maggior parte dei vantaggi intrinseci della come web 1.0 e caratterizzata da siti web statici, piattaforma, fornendo il software come di sola consultazione e con scarsa possibilità un servizio in continuo aggiornamento di interazione dell’utente. 013 Opportunità offerte dal Web 2.0
  14. 14. La tendenza attuale è quella di indicare come che lo contraddiceva nel Web 1.0 per diventare Web 2.0 l’insieme di tutti gli strumenti/le protagonista tramite la creazione, modifica applicazioni online che permettono uno spiccato e condivisione di contenuti multimediali livello di interazione sito-utenti quali i blog, a propria scelta. i forum, le chat, etc... In ambito aziendale, la condivisione del Web 2.0 permette di creare Tendenzialmente per descrivere le caratteristiche idee insieme a tutti i dipendenti, commentare del Web 2.0 si procede spesso per confronto gli sviluppi di progetti in collaborazione con il Web 1.0, indicando come nel passaggio con i dipendenti. di versione gli elementi fondamentali si sono evoluti o sono stati sostituiti da nuovi. Si tratta Tutto ciò è stato reso possibile da collegamenti di un modo di rappresentare il Web 2.0 ad Internet molto più veloci e dall’unione di varie divulgativo e non prettamente tecnico, ma tecnologie di facile apprendimento e uso. piuttosto efficace per riconoscere l’evoluzione dei sistemi su Internet. Come appena citato, Il Web 1.0 a differenza del Web 2.0 era composto prevalentemente da siti Ad esempio nell’era Web 1.0 la costruzione web “statici” che non davano alcuna possibilità , di un sito web personale richiedeva di interazione con l’utente, eccetto la normale la padronanza di elementi di linguggio navigazione tra le pagine, l’uso delle e-mail di programmazione HTML, viceversa oggigiorno e dei motori di ricerca. con i blog chiunque è in grado di pubblicare i propri contenuti, magari dotandoli anche di una Il Web 2.0 viceversa costituisce un approccio veste grafica più accattivante, senza possedere filosofico alla rete che ne connota la dimensione alcuna particolare preparazione tecnica specifica. sociale, la condivisione, l’autorialità rispetto alla mera fruizione. Il ruolo dell’utente in questo Le differenze tra Web 1.0 e web 2.0 potrebbero senso diventa centrale, esce dalla passività essere schematizzate come segue: Web 1.0 Web 2.0 Top-Down Bottom - Up Contenuti in sola lettura L’utente genera contenuti Siti personali Blogging Sistemi di gestione dei contenti Wikis Servizi venduti sul web Web - services Client - server Peer – to -Peer Companies Communities Pubblicazione Partecipazione Directories (tassonomia) Tagging (folksonomia) Stickiness Syndacation Web 1.0 vs Web 2.0 Fonti varie 014 Opportunità offerte dal Web 2.0
  15. 15. Concludendo, gli ingredienti del Web 2.0 sono: professionale esistono i business social network informazione, interazione, partecipazione, come LinkedIn o Viadeo in cui il professionista contributi creati degli utenti, connessione può promuovere le proprie capacità, aggiornarsi, a reti sociali. trovare collaboratori e nuove opportunità ecc. Altri approfondimenti su http://it.wikipedia.org/ Altri approfondimenti su http://it.wikipedia.org/ wiki/Social_network wiki/Web_2.0 Social network non riguarda solo le persone, Su questo link http://www.dynamick.it/web-20- la presenza di aziende è sempre più forte sia per una-definizione-in-10-punti-534.html si può attività di marketing e pubblicità sia come nuovo trovare come viene definito da Tim O’Reilly strumento per svolgere l’attività aziendale, creare in “What is Web 2.0” da Paul Graham nel suo , il profilo aziendale per promuovere l’azienda, “Web 2.0” e da Jason Fried nel libro “User Survey” . fare nuovi affari, ecc. L’Enterprise 2.0 intende infatti adattare i concetti del web 2.0 in ambito Social media è il termine generico per indicare aziendale. tecnologie e pratiche online con cui gli utenti creano e condividono i contenuti sul web, Il termine Enterprise 2.0 descrive un insieme un grosso cambiamento rispetto al web 1.0 di approcci organizzativi e tecnologici orientati caratterizzato dalla presenza di una comunità all’abilitazione di nuovi modelli organizzativi concentrata sulla condivisione di contenuti. basati sul coinvolgimento diffuso, la collaborazione Altri approfondimenti su http://it.wikipedia.org/ emergente, la condivisione della conoscenza e wiki/Social_media lo sviluppo e valorizzazione di reti sociali interne ed esterne all’organizzazione. Certamente una delle più grosse opportunità Dal punto di vista organizzativo l’Enterprise 2.0 fornite dal web 2.0 sono i social network o reti è volto a rispondere alle nuove caratteristiche sociali, con cui le persone creano un profilo con ed esigenze delle persone ed a stimolare i dati personali e possono comunicare con altri flessibilità, adattabilità ed innovazione. profili per creare nuove forme di socializzazione e di espressione. Attualmente vari milioni Dal punto di vista tecnologico l’Enterprise di italiani possiedono un profilo, creando di fatto 2.0 comprende l’applicazione di strumenti una enorme piattaforma di comunicazione. riconducibili al cosiddetto Web 2.0 – ovvero Facebook è l’esempio più noto, per l’ambito blog, wiki, RSS, folksonomie e, in un’accezione 015 Opportunità offerte dal Web 2.0
  16. 16. più allargata, l’adozione di nuovi approcci Su Internet si possono trovare diverse tecnologici ed infrastrutturali. classificazioni di questi strumenti, ad esempio Come detto l’Enterprise 2.0 deriva dal Web da “Centre for Learning & Performance 2.0 ed è spesso usato per indicare l’introduzione Technologies” (http://www.c4lpt.co.uk/Directory/ e l’implementazione di Social Software all’interno Tools/collaboration.html) di un’impresa ed i cambiamenti sociali ed organizzativi ad esso associati. Altri approfondimenti su http://it.wikipedia.org/ Il termine è stato coniato da Andrew McAfee, wiki/Enterprise_2.0 professore della Harvard Business School, Le applicazioni realizzate con l’approccio nel paper seminale “Enterprise 2.0: The Dawn Web 2.0 sono spesso indicate come RIA - Rich of Emergent Collaboration” pubblicato sul MIT , Internet Application, ovvero applicazioni con Sloan Management Review. uso intensivo di Internet. Le tecnologie RIA La definizione puntuale secondo McAfee rappresentano approcci migliori con cui gli di Enterprise 2.0 è: sviluppatori possono realizzare e distribuire “l’uso in modalità emergente di piattaforme interfacce utente semplici da usare, ricche di social software all’interno delle aziende e dinamiche. L’aspetto fondamentale del RIA o tra le aziende ed i propri partner e clienti.” è che l’interfaccia utente non deve essere Così come visto per il Web 2.0 possiamo rivisualizzata completamente dopo ogni vedere anche in modo schematico quali sono interazione. In tal modo, si crea capacità le differenze tra Enterprise 1. 0 e 2.0: di risposta e interattività del sistema. Ajax (Asynchronous JavaScript and XML) Gli strumenti web 2.0 disponibili su Internet sono è una tecnologia molto diffusa per l’aggiornamento molteplici, una parte di questi con l’aggiunta dinamico di una pagina web senza esplicito di altri più specifici di un contesto aziendale ricaricamento da parte dell’utente, fondamentale formano l’insieme dei tool Enterprise 2.0. nelle pagine web dei social network. Enterprise 1.0 Enterprise 2.0 Organizzazione gerarchica Organizzazione orizzontale Frizioni Semplicità nei flussi organizzativi Burocrazia Agilità operativa Rigidità Flessibilità Innovazione guidata dalle tecnologie Innovazione guidata dall’utente Team centralizzati Team distribuiti Barriere Spazi aperti Gestione del sapere Conoscenza aperta Sistemi informativi strutturati Sistemi informativi emergenti Tassonomie Folksonomie Standard proprietari Open standard Scheduling delle attività On demand Time to Market lungo Time to Market breve Enterprise 1.0 vs Enterprise 2.0 Fonte: Adattamento da Forrester Research 016 Opportunità offerte dal Web 2.0
  17. 17. SERVIZI OFFERTI DAL WEB 2.0 CLOUD COMPUTING PER IL WEB 2.0 Il web 2.0 è caratterizzato da una serie di servizi Il cloud computing può dare una risposta innovativi come: di efficienza a molte problematiche aziendali: ad esempio consente un risparmio in termini • wikipedia, enciclopedia caratterizzata di hardware di esercizio. La sua adozione da libera e gratuita fruizione dei contenuti non deve trascurare gli aspetti di sicurezza: da parte di tutti gli utenti, in un lavoro corale in particolare l’azienda deve potersi fidare e collettivo destinato all’inserimento di nuove di chi offre il servizio. voci e alla correzione delle voci esistenti. Sito http://it.wikipedia.org; La sicurezza nel cloud significa garantire soluzioni affidabili in grado di tenere in sicurezza • social network, per creare reti di relazioni le informazioni indipendentemente dal posto tra le persone e condividere informazioni, in cui sono memorizzate. Peraltro il cloud può foto, eventi, ecc. Il più famoso è Facebook mentre per le relazioni professionali si passa innalzare i livelli di sicurezza aziendale tramite a LinkedIn o Viadeo. Altre informazioni sulla l’accentrare in un’unica soluzione tutta versione precedente di questa wiki destinata la gestione sicura di rete, server, memoria. alla sicurezza dei social network; Sottolinea Bruce Schneier: “se il computer è • blog, possibilità molto semplice per tenere all’interno della nostra rete abbiamo tutti i mezzi un diario personale visibile online. Il più famoso per proteggerlo. In un modello come quello è WordPress; del cloud computing, non possiamo fare altro che fidarci di chi ci offre il servizio, perché • raccolte di fotografie commentate non abbiamo altra possibilità di controllo”. e classificate dagli utenti come Flickr; WEB 2.0 PER SENSIBILIZZARE • condivisione di link come Del.icio.us.; ALLA SICUREZZA INFORMATICA • RSS Really Simple Syndication Una delle migliori difese utili alla sicurezza per la diffusione frequente di contenuti informatica consiste nel creare comportamenti sul web da parte di blog e siti. virtuosi delle persone. Le opportunità di interazione del web 2.0 sono utili anche per sensibilizzare le persone alle problematiche della sicurezza. Nel link seguente http://sicurezza626lavoro. wordpress.com/2010/01/27/web-2-0-e-sicurezza- sul-lavoro/ possiamo leggere un blog dedicato ai problemi della sicurezza del lavoro, un ambito diverso dall’infomatica ma utile per avere delle idee. Peraltro la costruzione tramite wiki di questo documento è un altro esempio. In merito ai social network, si può pensare alla creazione di gruppi di persone interessate all’argomento per fornire idee e aggiornamenti. 017 Opportunità offerte dal Web 2.0
  18. 18. WEB 2.0 PER LA PUBBLICA L’importante è considerare il Web 2.0 come una AMMINISTRAZIONE parte di un progetto ampio di e-governance stando bene attenti alle problematiche Secondo l’enciclopedia Wikipedia in diritto di violazione della privacy e alla scarsa qualità il termine amministrazione pubblica (o pubblica dei servizi offerti. amministrazione denotata anche con la sigla PA) ha un duplice significato: L’e-government tramite il Web 2.0 è strategico • in senso oggettivo è una funzione pubblica per raggiungere la modernizzazione del servizio (funzione amministrativa), consistente pubblico verso l’utente in termini di: nell’attività volta alla cura degli interessi • semplificazione delle procedure; della collettività (interessi pubblici), • orientare l’utente nella scelta e nell’uso predeterminati in sede di indirizzo politico; dei servizi; • in senso soggettivo è l’insieme dei soggetti • i cittadini collaborano per fornire nuovi servizi; che esercitano tale funzione. • i cittadini criticano il funzionamento dei servizi; L’aggettivo “pubblica” che qualifica il termine • trasparenza degli atti amministrativi; amministrazione fa capire che quest’ultimo ha un • servizi più usabili. significato più ampio: qualsiasi persona o ente E verso i funzionari pubblici in termini di: svolge attività volta alla cura dei propri interessi • integrazione, efficienza e innovazione; privati o di quelli della collettività di riferimento. • collaborazione interistituzionale; • knowledge management tramite social Le applicazioni Web 2.0 per la pubblica bookmark, RSS, blog; amministrazione sono interessanti su vari fronti • gestione risorse umane; tra cui: • aggiornamento. • fare crescere la partecipazione politica dei cittadini; Un documento di David Osimo con alcuni casi • fornire strumenti semplici ai cittadini con cui di studio in lingua inglese è disponibile qui. contribuire al miglioramento dei servizi; • creare relazioni aperte e trasparenti tra cittadini e amministrazione; • costruire un’amministrazione più semplice e interconnessa tramite software a basso costo. 018 Opportunità offerte dal Web 2.0
  19. 19. VULNERABILITÀ DEL WEB 2.0 competenti e i processi adeguati allora possono nascere incidenti pericolosi. Tutto questo sta Una vulnerabilità è un punto debole di un sistema portando alla nascita della cultura aziendale 2.0. informatico che potrebbe essere usato per creare problemi di sicurezza informatica al sistema. I rischi per la sicurezza dalle applicazioni web 2.0 Spesso nascono da una programmazione Le applicazioni Web 2.0 sono spesso superficiale e negligente che non tiene conto caratterizzate dall’avere una forte interazione tra delle possibilità di un attacco alla sicurezza. gli utenti, che porta a un conseguente incremento dello scambio di dati tra gli utenti stessi, come La sicurezza applicativa identifica le problematiche accade per i siti di Social Network. Questo della sicurezza delle applicazioni web. fenomeno, sebbene non sia di per sé negativo, richiede una maggiore attenzione ai problemi Le soluzioni tradizionali di sicurezza informatica di sicurezza logica che tra l’altro siamo già non sono adeguate a questa problematica perché: abituati ad affrontare nel Web “tradizionale” . • Firewalls e antivirus non possono bloccare Infatti, nell’ambito della elevata interazione tra tutti gli eventuali attacchi al livello applicativo client e server il punto debole della sicurezza poiché la porta 80 deve essere disponibile per consiste nella possibilità di modificare essere utilizzata; i messaggi scambiati tra client e server al fine • gli strumenti di scansione della rete non di creare pericoli. identificano le vulnerabilità a livello applicativo; • gli sviluppatori di applicazioni Web non hanno Mettendoci nell’ottica dell’azienda che vuole conoscenze adeguate di sicurezza applicativa. consentire l’accesso al Web 2.0 per i propri utenti, e concentrandoci sulle problematiche Diventa necessario pensare la sicurezza durante di sicurezza che queste scelte possono indurre, l’intero ciclo di sviluppo delle applicazioni, ci si può focalizzare su due categorie di problemi: in modo che lo sviluppo degli aspetti di sicurezza venga pienamente integrato nel ciclo di vita 1) Malware Intrusion - sono i contenuti che delle applicazioni. possono essere scaricati dagli utenti attraverso il canale del SN: hyperlink, file o applicazioni che Oltre alle vulnerabilità tipiche del Web come SQL contengono o puntano a contenuti malevoli che, Injection, nuove vulnerabilità nelle applicazioni una volta eseguiti dall’host interno all’azienda, per il Web 2.0 nascono dall’uso di framework rischiano di compromettere la sicurezza dell’intera con alta interazione client/server basati su XML. rete. Prendendo spunto da quanto pubblicato IBM rende disponibili su www.ibm.com/security/ nel report dell’ENISA (http://www.enisa. xforce i risultati del suo rapporto annuale europa.eu/act/res/other-areas/social-networks/ IBM X-Force Trend and Risk per il 2009 security-issues-and-recommendations-for- sulle minacce più diffuse, quali il phishing online-social-networks), risulta che diversi SN e le vulnerabilità relative ai documenti digitali. non applicano i controlli di sicurezza necessari non solo a garanzia dello stato del SN stesso (es. Nelle aziende moderne il confine tra pubblico SAMY Worm), ma a tutela degli utenti connessi e privato è reso sempre più sottile grazie (es. attacchi XSS). Va inoltre considerato che all’uso del Web 2.0, specialmente con l’arrivo il rischio di “insicurezza” viene amplificato dal dei giovani dipendenti che si aspettano di poter continuo aumento di informazioni scambiate, accedere dal posto di lavoro ai servizi rendendo il controllo dei contenuti un fattore che normalmente usano in casa. sempre più critico e fondamentale alla sicurezza Pertanto, al fine di evitare problemi di sicurezza degli utenti e al successo del SN. occorre sviluppare regole di comportamento interne sull’uso del web. Infatti, si possono avere 2) Data Extrusion - riguarda i dati di proprietà tecnologie in grado di identificare e risolvere dell’azienda che devono essere trattati solo in un i problemi, ma se non ci sono le persone contesto controllato secondo le policy definite, 019 Opportunità offerte dal Web 2.0
  20. 20. ma che possono essere resi pubblici attraverso ma potenzialmente dannosi, riduzione della la pubblicazione nel SN, causando potenziali possibilità di manipolazione dell’input durante problemi alla reputazione e alla proprietà intellettuale il passaggio tra le varie componenti dell’azienda. Si pensi alla condivisione • struttura dell’applicazione con componenti e di informazioni tecniche e non solo, come ogni componente deve essere blindato per si vede spesso nei blog. Per affrontare entrambi non offrire risorse ai maleintenzionati; i problemi occorre adottare tecnologie in grado • controllo dei privilegi permessi all’utente di analizzare in dettaglio i contenuti dei flussi per l’accesso alle funzioni dei componenti; di traffico. In particolare, le minacce tipo Malware • controllo degli input provenienti dall’utente Intrusion si affrontano “architetturalmente” prima di eseguirli, sia input espliciti tramite partendo dal perimetro della rete aziendale, form sia impliciti come gli header Http e altri in modo da eliminare all’ingresso eventuali dati provenienti dai server; malware veicolati attraverso la connessione • scrittura attenta dei messaggi di errore al SN. Tipicamente i sistemi in grado di realizzare per non mostrare informazioni in grado questo tipo di filtraggio sono: di far scoprire struttura e comportamenti dei componenti sensibili; • Network Intrusion Prevention; • costante aggiornamento dei sistemi; • Network Antivirus; • gestione della sessione utente, apertura • Url Content filtering; mantenimento e chiusura per evitare furti • Mail content inspection. degli id sessione e la contemporanea Fino alle tecnologie di protezione degli host tipo: presenza dello stesso utente in più sessioni • Host Antivirus; differenti; • Host Intrusion Prevention. • gestione dei file log dell’applicazione La minaccia tipo Data Extrusion o Data Leakage, per il tracciamento delle sessioni, al contrario del Malware Intrusion, deve essere del comportamento dell’utente affrontata cercando di applicare i controlli e della comunicazione tra le componenti; di sicurezza il più vicino possibile ai dati, • creazione di un sistema di avviso in caso tipicamente sulle macchine degli utenti: di condizioni anomali; • Endpoint Data Loss Prevention • difesa da denial of service. o, dove questo non fosse possibile, analizzando i flussi di trafico direttamente sulla rete: Nei prossimi paragrafi verranno affrontate • Network Data Loss Prevention per intercettare le principali vulnerabilità da tenere presente e bloccare le informazioni confidenziali durante lo sviluppo di un’applicazione. che vengono pubblicate sul SN o su altre applicazioni web. Web content filtering significa fare il filtraggio dei contenuti per controllare il traffico generato dai social network. Alcune linee guida per realizzare applicazioni web sicure: • controllo delle operazioni di autenticazione dell’utente, aggiornamento delle politiche di autorizzazione alle risorse, verifica della robustezza delle password; • riduzione delle superfici esposte all’attacco, tramite un elenco chiaro ed esaustivo delle componenti logiche e strutturali dell’applicazione e delle divisioni con relative interfacce, eliminazione di componenti inutili 020 Opportunità offerte dal Web 2.0
  21. 21. WEB 2.0 VERSUS WEB 3.0 esplosione di nuovi media comunicativi. All’interno di ciò sta crescendo anche L’Università di Berkley ha recentemente il netwoking Aziendale, le Reti aziendali. calcolato che tra il 1970 e il 2000 (un arco temporale di 30 anni) è stata prodotta la stessa Web 2.0 (connect people). Gli scettici quantità di informazioni che è stata generata del Web 2.0 e della conoscenza condivisa dalla preistoria ad oggi, grazie soprattutto in generale puntano il dito sulla autorevolezza al web. e sulla validità dei contenuti user-generated. La mancanza di un filtro preventivo sulle Il Web con 1 miliardo e 200 mila siti, 60 milioni informazioni generate dagli utenti, come di log, 1,6 milioni di post (messaggi) multimediali avviene invece nel mainstream, potrebbe essere prodotti ogni giorno, (solo in Italia sono presenti considerato un punto debole del Web 2.0. circa 300 mila Blog) cresce esponenzialmente. La diffusione molecolare dell’informazione è resa possibile con terminali portatili connessi alla rete, Il Web 2.0 è per alcuni una nuova visione infatti gli utenti ( potenziali “gateway umani”), di Internet che sta influenzando il modo possono usufruire di una pluralità di lavorare, interagire, comunicare nella Rete, di dispositivi intelligenti, integrati nei più svariati per altri una evoluzione di Internet. tipi terminali mobili capaci di riconoscere Una rivoluzione silenziosa che consentirà e rispondere ininterrottamente in modo discreto un insieme di approcci innovativi nell’uso della e invisibile, ciò che va sotto il nome di tecnologia rete, dati indipendenti dall’autore che viaggiano enable, abilitante. Nonostante la rivoluzione liberamente tra un blog e un’altro subendo dal basso, del cliente-utente, fatta con gli strumenti trasformazioni e arricchimenti multimediali, del Web 2.0 interattivi e collaborativi, solo una di passaggio in passaggio, tramite la condivisione ristretta élite determina i contenuti nel grande di e-comunità, l’idea che si approfondisce panorama del Web, è la regola dell’1% (su 100 sempre più con la possibilità di diventare utenti web solo 1% di essi è attivo nel produrre popolare, o esplodere in forme virali (ideavirus). informazione,contenuti). Le informazioni diventano opensource Tuttavia l’autorevolezza dei contenuti può condivisibili, o IPinformation come preferiscono autogenerarsi tramite una selezione dei contenuti chiamarle altri, che nagivano liberamente stessi attraverso meccanismi di social network nel nuovo Web. insiti nella rete stessa, al di là dei numero dei link e click per post pagina. Il concetto La rete ha trasformato ogni business di conoscenza condivisa come creazione in un business globale e ogni consumatore e diffusione di contenuti sembra stridere in un consumatore globale, la società verso con la formazione culturale ed individuale una società della conoscenza, e l’economia a cui siamo stati abituati, e mi riferisco al mondo verso un’economia digitale, la wiki economia, del lavoro, della formazione, dell’università. la collaborazione di “massa” in favore Servirebbe un’evoluzione verso modalità digitali del vantaggio competitivo. di pensiero più consona a quella delle nuove generazioni- utenti (digital natives). Esistono poi Il Web 2.0 è anche un nuovo modo di elaborare anche i digital explorers, coloro cioè chi vanno le informazioni basato su tecnologie “less is per necessità nella cultura digitale per cercare more” (tecnologie di facile apprendimento, uso ciò che può servire a raggiungere scopi e accessibilità). La condivisione e l’accesso che non siano fini alla cultura digitale stessa. alle informazioni ormai riguarda tutti, tutti Spesso viene a crearsi così un gap, da una parte potenzialmente possono diventare produttori i geeks (digital natives), dall’altra i dummies di informazioni e di idee. (digital immigrants) che faticano a relazionarsi La società del futuro sarà digitale, mutevole, e comunicare anche al di là dello spazio virtuale, interattiva, basta osservare la notevole nel mezzo un’ampio spazio per i “gestori 021 Opportunità offerte dal Web 2.0
  22. 22. dell’interazione” sociale e comunicativa tra che dà rilevanza al significato reale dei termini i due gruppi. e considera il contesto in cui sono inseriti, consentendo una ricerca più precisa Versus WEB 3.0 (connect infomation) “Una e riducendo le risposte ridondanti. Si tratta delle migliori cose sul web è che ci sono tante di una visione completamente nuova nel web, cose differenti per tante persone differenti. Il basata sul concetto che ognuno,ogni creatore Web Semantico che sta per venire moltiplicherà di contenuti può determinare una propria questa versatilità per mille...il fine ultimo del Web ontologia delle informazioni. A tal fine vengono è di supportare e migliorare la nostra esistenza impiegati sistemi di OSM (Ontology Systems reticolare nel mondo” (Tim Berners Lee). . Management) che possono utilizzare diversi Dopo l’invenzione del linguaggio xml linguaggi standard, come l’RDF (Resource (eXtensible Markup Language, metalinguaggio Description Framework) o l’OWL (Web Ontology utile allo scambio dei dati) impiegato in diverse Language) che consententono nuovi costrutti. applicazioni Web 2.0, ora gli sforzi di ricerca Con OWL è possibile scrivere delle ontologie si stanno concentrando nel suo impiego che descrivono la conoscenza che abbiamo in tecnologie semantiche. Generalmente di un certo dominio, tramite classi, relazioni la ricerca di una parola sui motori di ricerca fra classi e individui appartenenti a classi. attuali, non contestualizzata, può generare un Con il Web 2.0 e i Social Network abbiamo overload di risultati e quindi un eccesso di pensato che fosse arrivato il futuro ora sappiamo risposte inutili. Per ovviare in parte a tale effetto che sono solo il presente, nel futuro c’è il Web viene in soccorso la “tecnologia semantica” Semantico, il Web 3.0 022 Opportunità offerte dal Web 2.0
  23. 23. PRIVACY 2.0 Facebook in particolare è il primo strumento di profilazione massiva, volontaria e comportamentale Gli obiettivi degli hacker in ambito Web 2.0 non destinata a creare la base dati privata del settore sono più le reti di computer ma le informazioni più dettagliata e completa mai vista. e le proprietà intellettuali memorizzate nel web. Pertanto non sono più sufficienti i classici mezzi Definizione contestuale di social network ed di difesa. Il termine privacy 2.0 intende delineare osservazioni un nuovo approccio alla gestione della privacy A valle delle considerazioni ed al contesto adeguato al Web 2.0. delineato risulta più semplice riuscire a definire Coinvolge il furto di identità nei social network, cos’è un social network. la consapevolezza ed il diritto all’oblio, Una rete di informazioni condivise o, in sintesi, e la definizione stessa di social network. Tanti identità digitali condivise. argomenti, tanti aspetti legati alla privacy diversi Si completano, si intrecciano, si sovrappongono ma che si sovrappongono in più punti formando ma costituiscono parte di un “io digitale” una sorta di grafo multidimensionale che assume multidimensionale che trae origine dalla curiosità delle connotazioni diverse in base al punto del nuovo strumento tecnologico e dalla di osservazione. possibilità, per certi versi, di avere meno barriere Sembra strano parlare e soprattutto esigere un dell’”io reale” in cui troppo spesso non si può certo grado di privacy in un ambiente 2.0 legato essere apertamente sè stessi. sempre più alle reti sociali ed alla condivisione. In questo scenario, è ancora possibile parlare La questione viene spesso semplicisticamente di furto di identità quando le informazioni oggetto etichettata come un falso problema: “se voglio di “furto” sono state rese dalla “vittima” stessa mantenere la mia privacy non mi registro più o meno consapevolmente? ad un social network“. Posizione esasperata È più corretto parlare di “appropriazione” infruttuosa: deve esistere una soluzione di identità? mediatrice che passa dalla consapevolezza C’è una profonda e determinante differenza che del mezzo, del suo utilizzo reale e potenziale. andrebbe valutata e normata di conseguenza. Sebbene da un punto di vista statistico la platea di utenti dei social network non è così giovane come si potrebbe pensare, è opportuno vedere il fenomeno da una prospettiva diversa. Consapevolezza. Quanti di noi, utilizzatori ad esempio di Facebook, hanno verificato le impostazioni della privacy? Quanti hanno letto i termini di accettazione del servizio in fase di registrazione? Quanti hanno monitorato i loro cambiamenti? Quanti hanno realmente la percezione di cosa sia il datamining, il behavioral advertising, profilazione massiva? Quanti si sono interrogati sulla “gratuità” di Facebook? Quanti sanno dove vanno a finire i propri dati? Certo, quello che noi intendiamo fornire, non necessariamente dati reali. 023 Sicurezza nel web 2.0
  24. 24. Privacy 2.0: nuove generazioni, nuove ad un colloquio di lavoro perché, anni prima, responsabilità avete pubblicato bravate di cui, anche volendo, non avete sempre la possibilità o le competenze Demonizzare non serve, occorre invece essere per una totale e definitiva rimozione. consapevoli e responsabili soprattutto verso La rete va verso il Web semantico, verso il Web le nuove generazioni. 3.0 e sempre più ricorda, copia, clona, veicola, Queste ultime sono nate e cresciute in cui è salva, archivia anche a nostra insaputa “normale” usare certi mezzi e vengono usati con per innumerevoli motivi e tecnicismi. la leggerezza e l’ingenuità propria della loro età. Noi esperti di sicurezza, di comunicazione È giusto che sia così: non devono essere online, noi con il “doppio cappello” lo sappiamo le nuove generazioni a crescere troppo in fretta bene e abbiamo il dovere di alzare la mano perché noi diamo loro a disposizione dei mezzi per porre la questione all’attenzione di tutti. potenzialmente pericolosi. La condivisione e la consapevolezza sono Piuttosto, abbiamo noi il dovere di essere al loro le strade da seguire per contestualizzare fianco ed indicare loro un uso responsabile, ed affrontare responsabilmente la problematica attento e consapevole. Privacy 2.0 veicolando anche attraverso Le attenzioni e la prudenza non sono mai troppe lo stesso Web 2.0 messaggi chiari, casi di studio visto che, in rete più che nella vita privata, non ed esempi concreti di approcci e scenari esiste il concetto di diritto all’oblio. che ne possono scaturire. Non è fantascienza ipotizzare di essere scartati 024 Sicurezza nel web 2.0
  25. 25. VIRUS INSERITI NELLA STRUTTURA per ottenere la nuova password. Il file allegato è DEI SITI in realtà un virus in grado di creare danni. Leggere il campo mittente di queste email non è Anche siti popolari e importanti possono spesso di grande aiuto, poiché viene abilmente nascondere malware e sistemi per il reindirizzamento falsificato mostrando i dati corrispondenti al del navigatore dal sito desiderato verso siti servizio reale. Un rimedio consiste nel non pericolosi e inaffidabili. Occorrono prodotti cliccare sui link allegati ma andare direttamente in grado di classificare in tempo reale gli indirizzi al sito scrivendone l’indirizzo che ben conosciamo. dei siti per capire se i contenuti sono pericolosi. Conviene inoltre iscriversi a servizi di aggiornamento sulle vulnerabilità del servizio PHISHING interessante, per essere aggiornati sulle nuove modalità di attacco e difesa. Il phishing è una truffa mirata al furto di identità e di dati sensibili come password, numero VULNERABILITÀ DI AJAX carta credito ecc. La truffa si esegue tramite email false, ma anche contatti telefonici, Ajax è una sigla nata dall’unione di Asynchronous che riproducono l’apparenza grafica dei siti JavaScript e XML con cui si denota una tecnologia di banche, poste, ecc. web in grado di fornire un aggiornamento L’utente riceve un invito a scrivere le proprie asincrono all’applicazione web. In tal modo credenziali per difendersi da virus, eseguire la trasmissione di dati tra client e server avviene aggiornamenti ecc. ma in realtà viene indirizzato secondo specifiche zone della pagina senza verso un sito in grado di rubare le informazioni dover ricaricare tutta la pagina, ovvero l’utente riservate e usarle subito per derubare le persone. avrà sempre una pagina con i contenuti Si tratta purtroppo di un fenomeno in continua aggiornati senza dover fare operazioni crescita e in costante aggiornamento, per cui per ricaricare la pagina. si manifesta in forme sempre diverse. Alcune vulnerabilità di AJAX sono: All’inizio queste email contenevano grossi - esecuzione di codice dannoso in grado di errori di italiano che li rendevano facilmente sostituire i cookie quando il browser effettua individuabili, adesso sono sempre più corrette una chiamata con AJAX; e sofisticate e vale la regola d’oro del non cliccare - altre forme di cross-site scripting; sui link nell’email ma andare direttamente - si può evitare i controlli AJAX per fare all’indirizzo del sito che ben conosciamo. richieste POST o GET dirette, però si espone Per informazioni http://it.wikipedia.org/wiki/ l’applicazione ai pericoli. Phishing e il portale Anti-Phishing Italia su www.anti-phishing.it/ Le Rich Internet Application (RIA) permettono Anche i servizi offerti tramite il Web 2.0 sono un’esperienza di navigazione più ricca anche colpiti da questo fenomeno con varie modalità. grazie all’inserimento di oggetti creati con Adobe Nel primo modo si riceve una email fasulla Flash, controlli ActiveX o Applet. Questi oggetti con l’apparenza grafica delle classiche email sono scaricati sul client in formato binario che riceviamo da parte del gestore del servizio ed esistono software per decompilarli web. L’email contiene, per esempio, una foto e modificarli, con tali operazioni si potrebbe di una persona e un nominativo richiedente iniettare un oggetto pericoloso nel client un contatto sul social network. superando tutti i controlli. Cliccando sul link si viene rediretti verso un sito con l’apparenza simile a quella del social VULNERABILITÀ DI RSS network, ma in realtà è depositato su un altro server e creato apposta per rubare login Grazie alle vulnerabilità Atom injection di RSS, e password da rivendere al mercato nero. un attaccante può mandare (“iniettare”) Un’altra modalità consiste nell’invio di email nel flusso di notizie del codice scritto con avvisi del cambiamento di password in JavaScript per compiere azioni dannose per motivi di sicurezza e invitando a aprire un file senza che il sistema di lettura RSS se ne accorga. 025 Sicurezza nel web 2.0

×