1. Modulo 1- Lezione 4 di 4
Concetti di Base della teoria dell’Informazione
Etica informatica
Ergonomia e salute
Sicurezza informatica
Privacy
Copyright
2. Cos'è l'etica?
L'etica, nel senso classico della parola, si occupa delle regole
di comportamento che riguardano la scelta tra “giusto” e
“sbagliato”.
Perché l'etica informatica?
Lo sviluppo tecnologico e i nuovi media quali Internet ci
pongono di fronte a nuove in situazioni in cui le regole non
sono ancora previste o non sono più adeguate.
Di cosa si occupa l'etica informatica?
L’etica informatica riguarda queste nuove questioni morali
che nascono nella società dell’informazione, ovvero
questioni etiche che sono state generate dall’impatto delle
tecnologie dell’informazione e della computazione.
Temi quali la pirateria informatica o la possibilità di controllo
degli individui, in cui sono messi in discussione concetti
fondamentali quali la proprietà o la privacy sono tipici
esempi di questi cambiamenti.
3. Dall’utilizzo del computer emergono problematiche in diversi campi:
privacy: non è legale reperire in maniera non autorizzata
informazioni personali riguardo ad un utente. Per proteggere
l'accesso da parte di malintenzionati a tali informazioni, sono stati
implementati dei meccanismi di protezione della privacy che
consentono di nascondere tali informazioni o di negarne l'accesso
sicurezza: alcune attività sul web richiedono di poter accedere ad
informazioni strettamente riservate dell'utente. Per evitare che
tali informazioni possano essere viste o “rubate” da altri utenti
sulla rete è necessario implementare dei meccanismi affinché il
trasferimento di queste informazioni avvenga in modo sicuro per
l'utente che le fornisce
copyright o diritto d'autore: è la posizione giuridica soggettiva
dell'autore di un'opera dell'ingegno cui i diversi ordinamenti
nazionali e diverse convenzioni internazionali riconoscono la
facoltà originaria esclusiva di diffusione e sfruttamento della
stessa, ed in ogni caso il diritto ad essere indicato come tale anche
quando abbia alienato le facoltà di sfruttamento economico.
4. Dall’utilizzo del computer emergono problematiche in diversi
campi:
contenuti delle informazioni sul web: con la diffusione dei servizi
di hosting e grazie alla sempre maggiore semplicità di utilizzo di
programmi per la pubblicazione online sono nati problemi
riguardo ai contenuti delle informazioni sul web (pornografia,
pedofilia, violenza …)
phishing: è una tecnica di replicazione di pagine web mirata
all'acquisizione di informazioni personali (come numero di carta
di credito) dell'utente. Un falso link conduce l'utente ad una
pagina web graficamente uguale a quella da lui richiesta, ma in
realtà non lo è. Le informazioni personali che l'utente immette in
questa falsa pagina vengono così trasmesse al “phisher” che ha
pubblicato la pagina.
cyber-crime e cyber-terrorism: i vantaggi delle nuove tecnologie
di comunicazione (velocità, riservatezza …) vengono sfruttati
purtroppo anche dalle organizzazioni criminali e terroriste che
riescono in questo modo a scambiarsi informazioni in maniera
rapida e spesso anche in maniera non identificabile nemmeno
dalle autorità
5. Keywords per i problemi nella società di
Internet:
privacy, sicurezza e riservatezza dei dati e
delle informazioni sul web
virus informatici, worm, spyware, dialer,
phishing
copyright o diritto d'autore
contenuti online (pornografia, pedofilia,
violenza...)
diffusione di false informazioni
cyber-crime e cyber-terrrorism
6. L’art. 4 del Decreto Legge 626/94, prevede che il datore di lavoro
provveda alla valutazione dei rischi presenti nell’ambiente di
lavoro. Tra i principali elementi da prendere in considerazione al
fine della valutazione del rischio vengono considerati anche i
videoterminali, i piani di lavoro e i sedili.
Fattori da tenere in considerazione:
sedia stabile, regolabile in altezza e con braccioli
tavolo alla giusta altezza e con piano antiriflesso
possibilità di appoggio di polsi e gomiti
schermo antiriflesso di buona qualità, posto all’altezza degli occhi
e a circa 60cm di distanza possibilmente con filtro
corretta illuminazione e ventilazione della stanza
posto di lavoro sufficientemente ampio (spazio per gomiti e
ginocchia)
tastiera ergonomica e separata dal computer
piedi leggermente sollevati dal pavimento
finestre con tendine per evitare riflessi
interruzioni frequenti del lavoro
7. Non seguire queste norme comporta:
disturbi oculo-visivi come: bruciore, lacrimazione, secchezza,
senso dicorpo estraneo, ammiccamento frequente, fastidio alla
luce, pesantezza, visione sdoppiata, stanchezza alla lettura.
Cause: condizioni sfavorevoli di illuminazione, impegno visivo
ravvicinato, statico e protratto nel tempo, difetti visivi mal
corretti.
disturbi muscolo-scheletrici come: senso di peso, senso di
fastidio, dolore, intorpidimento, rigidità (collo, schiena, spalle,
braccia, mani).
Cause: errata posizione di lavoro al videoterminale, staticità
protratta per lungo tempo
stress lavorativo: si determina quando la capacità di una persona
non sono adeguate rispetto al tipo e al livello delle richieste
lavorative.
stanchezza
emicrania
11. Un altro aspetto che riguarda l’utilizzo dei
computer è l’impatto ambientale:
Consumo energetico
cercare di scegliere ed utilizzare circuiti a basso
consumo
usare l'auto-spegnimento per i dispositivi inattivi
Produzione di materiali di scarto
cercare di utilizzare materiali riciclabili e
ricaricabili
cercare di utilizzare sempre di più la
documentazione elettronica
12. Alcune cose da considerare
evitare sovraccarichi con le prese elettriche
assicurarsi che le prese elettriche ed i cavi
siano in buono stato
disporre l’ hardware lontano da fonti di
calore e in luoghi non umidi
garantire tensione elettrica costante; nei
casi in cui la continuità del servizio è di
fondamentale importanza è quindi opportuno
usare:
regolatori di tensione
gruppi di continuità
13. Il backup nell'informatica indica un'importante operazione tesa a
duplicare su differenti supporti di memoria le informazioni (dati
o programmi) presenti sui dischi di una stazione di lavoro o di un
server. Il backup viene svolto con una periodicità stabilita (ad
esempio una volta al giorno o alla settimana o al mese).
L'attività di backup è un aspetto fondamentale della gestione di un
computer: in caso di guasti o manomissioni, il backup consente
infatti di recuperare i dati dell'utente o degli utenti che
utilizzano la postazione; in caso di server o di database, questo
recupero può essere essenziale per il lavoro di molte persone.
La conservazione dei supporti di backup in posizioni fisicamente
distinte e separate dai sistemi in uso è strettamente necessaria,
per evitare che in caso di furto, incendio, alluvione o altro
evento catastrofico, le copie vadano perse insieme agli originali.
Anche nei PC di uso privato sono consigliabili periodiche operazioni
di backup, che di solito utilizzano supporti ottici o magnetici
(CD-R, CD riscrivibili, DVD-R, DVD riscrivibili) o dischi rigidi
esterni. Sono ormai in disuso i floppy disk per la scarsa
affidabilità e la limitata capacità.
14. Alcuni comuni dispositivi su cui si effettua il backup dei dati
Hard Disk esterni
CD/DVD (USB/Firewire)
Una volta salvati, i dati vengono
protetti da scrittura
E' consigliabile usare un gruppo di
continuità per impedire spegnimenti
Hard Disk di Rete improvvisi
NAS (Network Area Storage)
15. Nelle reti locali il server può essere incaricato di fare le
copie di backup dei computer che fanno parte della
rete.
Il tipo di backup da utilizzare e la relativa periodicità
sono solitamente regolati da una apposita procedura
aziendale.
Il responsabile della sicurezza è tenuto ad annotare i
controlli periodici e gli interventi sui sistemi. I
supporti su cui viene effettuato il backup devono
essere di tipo e marca approvati nella procedura ed è
necessario che siano periodicamente verificati e
sostituiti. Devono inoltre essere conservati in accordo
con le politiche di sicurezza aziendale, per esempio,
ma non solo, per questioni legate alla privacy.
Le operazioni connesse con il recupero dei dati dal
backup in caso di guasto o cancellazione di una certa
importanza sono soggette ad autorizzazione specifica
del responsabile della sicurezza.
16. Nel caso si voglia garantire la riservatezza, e quindi impedire
l’accesso la password è il mezzo ad oggi più utilizzato.
Una password (in italiano: “parola chiave”, o anche “parola
d'accesso”) è una sequenza di caratteri alfanumerici che viene
usata per accedere in modo esclusivo ad una risorsa
informatica (sportello Bancomat, computer, connessione
Internet, etc. ).
Non è necessario che abbia senso compiuto e può essere
costituita anche da una frase (nel qual caso si parla anche di
passphrase).
Spesso si usa in coppia con un altro termine, lo username (in
italiano nome utente o identificatore utente) al fine di
ottenere un'identificazione univoca da parte del sistema a cui
si richiede l'accesso. La coppia username/password fornisce le
credenziali di accesso ad una delle forme più comuni di
autenticazione; tipico il suo uso nelle procedure di login.
Dato lo scopo per il quale è utilizzata, la password dovrebbe
rimanere segreta a coloro i quali non sono autorizzati ad
accedere alla risorsa in questione.
17. Riepilogo sulle password:
sono parole d'ordine utilizzate per l'accesso a risorse
informatiche protette
sono formate da una sequenza di caratteri alfanumerica
(di lunghezza solitamente maggiore di 6 caratteri e
possibilmente difficile da indovinare)
non devono essere costituite da parole prevedibili o di uso
comune
devono rimanere strettamente riservate
non devono esisterne copie scritte
bisogna stare attenti quando la si usa
Tanto per intendersi, questa è una password:
%Sr5&y7)=0!H?
questa no (o per meglio dire, non è una password sicura):
ciao
18. Quando un sistema è utilizzato da molti utenti si ricorre per
l'autenticazione alla coppia univoca formata da: username +
password
Ogni utente è dotato di uno username, o ID, o userID che lo identifica
univocamente (questo significa che non vi possono essere due
utenti con lo stesso username) sul sistema su cui vuole accedere.
Quando un utente effettua un login* su un computer, potrà accedere
solamente alle risorse che l'amministratore ha deciso di mettergli
a disposizione.
Questo significa che i files personali degli altri utenti non saranno né
visibili, né modificabili da qualsiasi utente che non sia il
proprietario di tali files.
* Login è il termine usato per indicare la procedura di accesso ad un
sistema o un'applicazione informatica. Il login, noto anche come
procedura di autenticazione, è uno dei pilastri fondamentali della
sicurezza e della riservatezza nelle applicazioni informatiche.
Viene effettuato mediante inserimento da parte dell'utente del
proprio username e della corrispondente password.
19. La parola crittografia deriva dalla parola greca kryptós che
significa nascosto e dalla parola greca gráphein che significa
scrivere.
La crittografia tratta delle “scritture nascoste”, ovvero dei
metodi per rendere un messaggio “offuscato” in modo da non
essere comprensibile a persone non autorizzate a leggerlo. Un
tale messaggio si chiama comunemente crittogramma.
In crittografia esistono numerosi algoritmi per cifrare messaggi,
ma tutti rientrano in una di queste due categorie:
crittografia simmetrica o a chiave privata
crittografia asimmetrica o a chiave pubblica
Grazie alla crittografia siamo in grado di trasformare qualsiasi
tipo di dati (siano essi testo, immagini, video, dati binari...) in
una sequenza di caratteri alfanumerici che a primo impatto
risulta essere completamente scorrelata dai dati di partenza,
rendendo così impossibile l'interpretazione di tali dati per
chiunque non conosca il modo per decifrarli.
20. Nell'ambito dell'informatica un virus è un frammento di software, che è
in grado, una volta eseguito, di infettare dei file in modo da
riprodursi facendo copie di sé stesso, generalmente senza farsi
rilevare dall'utente.
I virus possono essere o non essere direttamente dannosi per il sistema
operativo che li ospita, ma anche nel caso migliore comportano un
certo spreco di risorse in termini di RAM, CPU e spazio sul disco fisso.
Nell'uso comune il termine virus viene frequentemente usato come
sinonimo di malware, indicando quindi di volta in volta anche
categorie di “infestanti” diverse, come ad esempio worm, trojan o
dialer.
Quindi cos'è e com'è fatto un virus?
Un virus è composto da un insieme di istruzioni, come qualsiasi altro
programma per computer. È solitamente composto da un numero
molto ridotto di istruzioni, (da pochi byte ad alcuni kilobyte), ed è
specializzato per eseguire soltanto poche e semplici operazioni e
ottimizzato per impiegare il minor numero di risorse, in modo da
rendersi il più possibile invisibile.
Caratteristica principale di un virus è quella di riprodursi e quindi
diffondersi nel computer ogni volta che viene aperto il file infetto.
21. La tecnica solitamente usata dai virus è quella di infettare i file
eseguibili: il virus inserisce una copia di sé stesso nel file eseguibile
che deve infettare.
In questo modo quando un utente lancia un programma infettato viene
dapprima impercettibilmente eseguito il virus, e poi il programma.
L'utente vede l'esecuzione del programma e non si accorge che il virus è
ora in esecuzione in memoria e sta compiendo le varie operazioni
contenute nel suo codice.
Si possono distinguere due fasi di un virus:
quando è solo presente su un supporto di massa (disco fisso, floppy,
CD/DVD, chiave USB...) il virus è inerte, anche se copiato sul proprio
PC non è in grado di fare nulla fino a quando non viene eseguito il
programma che lo ospita
quando è stato caricato in memoria RAM il virus diventa attivo ed
inizia ad agire
Principalmente un virus esegue copie di sé stesso spargendo l'epidemia,
ma può avere anche altri compiti molto più dannosi (cancellare o
rovinare dei file e archivi, formattare l'hard disk, aprire delle back
door, far apparire messaggi, modificare l'aspetto del video...)
22. Effetti che un virus può causare:
danneggiamento, modifica o cancellazione di file ed archivi
danneggiamento, modifica o cancellazione di programmi (S.O.
compreso)
rallentamento del computer
effetti grafici indesiderati
false segnalazioni di guasti ed errori
Come si prende un virus:
attraverso file infetti memorizzati su memorie di massa
attraverso file infetti scaricati da una rete
attraverso messaggi particolari o allegati di posta elettronica
attraverso pagine web che contengono del codice malware
Gli effetti di un virus possono comparire:
immediatamente
ad una data prefissata
all'esecuzione di un comando
23. Una volta tutte le minacce informatiche erano virus come
sopra definiti, successivamente sono comparse e si sono
specializzate diverse altre minacce, anche se nel
linguaggio comune continuano impropriamente ad essere
chiamate “virus informatici”.
Backdoor: punto di passaggio attraverso il quale si può
prendere il controllo di un computer.
Buffer overflow: tecnica per inviare dati di lunghezza
superiore a quella programmata per oltrepassare la
capacità del buffer.
DoS, DRDoS (negazione del servizio): tecnica per
tempestare di richieste un singolo servizio al fine di farlo
collassare.
Exploit: tecnica per prendere il controllo di un computer
sfruttando le debolezze (bug) del sistema operativo o di
altri programmi che accedono ad Internet.
24. Social Engineering: tecnica di studio di un bersaglio
per carpirne la fiducia ed entrarne in contatto.
Keylogger: software installato tramite virus o
backdoor che trasmette i dati/caratteri digitati
sulla tastiera.
Pishing: tecnica di ingegneria sociale per ottenere
informazioni riservate al fine del furto di identità e
di informazioni personali.
Port-scanning: tecnica per verificare lo stato
(accepted, denied, dropped, filtered) delle 65.535
porte di un computer.
Sniffing: (“annusare”) tecnica per intercettare i dati
in transito in rete e decodificarli.
Trojan: (“cavallo di Troia”) sono software malevoli
(malware) nascosti all'interno di programmi
apparentemente utili.
25. Un antivirus è un software atto a rilevare ed eliminare virus informatici o
altri programmi dannosi come worm, trojan e dialer.
Il suo funzionamento si basa principalmente sulla ricerca nella memoria RAM
o all'interno dei file presenti in un computer di uno schema tipico di ogni
virus (in pratica ogni virus è composto da un numero ben preciso di
istruzioni (codice) che possono essere viste come una stringa di byte, il
programma non fa altro che cercare se questa sequenza è presente
all'interno dei file o in memoria).
Il successo di questa tecnica di ricerca si basa sul costante aggiornamento
degli schemi che l'antivirus è in grado di riconoscere effettuato
solitamente da un gruppo di persone in seguito alle segnalazioni degli
utenti e da gruppi specializzati nell'individuazione di nuovi virus.
Esiste anche un'altra tecnica di riconoscimento detta “ricerca euristica” che
consiste nell'analizzare il comportamento dei vari programmi alla ricerca
di istruzioni sospette perché tipiche del comportamento dei virus (come la
ricerca di file o routine di inserimento all'interno di un altro file) o
ricercare piccole varianti di virus già conosciuti (variando una o più
istruzioni è possibile ottenerelo stesso risultato con un programma
leggermente differente).
26. Bisogna ricordare che l'antivirus è in grado di eliminare prima di
tutto soltanto virus che riconosce, quindi tutti i nuovi virus
(per nuovi si intende sia virus che il proprio antivirus non
conosce che quelli che non sono ancora stati scoperti) possono
passare completamente inosservati e fare tutto quello che
vogliono senza che l'antivirus intervenga.
Inoltre l'antivirus riesce ad intercettare il virus soltanto quando
questo è entrato all'interno del computer e quindi ha già
infettato un file o la memoria; a questo punto, a seconda del
virus, può “disinfettare” il file o la memoria eliminando
completamente il virus o in alcuni casi è costretto a mettere in
“quarantena” il file contagiato ed a eliminarlo per
l'impossibilità di recuperare il file originario.
L'antivirus inoltre è un grande utilizzatore delle risorse del
computer e se viene lanciato in background ogni volta che
viene acceso il computer può comportare un forte
rallentamento soprattutto nelle fasi iniziali (perché controlla
prima tutta la memoria e poi tutti i file, che rientrano nella
ricerca selezionata durante la fase configurazione, su disco).
27. Occorre aggiornare continuamente l'antivirus per evitare
che virus già riconosciuti dall'antivirus che si è scelto
possano infettare il proprio PC.
La scoperta di un nuovo virus dipende molto da quanto è
“infettivo”, più un virus si propaga velocemente e più
veloce e semplice è individuarlo e quindi aggiornare le
firme dell'antivirus. Se invece il virus tende ad essere
poco “infettivo” e tende a rimanere localizzato soltanto
in una certa area può passare un tempo relativamente
lungo prima che venga intercettato e aggiunto alle firme.
È successo più volte che un antivirus considerasse dei file o
programmi come virali anche se in realtà non lo erano.
Questo è dovuto al fatto che un insieme di istruzioni (od
una sua piccola variante) che compongono un virus (od
una sua parte) può essere presente anche in programmi e
file “normali” o possono essere ottenuti come
combinazione casuale in un file di dati salvati non in
formato testo.
28. Ci sono numerosi metodi per criptare e compattare
codice malevolo rendendolo così non rintracciabile da
un antivirus; su questo fronte molti antivirus non
sono attrezzati e riescono a fare ben poco, ma anche
gli altri possono non essere in grado di rilevare un file
infetto se non quando questo entra in esecuzione: il
virus viene scompattato in RAM per essere eseguito e
solo in questo momento l'antivirus sarà in grado di
rintracciarlo.
Infine le compagnie che creano i software antivirus
possono avere un incentivo finanziario molto forte a
far sì che nuovi virus vengano creati continuamente e
che il panico nel pubblico generi un continuo ricorso
all'aggiornamento dei loro software. Questa è uno
delle accuse che da varie parti vengono rivolte ai
produttori di antivirus, anche se in realtà non vi è
attualmente nessuna prova che convalidi tale tesi.
29. Riepilogo sugli antivirus:
è necessario usare antivirus per difendersi dal malware
è necessario tenere aggiornato il software antivirus
perché sia efficace
Norme di buonsenso per prevenire l'infezione di un virus:
non aprire file di cui non si conosce la provenienza
evitare di utilizzare le macro nei documenti di office (se
non si è sicuri)
fare una scansione con l'antivirus di ogni dispositivo
collegato al PC
nella posta elettronica:
consentire all'antivirus di controllare la posta in arrivo
non “aprire” mail provenienti da sconosciuti
non eseguire file allegati sospetti (NB. non solo file
eseguibili, ma anche documenti di office, immagini e musica
possono causare infezioni se infetti da virus)
30. In Informatica, nell'ambito delle reti di computer, un firewall è un
componente passivo di difesa perimetrale (hardware o software) che
può anche svolgere funzioni di collegamento tra due o più tronconi di
rete.
Usualmente la rete viene divisa in due sottoreti:
una parte esterna, che comprende l'intera Internet
una parte interna, la LAN, che comprende una sezione più o meno
grande
di un insieme di computer locali
in alcuni casi può essere presente anche una terza sottorete detta
DMZ(o zona demilitarizzata) atta a contenere quei sistemi che devono
essere isolati dalla rete interna ma devono comunque essere protetti
dal firewall
Grazie alla sua posizione strategica, il firewall risulta il posto migliore
ove imporre delle logiche di traffico per i pacchetti in transito e/o
eseguire un monitoraggio di tali pacchetti.
La sua funzionalità principale in sostanza è quella di creare un filtro
sulle connessioni entranti ed uscenti, in questo modo il dispositivo
innalza il livello di sicurezza della rete e permette sia agli utenti
interni che a quelli esterni di operare nel massimo della sicurezza.
31.
32. Riepilogo sui sistemi Firewall:
impediscono l'accesso dall'esterno (Internet) alla rete
interna LAN
controllano tutte le trasmissioni in entrata ed in
uscita
permettono di stabilire quale tipo di traffico si vuole
consentire e quale invece deve essere bloccato (ad
esempio potrei consentire tutto il traffico per il web
e bloccare il traffico per le chat line o per il P2P)
nel caso in cui il firewall sia un software installato su
un computer, esso controlla il traffico di tale
computer da e verso la rete esterna (Internet) e
protegge il computer da accessi esterni non
consentiti
insieme al software antivirus costituiscono un sistema
di sicurezza praticamente completo per un computer
33. Lo spamming è l'invio di grandi quantità di messaggi (generalmente
commerciali) indesiderati e quindi senza il permesso del
destinatario. Può essere messo in atto attraverso qualunque
media, ma il più usato è Internet, attraverso l'e-mail
Il principale scopo dello spamming è la pubblicità, il cui oggetto può
andare dalle più comuni offerte commerciali a proposte di
vendita di materiale pornografico o illegale, come software
pirata e farmaci senza prescrizione medica, da discutibili
progetti finanziari a veri e propri tentativi di truffa.
Uno spammer, cioè l'individuo autore dei messaggi spam, invia
messaggi identici(o con qualche personalizzazione) a migliaia di
indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera
automatica dalla rete mediante spambot ed appositi programmi,
ottenuti da database o semplicemente indovinati usando liste di
nomi comuni.
Per questo si cerca di evitare di scrivere il proprio indirizzo e-mail
su una pagina web pubblicata online nella forma standard:
indirizzo@server.dominio, si possono usare varianti come:
indirizzo_at_server_dot_dominio o si usa una immagine con il
proprio indirizzo email.
34. I meccanismi comunemente utilizzati per la protezione
dei dati in ambienti domestici, o comunque non
soggetti a particolari politiche di protezione sono:
controllo degli accessi mediante un sistema di
identificazione tramite
username e password
utilizzo di politiche per la generazione delle password
effettuare frequenti backup del sistema e dei dati
degli utenti su dispositivi di archiviazione (come
CD/DVD, Hard Disk esterni, ecc.)
proteggere i dati strettamente personali attraverso
tecniche crittografiche
usare sistemi di protezione come antivirus e firewall
35. I meccanismi utilizzati per la protezione dei dati in ambienti
aziendali, e quindi soggetti a particolari politiche di
protezione sono:
controllo degli accessi mediante un sistema di
identificazione tramite username e password
utilizzare vari livelli di utenza (amministratore, power
users, ecc.)
utilizzo di politiche per la generazione delle password
effettuare frequenti backup del sistema e dei dati degli
utenti su dispositivi di archiviazione specializzati
mantenere gli archivi fisicamente isolati consentendo
l'accesso solo al personale di sicurezza
proteggere i dati strettamente personali attraverso
tecniche crittografiche
usare sistemi di protezione come antivirus e firewall
usare piani di emergenza e di disaster recovery
36. Politiche di gestione della sicurezza in azienda:
Le aziende che detengono dati sensibili e personali
dei loro impiegati e dei clienti non possono usarli in
modo improprio.
L'azienda deve adottare una politica di sicurezza
che regoli il trattamento dei dati sensibili (tale
politica deve essere nota a coloro che decidono di
immettere i loro dati personali nel sistema
informatico dell'azienda)
L'azienda deve utilizzare delle procedure per
affrontare eventuali perdite o incidenti sulla
sicurezza dei dati riservati
L'azienda deve disporre di personale di sicurezza
altamente specializzato e preparato che sappia
gestire la riservatezza dei dati sensibili
37. In caso di furto di Laptop o PDA, il ladro avrà a disposizione files privati
(documenti di lavoro, contatti telefonici, ecc.) che potrà sfruttare a
suo favore, però...
...se il backup è stato effettuato periodicamente sarà quindi possibile
recuperare i dati perduti a causa del furto.
...se i dati sensibili sono stati protetti mediante opportuni algoritmi
crittografici, il ladro non sarà in grado di interpretare tali dati.
In caso di accesso di un intruso nel PC, alcuni dati potranno essere
modificati e cancellati anche se il PC non viene fisicamente rubato,
però...
...se si dispone di un sistema firewall, l'intruso avrà più difficoltà a
penetrare nel computer della vittima.
...se si dispone di un sistema di autenticazione basato su password
sicure, l'intruso difficilmente riuscirà ad indovinare la password di
accesso al sistema e dovrà escogitare una tecnica diversa per accedere
al computer.
...se si dispone di un antivirus, eventuali attività sospette verranno
segnalate all'utente e quindi sarà possibile agire di conseguenza.
38. In Italia la legge 54793 punisce con la reclusione i seguenti reati:
danneggiamento di sistemi informatici
accesso abusivo a sistemi informatici
detenzione abusiva di codici di accesso a sistemi informatici
la produzione e la diffusione di malware (siano virus, dialer,
worm...
la violazione, sottrazione e soppressione di corrispondenza
informatica.
la rivelazione del contenuto di corrispondenza telematica.
l’intercettazione di comunicazioni informatiche o telematiche.
installazioni abusive di apparecchiature per le intercettazioni
informatiche.
la falsificazione, alterazione e sottrazione di comunicazioni
informatiche.
rilevazione del contenuto di documenti informatici segreti.
l’accesso non autorizzato ad un sito.
lo spionaggio informatico.
39. Di crescente rilievo è il tema della sicurezza informatica che
riguarda sia i privati cittadini, sia le imprese: esso coinvolge
tutti gli aspetti che riguardano la protezione dei dati sensibili
archiviati digitalmente ma in particolare è noto al grande
pubblico con riferimento all'utilizzo di Internet
La rete come abbiamo visto, è in grado di offrire una vasta
gamma di informazioni e servizi ma contemporaneamente può
costituire un luogo pericoloso per la nostra privacy anche
perché il mezzo stesso non è stato concepito per scambiare o
gestire dati sensibili.
In un contesto simile, mantenere l’anonimato risulta spesso
arduo e con il proliferare dell'e-banking e lo spostamento delle
aziende su Internet, risulta più semplice per i malintenzionati
accedere alle nostre informazioni riservate. A tal proposito,
una delle piaghe più dannose della rete è lo spyware che,
installandosi spesso in maniera fraudolenta nel personal
computer delle vittime, provvede ad inviare dati personali
(pagine visitate, account di posta, ecc.) ad aziende che
successivamente li rielaboreranno e rivenderanno.
40. Esiste perfino un metodo, chiamato social engineering, tramite cui i
truffatori riescono a ottenere informazioni personali sulle vittime
attraverso le più disparate tecniche psicologiche: si tratta di una sorta di
manipolazione che porta gli utenti a rilasciare spontaneamente i propri
dati confidenziali.
In Italia è attualmente in vigore il Decreto legislativo 30 giugno 2003, n. 196,
Codice in materia di protezione dei dati personali, che ha riordinato la
Legge sulla privacy del 1996, n.675.
In un complesso iter di innovazione legislativo, risulta sicuramente basilare
la promulgazione della legge 547/1993 che introduce, tra gli altri,
l’importantissimo concetto di frode informatica definita dall’art. 10
all’art. 640ter c.p. secondo cui:
“chiunque, alterando in qualsiasi modo il funzionamento di un sistema
informatico o telematico o intervenendo senza diritto con qualsiasi
modalità su dati, informazioni o programmi contenuti in un sistema
informatico o telematico o ad esso pertinenti, procura a se o ad altri un
ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a
tre anni e con la multa da euro 516 a euro 1032. La pena è della
reclusione da uno a cinque anni e della multa da euro 309 a euro 1549 se
ricorre una delle circostanze previste dal n.1 del secondo comma dell’art.
640 ovvero se il fatto è commesso con abuso della qualità di operatore del
sistema. […]”.
41. Estremamente rilevante risulta anche la già citata legge
675/1996 che, sebbene non si occupi in modo specifico del
contesto informatico, ricopre un ruolo fondamentale per ciò
che concerne il trattamento e la protezione dei dati personali.
Dal 1° gennaio 2004 è inoltre in vigore il decreto legislativo n.
196 che ha puntato l’attenzione su tematiche importanti come
le modalità con cui devono essere trattati i dati confidenziali
nell’ambito dei servizi di comunicazione elettronica accessibili
al pubblico e l’obbligo, da parte dei fornitori, di rendere
l’utente più consapevole su come le loro informazioni riservate
verranno trattate e utilizzate.
Per la stessa natura di Internet, soggetta a continui
cambiamenti, la tutela penale per la riservatezza delle
comunicazioni in rete, così come l’intero corpus legislativo ad
essa affine, si arricchisce ogni giorno di nuovi decreti. Si tratta
di un panorama estremamente complesso costituito da
numerose eccezioni, casi specifici che vanno indagati nella
loro singolarità e ambiti particolari, come ad esempio quello
della videosorveglianza, nei quali una parziale invasione della
privacy è concessa a patto che rientri in determinati limiti.
42. Obbiettivi della legge:
migliore protezione dei dati
tutela della riservatezza
tutela da utilizzi non autorizzati
garanzia dei soggetti proprietari dei dati
obblighi per i gestori
sicurezza nazionale
Chi gestisce dati è soggetto alle seguenti regole:
deve avere ottenuto autorizzazione scritta per il
trattamento dei dati
deve comunicare all’interessato la finalità
dell’impiego dei dati
deve essere disponibile per verifiche su richiesta
deve attivare procedure di protezione dei dati gestiti
44. Classificazioni del software in base alla licenza d'uso.
Freeware
Il termine freeware indica un software che viene distribuito in
modo gratuito.
Il freeware è distribuito indifferentemente con o senza codice
sorgente, a totale discrezione dell'autore e senza alcun obbligo
al riguardo. È sottoposto esplicitamente ad una licenza che ne
permette la redistribuzione gratuita.
Il software freeware viene concesso in uso senza alcun
corrispettivo,ed è liberamente duplicabile e distribuibile, con
pochissime eccezioni.
Le seguenti categorie non rientrano nella categoria di
freeware:
Software Libero. Sebbene gran parte del software libero sia anche
gratuito, la definizione di software libero non pone alcun vincolo al
suo prezzo.
Shareware. Nonostante siano distribuiti in maniera simile a quelli
freeware, richiedono un pagamento al termine di un periodo di
prova o per attivarne tutte le funzionalità.
45. Shareware
Il software sotto licenza shareware può essere liberamente
ridistribuito e utilizzato per un periodo di tempo di prova variabile
(generalmente 30 giorni), dopodiché è necessario registrare il
software presso la casa produttrice pagandone l'importo.
La versione di prova può avere limitazioni rispetto alla versione
completa quali l'impossibilità di stampare o salvare i files o simili,
contenere al suo interno meccanismi di protezione tali da impedire di
utilizzare il software dopo la scadenza, mancanza di supporto del
produttore e altro. Una volta acquistata la versione completa viene
generalmente fornito un codice seriale da inserire nell'applicativo per
sbloccarne le funzioni senza dover effettuare una nuova installazione.
Demoware
E' un software rilasciato per dimostrazione, con l'intento di
pubblicizzare il prodotto software. Spesso ha funzionalità limitate
rispetto alla versione completa del programma, e serve solamente
per “provare” il prodotto. In alcuni casi può anche avere limitazioni
sul numero di volte (o di giorni) che può essere utilizzato.
46. Software di pubblico dominio
Con l'espressione di/in pubblico dominio si caratterizzano
in generale beni - e in particolare informazioni - che non
entrano nella proprietà di alcun soggetto individuato.
Dal punto di vista del diritto internazionale, il pubblico
dominio è quell'insieme di opere d'ingegno e altre
conoscenze sulle quali nessuna persona o organizzazione
ha un interesse proprietario. Tali opere e invenzioni sono
considerate parte dell'eredità culturale pubblica, e
chiunque può utilizzarle o modificarle senza restrizioni.
Mentre il diritto d'autore venne creato per difendere
l'incentivo finanziario di coloro i quali svolgono un lavoro
creativo, e come mezzo per incoraggiare ulteriore lavoro
creativo, le opere di pubblico dominio esistono in quanto
tali, e il pubblico ha il diritto di usare e riutilizzare il
lavoro creativo di altri senza dover pagare un prezzo
economico o sociale.
47. Software con licenza d'uso
E' un software proprietario che ha restrizioni sul suo utilizzo,
sulla sua modifica, riproduzione o ridistribuzione, solitamente
imposti da un proprietario. Queste restrizioni vengono
ottenute tramite mezzi tecnici o legali.
Mezzi tecnici: rendere pubblico solo il codice binario del
software, trattenendone il codice sorgente.
Mezzi legali: licenze, copyright e brevetti.
La licenza in ambito informatico è il contratto che può
accompagnare un prodotto software. Tale contratto specifica
le modalità con cui l'utente può usare tale prodotto,
garantendo dei diritti ed imponendo obblighi.
La licenza è imposta da chi detiene il copyright sul prodotto
software; la sua validità dipende dalla presenza del diritto
d'autore, questo perché solo chi detiene il copyright ha il
diritto di far rispettare in ogni sede la licenza stessa.
48. La legge punisce anche l’acquisto incauto di software.
Nel caso di acquisto di software assicurarsi che vengano
forniti:
i supporti originali
le licenze d'uso (numero di serie, codici di attivazione,
ecc.)
i manuali
Oltre al software, da internet si possono scaricare dati di
ogni tipo (audio, video, immagini, ecc.)
Bisogna sempre ricordare che:
i files scaricati potrebbero essere illegali in quanto
sottoposti alla legge sul copyright (ad esempio album
musicali o film)
i files scaricati possono essere letti ed usati ma non
pubblicati di nuovo (ad esempio pagine web protette da
diritti d’autore)
49. L’utilizzo di un software è quindi un vero e
proprio contratto tra noi e la casa produttrice
del software.
Questo contratto si chiama EULA (End User
Licence Agreement), e regola ciò che possiamo e
non possiamo fare con il software acquistato.
Può essere allegato nella confezione stessa,
oppure, se grande, in un file all’interno del
software stesso.
Regolamenta solitamente:
Il numero di macchine su cui il software può essere
installato
La duplicazione
La diffusione
50. Web page: www.liceovolta.org/ecdl
E-mail: jack1852@gmail.com
