altre esercitazioni on line - simone.it · 3 premessa la ecdl foundation ha modificato, alcuni anni...
TRANSCRIPT
➜
Copyright © 2018 Simone s.r.l.Via F. Russo 33/D80123 Napoli
Tutti i diritti riservatiÈ vietata la riproduzione anche parzialee con qualsiasi mezzo senza l’autorizzazionescritta dell’editore.
Per citazioni e illustrazioni di competenza altrui, riprodotte in questo libro, l’editore è a disposizione degli aventi diritto. L’editore provvederà, altresì, alleopportune correzioni nel caso di errori e/o omissioni a seguito della segnalazionedegli interessati.
300/H - La Nuova ECDL - Moduli a completamento per la certificazione Full standardISBN 978-88-914-1418-2
Ristampe8 7 6 5 4 3 2 1 2018 2019 2020 2021 2022
Questo volume è stato stampato pressoArti Grafiche Italo CerniaVia Capri, n. 67 - Casoria (NA)
Microsoft, Windows, Microsoft Word e Microsoft Excel sono marchi registrati dalla Microsoft Corporation.Altri nomi e marchi citati sono generalmente depositati o registrati dalle rispettive case produttrici.
AICA, licenziataria esclusiva in Italia del programma ECDL (European Computer Driving Licence), attesta che il mate-riale didattico validato copre puntualmente e integralmente gli argomenti previsti nel Syllabus ECDL e necessari per il con-seguimento della patente europea del computer.Di conseguenza AICA autorizza sul presente materiale di-dattico l’uso del marchio ECDL, registrato dalla Fondazione ECDL di Dublino e protetto dalle leggi vigenti.
Tutti i diritti di sfruttamento economico dell’opera appartengonoalla Simone s.r.l. (art. 64, D.Lgs. 10-2-2005, n. 30)
I Moduli 5 e 7 sono a cura di Francesco Maria LandolfiIl Modulo 6 è a cura di Umberto Marone
3
Premessa
La ECDL Foundation ha modificato, alcuni anni fa, la procedura per il conseguimento della Patente Europea del Computer (ECDL).Ora esistono due diversi livelli di certificazione: la ECDL Base e la ECDL Full Standard.
Per conseguire la ECDL Base si dovranno sostenere quattro esami, ciascuno dedicato ad uno dei seguenti Moduli:
— Computer Essentials – Concetti di base del computer;— On Line Essentials – Concetti di base della rete;— Word Processing – Elaborazione testi;— Spreadsheet – Fogli elettronici.
Per il conseguimento della ECDL Full Standard è necessario sostenere, oltre quelli previsti per la ECDL Base, altri tre esami su altrettanti Moduli (affrontati nel presente volume):
— It Security – Sicurezza informatica;— Presentation – Strumenti di presentazione;— Online Collaboration – Collaborazione in Rete.
Tutti i moduli trattati nel volume sono aggiornati al nuovo Syllabus 6.0 emanato nel 2018.Alcuni paragrafi sono contrassegnati dall’icona : ciò significa che per quell’argomento è disponibi-le un video esplicativo sull’estensione online, raggiungibile sul sito www.simonescuola.it.
Nelle sezioni riservate alle verifiche è presente l’icona Altre esercitazioni on line : collegandosi al suddet-to sito, sarà dunque possibile scaricare ulteriori esercitazioni pratiche relative all’argomento trattato.
4
indice
1 Indice
Premessa ............................................................................................................................................... Pag. 3
Modulo 5 - Sicurezza informatica (IT Security)
Unità 1 - Concetti di sicurezza ......................................................................................................... » 12
1 Dati e informazioni (syllabus 1.1.1) ............................................................................................ » 13
2 I crimini informatici (syllabus 1.1.2) .......................................................................................... » 13
3 Hacking (syllabus 1.1.2) ............................................................................................................... » 14
4 Le minacce ai dati provocate da circostanze straordinarie (syllabus 1.1.4) ............................. » 14
5 Le minacce ai dati provocate da singoli individui (syllabus 1.1.3) ........................................... » 14
6 Le minacce ai dati provocate dal cloud computing (syllabus 1.1.5) ......................................... » 15
7 Perché proteggere i dati e le informazioni personali (syllabus 1.2.2; 1.2.3) ............................. » 15
8 Le caratteristiche fondamentali della sicurezza delle informazioni (syllabus 1.2.1) ............... » 15
9 La protezione dei dati personali. Definizioni e ruoli (syllabus 1.2.5)............................................ » 16
10 I principi in materia di conservazione e il controllo dei dati (syllabus 1.2.4) .......................... » 16
11 L’importanza delle linee guida delle politiche ICT e come fare per ottenerle (syllabus 1.2.6) . » 17
12 L’ingegneria sociale (syllabus 1.3.1; 1.3.2) .................................................................................. » 17
13 Il furto di identità (syllabus 1.3.3; 1.3.4) ..................................................................................... » 18
14 La sicurezza dei file: le password e la cifratura (syllabus 1.4.2; 1.4.3; 1.4.4) .................................. » 19
15 Le macro (syllabus 1.4.1) ............................................................................................................. » 21 Verifiche ed esercizi ................................................................................................................... » 22
Unità 2 - I malware ............................................................................................................................ » 24
1 Cosa è un malware (syllabus 2.1.1) ............................................................................................. » 25
2 Trojan, backdoor e rootkit (syllabus 2.1.1) ................................................................................. » 25
3 I malware «infettivi» (syllabus 2.1.2) .......................................................................................... » 25
4 Alcuni tipi di malware (syllabus 2.1.3) ........................................................................................ » 25
5 Come funziona un software antivirus (syllabus 2.2.1; 2.2.2; 2.3.1; 2.3.2; 2.3.3) ....................... » 26
6 La protezione tramite aggiornamenti dei software (syllabus 2.2.3; 2.2.5) ................................ » 28
7 Eseguire e pianificare scansioni con un antivirus (syllabus 2.2.4) .............................................. » 28 Verifiche ed esercizi ................................................................................................................... » 29
Unità 3 - La sicurezza in rete ............................................................................................................ » 31
1 Le reti informatiche. LAN, WAN e VPN (syllabus 3.1.1) ............................................................ » 32
2 Le implicazioni di sicurezza relative alle connessioni di rete (syllabus 3.1.2) ......................... » 32
3 Il ruolo e i compiti dell’amministratore di rete (syllabus 3.1.3) ................................................ » 33
4 Le funzioni e i limiti di un firewall (syllabus 3.1.4; 3.1.5) .......................................................... » 33
5
indice
5 La sicurezza di una rete wireless (syllabus 3.2.1; 3.2.2) ............................................................. Pag. 33
6 L’accesso agli hot spot personali (syllabus 3.2.3; 3.2.4) .............................................................. » 34
7 Le misure per prevenire accessi non autorizzati ai dati (syllabus 4.1.1, 4.1.2) ........................ » 36
8 L’account di rete e il controllo di accesso (syllabus 4.1.3; 4.1.4) ............................................... » 36
9 La sicurezza di una password. Le tecniche di sicurezza biometriche (syllabus 4.1.5; 4.2.1; 4.2.2) ............................................................................................................................................. » 37 Verifiche ed esercizi ................................................................................................................... » 38
Unità 4 - Uso sicuro del Web ............................................................................................................ » 40
1 I rischi della navigazione in rete e i siti Web «sicuri» (syllabus 5.2.1) ...................................... » 41
2 Il cd. pharming (syllabus 5.2.3) ................................................................................................... » 41
3 Come verificare e confermare l’autenticità di un sito web (syllabus 5.2.2)............................... » 42
4 Il certificato digitale (syllabus 5.2.2) ........................................................................................... » 42
5 Il software per il controllo dei contenuti (syllabus 5.2.4) .......................................................... » 43
6 I rischi del completamento e del salvataggio automatico dei moduli (syllabus 5.1.1) ................. » 43
7 I cookie. Selezionare opzioni adeguate per consentirli o bloccarli (syllabus 5.1.2) ........................ » 44
8 Eliminare dati privati da un browser (syllabus 5.1.2) ................................................................ » 44 Verifiche ed esercizi ................................................................................................................... » 45
Unità 5 - La sicurezza nelle comunicazioni ..................................................................................... » 47
1 I rischi connessi all’uso della posta elettronica. I malware (syllabus 6.1.6) ............................. » 48
2 Lo spam e la cd. scam mail (syllabus 6.1.3) ................................................................................ » 48
3 Il cd. phishing (syllabus 6.1.4; 6.1.5) ........................................................................................... » 49
4 La crittografia dei messaggi di posta elettronica e la firma digitale (syllabus 6.1.1; 6.1.2) ...... » 50
5 La messaggistica istantanea (syllabus 6.3.1; 6.3.2) .................................................................... » 51
6 La sicurezza nei social network (syllabus 6.2.1; 6.2.2; 6.2.3; 6.2.4; 6.2.5) ................................. » 52
7 I rischi delle applicazioni per i dispositivi mobili (syllabus 6.4.1; 6.4.2; 6.4.3) ........................ » 54
8 Le misure di emergenza in caso di perdita di un dispositivo mobile (sylabus 6.4.4) ............... » 55 Verifiche ed esercizi ................................................................................................................... » 56
Unità 6 - Gestione sicura dei dati ................................................................................................... » 58
1 La sicurezza fisica dei dispositivi (syllabus 7.1.1) ...................................................................... » 59
2 L’importanza della procedura di copia di sicurezza (syllabus 7.1.2; 7.1.3) ............................... » 60
3 Effettuare e ripristinare la copia di sicurezza dei dati (syllabus 7.1.4; 7.1.5) ........................... » 60
4 Eliminare in modo permanente i dati dalle memorie di massa o dai dispositivi (syllabus 7.2.1; 7.2.2; 7.2.4) ......................................................................................................................... » 61
5 L’eliminazione del contenuto dai servizi Internet (syllabus 7.2.3) ............................................ » 62 Verifiche ed esercizi ................................................................................................................... » 63 Verifiche ed esercizi di fine Modulo ........................................................................................ » 65 Syllabus ........................................................................................................................................ » 67
6
indice
Modulo 6 - Strumenti di presentazione (Presentation)
Unità 1 - Utilizzo dell’applicazione................................................................................................... Pag. 72
1 Introduzione ................................................................................................................................. » 73
2 Aprire l’applicazione ed aprire una presentazione esistente Apri (syllabus 1.1.1) .............. » 74
3 Creare una nuova presentazione Nuovo (syllabus 1.1.2) ...................................................... » 78
4 Salvare una presentazione Salva (syllabus 1.1.3; 1.1.4) ........................................................ » 79
5 Uso di più presentazioni in contemporanea (syllabus 1.1.5) ..................................................... » 81
6 Adattare PowerPoint alle proprie esigenze (syllabus 1.2.1) ....................................................... » 82
7 In cerca di aiuto (syllabus 1.2.2) .................................................................................................. » 83
8 La lente d’ingrandimento (syllabus 1.2.3) ................................................................................... » 83
9 Gestione della barra multifunzione (syllabus 1.2.4) ................................................................... » 84 Verifiche ed esercizi ................................................................................................................... » 86
Unità 2 - Sviluppare una presentazione .......................................................................................... » 88
1 Punti di vista Viste (syllabus 2.1.1; 2.1.2) ................................................................................. » 89
2 Importanza di un titolo (syllabus 2.1.3) ...................................................................................... » 91
3 Le diapositive Diapositive (syllabus 2.2) .................................................................................. » 92
4 Cambiamo il layout (syllabus 2.2.1) ............................................................................................ » 93
5 Diamo colore alla presentazione: scegliamo un un tema (syllabus 2.2.2) ................................ » 93
6 Lo sfondo, un elemento della diapositiva Sfondo (syllabus 2.2.3) .......................................... » 96
7 Aggiungiamo una nuova dispositiva (syllabus 2.2.4) ................................................................. » 98
8 Copiamo o spostiamo le diapositive (syllabus 2.2.5) .................................................................. » 99
9 Eliminiamo le diapositive (syllabus 2.2.6) .................................................................................. » 100
10 Lo schema diapositiva (syllabus 2.3.1; 2.3.3) .............................................................................. » 101
11 Aggiungiamo elementi grafici allo schema (syllabus 2.3.2) ....................................................... » 102 Verifiche ed esercizi ................................................................................................................... » 104
Unità 3 - Testi .................................................................................................................................... » 106
1 La gestione dei testi: creazione dei contenuti (syllabus 3.1.1) ................................................... » 107
2 Come inserire il testo in una slide Testo (syllabus 3.1.2) ......................................................... » 108
3 Modificare il testo esistente (syllabus 3.1.3) ............................................................................... » 110
4 Spostare o copiare testo in una presentazione o tra presentazioni diverse Spostare e copia- re (syllabus 3.1.4) .......................................................................................................................... » 110
5 Cancelliamo il testo (syllabus 3.1.5) ............................................................................................ » 111
6 Annulliamo l’errore (syllabus 3.1.6) ............................................................................................ » 111
7 I rientri (syllabus 3.1.7) ................................................................................................................ » 111
8 Formattiamo i caratteri Formattazione (syllabus 3.2.1; 3.2.2; 3.2.3; 3.2.4) ........................... » 113
7
indice
9 L’allineamento del testo (syllabus 3.2.5) ...................................................................................... Pag. 115
10 Gli elenchi ..................................................................................................................................... » 116
11 Distanziamo i paragrafi ed i punti dell’elenco (syllabus 3.2.6) .................................................. » 116
12 Cambiamo lo stile elenco Elenchi (syllabus 3.2.7)................................................................... » 118
13 Inserire, modificare ed eliminare un collegamento ipertestuale (syllabus 3.2.8) ..................... » 119
14 Le tabelle (syllabus 3.3.1; 3.3.2; 3.3.3; 3.3.4; 3.3.5) ..................................................................... » 122 Verifiche ed esercizi ................................................................................................................... » 124
Unità 4 - Grafici e organigrammi ..................................................................................................... » 126
1 Creiamo un grafico Grafici (syllabus 4.1.1) .............................................................................. » 127
2 Operiamo su un grafico già esistente (syllabus 4.1.2) ................................................................ » 128
3 Modifichiamo tipo di grafico (syllabus 4.1.3) ............................................................................. » 128
4 Diamo un nome alle cose (syllabus 4.1.4; 4.1.5) ......................................................................... » 129
5 Colorare i grafici (syllabus 4.1.6; 4.1.7) ....................................................................................... » 131
6 Gli organigrammi Organigrammi (syllabus 4.2.1; 4.2.2; 4.2.3) ............................................... » 133 Verifiche ed esercizi ................................................................................................................... » 137
Unità 5 - Oggetti grafici .................................................................................................................... » 140
1 Inserire e manipolare le immagini (syllabus 5.1.1; 5.1.2; 5.1.4; 5.1.5; 5.1.6) ............................ » 141
2 Copiare e spostare gli oggetti grafici (syllabus 5.1.3) ................................................................. » 145
3 Allineare gli oggetti grafici (syllabus 5.1.7; 5.1.8) ....................................................................... » 146
4 Disegniamo (syllabus 5.2.1) ......................................................................................................... » 148
5 Inseriamo testo in una casella di testo o in una forma (syllabus 5.2.2) .................................... » 151
6 Modifichiamo il disegno (syllabus 5.2.3; 5.2.4; 5.2.5) ................................................................ » 151
7 Raggruppare e separare oggetti (syllabus 5.2.6) ......................................................................... » 153
8 Riordinare le forme (syllabus 5.2.7) ............................................................................................ » 154 Verifiche ed esercizi ................................................................................................................... » 155
Unità 6 - Preparazione e rilascio della presentazione ................................................................... » 157
1 Passare da una diapositiva all’altra Transizioni (syllabus 6.1.1) ............................................. » 158
2 Effetti di animazione Animazioni (syllabus 6.1.2) ................................................................... » 159
3 Le note (syllabus 6.1.3) ................................................................................................................ » 162
4 Ultimi ritocchi (syllabus 6.1.4; 6.2.2) .......................................................................................... » 163
5 Intestazione e piè di pagina (syllabus 6.1.5; 6.1.6) ..................................................................... » 164
6 Numeri e date (syllabus 6.1.5; 6.1.6) ........................................................................................... » 165
7 Controllo ortografico (syllabus 6.2.1) .......................................................................................... » 167
8 Le operazioni di stampa (syllabus 6.2.3) ..................................................................................... » 168
8
indice
9 La presentazione (syllabus 6.2.4; 6.2.5) ...................................................................................... » 170 Verifiche ed esercizi ................................................................................................................... » 171 Verifiche ed esercizi di fine Modulo ........................................................................................ » 173 Syllabus ........................................................................................................................................ » 176
Modulo 7 - Collaborazione in rete (Online Collaboration)
Unità 1 - Concetti di collaborazione ................................................................................................ » 180
1 Concetti fondamentali (syllabus 1.1.1) ........................................................................................ » 181
2 I servizi di collaborazione online (syllabus 1.1.2) ...................................................................... » 181
3 I cd. media sociali. Caratteristiche comuni (syllabus 1.1.2; 1.1.3) ............................................ » 181
4 I vantaggi degli strumenti di collaborazione online (syllabus 1.1.4) ......................................... » 182
5 I rischi degli strumenti di collaborazione online (syllabus 1.1.5) ............................................. » 182
6 Il corretto uso dei contenuti negli strumenti di collaborazione online (syllabus 1.1.6) ........... » 184
7 Il cloud computing come tecnologia che facilita la collaborazione online (syllabus 1.2.1) ..... » 185
8 Vantaggi, svantaggi e rischi del cloud computing (syllabus 1.2.2; 1.2.3) .................................. » 185 Verifiche ed esercizi ................................................................................................................... » 186
Unità 2 - Uso degli strumenti di collaborazione online ................................................................. » 188
1 Installare il software di supporto agli strumenti di collaborazione online (syllabus 2.1.1; 2.1.2) ............................................................................................................................................. » 189
2 L’accesso ai sistemi di collaborazione online (syllabus 2.1.1; 2.1.2; 2.1.3)................................ » 189
3 Registrare un account utente per uno strumento di collaborazione online e scaricare il sof- tware di supporto agli strumenti di collaborazione online (syllabus 2.2.1; 2.2.2) .................... » 190
4 Le memorie di massa online (syllabus 3.1.1) .............................................................................. » 193
5 I limiti delle memorie di massa online (syllabus 3.1.2).............................................................. » 194
6 Caricare, scaricare ed eliminare cartelle o file (syllabus 3.1.3) .................................................. » 194
7 Le applicazioni di produttività (syllabus 3.1.4; 3.1.5; 3.1.6) ...................................................... » 197
8 La condivisione dei file (syllabus 3.1.7) ....................................................................................... » 199
9 Visualizzare e ripristinare versioni precedenti del file (syllabus 3.1.8) ..................................... » 202
10 Condividere un calendario, concedere il permesso di vedere, modificare un calendario con- diviso. Mostrare, nascondere un calendario condiviso (syllabus 3.2.1; 3.2.2) .......................... » 202
11 Usare un calendario condiviso per creare un evento o un evento ripetuto. Impostare un pro- memoria per un evento (syllabus 3.2.3; 3.2.4; 3.2.5; 3.2.6) ........................................................ » 205 Verifiche ed esercizi ................................................................................................................... » 208
Unità 3 - I media sociali .................................................................................................................... » 210
1 Identificare gli strumenti di media sociali (syllabus 3.3.1) ........................................................ » 211
2 I forum e gruppi di discussione (syllabus 3.3.1) ........................................................................ » 211
3 I Wiki (syllabus 3.3.1; 3.3.8) ......................................................................................................... » 213
9
indice
4 I blog e microblog (syllabus 3.3.1; 3.3.7) .................................................................................... Pag. 213
5 Le reti sociali (syllabus 3.3.1) ...................................................................................................... » 214
6 Le comunità di condivisioni di contenuti (syllabus 3.3.1) ......................................................... » 215
7 Impostare permessi/opzioni di privacy disponibili quali accesso in lettura, accesso in scrit- tura, inviti agli utenti (syllabus 3.3.2) ......................................................................................... » 215
8 Trovare, collegarsi a utenti, gruppi di media sociali. Eliminare le connessioni (syllabus 3.3.3) ............................................................................................................................................. » 216
9 Usare uno strumento di media sociale per pubblicare un commento o un link (syllabus 3.3.4; 3.3.6) ................................................................................................................................... » 219
10 Usare un media sociale per rispondere a, inoltrare un commento (syllabus 3.3.5) ................. » 221
11 Eliminare post da media sociali (syllabus 3.3.7) ........................................................................ » 223 Verifiche ed esercizi ................................................................................................................... » 225
Unità 4 - Riunioni online e ambienti di apprendimento online ..................................................... » 227
1 I servizi di riunione online (syllabus 3.4.1) ................................................................................. » 228
2 Creare o annullare una riunione, invitare i partecipanti. Avviare e concludere una riunione (syllabus 3.4.1; 3.4.2; 3.4.3) .......................................................................................................... » 228
3 Usare le funzioni di chat, la condivisione del desktop, audio e video. Impostare diritti di accesso (syllabus 3.4.4; 3.4.5; 3.4.6) ............................................................................................ » 230
4 Gli ambienti di apprendimento online. I VLE e gli LMS (syllabus 3.5.1) ................................. » 231
5 Le caratteristiche e le funzioni disponibili in un ambiente di apprendimento online (syllabus 3.5.2; 3.5.3) ................................................................................................................................... » 232
6 Caricare o scaricare un file in un ambiente di apprendimento online (syllabus 3.5.4) ............ » 232
7 Accedere ad una attività di un corso quale un quiz o un forum (syllabus 3.5.5)...................... » 235 Verifiche ed esercizi ................................................................................................................... » 236
Unità 5 - La collaborazione mobile .................................................................................................. » 238
1 Concetti fondamentali (syllabus 4.1.1) ........................................................................................ » 239
2 I sistemi operativi dei dispositivi mobili (syllabus 4.1.2) ........................................................... » 240
3 La connessione Bluetooth dei dispositivi mobili (syllabus 4.1.3) .............................................. » 240
4 Le connessioni Wireless, 3G e 4G dei dispositivi mobili (syllabus 4.1.4) .................................. » 241
5 La velocità delle connessioni wireless, 3G, 3.5G e 4G dei dispositivi mobili (syllabus 4.1.4) .. » 242
6 La sicurezza dei dispositivi mobili (syllabus 4.1.5) .................................................................... » 242
7 Collegarsi ad Internet in modo sicuro usando i dispositivi mobili (syllabus 4.2.1) ................. » 243
8 Effettuare ricerche sul Web (syllabus 4.2.2) ............................................................................... » 244
9 Inviare e ricevere messaggi di posta elettronica (syllabus 4.2.3) ............................................... » 245
10 Utilizzare un calendario (syllabus 4.2.4) ..................................................................................... » 246
11 Condividere immagini e video usando opzioni diverse (syllabus 4.2.5) ................................... » 248
12 Le applicazioni dei dispositivi mobili (syllabus 4.3.1) ............................................................... » 248
10
indice
13 Gli app store. L’installazione, la disinstallazione e l’aggiornamento delle app (syllabus 4.3.2; 4.3.3; 4.3.4; 4.3.5) ......................................................................................................................... Pag. 249
14 Utilizzare una app (syllabus 4.3.6) .............................................................................................. » 251
15 La sincronizzazione e il suo scopo (syllabus 4.4.1; 4.4.2; 4.4.3) ................................................ » 253 Verifiche ed esercizi ................................................................................................................... » 254 Verifiche ed esercizi di fine Modulo ........................................................................................ » 256 Syllabus ........................................................................................................................................ » 258
modulo 5
Sicurezzainformatica(ITSecurity)
S o m m a r I o
unità 1 concetti di sicurezza
unità 2 i malware
unità 3 la sicurezza in rete
unità 4 uso sicuro nel Web
unità 5 la sicurezza nelle comunicazioni
unità 6 Gestione sicura dei dati
o b I e T T I v I
• comprendere l’importanza di rendere sicure informazioni e dati, e identificare i principi per assicurare protezione, conservazione e controllo dei dati e della riservatezza (privacy)
• riconoscere le minacce alla sicurezza personale, quali il furto di identità, e le potenziali minacce ai dati, derivanti ad esempio dal cloud computing
• saper usare password e cifratura per mettere in sicurezza i file e i dati
• comprendere le minacce associate al malware, essere in grado di proteggere un computer, un dispo-sitivo mobile o una rete dal malware e far fronte agli attacchi del malware
• riconoscere i comuni tipi di sicurezza associati alle reti cablate e wireless, ed essere in grado di usa-re firewall e hotspot personali
• Proteggere un computer o un dispositivo mobile da accessi non autorizzati ed essere in grado di ge-stire e aggiornare in sicurezza le password
• usare impostazioni adeguate per il browser web, comprendere come verificare l’autenticità dei siti web e navigare nel World Wide Web in modo sicuro
• comprendere i problemi di sicurezza associati all’uso della posta elettronica, delle reti sociali, del protocollo VoiP, della messaggistica istantanea e dei dispositivi mobili
• eseguire copie di sicurezza e ripristinare i dati sia localmente che da dischi sul cloud, ed eliminare dati e dispositivi in modo sicuro
unità 1
Concettidisicurezza
S o m m a r I o
1 dati e informazioni (syllabus 1.1.1)
2 i crimini informatici (syllabus 1.1.2)
3 Hacking (syllabus 1.1.2)
4 le minacce ai dati provocate da circostanze straordinarie (syllabus 1.1.4)
5 le minacce ai dati provocate da singoli individui (syllabus 1.1.3)
6 le minacce ai dati provocate dal cloud computing (syllabus 1.1.5)
7 Perché proteggere i dati e le informazioni personali (syllabus 1.2.2; 1.2.3)
8 le caratteristiche fondamentali della sicurezza delle informazioni (syllabus 1.2.1)
9 la protezione dei dati personali. definizioni e ruoli (syllabus 1.2.5)
10 i principi in materia di conservazione e il controllo dei dati (syllabus 1.2.4)
11 l’importanza delle linee guida delle politiche ict e come fare per ottenerle (syllabus 1.2.6)
12 l’ingegneria sociale (syllabus 1.3.1; 1.3.2)
13 il furto di identità (syllabus 1.3.3; 1.3.4)
14 la sicurezza dei file: le password e la cifratura (syllabus 1.4.2; 1.4.3; 1.4.4)
15 le macro (syllabus 1.4.1)
13
modulo 5Sicurezza informatica (IT Security)
1 Datieinformazioni (syllabus1.1.1)
Nel linguaggio comune i termini «dato» e «informazione» sono spesso utilizzati come sinonimi, ma in realtà, si riferiscono a due concetti diversi.Il dato, dal latino datum, fatto, è un elemento semplice, «grezzo» o elementare.Il numero «1956», la parola «gennaio» sono dei dati che, da soli sono solo cifre numeriche e stringhe di caratteri alfabetici.Questi stessi dati, se elaborati insieme con altri, come le parole «mese», «anno» e «nascita» possono essere convertiti in un’informazione che, in questo caso, sono un preciso anno e mese di nascita. Aggiungendo altri dati, magari «Marco» e «Bianchi», li possiamo elaborare insieme ai precedenti e giungere ad un’informazione ancora più ampia e completa: la data di nascita di Marco Bianchi. In definitiva un dato è un elemento infor-mativo costituito da simboli che devono essere elaborati: tale elaborazione produce informazioni.
2 Icriminiinformatici (syllabus1.1.2)
Un crimine informatico è un fatto compiuto tramite strumenti informatici a danno di dati o programmi. Si configura, ad esempio, qualora si agisca in qualche modo sui dati informatici danneggiandoli o modificandoli o in alternativa, danneggiando o modificando il programma che li elabora per fargli compiere operazioni diverse da quelle per le quali è stato creato.In Italia la prima legge che prevedeva e sanzionava i crimini informatici fu la legge 547/1993 che introdusse nel Codice penale alcune figure di reato che hanno particolare rilevanza ai fini dell’argomento di questo Modulo, come la frode informatica, la diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico e l’accesso abusivo ad un sistema informatico o telematico.La frode informatica, punita dall’articolo 640 ter del Codice penale, è il reato che commette chi modifica il funzionamento di un sistema informatico e telematico in modo da procurare a sé o ad altri un ingiusto profitto con altrui danno. Il funzionamento può essere alterato modificando i dati o i programmi che li elaborano.
SeguimiCommette il reato di frode informatica il dipendente di un istituto finanziario che, alterando il sistema o i dati, riesce a spostare dei fondi da un conto all’altro facendo sì che nessuno se ne accorga, o l’impiegato dell’Agenzia delle entrate che fa risultare come effettuato il pagamento di un’imposta mai eseguito.
Il reato di diffusione di apparecchiature, dispositivi o programmi informatici diretti a danneggiare o interrompere un sistema informatico o telematico, previsto dall’articolo 615 quinquies del Codice penale, consiste nel diffondere con qualsiasi mezzo, anche consegnando a mano programmi su una memoria di massa, un programma in grado di alterare o danneggiare i dati contenuti in un sistema informatico o i programmi che li elaborano; in altri termini diffondere intenzionalmente quelli che, con una definizione molto ampia, possono essere definiti virus informatici. Commette il reato di accesso abusivo ad un sistema informatico o telematico, previsto dall’articolo 615 ter del Codice penale, chi si introduce abusivamente in un sistema informatico o telematico protetto da misure di sicurezza o chi, pur essendo entrato lecitamente, si trattiene all’interno dello stesso contro la volontà, espressa o tacita, di chi ha il diritto di escluderlo. Rientrano nelle misure di sicurezza a cui la norma si riferisce anche la semplice password, utilizzata magari insieme con un nome utente, con cui si protegge l’accesso al proprio account di posta elettronica.
modulo 5 Sicurezza informatica (IT Security)
14
SeguimiSi introduce abusivamente chi si appropria delle credenziali di accesso di un utente legittimo o chi forza il sistema in modo tale da introdursi pur senza avere alcuna credenziale.Il reato si commette anche quando si è in possesso lecitamente delle credenziali ma una volta entrati nel sistema si compiono operazioni che si sa non essere permesse dal titolare del sistema.
3 Hacking (syllabus1.1.2)
Le parole hacking e hacker hanno assunto nel linguaggio comune una valenza negativa e sono associate alla criminalità informatica e a pirati informatici che violano sistemi informatici appropriandosi di dati altrui.In realtà, la parola in sé non ha un significato negativo. Il termine hacking, infatti, deriva dal verbo inglese to hack e significa semplicemente «intaccare», «tagliare»; l’hacking, quindi, all’origine, può essere definito come l’attività con cui una persona cerca di comprendere come funziona qualcosa in modo da, eventualmente, mi-gliorarla con proprie modifiche.
4 Leminacceaidatiprovocatedacircostanzestraordinarie(syllabus1.1.4)
I dati conservati all’interno dei sistemi, o utilizzati dai programmi, possono essere esposti a rischi derivanti da circostanze straordinarie che non devono essere sottovalutati.Ad esempio un sistema informatico, e i dati che contiene, possono essere seriamente danneggiati da eventi naturali o cause di forza maggiore. Si pensi a un’inondazione o, banalmente, alla rottura di una condotta idrica e consequenziale allagamento della stanza che ospita fisicamente l’hardware o le memorie di massa che contengono gli archivi. Un incendio, anche circoscritto, magari causato da un corto circuito, può danneggiare irrimediabilmente i dispositivi hardware che ospitano programmi e dati. Non è un caso, infatti, se i protocolli di sicurezza informatica includono sempre tra gli adempimenti anche quello di ospitare gli eventuali back-up in ambienti ignifughi o a tenuta stagna e, inoltre, la classica definizione di back-up prevede che le copie di sicurezza siano sempre conservate in un luogo diverso o in un dispositivo separato da quello in cui i dati sono utilizzati.Rischi simili possono essere collegati ad un terremoto che, oltre a distruggere o danneggiare le strutture e le macchine, può causare un’interruzione dell’erogazione di energia elettrica per periodi anche molto lunghi. Una guerra, con il suo terribile carico di distruzione, può danneggiare o rendere inaccessibili tanto i locali quanto le strutture hardware e software di qualsiasi ente. Un altro rischio potrebbe essere quello che durante un evento bellico, le stesse strutture possano essere conquistate e portate via da invasori che potrebbero anche accedere ai dati.
5 Leminacceaidatiprovocatedasingoliindividui(syllabus1.1.3)Anche condotte tipicamente umane possono rappresentare dei rischi per i dati. Si pensi alla semplice sbadataggine che porta a cancellare per errore un file o una cartella contenente docu-menti importati. Sembra un rischio improbabile e, invece, aumenta con la diffusione di interfacce semplici che permettono di somministrare comandi di eliminazione di intere cartelle, se non addirittura di intere memorie di massa, semplicemente con un clic. A volte è sufficiente un attimo di distrazione e il danno è fatto; il Cestino non sempre ci salva, probabilmente è stato appena svuotato con la stessa disattenzione. Altra minaccia da non sottovalutare può essere rappresentata dallo smarrimento delle memorie di massa tanto facilmente trasporta-bili (pen drive sempre più piccole e hard disk portatili sempre più maneggevoli).Oltre a questi rischi “accidentali” determinati da comportamenti non voluti, si devono aggiungere i comporta-menti dolosi, messi in essere da altre persone, con l’intenzione di provocare danni ai dati oppure ad un impie-gato inaffidabile o ad un fornitore abituale e fidato assoldato da una ditta concorrente. Si pensi, ancora, ad un cliente o, a qualsiasi estraneo, che in qualche modo accede ai dati o ne prende visione sbirciando un monitor o un foglio di carta che li contiene.
15
unità 1Concetti di sicurezza
Le stesse persone, magari, possono entrare nei locali che ospitano i componenti hardware e semplicemente danneggiarli fisicamente o copiare i dati su una chiavetta usb o, e non è un’ipotesi così fantascientifica, intro-durre nei sistemi un malware che li danneggi o registri i dati in questi contenuti e li invii ad una terza persona.
6 Leminacceaidatiprovocatedalcloudcomputing(syllabus1.1.5)
Un’altra fonte di minacce ai dati è rappresentata dai sistemi di cloud computing ormai diffusissimi sui quali ci soffermeremo nel modulo 7 di questo volume.Ora ci limiteremo a ricordare che utilizzando le applicazioni in cloud computing tutte le nostre attività, e tutti i nostri dati, saranno registrati dalla piattaforma. Oltre ai dati contenuti nei documenti, sono registrati anche i dati relativi all’accesso come l’orario di collegamento, l’indirizzo IP del dispositivo con il quale ci si è collegati, il tipo di attività svolta tramite la piattaforma. Tutto viene registrato nei log del sistema e potrebbe rimanerci anche per molto tempo. Si tratta, in altri termini, di una limitazione della nostra privacy che alla lunga, se si utilizzano questi sistemi in modo non occasionale, può essere consistente.Altro rischio da non sottovalutare è quello connesso al fatto che, sebbene accessibili solo da utenti controllati e autorizzati, i file sono di fatto ospitati su un computer terzo. Per quanto protetto possa essere il sistema e per quanto possa essere controllato l’accesso, esiste un margine di rischio di intrusioni di persone estranee non autorizzate che possono prendere conoscenza del contenuto dei documenti o di perdita di dati per un malfun-zionamento della stessa piattaforma.
7 Perchéproteggereidatieleinformazionipersonali(syllabus1.2.2;1.2.3)
La protezione dei dati e delle informazioni personali, inclusi quelli utilizzati su lavoro è importante perché qualsiasi presa di conoscenza da parte di altri può rivelarsi rischiosa. Questo rischio riguarda innanzitutto la propria sfera privata i cui dati e informazioni acquisite illecitamente possono essere utilizzati per un furto di identità o per mettere in atto delle frodi (registrazione di servizi a pagamento, conclusione di contratto). Anche i dati, e le informazioni, riguardanti la propria attività lavorativa devono essere protetti non solo per scongiurare furti, come abbiamo precisato alcuni paragrafi fa, ma anche per impedire perdite accidentali o per evitare che un malintenzionato, possa tramite la conoscenza di dati riguardanti un progetto di lavoro, met-tere in atto atti di sabotaggio magari non solo informatici.
8 Lecaratteristichefondamentalidellasicurezzadelleinformazioni (syllabus1.2.1)
La scurezza delle informazioni deve essere in grado di garantire tre elementi essenziali: la confidenzialità, l’integrità e la disponibilità.La sicurezza delle informazioni deve garantire la confidenzialità, cioè che i dati protetti siano accessibili solo a persone autorizzate e non a terzi estranei e non autorizzati. Il sistema deve garantire la confidenzialità dei dati anche quando questi sono scambiati tra le persone autorizzate a prescindere dalla sicurezza del mezzo utilizzato per lo scambio (una connessione Internet, una telefonata o un documento cartaceo).Un sistema di sicurezza deve anche garantire l’integrità dei dati, cioè che i dati non siano modificati e che sia-no impedite eventuali modifiche, anche accidentali o compiute da terzi non autorizzati: un sistema di sicurezza affidabile avverte gli utenti di ogni modifica non coerente o non autorizzata.Una terza caratteristica della sicurezza delle informazioni è la disponibilità che consiste nel rendere i dati accessibili e fruibili da un utente legittimo quando gli occorrono, con i poteri, i modi e tempi previsti dal sistema di protezione utilizzato. Un sistema di sicurezza che rendesse non accessibili i dati ad un operatore, o che vincolasse le operazioni alla richiesta di un’ulteriore autorizzazione o all’inserimento di password non note all’utente, sarebbe senz’altro sicuro, ma anche inutile.
modulo 5 Sicurezza informatica (IT Security)
16
9 Laprotezionedeidatipersonali.Definizionieruoli(syllabus1.2.5)
Nei paragrafi precedenti abbiamo delineato i rischi cui sono esposte le informazioni quando per la loro gestione e conservazione è previsto l’impiego di uno strumento informatico; abbiamo anche precisato che la sicurezza delle informazioni deve, a prescindere dalle soluzioni tecniche adottate, poggiare su tre caratteristiche fonda-mentali: la confidenzialità, l’integrità e la disponibilità.In questo paragrafo affronteremo, invece, quali sono i principi che riguardano la protezione dei dati per-sonali così come regolata dalle normative vigenti, anche in Italia, soffermandoci, in primo luogo, su alcune definizioni fondamentali.
Seguimi La normativa italiana in materia di protezione dei dati personali è contenuta nel D. Lgs. 196/2003: «Codice in materia di protezione dei dati personali» che raccoglie in maniera organica in unico testo normativo tutte le norme in materia di protezione dati personali previste da diverse leggi a partire dalla L. 675/1996.Tutte le norme italiane sulla materia sono state emanate in esecuzione della Direttiva 95/46/CE del Parlamento europeo e del Consiglio, del 24 ottobre 1995, relativa alla tutela delle persone fisiche con riguardo al trattamento dei dati personali, nonché alla libera circolazione di tali dati.
La prima definizione necessaria è quella di dato personale che la legge precisa essere “qualunque informazio-ne relativa a persona fisica, identificata o identificabile, anche indirettamente, mediante riferimento a qualsiasi altra informazione, ivi compreso un numero di identificazione personale”.La seconda definizione necessaria è quella di trattamento che la legge delinea in modo molto ampio come “qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, con-cernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione di dati, anche se non registrati in una banca di dati”. Si noti che rientra nella nozione di trattamento anche una qualsiasi delle operazioni compiute “senza l’ausilio di strumenti elettronici”.Chiarite le nozioni di dato personale e trattamento possiamo, ora, definire il soggetto dei dati e il controllore dei dati. Il primo è “la persona a cui i dati personali si riferiscono” il secondo è, invece, “la persona, la società, l’asso-ciazione o altra identità che di fatto controlla il trattamento dei dati personali ed ha il potere di prendere le decisioni essenziali sulle finalità del trattamento incluse quelle sulla applicazione delle misure di sicurezza”.
10Iprincipiinmateriadiconservazioneeilcontrollodeidati(syllabus1.2.4)
Le norme in materia di protezione dei dati personali fissano alcuni principi fondamentali che riguardano i trattamenti. Il primo principio, quello di trasparenza, stabilisce che il soggetto dei dati ha il diritto di essere informato e, quindi, di chiedere al controllore dei dati, quali sono i suoi dati personali oggetto di trattamento. Il controllore, in ossequio a questo principio, è sempre obbligato a fornire le informazioni richieste riguardo al trattamento incluse le informazioni che permettono la sua identificazione e quelle che possano assicurare che il trattamento è effettuato in modo corretto.I dati personali possono essere trattati dal titolare solo per scopi legittimi cioè previsti dalla legge e, soprat-tutto per finalità determinate ed esplicite che devono essere comunicate alla persona a cui i dati si riferiscono. Una misura della legittimità di un trattamento è data alla sua proporzionalità rispetto ai fini nel senso che deve essere effettuato solo su dati personali necessari e quindi pertinenti allo scopo del trattamento e non altri. Il controllore dei dati non può raccogliere dati non necessari e il soggetto dei dati può sempre chiedere la ces-sazione del trattamento o rifiutarsi di fornirli.Sempre in base a questi due principi il controllore dei dati ha l’obbligo di tenere i dati aggiornati e di rettificarli o integrare quando il soggetto dei dati lo chieda.
17
unità 1Concetti di sicurezza
11L’importanzadellelineeguidadellepoliticheICTecomefareperottenerle (syllabus1.2.6)
L’insieme dei rischi e degli obblighi delineati nei paragrafi precedenti possono essere ridotti e ricordati pre-disponendo le linee guida sulle condotte e sulle misure da attivare quando si maneggiano dati. All’interno di un’azienda queste linee guida devono essere conosciute e rispettati da tutti: da chi adopera e ha accesso agli strumenti informatici e da chi gestisce e autorizza gli accessi fisici ai locali di un cliente, di un fornitore o di un terzo.La legge italiana, richiede che le linee guida predispongono misure informatiche, organizzative e logistiche, tenendo ben presente che rischi possono derivare non solo da strumenti informatici ma anche, come abbiamo visto nei paragrafi precedenti, da condotte umane e da cause di forza maggiore; inoltre la legge richiede che siano predisposte almeno le misure minime, vale a dire quelle già valutate come idonee a ridurre i rischi di distruzione o perdita, anche accidentale, dei dati, di accesso non autorizzato o di trattamento non consentito.
SeguimiQuando si procede ad un trattamento di dati personali tramite strumenti elettronici, le misure minime di sicurezza da adottare sono:a) autenticazione informatica; b) adozione di procedure di gestione delle credenziali di autenticazione;c) utilizzazione di un sistema di autorizzazione;d) aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli
incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici;e) protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati e ad ac-
cessi non consentiti a determinati programmi informatici;f) adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei
dati e dei sistemi;g) adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati
idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari.La legge italiana, dopo aver determinato quali sono le misure di sicurezza, rinvia ad un «Disci-plinare», allegato al Codice in materia di protezione dei dati personali, l’individuazione concreta delle stesse. Ad esempio, per il sistema di autenticazione informatica è previsto che «le credenziali di autenti-cazione consistono in un codice per l’identificazione dell’incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in pos-sesso e uso esclusivo dell’incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell’incaricato, eventualmente associata a un codice identificativo o a una parola chiave».Il Disciplinare prevede anche che la password di accesso ad un sistema sia composta da almeno otto caratteri oppure da un numero di caratteri pari al massimo consentito dal sistema informa-tico; la password non contiene riferimenti agevolmente riconducibili all’incaricato ed è modificata da quest’ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi.Almeno ogni sei mesi devono essere aggiornati gli strumenti informatici di protezione contro i tentativi di accesso abusivo o contro virus e malware.
12L’ingegneriasociale (syllabus1.3.1;1.3.2)
Il modo più semplice per aggirare una misura di sicurezza, non solo informatica, non consiste in rocambole-sche e clandestine intrusioni informatiche all’interno di un sistema, ma banalmente nel farsi rivelare i dati e le informazioni direttamente da chi le conosce. Nulla di violento, nessuna tortura, semplicemente parlando con una persona o studiandone il comportamento si può, mettendo insieme più dati raccolti in modo diverso, elaborare informazioni che, anche se approssimati-ve, possono offrire una traccia per ottenere un’informazione sensibile come, ad esempio, una notizia commer-ciale segreta, il protocollo utilizzato per creare ed assegnare credenziali d’accesso ad un sistema informatico e così via.
modulo 5 Sicurezza informatica (IT Security)
18
L’ingegneria sociale consiste, quindi, nell’osservare i comportamenti di una persona, scambiare quattro chiac-chiere con lei o con un familiare o un suo amico, spacciandosi magari per altri, o origliare le sue conversazioni in modo da ottenere più informazioni che, messe insieme, possono delineare il perimetro di un campo sul quale agire.Un’applicazione delle tecniche ingegneria sociale può essere quello della telefonata tramite la quale una per-sona, facendo credere di essere altri, induce in errore il suo interlocutore e si fa rivelare, in perfetta buona fede, qualche dato interessante.
SeguimiFacciamo qualche esempio: Tizio telefona al responsabile della sicurezza di una società e, spac-ciandosi per un collega o per un superiore, si fa dettare la password di accesso ad un computer o ad un server lamentando che «ora non sono alla mia postazione, scusa ma non me la ricordo a memoria», oppure «so che l’avete cambiata di recente, solo che a me non avete comunicato la nuova e la busta… sì lo so, l’avete mandata a tutti ma io non ce l’ho, d’altronde lo dovresti sapere che la scorsa settimana ero fuori sede per lavoro! Mi dici ora a voce qual è la password o devo lamentarmi con il tuo capo? Fai presto che sono al cellulare». Ovviamente l’esempio è efficace anche se immaginato in altri contesti: Tizio si spaccia per un cliente di una banca e, per telefono, chiede all’impiegato «Ma il mio saldo quant’e?», «È partito il bonifico che ho fatto ieri? Anzi, le chiedo scusa ma ho dimenticato il nome esatto del beneficiario, sarebbe così gentile da controllarlo? Ne ho bisogno ora. Nel frattempo che controlla mi saluta Umberto, il direttore, e gli dica che domani ci vediamo in palestra alla solita ora».La telefonata funziona se chi la fa conosce alcune informazioni, vere o verosimili, anche parziali, desunte da altri contesti, magari da altre attività di ingegneria sociale, come l’essere a conoscen-za dell’assenza dall’ufficio la settimana in cui sono state consegnate le nuove password o del fatto che il vero titolare del conto ha effettivamente fatto un bonifico e che il direttore della banca si chiama Umberto e va spesso in palestra.
Un’evoluzione della telefonata dell’esempio appena fatto è il cd. phishing (dall’inglese to fish, «pescare» nel sen-so poco nobile di «far abboccare») che consiste nell’inviare una semplice mail, da un indirizzo simile a quello consueto, o imitando la grafica di un sito aziendale, in modo da far cadere in errore chi la riceve. Nella mail viene richiesta esplicitamente un’informazione che si chiede di inserire o nella mail di risposta o, alternativa molto subdola, in una pagina Web falsa, che imita la grafica del sito di riferimento, il cui link è nel testo della mail stessa.Le mail di phishing contengono un altro elemento usato ad arte per ingannare: la rappresentazione di emer-genza, di una minaccia o del pericolo di un danno se chi ha ricevuto la mail non provvede subito ad inviare i dati richiesti.Un’altra tecnica di ingegneria sociale è il cd. shoulder surfing che consiste nello sbirciare silenziosamente una persona quando digita i codici di accesso per accedere ad un sistema informatico tramite un dispositivo mobile o un personal computer.
13Ilfurtodiidentità (syllabus1.3.3;1.3.4)
Il furto di identità consiste nell’assumere l’identità di un’altra persona utilizzando i suoi dati personali, carpiti in modi diversi, e compiere determinate attività anche tramite Internet, spacciandosi e apparendo agli altri per quest’ultima.Ad esempio appropriandosi delle credenziali altrui di accesso ad una rete sociale, ci si può sostituire a questa e interagire, all’interno del social network, con la sua rete di contatti aggiornando lo stato, commentando elemen-ti altrui, inviando messaggi personali, in definitiva rovistare nella sua vita personale che è raccontata tramite il social network.Rubando le altrui password di accesso a servizi di banca on line si possono fare danni anche più seri compiendo operazioni apparendo come l’effettivo e genuino titolare del conto.Chi ruba un’identità può commettere reati che possono essere imputati, almeno in prima battuta, al derubato, come nel caso di un acquisto di un bene non pagato o, tornando all’accesso ad un social network, di una diffa-mazione mediante un aggiornamento di stato contenente offese. Il furto d’identità è realizzato ricorrendo a tecniche diverse in modo da ottenere più dati che, messi insieme, creano l’insieme di informazioni sufficienti per spacciarsi per un’altra persona. Oltre agli accessi o la semplice
19
unità 1Concetti di sicurezza
presa di conoscenza di dati relativi alla persona da derubare, si può ricorrere alle tecniche di ingegneria sociale che abbiamo visto nel paragrafo precedente.Si possono ottenere informazioni utili per un furto di identità anche tramite oggetti comuni, come la ricevuta di un prelievo effettuato tramite un ATM, o la ricevuta di un pagamento effettuato tramite carta di credito o la busta con un indirizzo completo inviata per posta da un istituto bancario. Ciò può avvenire non solo quando questi oggetti sono stati lasciati incautamente su una scrivania, ma anche quando sono stati strappati o ce-stinati. Un male intenzionato potrebbe setacciando i rifiuti della vittima, mettendo in atto una tecnica detta information diving o trashing, può recuperarli e ricostruirli o utilizzare una parte dei dati comunque leggibili e desumere gli altri da altri contesti.Una tecnica evoluta per acquisire dati utili per un furto d’identità è il cd. skimming, (dall’inglese to skim, «stri-sciare», «sfiorare»), che consiste nel rubare i dati incorporati nei comuni badge o carte di credito, passandoli (strisciandoli appunto) nei dispositivi utilizzati per leggere i dati come nel caso dei comuni POS o negli ATM.La tecnica può consistere nel fare strisciare la carta dall’utente su un dispositivo di lettura che è stato mano-messo o nello strisciare la carta di cui si è in possesso, magari consegnata in buona fede proprio dal titolare, e fare in modo che i dati contenuti siano conservati e dirottati su un uso diverso.Un furto di identità può essere realizzato anche tramite il cd. pretexitng; cioè tramite la creazione e la rappre-sentazione di uno scenario finto ma costruito su bugie talmente elaborate e così ben allestite da apparire reale alla vittima che è indotta lei stessa i suoi dati personali.Agli esempi della telefonata del paragrafo precedente possiamo aggiungere quello della finta mail o finta telefo-nata con cui, spacciandosi per un fornitore di servizi domestici e palesando problemi contabili, gestionali e così via, il maleintenzionato chiede alla vittima di fornire i dati personali, il suo numero di carta di credito, o altro.
14Lasicurezzadeifile:lepasswordelacifratura(syllabus1.4.2;1.4.3;1.4.4)
Ci sono alcuni aspetti della sicurezza che non riguardano i rischi dell’intero sistema ma che, in una prospettiva più ridotta e vicina all’utente finale, riguardano i singoli file. Si pensi a un file generato con Microsoft Word che contiene dati che devono avere una circolazione limitata in modo che solo soggetti autorizzati possano pren-derne visione, modificarli o inviarli ad altri.A parte le protezioni all’accesso della singola macchina, è possibile an-che predisporre misure di sicurezza che riguardano il singolo file, un gruppo di file o una cartella; si tratta di strumenti che garanti-scono una sicurezza minima del file anche quando questo è distribui-to, magari in allegato a una mail, ad utenti che lo utilizzeranno su un dispositivo diverso.La prima forma di protezione consiste nell’impostare una password che deve essere digitata dall’utente al momento di aprire un deter-minato file, cartella o cartella compressa. Queste operazioni sono gestite direttamente dall’applicazione che crea il file o dal sistema ope-rativo che gestisce le cartelle o dalla utility utilizzata per creare una cartella compressa.Per impostare una password ad un file creato, ad esempio, con Mi-crosoft Word, si deve cliccare, nella scheda File, su Salva con nome e, nella finestra Salva con nome, cliccare ancora sul tasto Strumenti e selezionare la voce Opzioni Generali (figura 1). Una password di apertura può essere associata anche ad un file compresso, anche se, in questo caso, le versioni più recenti di Windows non supportano questa funzione nella creazione di cartelle compresse; per aggira-re l’ostacolo si possono utilizzare applicazioni diverse come WinRAR o 7-Zip.Nella parte alta della finestra Opzioni generali è possibile associare al documento la password di lettura (figura 2) che dovrà essere digitata, in una maschera che apparirà quando utenti diversi, anche su computer diversi, vorranno aprire quel file.
Figura 1
Gli strumenti della finestra salva con nome
modulo 5 Sicurezza informatica (IT Security)
20
Inseriamo una pas-sword di apertura del documento
Figura 2
l’associazione di una password alla apertura di un documento Word
In 7-Zip, la finestra Aggiungi all’archivio, utilizzata per selezionare i file da comprimere, prevede la possibilità di associare al file compresso che si sta creando, che in questo programma è chiamato “Archivio”, una pas-sword di apertura dello stesso (figura 3).
Inseriamo una pas-sword di apertura del file compresso
Figura 3
l’associazione di una password ad un archivio compresso creeato con 7-Zip
Lo stesso file o un gruppo di file o una cartella o gruppo di cartelle può essere cifrato o crittografato in modo che il suo contenuto non sia intelligibile a chi, pur avendo aperto il file o la cartella, non ha accesso alla chiave di decifrazione associata.Anche la cifratura può essere applicata a tramite lo stesso software che genera il file, come nel caso di Microsoft Office, o tramite un’applicazione specifica, separata dal programma.Il vantaggio nell’utilizzare la cifratura è evidente: il file non è leggibile se l’utente non ha accesso allo strumen-to utilizzato per cifrare, soprattutto se si considera che il più banale dei programmi di crittografia può ormai utilizzare algoritmi talmente robusti che è impossibile violarli se non ricorrendo a sofisticati programmi in funzione su elaboratori molto potenti.
21
unità 1Concetti di sicurezza
Lo svantaggio del ricorso alla cifratura è che è richiesta, all’utente, un’attività supplementare e l’uso di program-mi e chiavi che potrebbero anche non essere nella sua disponibilità nel momento in cui desidera accedere al file. Tra le misure di sicurezza da applicare ad un file o una cartella, anche compressa, è senz’altro quella più efficace, ma anche quella più laboriosa.
15Lemacro (syllabus1.4.1)
Un rischio che riguarda un singolo file, spesso sottovalutato, è rappresentato dalle cd. macro, vale a dire file, associati a documento o un foglio di calcolo, che contengono comandi che vengono eseguiti automaticamente dall’applicazione al momento dell’apertura del file.Una macro esegue automaticamente una serie di operazioni frequenti in modo da risparmiare tempo e agevolare la creazione di un file che rispetti determinati standard prestabiliti. Ad esempio, una macro per Microsoft Word può creare le intestazioni e il piè di pagina di un documento o predisporre una particolare formattazione o un determinato valore dei margini.Una macro può essere perché potrebbe essere stata creata, o modificata, in modo da contenere anche comandi che mettono a repentaglio la sicurezza del documento o essere infettata da un qualsiasi malware. Una volta eseguita, senza che gli utenti se ne accorgano, può danneggiare il file, l’applicazione che l’utilizza o l’intero siste-ma che l’ospita. Per questo motivo, se si hanno dubbi sulla provenienza di una macro, o sul suo contenuto, è preferibile impedirne l’esecuzione quando un file è aperto nell’applicazione di riferimento. Tutti i programmi prevedono, infatti, la possibilità di disabilitare le macro associate ad un documento, avvertendo l’utente con una finestra di notifica. È compito dell’utente valutare se eseguirla o meno.
22
EDVErifichE EsErcizi
modulo 5 Sicurezza informatica (IT Security)
DomanDe vero/faLSo
Perciascunadelleseguentiaffermazioni,indicareseèveraofalsa
V F 1) i termini «dato» e «informazione» sono sinonimi
V F 2) un furto di identità può essere realizzato anche tramite il cd. skimming
V F 3) il principio di trasparenza impone che il soggetto dei dati sia informato dei trattamenti dei suoi dati
V F 4) il cd. pretexting è una misura di sicurezza dei dati personali
V F 5) la confidenzialità di una misura di sicurezza consiste nell’impedire che terzi estranei possano accedere ai dati
V F 6) in italia le norme fondamentali in materia di sicurezza dei dati personali sono state emanate con il d.lgs. 212/2013
V F 7) il cd. phishing è una tecnica di ingegneria sociale
V F 8) la cifratura di un dato consiste nella sua protezione tramite una password
V F 9) i sistemi di cloud computing possono limitare la nostra privacy
V F 10) le macro sono potenzialmente pericolose
DomanDe a rISPoSTa mULTIPLa
Perciascunadelleseguentidomandeindicarelarispostascegliendounafraquelleproposte
1) l’informazione è: E a) un fatto da cui si possono elaborare dati E b) il risultato della elaborazione di dati E c) il codice binario che rappresenta, a livello
macchina, un dato
2) in cosa consiste la frode informatica? E a) nell’accedere abusivamente ad un sistema
telematico E b) nel modificare un sistema telematico modifi-
cando solo i dati in modo da ottenere un pro-fitto
E c) nel modificare un sistema telematico modifi-cando i dati o i programmi in modo da ottene-re un profitto
3) in cosa consiste l’accesso abusivo ad un sistema in-formatico?
E a) nell’accedere abusivamente ad un sistema telematico protetto da misure di sicurezza o trattenersi al suo interno contro la volontà di chi ha diritto di escluderlo
E b) nel modificare un sistema telematico modifi-cando solo i dati in modo da ottenere un pro-fitto
E c) nel modificare un sistema telematico modifi-cando i dati o i programmi in modo da ottene-re un profitto
4) la parola «hacking» deriva dall’inglese «to hack» che significa:
E a) danneggiare E b) spaccare E c) intaccare
5) in cosa consiste la disponibilità dei dati, riferita alle caratteristiche che una misura di sicurezza deve ga-rantire?
E a) nel garantire che terzi estranei non possano accedere ai dati protetti
E b) nel garantire che i dati siano accessibili dall’utente legittimo quando ne ha bisogno
E c) nel garantire che i dati non siano modificati da persone estranee
6) cosa stabilisce il principio di proporzionalità? E a) che le misure di protezione dei dati personali
devono essere proporzionali all’importanza dei dati protetti.
23
ED EsErciziVErifichE unità 1Concetti di sicurezza
E b) che ogni trattamento deve essere effettuato solo su dati personali necessari e quindi perti-nenti allo scopo del trattamento.
E c) che i trattamenti devono essere effettuati solo per scopi leciti.
7) chi è il soggetto dei dati E a) la persona a cui i dati si riferiscono. E b) la persona o l’ente che procede al trattamen-
to dei dati. E c) la persona che materialmente procede al
trattamento dei dati.
8) cosa è il cd. shoulder surfing? E a) una tecnica di cracking che consiste nel for-
zare le misure di sicurezza di un sistema infor-matico utilizzando programmi che generano password
E b) una tecnica di hacking etico che consiste nell’individuare le debolezze di un sistema in-formatico per forzarle successivamente
E c) una tecnica di ingegneria sociale che consiste nello sbirciare una persona quando questa
digita codici di accesso per accedere ad un sistema informatico
9) Qual è il limite del ricorso alla cifratura dei file? E a) È una misura di sicurezza che non garantisce
la confidenzialità dei dati cifrati E b) È una misura di sicurezza che potrebbe non
garantire la disponibilità dei dati cifrati E c) È una misura di sicurezza che potrebbe non
garantire la integrità dei dati cifrati
10) cosa sono le macro? E a) dei file contenenti istruzioni eseguite automa-
ticamente quando un file è aperto dall’appli-cazione di riferimento
E b) dei documenti contenenti l’elenco di tutte le debolezze note relative ad un sistema infor-matico
E c) dei file contenenti tutte le misure di sicurezza predisposte all’interno di un sistema informa-tico e che devono essere conosciute da tutti gli operatori che lo utilizzano
DomanDe a rISPoSTa LIbera
Perciascunadelleseguentidomande,fornireunarispostasintetica 1) spiega quali sono le differenze tra «dato» e «informazione».
2) spiega cosa è il cd. hacking.
3) spiega con esempi cosa è l’ingegneria sociale.
4) spiega quali possono essere le misure di sicurezza per impedire che terzi non autorizzati accedano fisicamente ai dati.
5) spiega cosa si intende per confidenzialità di uno strumento di sicurezza.
6) cosa si intende in generale per «crimine informatico»?
7) spiega cosa è il cd. phishing.
8) cosa si intende per furto di identità?
9) cosa è il codice in materia di protezione dei dati personali?
10) cosa si intende cifratura dei documenti?