Modulo IT Security Parte2

Capitolo 4 – Come possiamo difenderci
Riferimento Syllabus 1.4.1 Comprendere l’effetto di attivare/disattivare le impostazioni di sicurezza delle macro.
50 Riferimento Syllabus 1.4.2 Impostare una password per file quali documenti, file compressi, fogli di calcolo.
Riferimento Syllabus 2.3.1 Comprendere come funziona il software anti-virus e quali limitazioni presenta.
Riferimento Syllabus 2.3.2 Eseguire scansioni di specifiche unità, cartelle, file usando un software anti-virus. Pianificare scansioni usando un software anti-
virus.
Riferimento Syllabus 2.3.3 Comprendere il termine quarantena e l’operazione di mettere in quarantena file infetti/sospetti.
Riferimento Syllabus 2.3.4 Comprendere l’importanza di scaricare e installare aggiornamenti di software, file di definizione di antivirus.
Riferimento Syllabus 3.4.2 Riconoscere buone politiche per la password, quali evitare di condividere le password, modificarle con regolarità, sceglierle di
lunghezza adeguata e contenenti un numero accettabile di lettere, numeri e caratteri speciali.
Riferimento Syllabus 4.1.1 Essere consapevoli che alcune attività in rete (acquisti, transazioni finanziarie) dovrebbero essere eseguite solo su pagine web
sicure.
Riferimento Syllabus 4.1.2 Identificare un sito web sicuro, ad esempio associato ad https, simbolo del lucchetto.
Riferimento Syllabus 4.1.4 Comprendere il termine “certificato digitale”. Convalidare un certificato digitale.
Riferimento Syllabus 4.1.6 Selezionare impostazioni adeguate per attivare, disattivare il completamento automatico, il salvataggio automatico quando si
compila un modulo.
Riferimento Syllabus 4.1.7 Comprendere il termine “cookie”.
Riferimento Syllabus 4.1.8 Selezionare impostazioni adeguate per consentire, bloccare i cookie.
www.micertificoecdl.it © Copyright AICA 2014 – 2019

Riferimento Syllabus 4.1.9 Eliminare dati privati da un browser, quali cronologia di navigazione, file temporanei di internet, password, cookie, dati per il
completamento automatico.
Riferimento Syllabus 4.1.10 Comprendere lo scopo, la funzione e i tipi di software per il controllo del contenuto, quali software per il filtraggio di internet,
software di controllo genitori.
Riferimento Syllabus 4.2.2 Essere consapevoli della necessità di applicare impostazioni adeguate per la privacy del proprio account su una rete sociale.
51
Riferimento Syllabus 5.1.1 Comprendere lo scopo di cifrare, decifrare un messaggio di posta elettronica.
Riferimento Syllabus 5.1.2 Comprendere il termine firma digitale.
Riferimento Syllabus 5.1.3 Creare e aggiungere una firma digitale.
Riferimento Syllabus 5.2.3 Riconoscere metodi per assicurare la confidenzialità̀ durante l’uso della messaggistica istantanea, quali cifratura, non
divulgazione di informazioni importanti, limitazione di condivisione di file.
Riferimento Syllabus 6.1.2 Riconoscere l’importanza di avere una procedura di copie di sicurezza per ovviare alla perdita di dati, di informazioni finanziarie,
di segnalibri/cronologia web.
Riferimento Syllabus 6.1.4 Effettuare la copia di sicurezza di dati.
Riferimento Syllabus 6.1.5 Ripristinare e validare i dati sottoposti a copia di sicurezza.
Riferimento Syllabus 6.2.3 Identificare i metodi più̀ comuni per distruggere i dati in modo permanente, quali uso di trita documenti, distruzione di memorie
di massa/dispositivi, smagnetizzazione, uso di utilità̀ per la cancellazione definitiva dei dati.
Contenuti della lezione In questa lezione vedremo: come gestire le nostre password, come utilizzare i programmi anti-malware, come correre meno
rischi nelle attività̀ in rete, come adoperare le funzioni del browser per assicurare un elevato livello di privacy, come
organizzare ed effettuare copie di sicurezza e ripristinare i dati in caso di necessità.
© Copyright AICA 2014 – 2019 www.micertificoecdl.it

• come correre meno rischi nelle attività in rete
•professionale
come utilizzare che i personale,
programmi
• come adoperare anti-malware
sia individualmente
le funzioni del browser che collegato
per assicurare in rete. Da strumento
un elevato livello di privacy personale è diventato
•strumento
come correre
© Sergio Margarita meno
sociale tramite • rischi
come
- Nuova nelle
il quale
organizzare
ECDL attività
comunicare,
ed in rete
effettuare
e Open Source interagire e gestire relazioni.
copie di sicurezza e ripristinare 60 In vari ambiti, attraverso il PC si
i dati in caso di necessità. IT Security
•può come adoperare
accedere le funzioni
a documenti ed del browser per
informazioni assicurare
riservati che hanno un elevato
un valorelivellosia di per
privacyla persona, sia per l'azienda
Il PC è diventato ormai uno strumento presente in ogni attività di lavoro, di studio o di gioco, sia in ambito
•oopera
l'ente
comenelaorganizzare
cui appartengono
sistema. ed
Solo e che,
effettuare
conoscendo
professionale che come
copie tale,
di
codice
personale, vanno
sicurezza
siautente protetti.
ee ripristinare
individualmente password i dati
si può
che collegato in incaso
rete. di
Danecessità.
accedere alle funzionalità
strumento personale è diventato o alle
informazioni di propria strumento sociale
competenza. tramite il
Numerosi quale comunicare,
servizi interagire
Internet e gestire relazioni.
richiedonoparticolare In vari ambiti, dell'utente
l'autenticazione attraverso il PC con si
Questa crescente socializzazione delle informazioni richiede un attenzione ai temi della sicurezza
Ilcodice
PC è diventato
e password: ormai può unoaccederestrumento
a documenti
posta eelettronica, presente in
ed informazioni
messaggeria ogni attività
riservati di
che
istantanea, lavoro,
hanno di
un valore
social studiosia per
network. o di
la gioco,
persona,
Nel dicaso sia in
sia per ambito
l'azienda
di servizi
nell'accesso alle informazioni
o l'ente a cui della loro protezione.
appartengono e che, come Come accennato, la forma più diffusa protezione dei
professionale
particolarmente che personale,
delicati, come sia individualmente
l'e-banking che che tale,
consente
vanno
collegato
di
protetti.
in rete.operazioni
effettuare Da strumento personale
bancarie, possono è diventato
essere
R dati consiste
i c o n o s sociale nell'utilizzo
c e r e btramiteuQuesta di una
o n eil crescente
p parola
o l i tcomunicare, d'ordine
i csocializzazione
h e p e r interagire o password
l a p ainformazioni
s s ewgestire contro
o r drichiede
, relazioni. gli accessi
q u aunl iattenzione
e In
v i vari non
t a particolare
re autorizzati.
d i cattraverso
aiotemi
n d della Questa
i v i dsicurezza
strumento
necessari ulteriori livelli quale
di sicurezza quali smart delle cardalcuneda utilizzare con appositi lettori,ambiti,
oppure ilePC
codici numerici
r e sil e p a s s w o r d , m o d i f i c a r l e
protezione
c o n r e viene
g o l aperò
r i t à vanificata
, s c
nell'accesso e g l se
i
alle e rnon
l e si
d
informazioni rispettano
i l u
e n g
della h e
loroz z a aregole
protezione.d e g
Comeunella
a t a gestione
e
accennato, c o n
la delle
t e
forman epassword.
n
più t i
diffusa u ndi n u m
protezione e r odeia c c e t t a b i l e d i l e t t e r e ,
può
“usaaccedere a documenti
e getta” generati edchiavetta
da consiste
una informazioni riservati che hanno un valore sia per la persona, sia per l'azienda
elettronica.
dati nell'utilizzo di una parola d'ordine o password contro gli accessi non autorizzati. Questa
o l'ente a cui appartengono protezione e che,
viene come tale, vanno
però vanificata nsiurispettano
se nonprotetti. m e r i ealcune c a rregole
a t t enellar i gestione
s p e c idelle
a l i password.
© Sergio
3.4.2 Margarita
Riconoscere buone - Nuova
politiche ECDL
per laepassword,
Open Source quali evitare di condividere le60 password, modificarle con regolarità, IT Security
Questa
sceglierlecrescente
di lunghezza socializzazione
adeguata e contenenti delle informazioni
un numero richiede un
accettabile
Esercizio attenzione
di lettere, numeri particolare ai temi della sicurezza
e caratteri speciali.
3.4.2 Riconoscere buone politiche per la password, quali evitare di condividere le password, modificarle con regolarità,
nell'accesso alle informazioni e della loro protezione. Come accennato, la forma più diffusaspeciali. di protezione dei
opera nel sistema.
riconosciutoconoscendo
Solo
sceglierle di lunghezza adeguata codice utente un
e contenenti equando
password
numero si può
accettabile
le accedere
di lettere, alle funzionalità
numeri e caratteri o alle
52 L'utente
dati
informazioni
viene nell'utilizzo
consiste
di propria
didauna
competenza.
un parola
sistema informatico
d'ordine o password presenta
contro gli proprie credenziali,
accessi non autorizzati. costituite Questa dal
nome o identificativo
protezione Oltre
viene però aL'utente
quelli
dell'utente
vanificata descritti,
viene se(ID) eNumerosi
elencate
riconosciuto
non dalla
si rispettano servizi
unaltri
da password.
sistemaalcune Internet
sistemi
informatico
regole richiedono
di autenticazione
All'interno quando
nella presenta
gestione l'autenticazione
di un'organizzazione, che
le conoscete
proprie
delle come
credenziali,
password. dell'utente
adcostituite
esempio con
dal Figura 12: Una buona password
codice e password:
(magari nomeposta
visti in
o elettronica,
qualche
identificativo film messaggeria
...).
dell'utente (ID) e dalla istantanea,
password.
un'azienda, le credenziali abiliteranno l'utente alle operazioni che gli sono consentite in base al suo ruolo, social
All'interno di network. Nel
un'organizzazione, caso
come di
ad servizi
esempio Figura 12: Una buona password
particolarmente
come accedere a delicati,
procedure comee leinformazioni
un'azienda, l'e-banking che
credenziali abiliteranno
tratte consente l'utentedialle
dagli archivi effettuare
operazionioperazioni
aziendali.
che gli sono bancarie,
Quando
consentite inpossono
l'utente fornisce
base al suo
le essere
ruolo,
proprie
3.4.2
necessari Riconoscere
ulteriori buone come
livelliavvia accedere
politiche
di sicurezza per a laprocedure
password,
quali di smart e informazioni
quali evitare tratte
card da utilizzare di dagli archivi
condividere aziendali.
le
con definito password,
appositi come Quando l'utente
modificarle
lettori,autenticazione
oppure codici ed fornisce
con le proprie
regolarità,
numerici
credenziali
L'identificativo
sceglierle al sistema,
dell'utente
di lunghezza credenziali
adeguata è un processo
egeneralmente
alcontenenti
sistema, avvia riconoscimento
unpubblico.
un numero processo che
diPertanto viene
riconoscimento
accettabile la password
di lettere, che costituisce
vienee definito
numeri caratteri come l'unico elemento
autenticazione
speciali. edèèalla
alla
“usabase e getta”
della generati
sicurezza da
base una
informatica.
della chiavetta
sicurezza Il elettronica.
processo
informatica. di Il autenticazione
processo di dovrebbe
autenticazione garantire
dovrebbe l'identificazione
garantire l'identificazione didi chi
chi
veramente critico del processo di autenticazione. L'assegnazione di identificativo e password segue regole
L'utente
diverse aviene secondariconosciuto
che si da trattiundella
sistema propriainformatico
organizzazione,quando presenta che ha le la proprie
possibilità credenziali,
di verificare costituite dal
l'identità
nome o
dell'utente identificativo
“de visu” Realizzato
dell'utente
o di esclusivamente
servizi (ID) e
Internet. dalla per GABRIELEAll'interno
password.
Generalmente TOMASI - SKILL
nell'ambito di onun'organizzazione
LINE
un'organizzazione,
di come l'ID adè esempio
imposto, Figura 12: Una buona password
Realizzato esclusivamente per GABRIELE TOMASI Esercizio - SKILL on LINE
un'azienda,
mentre l'utente le credenziali
sceglie la propria abiliterannopassword l'utente e haalle operazionidiche
la possibilità gli sono consentite in base al suo ruolo,
cambiarla.
come accedere a procedure e informazioni tratte dagli archivi aziendali. Quando l'utente fornisce le proprie
I servizi offerti via Internet possono lasciare libera la scelta
sistemidell'ID (sempre che non che sia già stato scelto da un
credenziali al Oltre sistema, a quelli
avvia descritti,
un processo elencate altri
di riconoscimento di autenticazione
che viene definito come conoscete
autenticazione ed è alla
altro utente del servizio)
(magari vistima in imporre
qualche vincoli
film ...).alla password. Se è il sistema ad assegnare la password, questa
base della sicurezza informatica. Il processo di autenticazione dovrebbe garantire l'identificazione di chi
viene spedita all'utente per posta elettronica o sul cellulare. L'utente ha sempre la possibilità di cambiarla
successivamente.
L'identificativo
Realizzato esclusivamentedell'utente è per generalmente
GABRIELE pubblico. TOMASI -Pertanto SKILL onlaLINE password costituisce l'unico elemento
veramente critico del processo di autenticazione. L'assegnazione di identificativo e password segue regole
diverse a seconda che si tratti della propria organizzazione, Attenzione che ha la possibilità di verificare l'identità
dell'utente “de visu” o di servizi Internet. Generalmente nell'ambito di un'organizzazione l'ID è imposto,
mentre l'utente Per sceglie
limitare la propria
il numero password di IDe ehapassword la possibilità chedil'utente
cambiarla. deve digitare per farsi
riconoscere, alcuni siti web hanno definito un accordo per cui delegano
I servizi offerti via Internet possono lasciare libera la scelta dell'ID (sempre che non sia già stato scelto da un
l'autenticazione a un sito terzo (un esempio è il servizio myopenid): in questo
altro utente del servizio) ma imporre vincoli alla password. Se è il sistema ad assegnare la password, questa
modo si garantisce l'efficacia del controllo e si facilita la vita dell'utente che non
viene spedita all'utente per posta elettronica o sul cellulare. L'utente ha sempre la possibilità di cambiarla
deve ricordare decine di ID e password diverse.
successivamente.
Esistono numerosi programmi destinati ad individuare le password e sono molto frequenti i tentativi fatti da
Attenzione
Per limitare il numero

Realizzato esclusivamente di ID eTOMASI
per GABRIELE password che l'utente
- SKILL on LINEdeve digitare per farsi
riconoscere, alcuni siti web hanno definito un accordo per cui delegano
l'autenticazione a un sito terzo (un esempio è il servizio myopenid): in questo
modo si garantisce l'efficacia del controllo e si facilita la vita dell'utente che non
deve ricordare decine di ID e password diverse.
Esistono numerosi programmi destinati ad individuare le password e sono molto frequenti i tentativi fatti da
© Sergio Margarita - Nuova ECDL e Open Source 61 IT Security
malintenzionati per accedere ai sistemi informatici violandone la sicurezza. E' quindi fondamentale seguire
alcune politiche per scegliere e gestire la propria password. Una buona password (Figura 12) di norma:
• è lunga almeno 8 caratteri
• è composta da lettere, numeri e segni di interpunzione
• non è una parola di senso compiuto
53
• non contiene elementi comuni con l'ID
• non contiene nomi di familiari o date importanti per il proprietario
• non va scritta su un foglietto incollato sul video per ricordarsela
• va cambiata periodicamente. Si ricordi che può essere intercettata, senza che l'utente se ne accorga.
C o m p r e n d e r e c o m e f u n zEsercizio
iona il software anti-virus e quali limitazioni presenta
2.3.1 Comprendere come funziona il software anti-virus e quali limitazioni presenta.
Sei utilizzate
Per proteggere propri datigià
da una
dannipassword
2.3.1 Comprendere pervirus,
come funziona
causati dai accedere a qualche
il software anti-virus
è consigliabile sistema,
e quali limitazioni
avere verificate
presenta.
sempre che aggiornato
un anti-virus
rispetti le norme di
e in esecuzione sul proprio computersicurezza
Per proteggere minime
in grado
i propri dati appena
di intercettare descritte.
da danni causatiospiti sgraditi
dai virus, e impedire
è consigliabile che possano
avere sempre infettare
un anti-virus aggiornato
e in esecuzione sul proprio computer in grado di intercettare ospiti sgraditi e impedire che possano infettare
il computer oppure, se già presenti, in grado di individuarli e rimuoverli.
il computer oppure, se già presenti, in grado di individuarli e rimuoverli.
Non è vero che esistono soltanto Non è verovirus
cheper i sistemi
esistono soltantooperativi Windows
virus per i sistemi maWindows
operativi è indubbio che questi
ma è indubbio sono
che questi sono piùpiù
vulnerabili dal punto di vistavulnerabili dal punto dievista
della sicurezza Esercizio
della maggiormente
quindi sicurezza e quindi maggiormente
bersagliati bersagliati
da virus,daanche virus, anche
per laper loro
la loro
maggior diffusione. Mentre è concepibile un computer con Linux o OS X senza anti-virus, non lo è uno con
maggior diffusione. Mentre èWindows.concepibile un computer con Linux o OS X senza anti-virus, non lo è uno con
Windows. Avete registrato tutte le vostre password in un file che tenete sul disco del vostro
portatile? Male!Il programma anti-virus viene attivato al momento dell'accensione del computer e rimane attivo fino al suo
Il programma anti-virus vienespegnimento.
attivato al Le sue funzioni principali sono di:
momento dell'accensione del computer e rimane attivo fino al suo
Descrivete i rischi che
• eseguire
spegnimento. Le sue funzioni principali correte con
costantemente
sono di: questo modo di procedere e trovate almeno 3
una scansione della memoria centrale del computer (RAM) per individuare
eventuali malware residenti,
modi alternativi che siano più sicuri. magari anch'essi attivati all'accensione
• eseguire costantemente una scansione
• eseguire della un
periodicamente memoria centrale
controllo delle cartelle del
e deicomputer
file delle unità(RAM) per individuare
di memorizzazione fisse per
identificare file contenenti malware,
eventuali malware residenti, magari anch'essi attivati all'accensione isolarli e impedire che compiano la loro azione
• effettuare il controllo delle unità mobili (chiavette USB per esempio), automaticamente quando inserite o a
• eseguire periodicamente unrichiesta controllo delleQuesta
dell'utente. cartelle
azioneeè dei file delleimportante
particolarmente unità divisto
memorizzazione fisse per
l'uso che si fa delle chiavette USB
identificare file contenenti malware, isolarli
per trasferire dati daeunimpedire
computer ad
La Notizia che compiano
un altro. la loro azione
• effettuare il controllo delle •unità
controllare i dati che vengono spediti o ricevuti tramite posta elettronica, con particolare attenzione al
mobili (chiavette USB per esempio), automaticamente quando inserite o a
controllo degli allegati.
richiesta dell'utente. Questa
Anche se confermiamo leazione è particolarmente
buone politiche importante per la gestione visto l'uso
dellache si fa delle
password e vichiavette USB
per trasferire dati da un computer ad
limitazioni un
degli altro.
invitiamo ad applicarle, qualcuno sostiene che in certi casi, usare password la presenza di un
Le anti-virus sono riconducibili ai metodi che adoperano per riconoscere
virus in un file o in memoria, oltre che alla rincorsa permanente tra virus e anti-virus. Gli anti-virus infatti
• controllare "deboli"
i dati chenonvengono
è poi cosìspediti
gestiscono male o ricevuti
...
un catalogo
tramite posta elettronica, con particolare attenzione al
di tutti i virus censiti (detto file di definizione dei virus) e dei metodi per riconoscerli
Microsoft Security
Essentials
controllo degli allegati. (detti pattern oppure firme) al quale confrontano il contenuto dei file o della memoria centrale. Possono così
http://abcnews.go.com/blogs/technology/2014/07/why-weak-passwords-arent-always-a-
commettere due tipi di errore: non individuare un virus (perché troppo recente, per esempio) oppure
bad-idea/ segnalare la presenza di un virus in un programma che invece non lo contiene. Come vedremo fra poco, il
Le limitazioni degli anti-virusprimo
sono riconducibili ai metodi che adoperano per riconoscere la presenza di un
errore si riduce tenendo costantemente aggiornato il programma anti-virus.
© Copyright AICA 2014 – 2019 Microsoft Security
www.micertificoecdl.it
gestiscono un catalogo di tutti i virus censiti (detto file di definizione dei virus) e dei metodi per riconoscerli
2.3.2 Eseguire scansioni di specifiche unità, cartelle, file usando un software anti-virus. Pianificare scansioni usando un
software anti-virus. Essentials
Realizzato esclusivamente
(detti pattern oppure firme) alperqualeGABRIELE
confrontanoTOMASI - SKILL
il contenuto deionfile LINEo della memoria centrale. Possono così
commettere due tipi di errore: non individuare un virus (perché di
Per il sistema operativo Windows, esistono diversi tipi programmi
troppo anti-virus:per
recente, programmi
esempio)gratuiti,oppure
programmi
maggior diffusione. Mentre è concepibile un computer con Linux o OS X senza anti-virus, non lo è uno con
Windows.
Il programma anti-virus viene attivato al momento dell'accensione del computer e rimane attivo fino al suo
spegnimento. Le sue funzioni principali sono di:
Il programma anti-virus viene attivato al momento dell'accensione del computer e rimane attivo fino al suo
• eseguire costantemente una scansione della memoria centrale del computer (RAM) per individuare
spegnimento. Le sue funzioni principali sono di:
eventuali malware residenti, magari anch'essi attivati all'accensione
• eseguire costantemente una scansione della memoria centrale del computer (RAM) per individuare
• eseguire periodicamente un controllo delle cartelle e dei file delle unità di memorizzazione fisse per
eventuali malware residenti, magari anch'essi attivati all'accensione
identificare file contenenti malware, isolarli e impedire che compiano la loro azione
•• eseguire
effettuareperiodicamente
il controllo delle un unità controllo delle cartelle
mobili (chiavette USBeper deiesempio),
file delleautomaticamente
unità di memorizzazione fisse per
quando inserite oa
identificare file contenenti
richiesta dell'utente. Questamalware,
azioneisolarli e impedire che
è particolarmente compiano
importante la loro
visto l'usoazione
che si fa delle chiavette USB
• effettuare il controllo
per trasferire dati da delle unità mobili
un computer ad un(chiavette
altro. USB per esempio), automaticamente quando inserite o a
richiesta dell'utente. Questa azione è particolarmente
• controllare i dati che vengono spediti o ricevuti tramite importante visto l'uso che
posta elettronica, con siparticolare
fa delle chiavette
attenzione USBal
per trasferire dati da
controllo degli allegati. un computer ad un altro.
• controllare i dati che vengono spediti o ricevuti tramite posta elettronica, con particolare attenzione al
54 Lecontrollo degli
limitazioni allegati.
degli anti-virus sono riconducibili ai metodi che adoperano per riconoscere la presenza di un
Microsoft Security
Le limitazioni
gestiscono undegli anti-virus
catalogo sono
di tutti riconducibili
i virus ai metodi
censiti (detto file di che adoperano
definizione per riconoscere
dei virus) e dei metodi la per
presenza di un
riconoscerli Essentials
virus
(detti in un fileoppure
pattern o in memoria, oltre che
firme) al quale alla rincorsa
confrontano permanente
il contenuto trao virus
dei file della e anti-virus.
memoria Gli anti-virus
centrale. Possonoinfatti
così Microsoft Security
gestiscono
commettereundue catalogo
tipi didierrore:
tutti i virus
non censiti (dettoun
individuare file virus
di definizione
(perché dei virus)
troppo e dei metodi
recente, per riconoscerli
per esempio) oppure Essentials
segnalare
(detti la oppure
pattern presenza di unalvirus
firme) qualeinconfrontano
un programma che invece
il contenuto dei non
file olodella
contiene. Come
memoria vedremo
centrale. fra poco,
Possono cosìil
primo errore due
commettere si riduce
tipi tenendo
di errore:costantemente
non individuare aggiornato
un virus il programma
(perché troppo anti-virus.
recente, per esempio) oppure
segnalare la presenza di un virus in un programma che invece non lo contiene. Come vedremo fra poco, il
2.3.2 Eseguire
primo errore siscansioni di specifiche
riduce tenendo unità, cartelle,
costantemente file usando
aggiornato un software anti-virus.
il programma anti-virus.Pianificare scansioni usando un
software anti-virus.
Eseguire scansioni di specifiche unità, cartelle, file usando un software anti-virus. Pianificare
2.3.2 Eseguire scansioni di ©
specifiche unità, cartelle,
Per il sistema
software operativo Windows,
anti-virus. esistono
Sergio Margarita - Nuova nfile
sdiversi
c a ECDL usando
s itipi
oenOpenuun asoftware
dii programmi
sSource u anti-virus.
n d o anti-virus:
n softw Pianificare
r e a n scansioni
a63
programmi tgratuiti, susando un
i - v i r uprogrammi IT Security
commerciali e addirittura un anti-virus fornito gratuitamente da Microsoft: Microsoft Security Essentials.
Per il sistema
Realizzato operativo Windows,
esclusivamente esistono
per GABRIELE
Per illustrare
diversi
come eseguireTOMASI tipi di- programmi
scansioni SKILL anti-virus: programmi gratuiti, programmi
on LINE
e controlli, utilizzeremo questo programma. Potete scaricarlo
commerciali e addiritturaliberamente
un anti-virus fornito
dall'area gratuitamente
Download da Microsoft:
(Download Center) Microsoft
del sito Microsoft Security
e poi installarloEssentials.
sul vostro computer,
seguendo le indicazioni che avrete senz'altro letto nell'IBUQ ECDL Computer Essentials. Dopo
Per illustrare
Realizzato come eseguire
esclusivamente perscansioni
GABRIELE
l'installazione, e TOMASI
il programma,controlli,
è eseguito- utilizzeremo
SKILL on LINE
automaticamente questo programma.
all'avvio del PC e aggiornaPotete scaricarlo
costantemente il file di
liberamente dall'area Download (Download
definizione dei malware. Center) del sito Microsoft e poi installarlo sul vostro computer,
seguendo le indicazioni che avrete
Se disponete senz'altro
di un diverso software letto nell'IBUQ
anti-virus, ECDL
non installate Computer
quello Microsoft Essentials.
ma adoperate Dopo
quello presente
l'installazione, il programma, è eseguito
sul vostro computer. automaticamente all'avvio
I comandi possono differire del PC
leggermente maeleaggiorna costantemente
funzioni sono il file
sostanzialmente le stesse. di
definizione dei malware. Oltre alle scansioni e controlli che il programma effettua automaticamente, potete richiedere l'esecuzione di
scansioni a vari livelli: intera unità, cartella o singolo file.
Se disponete di un diverso software anti-virus, non installate quello Microsoft ma adoperate quello presente
Per richiedere la scansione di una specifica unità (per esempio un disco fisso, una chiavetta o unità esterna
sul vostro computer. I comandi possono differire leggermente ma le funzioni sono sostanzialmente le stesse.
USB), è sufficiente:
• eventualmente
Oltre alle scansioni e controlli collegare il dispositivo
che il programma effettuaesterno (inserendo la chiavetta
automaticamente, poteteo l'unità a disco USB)
richiedere l'esecuzione di Figura 13: Scansione di un'unità
• aprire la finestra Computer
scansioni a vari livelli: intera unità, cartella o singolo file.
• fare click destro sull'unità desiderata
Per richiedere la scansione• neldimenu
unache compare unità
specifica (Figura(per
13), scegliere
esempio la voce Analizza
un disco con Microsoft
fisso, SecurityoEssentials
una chiavetta unità esterna
• compare una finestra (Figura 14) che presenta lo stato di avanzamento della scansione
USB), è sufficiente: • al termine, vengono visualizzati gli eventuali virus trovati.
• eventualmente collegare il dispositivo esterno (inserendo la chiavetta o l'unità a disco USB)
Figura 13: Scansione di un'unità
Per richiedere la scansione di un'intera cartella, occorre:
• visualizzare la cartella di livello superiore che contiene la cartella da controllare
• fare click destro sull'unità desiderata
• fare click destro sull'icona della cartella
• nel menu che compare• (Figura
www.micertificoecdl.it procedere13),
come scegliere
prima. la voce Analizza con Microsoft Security Essentials © Copyright AICA 2014 – 2019
Nello stesso modo, per effettuare la scansione di un singolo file si apre la cartella che contiene il file, si fa Figura 14: Avanzamento della scansione
• al termine, vengono visualizzati gli eventuali
click destro sull'icona del file virus trovati.come prima.
e si prosegue
liberamente dall'area Download
seguendo(Download Center)
le indicazioni del sito
che avrete Microsoft
senz'altro e poi installarlo
letto nell'IBUQ sul vostro
ECDL Computer computer,
Essentials. Dopo
l'installazione, il programma, è eseguito automaticamente all'avvio del PC e aggiorna costantemente il file di
seguendo le indicazionidefinizione
che avrete senz'altro letto nell'IBUQ ECDL Computer Essentials. Dopo
dei malware.
l'installazione, il programma, è eseguito automaticamente all'avvio del PC e aggiorna costantemente il file di
Se disponete di un diverso software anti-virus, non installate quello Microsoft ma adoperate quello presente
definizione dei malware. sul vostro computer. I comandi possono differire leggermente ma le funzioni sono sostanzialmente le stesse.
Se disponete di un diverso software
Oltre anti-virus,
alle scansioni e controllinon
cheinstallate
il programma quello
effettuaMicrosoft ma adoperate
automaticamente, quello
potete richiedere presentedi
l'esecuzione
scansioni
sul vostro computer. I comandi a vari livelli:
possono intera unità,
differire cartella o singolo
leggermente ma lefile.funzioni sono sostanzialmente le stesse.
Per richiedere la scansione di una specifica unità (per esempio un disco fisso, una chiavetta o unità esterna
Oltre alle scansioni e controlli
USB), che il programma effettua automaticamente, potete richiedere l'esecuzione di
è sufficiente:
scansioni a vari livelli: intera unità, cartella
• eventualmente o singolo
collegare file. esterno (inserendo la chiavetta o l'unità a disco USB)
il dispositivo
Figura 13: Scansione di un'unità
Per richiedere la scansione di una
• fare specifica
click destro unità
sull'unità (per esempio un disco fisso, una chiavetta o unità esterna
desiderata
USB), è sufficiente: • nel menu che compare (Figura 13), scegliere la voce Analizza con Microsoft Security Essentials
• eventualmente collegare • compare una finestra
il dispositivo (Figura
esterno 14) che presenta
(inserendo lo stato di avanzamento
la chiavetta della scansione
o l'unità a disco USB)
• al termine, vengono visualizzati gli eventuali virus trovati. Figura 13: Scansione di un'unità
• aprire la finestra Computer 55
• fare click destro sull'unità
Perdesiderata
richiedere la scansione di un'intera cartella, occorre:
• nel menu che compare •(Figura
visualizzare
13),lascegliere
cartella di livello superiore
la voce che contiene
Analizza con la cartella da controllare
Microsoft Security Essentials
• fare click destro sull'icona della cartella
• procedere come prima.
• al termine, vengono visualizzati gli eventuali virus trovati.
click destro sull'icona del file e si prosegue come prima.
Per richiedere la scansione di un'intera cartella, occorre:
E' possibile pianificare scansioni in modo che venga fatto periodicamente un controllo del PC scegliendo
• visualizzare la cartella di livello superiore che contiene la cartella da controllare
l'orario. Per questo, occorre:
• fare click destro sull'icona dellail cartella
• aprire programma tramite l'icona Stato del PC presente nell'Area di notifica (in basso a destra dello
• procedere come prima. schermo)
• nella finestra che compare, scegliere la scheda Impostazioni e la voce Analisi pianificata nella colonna di
sinistra
click destro sull'icona del file e si prosegue come prima.
Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE
E' possibile pianificare scansioni in modo che venga fatto periodicamente un controllo del PC scegliendo
l'orario. Per questo, occorre:
• aprire il programma tramite l'icona Stato del PC presente nell'Area di notifica (in basso a destra dello
© Sergio
schermo)Margarita - Nuova ECDL e Open Source 64 IT Security
• nella finestra che compare, scegliere la scheda Impostazioni e la voce Analisi pianificata nella colonna di
• scegliere
sinistra quindi il tipo di analisi (veloce o completa), il giorno e l'ora ed eventualmente il valore degli altri
• parametri
scegliere quindi il tipo di analisi (veloce o completa), il giorno e l'ora ed eventualmente il valore degli altri
parametri
• al termine, cliccare sul pulsante Salva modifiche.
Realizzato
• al termine,esclusivamente per GABRIELE
cliccare sul pulsante TOMASI - SKILL on LINE
Salva modifiche.
In questo modo, se il computer sarà accesso, verrà fatta un analisi delle unità per cercare eventuali malware
In questo
nel giorno modo, se il computer sarà accesso, verrà fatta un analisi delle unità per cercare eventuali malware
e ora specificati.
nel giorno e ora specificati.
Esercizio
Esercizio
Inserite una chiavetta USB contenente dei file nel vostro computer e eseguitene
Inserite
una una chiavetta
scansione USB contenente dei file nel vostro computer e eseguitene
con l'antivirus.
una scansione con l'antivirus.
Non
© Copyright AICA avete
2014 nessun antivirus? Installatene uno.
– 2019 www.micertificoecdl.it
Non avete nessun antivirus? Installatene uno.
Se sono segnalati virus, cercare su Internet informazioni sulla loro natura e
Se sono segnalati
intervenite virus,
sul file infetto cercare
come su Internet informazioni sulla loro natura e
consigliato.
Esercizio
Verificate che il file Macro.odt presente nella vostra cartella di lavoro non
contenga nessun virus.
Comprendere il termine quarantena e l’operazione di mettere in quarantena file infetti/sospetti

2.3.3 Comprendere il termine quarantena e l’operazione di mettere in quarantena file infetti/sospetti.
Un malware può infettare diversi tipi di file: file contenenti dati dell'utente (per esempio inserendo una macro
in un documento di testo), programmi applicativi, programmi di sistema, ... In tutti i casi, la cancellazione
immediata del file da parte del programma antivirus al momento della sua individuazione potrebbe arrecare
56
danni all'utente: perdita di dati, arresto del funzionamento del sistema operativo, ... Nella maggior parte dei
casi invece, il programma antivirus pone il file infetto in quarantena ossia lo trasferisce in una cartella
particolare, gestita dall'antivirus
© Sergio Margarita - Nuova ECDL stesso e avvisa
e Open l'utente che può scegliere65
Source l'azione da compiere. IT Security
Si può così decidere se effettuare una pulizia del file, rimuovendo quando possibile il codice pericoloso e
facendo uscire il file dalla quarantena, oppure ripristinare una copia non infetta del file e cancellare quello
© Sergio Margarita - Nuova ECDL e Open Source
infetto. 65 IT Security
facendo
2.3.4 uscire il l’importanza
Comprendere file dalla quarantena,
di scaricare eoppure ripristinare
installare una dicopia
aggiornamenti non file
software, infetta del file edi cancellare
di definizione antivirus. quello
infetto.
Comprendere l’importanza di scaricare e installare aggiornamenti di software, file di definizione
Va sottolineato che i virus alimentano una parte del mercato del software e sono sempre più evoluti: scrivere
d i a n t i v file
i r u s definizione di antivirus.
virus non è particolarmente
2.3.4 Comprendere l’importanzadifficile e in rete
di scaricare sono disponibili
e installare aggiornamentiprogrammi per lodiscopo.
di software, Ogni giorno nuovi virus
vedono la luce e per questa ragione è importante che l'antivirus sia sempre aggiornato all'ultima versione.
Va sottolineato
Come detto, la che i virus
maggior alimentano
parte dei virusunasonoparte del mercato
concepiti per fardel software
danni e sono
al sistema sempre Windows:
operativo più evoluti:usare
scrivere
un
virus non è particolarmente difficile e in rete sono disponibili programmi per
sistema operativo basato su Linux o su Mac OS X riduce quasi a zero la possibilità di infezioni. lo scopo. Ogni giorno nuovi virus
vedono la luce e per questa ragione è importante che l'antivirus sia sempre aggiornato all'ultima versione.
Riepilogando,
Come detto, lalemaggior
principali misure
parte dei per proteggersi
virus dai virus
sono concepiti per sono:
far danni al sistema operativo Windows: usare un
•sistema
avere operativo
sempre unbasato
programma antivirus aggiornato
su Linux o su Mac OS X riduce ed attivo
quasimentre
a zerosilalavora
possibilità di infezioni.
• effettuare periodicamente un controllo completo del sistema inclusi allegati di posta, chiavette USB, ...
Riepilogando, le principali misure per proteggersi dai virus sono:
• in caso di dubbi utilizzare antivirus diversi e specializzati per tipologie di infezione (adware, worm)
• avere sempre un programma antivirus aggiornato ed attivo mentre si lavora
• non eseguire nessun programma di cui non si è certi della provenienza
• effettuare periodicamente un controllo completo del sistema inclusi allegati di posta, chiavette USB, ...
• quando si scaricano programmi dalla rete, fare verifiche sul sito di provenienza
• disattivare la possibilità di eseguire macro in pacchetti applicativi
• non eseguire nessun programma di cui non si è certi della provenienza
• non cliccare su link consigliati da amici in strani messaggi via mail o via messaggeria istantanea.
• non cliccare su link consigliati da amici in straniEsercizio messaggi via mail o via messaggeria istantanea.
Verificate sul personal computer cheEsercizio

state usando se è presente un programma
antivirus e se risulta aggiornato di recente.
Determinatene il nome, la versione e la data di ultimo aggiornamento del
Verificate sul personal computer che state usando se è presente un programma
programma.
antivirus e se
Individuare risultadiaggiornato
la data di recente. del file di definizione dei virus.
ultimo aggiornamento
Determinatene il nome, la versione e la data di ultimo aggiornamento del
•sistema
disattivare la possibilità
operativo basato su di eseguire
Linux o su macroMac OS in pacchetti
X riduce applicativi
quasi a zero la possibilità di infezioni.
• non cliccare su link consigliati da amici in strani messaggi via mail o via messaggeria istantanea.
Riepilogando, le principali misure per proteggersi dai Esercizio
virus sono:
• avere sempre un programma antivirus aggiornato ed attivo mentre si lavora
Verificate sul personal
• effettuare periodicamente un controllo computer completo che Esercizio
state
del usando
sistema se èallegati
inclusi presente un programma
di posta, chiavette USB, ...
antivirus e se risulta aggiornato di recente.
• non eseguire Verificate
nessun sul
Determinatene personal
programmail nome, dicomputer
cuilanon siche
versione state
è certi lausando
e della data se ultimo
di
provenienza è presente un programma
aggiornamento del
antivirus
programma. e se risulta aggiornato di recente.
Determinatene
Individuare la data il nome,
di ultimo la aggiornamento
versione e ladel data ultimo aggiornamento
file di definizione dei virus. del
programma.
• non cliccareIndividuare
su link consigliati
la data da amici in
di ultimo strani messaggi
aggiornamento del via
file mail o via messaggeria
di definizione dei virus. istantanea.
Le password sono tipicamente adoperate per proteggere l'accesso a siti o servizi di rete. Possono anche
essere adoperate per singoli file.
Le password sono tipicamente adoperate per proteggere Eserciziol'accesso a siti o servizi di rete. Possono anche
essere adoperate
1.4.2 Impostare una per singoliper
password file.
file quali documenti, file compressi, fogli di calcolo. 57
1.4.2
IVerificate
Impostare di
o s t asul
m ppassword
unatesto
personal
r eperun p acomputer
a quali
file
s w o r dche
sdocumenti, p estate
r f i usando
file compressi,
u ase
l e q fogli i èd
l di presente
o c u m e nunt iprogramma
, file compressi, fogli di calcolo
calcolo. una password. In questo caso
I documenti antivirus e sei fogli
risulta©diSergio
calcolo
aggiornato possono
Margarita di recente.
- Nuova essere
ECDL e Open protetti
Source tramite 66 IT Security
Determinatene
I documenti di testo e i fogli vengono il nome,
di calcolo la versione
possono e
esserela data
protettidi ultimo
tramite aggiornamento
una password. del
In questo caso
cifrati al momento della registrazione e possono essere aperti soltanto da chi conosce la password.
programma. Anche se questo non costituisce un livello di sicurezza molto alto, impedisce a chi dovesse entrare in
vengono
Realizzato cifrati al momento della
esclusivamente per registrazione
GABRIELE e possono
TOMASI essereonaperti
- SKILL LINEsoltanto da chi conosce la password.
Individuare la datapossesso di ultimo del aggiornamento
documento di accedere delimmediatamente
file di definizione dei virus.
ai contenuti.
Anche se questo non costituisce un livello di sicurezza molto alto, impedisce a chi dovesse entrare in
Realizzato esclusivamente perPerGABRIELE impostare una TOMASI password ad-un documento
SKILL ondiLINE
testo di LibreOffice, creato con Writer, è sufficiente:
possesso del documento di accedere • aprire immediatamente
il documento con Writerai contenuti.
• selezionare il menu File / Salva con nome (oppure File / Salva nel caso di un documento nuovo)
Le password
Per impostaresono tipicamente
una password ad•adoperate
un documento
nella
per proteggere
finestra Salvadicon testo
nome diche l'accesso
LibreOffice, acreato
siti o con
compare, selezionare
servizi di rete.
Writer,
l'opzione Salvaè con
Possono
sufficiente: anche
password (Figura 15) e
essere adoperate per singoli file. confermare con Salva
• aprire il documento con Writer• viene richiesta la password, ripetuta per conferma (Figura 16)
•1.4.2
selezionare
Impostare unail menu File /per
password Salva • al con
file termine,
quali nome (oppure
confermare
documenti, con OK.
file File / Salva
compressi, fogli nel caso di un documento nuovo)
di calcolo.
• nella finestra Salva con nome che compare, selezionare l'opzione
Al momento della riapertura del documento, Writer chiederà Salva con lapassword
di inserire (Figura l'eventuale
password segnalando 15) e
confermare con Salva
I documenti di testo e i fogli di calcolo possono essere protetti tramite una password. In questo caso
password errata.
• viene richiesta la password, ripetuta Per impostare per conferma
una password (Figura
ad un 16) foglio elettronico di LibreOffice,creato con Calc, oppure ad una
presentazione creata con Impress, si procede nello stesso modo.
• al termine, confermare con OK. Come si può eliminare una password precedentemente inserita in un documento? Per questo è sufficiente
Figura 15: La finestra Salva con nome
Realizzato esclusivamente persalvare GABRIELE TOMASI

il file deselezionando - SKILL
l'opzione Salvaon conLINE
password.
Al momento della riapertura del documento, Writer chiederà di inserire la password segnalando l'eventuale
password errata. Esercizio
Per impostare una password ad un foglio Assegnare una password

elettronico di alLibreOffice,creato
file di testo Documentoriservato.odt
con Calc,presente
oppurenellaad una
vostra cartella di lavoro.
presentazione creata con Impress, si procede nello stesso modo.
Assegnare una password al foglio elettronico Tabellariservata.ods presente nella Figura 15: La finestra Salva con nome
Come si può eliminare una password precedentemente inserita in un documento? Per questo è sufficiente
Aprire i file, provando anche a inserire una password errata.
salvare il file deselezionando l'opzione Salva con password.
Una procedura simile può essere applicata per proteggere un file compresso. Spesso i file compressi sono
adoperati per raggruppare in un unico file intere cartelle: in questo modo con una sola password si protegge
Esercizio
l'insieme dei file contenuti nel file compresso. La procedura dipende dal programma utilizzato.
Figura 16: Conferma della password
Contrariamente a Windows XP, Windows 7 non dispone di una funzionalità semplice per proteggere le
Assegnare una password al file con
cartelle compresse di testo Documentoriservato.odt
una password presente
ma esistono diversi programmi Open nella
Source o commerciali che

Assegnare una password al foglio elettronico Tabellariservata.ods presente nella
Aprire i file, provando anche a inserire una password errata.
Assegnare
© Sergio Margarita una password
- Nuova al foglio
ECDL e Open elettronico Tabellariservata.ods
Source 67 presente nella IT Security
Aprire
possono essere i file, provando
utilizzati. anche
Uno dei più a inserire
diffusi una di
programmi password errata.
compressione/decompressione Open Source è 7-
Zip (www.7-zip.org)
Con questo programma, per creare un file compresso ed assegnargli una password occorre:
Una proceduraglisimile
• selezionare può da
elementi essere applicata
comprimere per proteggere
(cartella, un ofile
singolo file compresso.
gruppo di file) Spesso i file compressi sono
adoperati per raggruppare in un unico file intere cartelle: in questo modo con una sola password si protegge Figura 16: Conferma della password
• fare click destro sulla selezione e scegliere la voce di menu 7-Zip / Add to archive
l'insieme dei file contenuti nel file compresso. La procedura dipende dal programma utilizzato.
•© Sergio
compare la finestra
Margarita nella quale
- Nuova ECDL siepossono scegliere le diverse opzioni67per la compressione (Figura 17).
Open7Source IT Security
Contrariamente a Windows XP, Windows non dispone di una funzionalità semplice per proteggere le
Nella sezione Cifratura si trovano le opzioni utili per la gestione della sicurezza:
cartelle compresse con una password ma esistono diversi programmi Open Source o commerciali che
• Inserisci
possono password
essere e Reinserisci
utilizzati. Uno dei piùpassword, per assegnare
diffusi programmi una password al file compresso
di compressione/decompressione OpeneSource
cifrarlo è 7-
58 • Cifra anche
Zip (www.7-zip.org)il nome dei file (per una maggior sicurezza, se si usa 7-Zip anche per decomprimerlo)
Realizzato
• confermare esclusivamente
con il pulsante per OK GABRIELE TOMASI - SKILL on LINE
Con questo programma, per creare un file compresso ed assegnargli una password occorre:
• al termine viene creato il file compresso.
• selezionare gli elementi da comprimere (cartella, singolo file o gruppo di file)
• fare click destro sulla selezione e scegliere la voce di menu 7-Zip / Add to archive
• compare la finestra nella quale si possono scegliere Attenzione
le diverse opzioni per la compressione (Figura 17).
Figura 17: Le opzioni di 7-Zip
Nella sezione Cifratura si trovano le opzioni utili per la gestione della sicurezza:
• Inserisci Se
password e Reinserisci
fra le opzioni password,scegliete
di compressione per assegnare
7z, chiuna password
dovrà al file compresso
decomprimere il file avrà e cifrarlo
• Cifra anche il nome
bisogno deldei file (per una
programma maggior
7-Zip e di unsicurezza,
programma se che
si usa 7-Zip anche
riconosce questo performato.
decomprimerlo)
• confermareSe condovete inviare
il pulsante OKil file e non sapete di quale programma dispone il destinatario,
vi conviene
• al termine viene creato crearlo scegliendo il formato zip per maggiore compatibilità.
il file compresso.
C o m p r e n d e r e l ’ e f f e t t o d i a tAttenzione
t i v a r e / d i s a t t i v a r e l e i m p o s t a z i o n i d i s i c u r e z z a dFigura
e l l e 17:
m aLec opzioni
ro di 7-Zip
1.4.1 Comprendere l’effetto di attivare/disattivare le impostazioni di sicurezza delle macro.
I programmi Se di fra le opzioni individuale

produttività di compressione sceglietetesti,
(trattamento 7z, chi dovrà
fogli decomprimere
elettronici, il file avrà hanno ormai
presentazioni)
bisogno del programma 7-Zip e di un programma che riconosce questo formato.
raggiunto un livello tale di sofisticazione e una ricchezza tale di funzionalità che dispongono di centinaia di
comandi, vociSedidovete
menu,inviare
tasti ilfunzione
file e none sapete
icone. di quale
Per programma
agevolare dispone
il lavoro il destinatario,
dell'utente possono registrare
vi conviene crearlo scegliendo il formato zip per maggiore compatibilità.
sequenze di comandi (tasti, funzioni, voci di menu, ...) e rieseguirle su semplice richiesta dell'utente,
evitandogli così di eseguire manualmente sequenze lunghe, complesse e ripetitive. Queste sequenze,
denominate macro, sono memorizzate come una vera e propria sequenza di istruzioni. Tant'è che le diverse
applicazioni sonol’effetto
1.4.1 Comprendere dotatedidiattivare/disattivare
un vero e proprio linguaggio di
le impostazioni di sicurezza
programmazione,
delle macro.utilizzabile dall'utente evoluto
per arricchire le funzionalità delle macro e automatizzare, anche in modo spinto, le elaborazioni da svolgere.
Mentre alcunedimacro
I programmi vengono
produttività eseguite solo
individuale su esplicita
(trattamento testi,richiesta dell'utente,presentazioni)
fogli elettronici, altre possono hanno essere ormai
state
create da un
raggiunto qualche
livelloautore
tale di malevolo in modo
sofisticazione e una da ricchezza
attivarsi all'insaputa dell'utente
tale di funzionalità che sedispongono
compie qualche azione di
di centinaia o
semplicemente
comandi, voci al di momento
menu, tastiin cui esso apre
funzione il documento.
e icone. Per agevolare il lavoro dell'utente possono registrare
sequenze di comandi (tasti, funzioni, voci di menu, ...) e rieseguirle su semplice richiesta dell'utente,
evitandogli così di eseguire manualmente sequenze lunghe, complesse e ripetitive. Queste sequenze,
denominate macro, sono memorizzate come una vera e propria sequenza di istruzioni. Tant'è che le diverse
applicazioni sono dotate di un vero e proprio linguaggio di programmazione, utilizzabile dall'utente evoluto
per arricchire le funzionalità delle macro e automatizzare, anche in modo spinto, le elaborazioni da svolgere.
Mentre alcune macro vengono eseguite solo su esplicita richiesta dell'utente, altre possono essere state © Copyright AICA 2014 – 2019
create da qualche autore malevolo in modo da attivarsi all'insaputa dell'utente se compie qualche azione o
semplicemente al momento in cui esso apre il documento.
all'utente di scegliere il livello di sicurezza delle macro e di allerta in caso di presenza di macro nel file. Al
momento dell'apertura del file, può decidere inoltre se abilitare o disabilitare le macro presenti nel file.
In LibreOffice, si può scegliere il livello di sicurezza delle macro presenti nei documenti. Per questo occorre:
• selezionare il menu © Sergio Margarita - Nuova ECDL e Open Source
Strumenti / Opzioni 68 IT Security
• nella finestra che compare,

Se da©un scegliere
Sergio Margarita
lato facilitano nella colonna
- Nuova
l'attività ECDLdi sinistra
e Open
dell'utente, lapossono
Source
dall'altro voce LibreOffice
rappresentare / Sicurezza
68
un pericolo: potenzialmente si IT Security
• cliccare sul pulsantepotrebbe
Sicurezza delleunmacro
ricevere file con una macro contenente istruzioni pericolose in grado di danneggiare dati
presenti Se danel un lato facilitano
computer. Per dellel'attività idell'utente,
questo, programmi dall'altro possonodispongono
di produttività rappresentare di un pericolo: potenzialmente
funzionalità che permettonosi
• si può così impostare il livello
potrebbe di sicurezza
ricevere macro (Figura 18). istruzioni
Se da un lato facilitano l'attività
all'utente dell'utente,
di scegliere il un file dicon
dall'altro
livello una macro
sicurezza possono dellecontenente e di allerta inpericolose
rappresentare
macro un
caso in grado didimacro
pericolo:
di presenza danneggiare
potenzialmente nel file.dati
si
Al
momento presenti nel computer.
dell'apertura del Per
file, puòquesto,
decidere i programmi
inoltre se di produttività
abilitare o dispongono
disabilitare le di funzionalità
macro presenti che
nel permettono
file.
potrebbe
Si consigliaricevere un file ilall'utente
di mantenere con una
più alto macrodiilcontenente
di livello
scegliere sicurezza
livello di sicurezza istruzioni
possibile, pericolose
e di allerta in
compatibilmente
delle macro grado di danneggiare
condi l'uso
in caso abituale
presenza di macroche dati
nel si faAl
file.
presenti nel computer.
di LibreOffice. Aprendo
InPer questo,
LibreOffice,
momento
un documento
si i
può programmi
scegliere
dell'apertura del file,
che contiene di
puòproduttività
il livello di sicurezza
decidere dispongono
delle
inoltre semacro di
presenti
abilitare funzionalità
nei documenti.
o disabilitare che
Per permettono
questo
le macro presenti
macro, a seconda del livello di sicurezza possono
occorre:
nel file.
all'utente sceglierediil• avviso
compariredimessaggi
selezionare
livello il menu
di sicurezza
In LibreOffice,
relativi
Strumenti
si può
alle scegliere
macro
/ Opzioni
delle (Figura
macro
il livello e di di allerta
sicurezza
19). in macro
delle casopresenti
di presenza di macro
nei documenti. nel occorre:
Per questo file. Al
Figura 18: I livelli di sicurezza delle macro
momento dell'apertura •del nella finestra cheilcompare,
file, può decidere
• selezionare scegliere
inoltre
menu Strumenti se nella
abilitare
/ Opzioni colonna di sinistra la voce LibreOffice / Sicurezza
o disabilitare le macro presenti nel file.
• cliccare
• nellasulfinestra
pulsante
cheSicurezza
compare, delle macro
scegliere nella colonna di sinistra la voce LibreOffice / Sicurezza
• si può
In LibreOffice, si può scegliere così
• cliccare impostare
il livello il livello
di sicurezza
sul pulsante di sicurezza
Sicurezza delle delle macro
macro
delle macro (Figura
presenti 18).
nei documenti. Per questo occorre:
• si può così impostare il Esercizio
livello di sicurezza delle macro (Figura 18).
59
• selezionare il menu Strumenti / Opzioni
Si consiglia di mantenere il più alto livello di sicurezza possibile, compatibilmente con l'uso abituale che si fa
• nella finestra
Il che
file compare,
Macro.odt scegliere
di LibreOffice. Aprendo
presente
Si consiglia nellaun colonna
nella
di mantenere più alto di
documento
il vostra sinistra
che
cartella
livello di la
contienedi voce
macro,
sicurezzalavoroLibreOffice
a contiene
seconda
possibile, / Sicurezza
del livello
condil'uso
un'innocua
compatibilmente sicurezza
abitualepossono
che si fa
pulsantecomparire
• cliccare sul macro. Sicurezza messaggi di avvisoun
delleAprendo
di LibreOffice. macro relativi alle macro
documento che (Figura
contiene19).
macro, a seconda del livello di sicurezza possono Figura 18: I livelli di sicurezza delle macro
comparire messaggi di avviso relativi alle macro (Figura 19).
• si può così impostare il livello di sicurezza delle macro (Figura 18). Figura 18: I livelli di sicurezza delle macro
Apritelo con LibreOffice Writer, provando uno per uno tutti i livelli di sicurezza
Esercizio
delle macro e osservare
Si consiglia di mantenere il più alto il comportamento del programma.
livello di sicurezza possibile, Esercizio compatibilmente con l'uso abituale che si fa
Il file Macro.odt presente nella vostra cartella di lavoro contiene un'innocua
di LibreOffice.AlAprendo un documento
termine, reimpostare
macro. un
Il file che
livellocontiene
alto
Macro.odt di macro,
sicurezza.
presente nella a seconda
vostra dellavoro
cartella di livello di sicurezza
contiene un'innocua possono
comparire messaggi di avviso relativi alle
macro. macro (Figura 19).
Apritelo con LibreOffice Writer, provando uno per uno tutti i livelli di sicurezza Figura18:
Figura 19:IAttenzione. Possibile
livelli di sicurezza pericolo!
delle macro
delle Apritelo
macro econ LibreOffice
osservare Writer, provando
il comportamento del uno per uno tutti i livelli di sicurezza
programma.
delle macro e osservare il comportamento del programma.
E' vero che "Il pericolo viene dallaAlrete"?
termine, reimpostare un livello alto di sicurezza.
Esercizio
Al termine, reimpostare un livello alto di sicurezza.
Figura 19: Attenzione. Possibile pericolo!
Con l'aumento della diffusione di Internet, diventa sempre più facile entrare in contatto con persone con le Figura 19: Attenzione. Possibile pericolo!
Il file
quali altrimenti non Macro.odt
vero che presente
siE'sarebbe "Ilmai nelladalla
comunicato.
pericolo viene vostraAumenta
rete"? cartella di lavoro contiene
naturalmente il rischio un'innocuache tali persone siano
E' vero che "Il pericolo viene dalla rete"?
macro.
malintenzionate e approfittino dell'immediatezza offerta dallo strumento informatico
Con l'aumento della diffusione di Internet, diventa sempre più facile entrare in contatto con persone con le
per commettere qualche
reato a danno dell'utente Con l'aumento della
sprovveduto. E' diffusione di Internet,
importante d'altro diventa
canto sempre
non più facile entrareInternet
demonizzare in contattonécon persone conchele
Apritelo conquali LibreOffice
altrimenti non si sarebbe mai comunicato. Aumenta naturalmente
i livelli ildirischio che talipensare
persone siano
quali altrimenti Writer, provando
non si sarebbe uno per
mai comunicato. uno tutti
Aumenta naturalmente il sicurezza
rischio che tali persone siano
sia la causa dei reati che vengono
malintenzionate perpetrati
e approfittino per il suoofferta
dell'immediatezza tramite.
offerta dalloInternet
dallo strumento è solo per
informatico uno strumento
commettere di
qualche
delle macro reatoereato
aosservare
malintenzionate
danno il ecomportamento
dell'utente sprovveduto. E' del programma.
approfittino dell'immediatezza
importante d'altro canto
strumento informatico
non demonizzare
per commettere
Internet né
qualche
pensare che
© Sergio Margarita
comunicazione, Così- Nuova
come ECDL
altri e Open
strumenti Source
tecnologici sono stati utilizzati 69 per delinquere
a danno dell'utente sprovveduto. E' importante d'altro canto non demonizzare Internet né pensare che quando sono nati IT Security
sia lasiacausa dei reati che chevengono perpetrati per il suo tramite. Internet è èsolo uno
uno strumento di
Al termine,
(telefono, cassette video, reimpostare
...) anche
la causa
comunicazione,
un
deilivello
Internet
Così Così
reati
comecome
alto
viene di
vengono
altri altri
strumenti
sicurezza.
adoperato agli per
perpetrati
tecnologici
stessi
sono
il suo fini.
stati
Truffe
tramite.
utilizzati
e raggiri
Internet
perperdelinquere
esistevano
solo bendi
strumento
comunicazione, strumenti tecnologici sono stati utilizzati delinquerequando
quandosono sononati
nati
prima di Internet, così come
(telefono,le cassette
prepotenze,
(telefono, video,
cassette le molestie
...)
video, anche
...) anche e laviene
Internet diffusione
Internet adoperato
viene di contenuti
adoperato agliagli
stessi
stessi proibiti
fini. Truffe
fini. dalla legge.
e eraggiri
Truffe esistevano
raggiri esistevanoben
ben Figura 19: Attenzione. Possibile pericolo!
Senza voler esagerare, è indubbio
Realizzato che alcuneTOMASIdelle attività che on
svolgiamo
LINE in rete sono più sensibili di altre e
E' vero che esclusivamente per GABRIELE
"Il pericolo Realizzato
viene dalla rete"?
esclusivamente per GABRIELE
- SKILL
TOMASI - SKILL onon
LINE
richiedono maggiori cautele. Sono
Realizzato soprattutto
esclusivamentequelle che hanno
per GABRIELE risvolti
TOMASI finanziari:
- SKILL LINEgli acquisti (e-commerce) e
Con l'aumento
le operazioni della diffusione
bancarie di Internet, diventa sempre più facile entrare in contatto con persone con le
(e-banking).
quali altrimenti non si sarebbe mai comunicato. Aumenta naturalmente il rischio che tali persone siano
4.1.1 Essere consapevoli
malintenzionate che alcune
e approfittino attività in rete (acquisti,
dell'immediatezza offertatransazioni finanziarie)
dallo strumento dovrebbero
informatico peressere eseguitequalche
commettere solo su
pagine web sicure.
reato a danno dell'utente sprovveduto. E' importante d'altro canto non demonizzare Internet né pensare che
sia la causa dei reati che vengono perpetrati per il suo tramite. Internet è solo uno strumento di
Queste operazioni più delicate devono essere eseguite soltanto su pagine web sicure. La sicurezza dei siti e
comunicazione, Così come altri strumenti tecnologici sono stati utilizzati per delinquere quando sono nati
delle loro pagine è legata a due fattori:
(telefono, cassette video, ...) anche Internet viene adoperato agli stessi fini. Truffe e raggiri esistevano ben
• la notorietà e l'autorevolezza del sito. Senza voler fare pubblicità, fare acquisti sul sito www.amazon.it è
meno rischioso che sul sito www.vienniquikessicompramelio.ng.
• Copyright
le misureAICA
Realizzato
© di sicurezza
esclusivamente che per
2014 – 2019 il gestore
GABRIELE del sitoTOMASI
ha messo in opera.
- SKILL Le misure di sicurezza tecniche verranno
on LINE www.micertificoecdl.it
esaminate nei punti successivi e riguardano principalmente la cifratura dei dati trasmessi e l'identificazione
del proprietario del sito.
prima di Internet, così come le prepotenze, le molestie e la diffusione di contenuti proibiti dalla legge.
Senza voler esagerare, è indubbio che alcune delle attività che svolgiamo in rete sono più sensibili di altre e
richiedono maggiori cautele. Sono soprattutto quelle che hanno risvolti finanziari: gli acquisti (e-commerce) e
le operazioni bancarie (e-banking).
Essere consapevoli che alcune attività in rete (acquisti, transazioni finanziarie) dovrebbero essere
4.1.1 Essere consapevoli che alcune attività in rete (acquisti, transazioni finanziarie) dovrebbero essere eseguite solo su
eseguite solo su pagine web sicure
pagine web sicure.
Queste operazioni più delicate devono essere eseguite soltanto su pagine web sicure. La sicurezza dei siti e
delle loro pagine è legata a due fattori:
60 • la notorietà e l'autorevolezza del sito. Senza voler fare pubblicità, fare acquisti sul sito www.amazon.it è
meno rischioso che sul sito www.vienniquikessicompramelio.ng.
• le misure di sicurezza che il gestore del sito ha messo in opera. Le misure di sicurezza tecniche verranno
esaminate nei punti successivi e riguardano principalmente la cifratura dei dati trasmessi e l'identificazione
del proprietario del sito.
Per quanto riguarda la notorietà del sito al quale ci si collega, va sempre prestata molta attenzione a
collegarsi effettivamente al sito reale e non a qualche sito fake (fasullo) che ha lo scopo di carpire codice
utente e password, magari con qualche tentativo di pharming (vedere punto 4.1.3). Nell'e-banking e le
transazioni finanziarie, i rischi sono ridotti grazie al basso numero di banche alle quali ci colleghiamo e alle
misure di sicurezza aggiuntive poste in opera dalle banche stesse.
Alcune osservazioni vanno fatte invece sugli acquisti online (e-commerce), anche perché il settore non è
regolamentato come quello delle banche e il numero di negozi online è in costante crescita. Anche se l'Italia
non è fra i primi paesi per diffusione, è indubbio che il commercio elettronico ha raggiunto dei livelli
significativi e che tutte le stime lo danno in costante crescita nei prossimi anni. Crescita rallentata nel nostro
paese dalla diffidenza da parte dei privati e dai timori legati proprio al pagamento online. Quali sono i rischi
degli acquisti fatti tramite e-commerce? Si pensa prevalentemente a quelli legati al pagamento online con
carta di credito: "non mi fido a comunicare i dati della mia carta di credito" è un motivo ricorrente. Va
sottolineata l'importanza di rivolgersi a siti noti e di elevata reputazione che dispongono di sistemi di
sicurezza molto sofisticati che rendono il furto di dati personali e finanziari molto difficili. Non altrettanto si
può dire di tutti i siti di vendita online: quelli più "artigianali" investono probabilmente meno nella sicurezza.
In realtà esistono altri rischi, spesso sottovalutati che non sono legati ai pagamenti online. Per esempio
quello di mancata consegna della merce o di consegna di merce di qualità più bassa di quella attesa o
pubblicizzata. Immaginate, allettati da prezzi particolarmente bassi, di ordinare un bene, effettuare il

© Sergio Margarita
pagamento - Nuova
e non ricevere la ECDL
merce.e Se Open Source
il bene è di moderato valore, l'azienda 70 è all'estero e non risponde IT Security
alle mail o vi assicura che si tratta solo di un piccolo ritardo, le vostre possibilità di ricorso sono pressoché
pagamento
nulle. e non
Diffidate quindiricevere
da prezzi la merce.
troppo Sebassi il bene è di moderato
per essere veri, da siti valore,
in cuil'azienda è all'estero
non si capisce bene edove nonèrisponde
la sede
alle mail o vi assicura che si tratta solo di un piccolo ritardo, le vostre
del beneficiario del pagamento, di quelli che effettuano l'addebito al momento dell'ordine e non della possibilità di ricorso sono pressoché
nulle. Diffidate
spedizione. quindi Margarita
© Sergio da prezzi- troppo bassi eper
Nuova ECDL essere
Open veri, da siti in cui non70si capisce bene dove è la sede
Source IT Security
del beneficiario del pagamento, di quelli che effettuano l'addebito al momento dell'ordine e non della
Siete spaesati
spedizione. e rimanete timorosi?
pagamento e non ricevere la merce. Se il bene è di moderato valore, l'azienda è all'estero e non risponde 61
Se volete alle mail
essere più otranquilli,
vi assicuraprima che siditratta solo di un
effettuare un piccolo
acquisto, ritardo, le vostre
cercate con possibilità
un motore di di
ricorso sonoinformazioni
ricerca pressoché
Siete spaesati e rimanete
nulle. timorosi?
Diffidate quindi da prezzi troppo bassi per essere veri, da siti in cui non si capisce bene dove è la sede
sull'azienda alla quale vorreste rivolgervi, in particolare forum dove potete trovare pareri scritti da utenti. Se
Se volete del beneficiario
essere del pagamento, di quelli un
che effettuanocercatel'addebito alun
momento dell'ordine einformazioni
non della
questi sono tutti più tranquilli,
positivi,
spedizione. cercate primadi di effettuare
capire se sonoacquisto,
reali ma se sono conproprio motore di ricerca
negativi, cercate un altro
sull'azienda
negozio. alla quale vorreste rivolgervi, in particolare forum dove potete trovare pareri scritti da utenti. Se
questi sono Sietetutti spaesati
positivi,e cercate
rimanete timorosi?
di capire se sono reali ma se sono proprio negativi, cercate un altro
Un ultimo consiglio operativo: se vi autenticate con nome utente e password ad un sito per effettuare
negozio. Se volete essere più tranquilli, prima di effettuare un acquisto, cercate con un motore di ricerca informazioni
operazioni (per esempioalla
sull'azienda alla vostra
quale banca
vorreste o a un insito
rivolgervi, di e-commerce
particolare forum dove dove avete
potete registrato
trovare la vostra
pareri scritti carta
da utenti. Sedi
Un ultimo consiglio
credito per velocizzare operativo:
questi sono gli tuttiacquisti)
se vi autenticate
positivi, ricordatevi
cercate di capire
con
sempre nome
se di
sono
utente
disconnettervi e
reali ma se sono
password
dal sito ad
in modo
proprio
un sito per
checercate
negativi,
effettuare
non rimanga
un altrola
operazioniaperta.
sessione (per esempio
negozio.Impedirete alla cosìvostraa banca
chi dovesseo a un usare
sito di ile-commerce
personal computer dove avete dopo registrato
di voi dilaeffettuare
vostra carta delledi
credito per velocizzare
operazioni a Un voi ultimo gli
non gradite! acquisti) ricordatevi sempre di disconnettervi dal sito in modo che non rimanga la
consiglio operativo: se vi autenticate con nome utente e password ad un sito per effettuare
sessione aperta. Impedirete
operazioni (per esempio
così a chi dovesse usare il personal computer dopo di voi di effettuare delle
Veniamo
operazioni alle vere
a credito
voi none proprie
gradite! misurealla vostra banca
di sicurezza o a un sito
tecniche, di e-commerce
messe in opera dove avete registrato
dal gestore del sito.la vostra carta di
per velocizzare gli acquisti) ricordatevi sempre di disconnettervi dal sito in modo che non rimanga la
Veniamo
4.1.2 allesessione
vere
Identificare un sitoaperta.
e proprie Impedirete
misure
web sicuro, così aassociato
chi dovesse
di sicurezza
ad esempio tecniche,usare
messe
ad https, il personal
in opera
simbolo computer dopo del
dal gestore
del lucchetto. di voi di effettuare delle
sito.
operazioni a voi non gradite!
I d e nun t isito
f i c web
a r esicuro,
u n sad i tesempio
o w e bassociato
sicuro , https,
a d simbolo
e s e m pdel i olucchetto.
associato ad https, simbolo del lucchetto
Il4.1.2
tema della Veniamo
Identificaresicurezza allesuvere
Internet costituisce
e proprie misure di uno deiad
sicurezza problemi
tecniche, più sentiti
messe e presenta
in opera dal gestore numerose
del sito. sfaccettature.
Una di queste è la riservatezza delle informazioni. Nella maggior parte dei casi le informazioni che otteniamo
Il tema 4.1.2
dellasono Identificare
sicurezza su un sito webcostituisce
Internet sicuro, ad esempio associato ad https,
piùsimbolo del
e lucchetto.
da Internet pubbliche. In compenso sonouno dei
sempre problemi
più numerosi sentiti
i servizi presenta numeroseche
e le applicazioni sfaccettature.
richiedono
Una di queste
che le informazioni è la riservatezza
Il tema dellache sicurezza
trasmettiamodelle informazioni.
o riceviamo
su Internet costituisce Nella
tramite maggior
uno deibrowser parte
problemi non dei casi le
sianoe leggibili
più sentiti informazioni
presenta da altri. Ed
numerose che èotteniamo
proprio il
sfaccettature. Figura 20: Protocollo sicuro
da Internet
caso sono
delle applicazioni
Una di pubbliche.
queste che Inriservatezza
è lahannocompenso sono
risvoltidelle sempre
finanziari: più
applicazioni
informazioni. numerosi
Nella iparte
servizi
di commercio
maggior dei e le le
applicazioni
elettronico
casi in cuiche
informazioni richiedono
inviamo
che i dati
otteniamo
che lenostra
della informazioni
da
carta diche
Internet trasmettiamo
sono
credito pubbliche. ocompenso
riceviamosono
oppureIne-banking, tramite
anche sempre browser
solo più non siano
numerosi
per consultarei servizileggibili
lae posizioneda altri.
le applicazioni Ed
delche è proprio
contoil
richiedono
nostro Figura 20: Protocollo sicuro
caso delle applicazioni che hanno risvolti finanziari: applicazioni di commercio elettronico in cui inviamo i dati
corrente. che le informazioni che trasmettiamo o riceviamo tramite browser non siano leggibili da altri. Ed è proprio il Figura 20: Protocollo sicuro
della nostra caso cartadelle di applicazioni
credito oppure che hanno risvolti finanziari:
e-banking, anche solo applicazioni di commercio
per consultare la elettronico
posizioneindel cui inviamo
nostro iconto
dati
Fra i
corrente. numerosi della sistemi
nostra di protezione
carta di credito che
oppure coprono
e-banking,i diversi
anche aspetti
solo perdella sicurezza,
consultare la è basilare
posizione del quello
nostro della
conto
criptazione dei corrente.
dati scambiati dal sito web al proprio browser. Se le informazioni viaggiassero "in chiaro", chi
Fra i numerosi
dovesse sbirciare sistemi
quanto
Fra i numerosi
di sistemi
protezione
passadisulla che coprono
nostra
protezione chelinea
i diversi
coprono
aspetti della
di collegamento
i diversi aspetti ad
sicurezza,
dellaInternet
sicurezza,
èèbasilare
potrebbe
basilare
quellomolto
vedere della
quello della
criptazionetutte
facilmente dei dati scambiati
le informazioni.
criptazione dal
Sesito
dei dati scambiati web
vengono alcriptate,
dal sito proprio browser.
sono browser.
web al proprio molto Sepiù
leSeinformazioni
difficilmente
le informazioni viaggiassero
viaggiasseroe"in
riconoscibili chiaro",chi
decifrabili.
"in chiaro", chi
dovesse sbirciare dovessequanto sbirciarepassa quantosulla
passanostra linea di
sulla nostra lineacollegamento
di collegamento ad ad Internet
Internetpotrebbe
potrebbe vedere
vedere moltomolto
Per questo,tutte
facilmente ifacilmente
sitileche vogliono
informazioni. garantire
Se vengono
tutte le informazioni. questo livello
criptate,
Se vengono di
sono sicurezza
criptate, molto adoperano
più
sono molto difficilmente per lo
più difficilmente scambio dieeinformazioni
riconoscibili
riconoscibili decifrabili.
decifrabili. il
protocollo https (HyperText Transfer Protocol over Secure Socket Layer) al posto del protocollo http abituale,
Per questo, così
garantendo iPer
sitiquesto,
che le
che
i siti chegarantire
vogliono
informazioni
vogliono garantire
questo questo
scambiate livello
sianoover
livello
di di sicurezza
sicurezza
criptate, con
adoperano
adoperano
un elevato perper
livello lo lo scambio di
scambio
di sicurezza.
di informazioni
informazioni il il
protocollo https (HyperText Transfer Protocol over Secure Socket Layer) al posto del protocollo http
protocollo https (HyperText Transfer Protocol Secure Socket Layer) al posto del protocollo http abituale,
abituale,
garantendo così che le informazioni scambiate siano criptate, con un elevato livello di sicurezza.
garantendo così che le informazioni scambiate siano criptate, con un elevato livello di sicurezza.
Realizzato
© Copyright AICA esclusivamente
2014 – 2019 per GABRIELE TOMASI - SKILL on LINE www.micertificoecdl.it
Il tema della sicurezza su Internet costituisce uno dei problemi più sentiti e presenta numerose sfaccettature.
Una di queste è la riservatezza delle informazioni. Nella maggior parte dei casi le informazioni che otteniamo
da Internet sono pubbliche. In compenso sono sempre più numerosi i servizi e le applicazioni che richiedono
che le informazioni che trasmettiamo o riceviamo tramite browser non siano leggibili da altri. Ed è proprio il Figura 20: Protocollo sicuro
caso delle applicazioni che hanno risvolti finanziari: applicazioni di commercio elettronico in cui inviamo i dati
della nostra carta di credito oppure e-banking, anche solo per consultare la posizione del nostro conto
corrente.
Fra i numerosi sistemi di protezione che coprono i diversi aspetti della sicurezza, è basilare quello della
criptazione dei dati scambiati dal sito web al proprio browser. Se le informazioni viaggiassero "in chiaro", chi
dovesse sbirciare quanto passa sulla nostra linea di collegamento ad Internet potrebbe vedere molto
facilmente tutte le informazioni. Se vengono criptate, sono molto più difficilmente riconoscibili e decifrabili.
Per questo, i siti che vogliono garantire questo livello di sicurezza adoperano per lo scambio di informazioni il
protocollo https (HyperText Transfer Protocol over Secure Socket Layer) al posto del protocollo http abituale,
62
garantendo
© Sergio
© Sergio così che
Margarita
Margarita -leNuova
- Nuova informazioni
ECDL
ECDL scambiate
e Open
e Open siano criptate, con un elevato
Source
Source 71 71 livello di sicurezza. IT Security
IT Security
L'attivazione,
Realizzato
L'attivazione, da parte
parte del sito
daesclusivamente
del sito web,web,
per di questa
diGABRIELE
questa protezione
TOMASI
protezione è riconoscibile
è -riconoscibile
SKILL on LINE da due
da due elementi:
elementi:
• la presenza di https:// nell'indirizzo della pagina (Figura
• la presenza di https:// nell'indirizzo della pagina (Figura 20) 20)
• la• visualizzazione
la visualizzazione di lucchetto,
di un un lucchetto,
nellanella
BarraBarra di navigazione
di navigazione di Firefox
di Firefox a sinistra
a sinistra dell'indirizzo
dell'indirizzo delladella pagina
pagina
(Figura
(Figura 21).21).
Più Più precisamente,

precisamente, in Mozilla
in Mozilla FirefoxFirefox il simbolo
il simbolo cheche compare
compare a sinistra
a sinistra dell'indirizzo
dell'indirizzo del del
sito sito
nellanella
BarraBarra
di di
navigazione
navigazione puòpuò essere
essere di tredi tipi,
tre tipi, a seconda
a seconda del livello
del livello di sicurezza
di sicurezza (Figura
(Figura 22):22): Figura
Figura 21: Il21: Il lucchetto
lucchetto
• il • mappamondo
il mappamondo grigio:grigio:
indicaindica
unauna connessione
connessione nonnon cifrata,
cifrata, nonnon sicura
sicura ad adun un
sito sito
che che
nonnon fornisce
fornisce
informazioni di identificazione
informazioni di identificazione
• il •lucchetto
il lucchetto grigio:
grigio: indica
indica unauna connessione
connessione cifrata,
cifrata, considerata
considerata sicura,
sicura, e une sito
un sito
che che è stato
è stato verificato,
verificato,
anche anche se non
se non c'ècertezza
c'è la la certezza di chidi ne
chi sia
ne ilsia il titolare
titolare
• il •lucchetto
il lucchetto verde:
verde: indicaindica
unauna connessione
connessione cifrata,
cifrata, considerata
considerata sicura,
sicura, e une sito
un sito
che che è stato
è stato verificato,
verificato, cosìcosì
come l'identità del titolare al quale risulta
come l'identità del titolare al quale risulta appartenere il sito. appartenere il sito.
Figura
Figura 22: I22:
variI vari
livellilivelli
di di
Anche se questo è lontano sicurezza
sicurezza
Anche se questo è lontano dal dal risolvere
risolvere tuttitutti i problemi
i problemi di sicurezza,
di sicurezza, lo silopuò
si può considerare
considerare comecome un requisito
un requisito
basilare
basilare e dieconseguenza
di conseguenza averaver l'accortezza
l'accortezza di non
di non trasmettere
trasmettere o ricevere
o ricevere informazioni
informazioni riservate
riservate se non
se non vi è vi è
almeno
almeno questo
questo livello
livello di protezione.
di protezione. In assenza
In assenza di lucchetto,
di lucchetto, grigio
grigio o verde,
o verde, è preferibile
è preferibile nonnon effettuare
effettuare
operazioni
operazioni cheche prevedono
prevedono l'invio
l'invio di dati
di dati personali
personali e/o e/o finanziari.
finanziari.
Ricreazione
Ricreazione
Andare
Andare sul sito
sul sito di qualche
di qualche banca
banca la home
la cui cui homepage page utilizzi
utilizzi il protocollo
il protocollo http.http.
Attivare il link di accesso all'area clienti in cui vengono chiesti
Attivare il link di accesso all'area clienti in cui vengono chiesti codice utente codice utente
e e
password (ma senza inserirli né tentare
password (ma senza inserirli né tentare di accedere!!)di accedere!!)
Osservare
Osservare il passaggio
il passaggio al protocollo
al protocollo sicuro
sicuro httpshttps
e laecomparsa
la comparsa del lucchetto
del lucchetto nellanella
Barra
Barra di navigazione.
di navigazione.
© Sergio Margarita - Nuova ECDL e Open Source 73 IT S
La Notizia
Serve buon senso per tutelarsi

Plus 24 Il Sole 24 Ore
63
12/7/2014 n. 620, Cover S
Cybercrime e risparmio
http://www.banchedati.ilsole24ore
c.get?uid=finanza-FM2014071200
Notizia riprodotta per gentil
autorizzazione da Il Sole 24 ORE

©©Sergio
SergioMargarita
Margarita- -Nuova
NuovaECDL
ECDLeeOpen
OpenSource
Source 74
74 IT Security
Security
Comprendere il termine “certificato digitale”. Convalidare un certificato digitale

4.1.4 Comprendere il termine “certificato digitale”. Convalidare un certificato digitale.
4.1.4
4.1.4Comprendere
Comprendere ililtermine
termine“certificato
“certificatodigitale”. Convalidare
digitale”. Convalidareun
uncertificato
certificatodigitale.
digitale.
Oltre alla necessità della riservatezza delle informazioni scambiate, assicurata dalla loro criptazione,
sussisteOltre
un altro requisito: quello della identificazione del sito. L'identificazione sicura del sito al quale ci si
Oltre alla
alla necessità
necessità della della riservatezza
riservatezza delle
delle informazioni
informazioni scambiate,
scambiate, assicurata
assicurata dalladalla loro
loro criptazione,
criptazione,
collega sussiste
èsussiste
di fondamentale
un
unaltro importanza
altrorequisito:
requisito:quello per
quellodellaevitare di cadere
dellaidentificazione
identificazione delin truffe
del sito. varie e tentativi
sito. L'identificazione di
L'identificazione sicura frode
sicura del informatica
del sito
sito al
al quale quale
quale ci si
il phishing,
collegabasato su imitazioni importanza
èèdidifondamentale diimportanza
siti web, per
prevalentemente
perevitare
evitaredidicadere bancari,
truffeper
inintruffe carpire
varie codice
ee tentativi di utente
di frode e password
informatica quale di
64 collega fondamentale cadere varie tentativi frode informatica
accesso. il ilphishing,
phishing,basato
basatosu suimitazioni
imitazionididisiti
sitiweb,
web,prevalentemente
prevalentementebancari,
bancari, per
per carpire
carpire codice
codice utente
utente ee password
password di
accesso.
accesso.
Il tema dell'identificazione è una problematica generale nelle comunicazioni informatiche nella quale ricade
Il tema
Il temadell'identificazione
dell'identificazioneèèuna
l'identificazione dei siti web. Lo strumentounaproblematica
adoperato
problematica generale nelle
nelleecomunicazioni
è lo stesso
generale informatiche
si basa sul concetto
comunicazioni nella
nella quale
di certificato
informatiche ricade
digitale.
quale ricade
l'identificazione
l'identificazionedei
deisiti
sitiweb.
web.Lo
Lostrumento
strumentoadoperato
adoperatoèèlolostesso
stessoeesisibasa
basa sul
sul concetto
concetto di
di certificato
certificato digitale.
digitale.
Un certificato digitale è un documento elettronico, rilasciato da un ente certificatore, che identifica il titolare e
Un certificato digitale
digitaleèèun documento elettronico, rilasciato da un un ente
ente certificatore, che
che identifica ilil titolare e
contiene Un certificato
diverse informazioni, un
fradocumento
le quali una elettronico, rilasciato
chiave usata perda crittografarecertificatore,
le informazioni. identifica
Al momento titolare del
contiene
contienediverse
diverseinformazioni,
informazioni,fra fralelequali
qualiuna
unachiave
chiaveusata
usata per per crittografare
crittografare le le informazioni.
informazioni. Al
Al momento
momento del
collegamento ad un sitouncon
collegamento modalità https, viene inviato il certificato al browser, rendendo così così disponibili
collegamentoad ad unsito
sitocon
conmodalità
modalitàhttps,
https,viene
viene inviato
inviato ilil certificato
certificato al
al browser,
browser, rendendo
rendendo così disponibili
disponibili
all'utente
© Sergio le informazioni
Margarita
all'utente - certificate
Nuova
all'utenteleleinformazioni ECDL sul
informazionicertificatee sito
Open
certificatesul
web. Viene
Source
sulsito
sitoweb.
web.Viene
inoltre
Vieneinoltre
utilizzata
inoltre utilizzata
la chiave
75
utilizzata la
la chiave
per
chiave per
criptare
per criptare
criptare la
la trasmissione
la trasmissione
trasmissione Figura
Figura 23: Il23: Il certificato digitale
IT Security
certificato digitale
delle informazioni
delle scambiate.
delleinformazioni
informazioni scambiate.
scambiate.
L'utenteL'utente
può verificare
L'utente può manualmente
puòverificare
verificare manualmente
manualmente il certificato. PerPer
ililcertificato.
certificato. questo
Per questo
questodeve:
deve:
deve:
Esercizio
• fare click sulclick
• • fare
fare lucchetto
click sul che compare
sullucchetto
lucchetto che
checompare nellanella
compare Barra
nella di navigazione
Barra
Barra didinavigazione
navigazione deldel
browser
del browser
browser
• compare• • compare
compare una
una finestraunafinestra
con lecon
finestra leleinformazioni
informazioni
con informazioni più
piùimportanti
più importanti
importanti (Figura
(Figura 23)
(Figura 23)
23)
• cliccare Collegarsi
• • cliccare
cliccare
sul sul
sulpulsante
pulsante in due
pulsante
Altre schede
Altre
Altre
informazioni distinte
informazioni
informazioni su
su
su questo del browser
questo
questo ai siti di Paypal (www.paypal.com) e
sito...
sito...sito...
• • nelladi
nella Google
finestra
finestra (www.google.com).
successiva
successiva compaiono
compaiono
• nella finestra successiva compaiono altre informazioni (Figura altre
altre informazioni
informazioni (Figura
(Figura 24)
24)24)
Visualizzare
• • cliccando sul il
pulsante certificato
Visualizza tramite il
certificato, lucchetto.
si accede ai dati di
didettaglio del certificato
digitale (Figura 25).
• cliccandocliccando
sul pulsantesul pulsante
Visualizza Visualizza certificato,
certificato, si accede
si accede ai dati
ai dati dettagliodel
di dettaglio delcertificato digitale (Figura
(Figura 25).
Esaminare le differenze fra i due, uno con lucchetto verde, l'altro con lucchetto
L'insiemegrigio.
L'insieme didi queste
queste informazioni
informazioni presenti presenti nel nel certificato
digitale permette
permette didi convalidare
convalidare l'identità
l'identità del
L'insieme di queste
proprietario
proprietario del informazioni
delsito.
sito. presenti nel certificato digitale permette di convalidare l'identità del
proprietario del sito.
Ricordiamo che, in assenza di protezioni particolari attivate sul server che ospita il sito web, collegandoci ad
Ricreazione
Ricreazione Figura 24: Altre informazioni sul sito
sito
un sito le informazioni che inviamo vengono trasmesse così come le digitiamo e le informazioni che
Ricreazione Figura 24: Altre informazioni sul sito
riceviamo (e visualizziamo nel browser) vengono trasmesse così come visibili nella pagina web. Questo
significa che chi si Nella Nella pagina
pagina web
intromettesse sullaprecedente
web precedente dove
dove èè comparso
linea di collegamento comparso
potrebbe ilil simbolo
leggeredel
simbolo del lucchetto,
lucchetto, facilmente le
abbastanza Figura 25: Informazioni di dettaglio sul
visualizzare
Nella pagina visualizzare il certificato.
il certificato.
web precedente dove è comparso il simbolo del lucchetto, certificato
informazioni scambiate tra browser e sito.
Esaminare
Esaminare lelediverse
diverseinformazioni
informazioniche checontiene.
contiene.
visualizzare il certificato.
La responsabilità Esaminare le diverse informazioni che contiene.proprietario del sito ed anche l'utente deve
della sicurezza non ricade solo sul
assumersene l'onere. L'utente interagisce con i siti web con il browser ed è tramite il browser che può
tutelarsi ad aumentare il livello di sicurezza della sua navigazione.
Realizzatocomputer
esclusivamente percomputer
GABRIELEadoperato
TOMASI - da
SKILL
Il nome personal evoca un unaon LINE
sola persona. In realtà, sono sempre più
numerosi i PC pubblici, condivisi da un numero non ben definito
Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE di persone: si pensi a quelli di una biblioteca
o di un'aula informatica in una Scuola. L'uso da parte di più persone aumenta i requisiti di sicurezza, senza i
quali chi usa PC può accedere alle "tracce informatiche" lasciate dall'utilizzatore precedente. E queste tracce © Copyright AICA 2014 – 2019
informatiche potrebbero contenere dati riservati: un caso è quello dei dati che si inseriscono nei moduli
presenti nelle pagine web per permettere l'interazione dell'utente.
Visualizzare il certificato tramite il lucchetto.
Esaminare
Ricordiamo che, le differenze
in assenza fra particolari
di protezioni i due, unoattivate
con lucchetto verde,
sul server che l'altro
ospita con lucchetto
il sito web, collegandoci ad
grigio.
riceviamo (e visualizziamo nel browser) vengono trasmesse così come visibili nella pagina web. Questo
significa che
Ricordiamo chiinsiassenza
che, intromettesse sulla particolari
di protezioni linea di collegamento potrebbe
attivate sul server che leggere abbastanza
ospita il sito facilmenteadle
web, collegandoci
Figura 25: Informazioni di dettaglio sul
informazioni scambiate tra browser e sito. certificato
Esercizio
riceviamo (e visualizziamo
La responsabilità nel browser)
della sicurezza non vengono
ricade solotrasmesse così come del
sul proprietario visibili
sitonella
ed pagina
anche web. Questo
l'utente deve
significa che chi
assumersene si intromettesse
l'onere. sulla linea
L'utente Collegarsi
interagisce di
con icollegamento
siti web con potrebbe
il browser leggere
ed è abbastanza
tramite il facilmente
browser
in due schede distinte del browser ai siti di Paypal (www.paypal.com) e che le
può Figura 25: Informazioni di dettaglio sul
informazioni scambiate iltralivello
tutelarsi ad aumentare browser e sito.
didisicurezza della sua
Google (www.google.com). navigazione. certificato
Visualizzare il certificato tramite il lucchetto.
La responsabilità
Il nome della sicurezza
personal computer evoca unnon
Esaminare lericade
computer solofra isul
adoperato
differenze proprietario
due,da
unounacon sola del verde,
sito l'altro
persona.
lucchetto edrealtà,
In anche l'utente
sono
con lucchetto sempre deve
più
assumersene
numerosi i PCl'onere.
pubblici,L'utente
condivisiinteragisce
da un numero
grigio. con noni sitiben
web con ildibrowser
definito persone:edsi èpensitramite il browser
a quelli che può
di una biblioteca
tutelarsi ad aumentare
o di un'aula informaticail in
livello
una di sicurezza
Scuola. L'uso della sua navigazione.
da parte di più persone aumenta i requisiti di sicurezza, senza i
quali chi usa PC può accedere alle "tracce informatiche" lasciate dall'utilizzatore
65
Il nome personal computerRicordiamo che, un
evoca in assenza
computer di protezioni
adoperato particolari
da unaattivate
sola server cheprecedente.
sul persona. ospita
In realtà, E queste
il sito sono
web, tracce
collegandoci
sempre ad
più
informatiche potrebbero
un contenere
sito le dati
informazioni riservati:
che inviamo un caso
vengono è quello
trasmesse dei
così dati
come che
le
numerosi i PC pubblici, condivisi da un numero non ben definito di persone: si pensi a quelli di una biblioteca si inseriscono
digitiamo e le nei moduli
informazioni che
opresenti nelle
di un'aula pagine riceviamo
informaticaweb per (e
in una
visualizziamo
permettere
Scuola. L'uso
nel browser) dell'utente.
l'interazione vengono trasmesse così come visibili nella pagina web. Questo
da parte di più persone aumenta i requisiti di sicurezza, senza i
significa che chi si intromettesse sulla linea di collegamento potrebbe leggere abbastanza facilmente le Figura 25: Informazioni di dettaglio sul
quali chi usa PC può accedere informazionialle "tracce
scambiate tra informatiche"
browser e sito. lasciate dall'utilizzatore precedente. E queste tracce certificato
4.1.6 Selezionare impostazioni adeguate per attivare, disattivare il completamento automatico, il salvataggio automatico
informatiche potrebbero
quando si compila un modulo. contenere dati riservati: un caso è quello dei dati
La responsabilità della sicurezza non ricade solo sul proprietario del sito ed anche l'utente deve che si inseriscono nei moduli
presenti nelle pagine web per permettere
assumersene l'interazione
l'onere. L'utente interagisce dell'utente.
con i siti web con il browser ed è tramite il browser che può
S e l e z i o n a r e i m p
tutelarsi oads t a z i
aumentare
Mozilla Firefox è un browser che permette una gestione o n iil a d
livelloe g
di u a t e
sicurezza pdella
epiuttosto
r sua
a tnavigazione.
t i varticolata
a r e , d i della
s a t t sicurezza
i v a r e i l ecdella o m ppropria
letamento automatico, il
4.1.6 Selezionare impostazioni adeguate per
s acomputer attivare,
l v- Nuova
a t aqualigevoca disattivare
g i informazioni
o un il completamento automatico, il salvataggio automatico
privacy. Consente infatti
quando si compila un modulo.
siapersonal
©Il Sergio
nome di scegliere
Margarita ECDL eaOpen
u t o Source
computer m aadoperato
t i c o qda
memorizzare u auna
ndpero la
sola spersona.
i comodità
76 c o mInprealtà,
i ldell'utente,
a usono
n m od
sempresiaupiù
ldi
o IT Security
cancellare selettivamente numerosi i datii PCmantenuti
pubblici, condivisi da un numero
in memoria. Per quantonon ben riguarda
definito di persone:
i moduli, si pensi a quelli di una biblioteca
la memorizzazione delle
o di un'aula informatica in una Scuola. L'uso da parte di più persone aumenta i requisiti di sicurezza, senza i
informazioni
Mozilla Firefox haèil un
vantaggio
•quali
selezionare
browser che
chi usa che ilpossono
PC menu
permetteStrumenti
può accedere essere
una alle reinseriti
/ Opzioni
gestione in unsinuovo
(in Linux
piuttosto
"tracce informatiche" usa modulo
invece Modifica
articolata
lasciate senza
della doverli eridigitare
/ Preferenze)
sicurezza
dall'utilizzatore precedente. della (si
propria
E queste ha
tracce
così il completamento •informatiche
automatico
nella finestra chedel
potrebbero campo
compare, che
scegliere
contenere accoglie
la
dati scheda Privacy
riservati: il
un dato)
caso ma
(Figura
è 26)
quellopresenta
dei dati l'inconveniente
che si inseriscono che
nei chi
moduli
privacy. Consente infatti sia di scegliere
•presenti
nellail sezione Cronologia,
quali informazioni memorizzare
allapermettere
voce Impostazioni cronologia,
per laUtilizza
scegliere
comodità dell'utente,
impostazioni
sia di
personalizzate
utilizza successivamente
cancellare selettivamente computer
nelle pagine
i dati mantenuti potrebbe
web per vedere
in memoria. le informazioni
l'interazione
Per quantodell'utente.che
riguarda sono statelainserite
i moduli, in precedenza.
memorizzazione delle
• nella sezione che compare, mettere o togliere un segno di spunta alla voce Conserva la cronologia delle
informazioni
Per gestire ilha il vantaggio
livello di4.1.6
ricercheche
memorizzazione
e dei
Selezionare possono
moduli delle
per
impostazioni essere
attivare
adeguate reinseriti
informazioni
o per inladisattivare
un
relative
disattivare
attivare, nuovo modulo
ai moduli,
memorizzazione dellesenza
occorre:
il completamento doverli
informazioni
automatico, ridigitare
il salvataggio (si ha
automatico
così il completamento •quando si compila
automatico
confermare un modulo.
del campo
premendo il pulsante cheOK.accoglie il dato) ma presenta l'inconveniente che chi
utilizza
© Sergiosuccessivamente
Margarita -Vedremo
Nuovail computer
Mozilla ECDL
Firefox è unepotrebbe
Open
browser vedere
Source
che le informazioni
permette una che sono state inserite
76articolata in precedenza. IT Security
Realizzato esclusivamente per
al GABRIELE
successivo punto TOMASI
4.1.9 come si gestione
- SKILL on LINE
possono piuttosto
cancellare i dati della sicurezza
dei moduli e della propria
precedentemente
privacy. Consente infatti sia di scegliere quali informazioni memorizzare per la comodità dell'utente, sia di
Per gestire il livello dimemorizzati.
memorizzazione delle informazioni relative ai moduli, occorre:
cancellare selettivamente i dati mantenuti in memoria. Per quanto riguarda i moduli, la memorizzazione delle
• selezionare il menuinformazioni
Strumenti ha/ ilOpzioni
vantaggio (in cheLinux
possonosi usa
essere invece Modifica
reinseriti / Preferenze)
in un nuovo modulo senza doverli ridigitare (si ha
• nella finestra
Realizzato esclusivamentecosì il completamento
che compare, scegliere
per GABRIELE laautomatico
scheda
TOMASI del campo
Privacy che
(Figura
- SKILL accoglie
on LINEil dato) ma presenta l'inconveniente che chi
26)
Esercizio
utilizza successivamente il computer potrebbe vedere le informazioni che sono state inserite in precedenza.
• nella sezione Cronologia, alla voce Impostazioni cronologia, scegliere Utilizza impostazioni personalizzate
Per gestire il Per comodità,
livello attivare nel vostro
di memorizzazione browser larelative
memorizzazione
moduli, della cronologia dei
• nella sezione che compare, mettere
moduli.
o togliere un delle segno informazioni
di spunta alla aivoce occorre:
Conserva la cronologia delle
ricerche e dei moduli per attivare o disattivare la memorizzazione delle informazioni
Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Figura 26: Strumenti / Opzioni / Privacy
• confermare premendo il pulsante OK.
Un'altra traccia informatica che la nostra navigazione sui siti lascia nel computer è costituita dai cookie.
Vedremo al successivo punto 4.1.9

4.1.7 Comprendere come
il termine si possono cancellare i dati dei moduli precedentemente
“cookie”.
memorizzati. I siti ai quali si accede durante la consultazione delle pagine web possono registrare informazioni sul
personal computer dell'utilizzatore e sempre di più lo fanno. Queste informazioni sono memorizzate, tramite
il browser, in piccoli file chiamati cookie, come i dolci con briciole di cioccolato (Figura 27). Sono spesso
utilizzati per evitare di richiedere piùEsercizio
volte le stesse informazioni all'utilizzatore memorizzandole per un certo
periodo di tempo.
© Copyright AICA
Per2014 Alcuni
– 2019esempi
comodità, possono
attivare nel illustrarne gli usi principali:
vostro browser la memorizzazione della cronologia dei www.micertificoecdl.it
• una volta inseriti il codice utente e la password, le informazioni di riconoscimento vengono memorizzate e
moduli. non vengono più richieste per un certo periodo
• in un sito di commercio elettronico, la lista dei prodotti che si stanno comprando può essere memorizzata
Esercizio
Per comodità, attivare nel vostro browser la memorizzazione della cronologia dei
moduli.
Figura 26: Strumenti / Opzioni / Privacy

Un'altra traccia informatica che la nostra navigazione sui siti lascia nel computer è costituita dai cookie.
Comprendere il termine “cookie”
4.1.7 Comprendere il termine “cookie”.
I siti ai quali si accede durante la consultazione delle pagine web possono registrare informazioni sul
personal computer dell'utilizzatore e sempre di più lo fanno. Queste informazioni sono memorizzate, tramite
il browser, in piccoli file chiamati cookie, come i dolci con briciole di cioccolato (Figura 27). Sono spesso
utilizzati per evitare di richiedere più volte le stesse informazioni all'utilizzatore memorizzandole per un certo
66 periodo di tempo.
Alcuni esempi possono illustrarne gli usi principali:
• una volta inseriti il codice utente e la password, le informazioni di riconoscimento vengono memorizzate e
non vengono più richieste per un certo periodo
• in un sito di commercio elettronico, la lista dei prodotti che si stanno comprando può essere memorizzata
sotto forma di cookie nel cosiddetto "carrello" Figura 27: Un cookie ...
• la prima volta ©che si accede
Sergio Margaritaad- un sitoECDL
Nuova vengono
e Openchieste all'utilizzatore - e memorizzate
Source 77 - informazioni che IT Security
ne consentono il riconoscimento da parte del sito le volte successive e permettono per esempio al sito di
© scrivere
Sergio Margarita
Ben tornato - Nuova
A fianco anzichéECDL
degli usi e Open
Benvenuto.
legittimi, Source
i cookie si prestano ad usi meno corretti77
da parte di siti che possono registrare IT Security
informazioni a carattere personale, spesso all'insaputa dell'utente. L'utente deve quindi essere in grado di
gestire i cookie in base al livello di sicurezza che desidera, con la possibilità di accettare o rifiutare i cookie,
A fianco degli usi legittimi, i cookie si prestano ad usi meno corretti da parte di siti che possono registrare
globalmente o selettivamente per alcuni siti. Inoltre deve essere in grado di cancellarli quando lo ritiene
informazioni a carattere
opportuno.
Realizzato esclusivamente personale, spesso all'insaputa
per GABRIELE dell'utente.
TOMASI - SKILL L'utente deve quindi essere in grado di
on LINE
Come impostazione standard, Firefox accetta i cookie da tutti i siti.
globalmente o selettivamente per alcuni siti. Inoltre deve essere in grado di cancellarli quando lo ritiene Figura 28: Non accettare i cookie dai siti
opportuno.
Come impostazione standard,impostazioni
4.1.8 Selezionare Firefox accetta
adeguateiper
cookie da tutti
consentire, i siti.i cookie.
bloccare
Figura 28: Non accettare i cookie dai siti
Per bloccare i cookie provenienti da tutti i siti, occorre:
• selezionare il menu Strumenti / Opzioni (in Linux si usa invece Modifica / Preferenze)
• nella finestra
4.1.8 Selezionare impostazioni che compare,
adeguate scegliere labloccare
per consentire, scheda Privacy
i cookie.(Figura 26)
• nella sezione Cronologia, alla voce Impostazioni cronologia, scegliere Utilizza impostazioni personalizzate
• nellaprovenienti
Per bloccare i cookie sezione che compare,
da tutti i togliere il segno di spunta dalla voce Accetta i cookie dai siti (Figura 28)
siti, occorre:
• nella finestra che compare,
Da questo scegliere
momento, la scheda
i cookie Privacypiù
non vengono (Figura 26)dai siti né registrati sul personal computer
accettati
• nella sezione dell'utilizzatore.
Cronologia, alla Pervoce Impostazioni
accettare o bloccarecronologia, scegliere
i cookie provenienti soloUtilizza impostazioni
da alcuni personalizzate
siti scelti, occorre procedere
• nella sezione come prima e nella
che compare, sezioneil dedicata
togliere segno diai spunta
cookie scegliere le opzioni
dalla voce Accettadesiderate,
i cookieper
daiesempio inserendo
siti (Figura 28) alcuni
siti come eccezioni alla regola del blocco totale. Da questo momento, i cookie vengono accettati o bloccati a
seconda delle regole inserite.
Per consentire la memorizzazione di tutti i cookie, si riattiva l'opzione Accetta i cookie dai siti.
Da questo momento, i cookie non vengono più accettati dai siti né registrati sul personal computer
dell'utilizzatore. Per accettare o bloccare i cookie provenienti solo da alcuni siti scelti, occorre procedere
come prima e nella sezione dedicata ai cookie scegliere le Attenzione
opzioni desiderate, per esempio inserendo alcuni © Copyright AICA 2014 – 2019
seconda delle regole inserite. Bloccare i cookie può impedire l'accesso ad alcuni siti, in particolare quelli che
informazioni a carattere personale, spesso all'insaputa dell'utente. L'utente deve quindi essere in grado di
globalmente o selettivamente per alcuni siti. Inoltre deve essere in grado di cancellarli quando lo ritiene
opportuno.
Come impostazione standard, Firefox accetta i cookie da tutti i siti.
Figura 28: Non accettare i cookie dai siti
Selezionare impostazioni adeguate per consentire, bloccare i cookie

4.1.8 Selezionare impostazioni adeguate per consentire, bloccare i cookie.
Per bloccare i cookie provenienti da tutti i siti, occorre:

• nella finestra che compare, scegliere la scheda Privacy (Figura 26)
• nella sezione Cronologia, alla voce Impostazioni cronologia, scegliere Utilizza impostazioni personalizzate 67
• nella sezione che compare, togliere il segno di spunta dalla voce Accetta i cookie dai siti (Figura 28)
Da questo momento, i cookie non vengono più accettati dai siti né registrati sul personal computer
dell'utilizzatore. Per accettare o bloccare i cookie provenienti solo da alcuni siti scelti, occorre procedere
come prima e nella sezione dedicata ai cookie scegliere le opzioni desiderate, per esempio inserendo alcuni
seconda delle regole inserite.
Per
© consentire
Sergio la memorizzazione
Margarita - Nuova ECDLdietutti
Open i cookie,
Sourcesi riattiva l'opzione Accetta
78 i cookie dai siti. IT Security
Vedremo al successivo punto 4.1.9 come si Attenzione

possono cancellare i dati dei moduli precedentemente
memorizzati.
Firefox è un browser
Bloccare molto attento
i cookie puòalla sicurezza
impedire ma ha la
l'accesso admemoria lunga.
alcuni siti, Registra infatti
in particolare quellimolte
che informazioni
su quanto avviene durante la navigazione che sono accessibili a chi dovesse
richiedono un riconoscimento tramite codice utente e password, per esempio utilizzare il computer dopo di
noi se non vengono rimosse. Per esempio la cronologia delle pagine visitate,
Gmail, la posta elettronica di Google. E' quindi preferibile lasciare attiva alcuni contenuti delle pagine
stesse. Addirittura, come vedremo, delle password di siti ...
l'impostazione standard di Firefox che autorizza tutti i cookie, bloccando singoli
siti selettivamente.
4.1.9 Eliminare dati privati da un browser, quali cronologia di navigazione, file temporanei di internet, password, cookie,
dati per il completamento automatico.
Figura 29: La Cronologia
Ogni volta che si visualizza una pagina web, il browser ne memorizza l'URL e il titolo. La Cronologia non è
nient'altro
Realizzatoche l'elenco delle per
esclusivamente pagine visitate diTOMASI
GABRIELE recente- eSKILL
permette all'utente di ripercorrere la navigazione
on LINE
fatta e di tornare a pagine precedentemente visualizzate. Mentre questa funzionalità risulta particolarmente
utile, può creare problemi in termini di riservatezza dei dati personali. Chiunque acceda al personal
computer, aprendo il browser, può vedere quali siti e pagine sono stati consultati. Cancellare dati dalla
Cronologia serve pertanto a eliminare una o più pagine dall'elenco delle pagine visualizzate e impedire che
si possa risalire a tali informazioni.
Per cancellare parte della Cronologia, occorre:
• selezionare il menu Visualizza / Barra laterale / Cronologia (oppure premere Ctrl + H)
©
• Copyright
compare AICA 2014
sul lato – 2019 la Cronologia (Figura 29)
sinistro www.micertificoecdl.it
• fare click destro sulla pagina che si desidera rimuovere dalla Cronologia
• dal menu contestuale che compare (Figura 30), scegliere la voce Elimina
Vedremo al successivo punto 4.1.9 come si possono cancellare i dati dei moduli precedentemente
memorizzati.
Firefox è un browser molto attento alla sicurezza ma ha la memoria lunga. Registra infatti molte informazioni
su quanto avviene durante la navigazione che sono accessibili a chi dovesse utilizzare il computer dopo di
noi se non vengono rimosse. Per esempio la cronologia delle pagine visitate, alcuni contenuti delle pagine
stesse.
© Sergio Addirittura,
Margarita come vedremo,
- Nuova ECDL e Open delle Source
password di siti ... 78 IT Security
Eliminare dati privati da un browser, quali cronologia di navigazione, file temporanei di internet,
© Sergio
4.1.9 Eliminare datiMargarita
privati da- unNuova ECDL
browser, e Open Source navigazione, file temporanei 78 IT Security
Vedremo al successivo punto 4.1.9 wquali
p a s scome
ord cronologia
si c o o k idi
, possono e cancellare
, d a t i p ei r dati i l cdei p l di
o m modulie tinternet,
am e n tpassword,
o a u t ocookie,
precedentemente matico
dati per il completamento automatico.
memorizzati. Vedremo al successivo punto 4.1.9 come si possono cancellare i dati dei moduli precedentemente Figura 29: La Cronologia
Ogni memorizzati.
volta che si visualizza una pagina web, il browser ne memorizza l'URL e il titolo. La Cronologia non è
Firefox è un browser molto attento alla sicurezza ma ha la memoria lunga. Registra infatti molte informazioni
nient'altro
su quanto cheèl'elenco
Firefox
avviene un browser
durante delle
moltopagine
la navigazione visitate
attento di recente
alla sicurezza
che sono e permette
ma ha
accessibili laamemoria all'utente di ripercorrere
lunga.utilizzare
chi dovesse Registra infatti moltelainformazioni
il computer navigazione
dopo di
fatta e di
su tornare
quanto a pagine
avviene precedentemente
durante la navigazione visualizzate.
che sono Mentre
accessibili questa
a chi
68 noi se non vengono rimosse. Per esempio la cronologia delle pagine visitate, alcuni contenuti delle pagine funzionalità
dovesse utilizzare risulta
il particolarmente
computer dopo di
utile, può
noi secreare problemi
non vengono in
rimosse.termini di
Per esempio
stesse. Addirittura, come vedremo, delle password di siti ... riservatezza dei
la cronologia dati
delle personali.
pagine Chiunque
visitate, acceda
alcuni contenuti al
delle personal
pagine
computer, stesse. Addirittura,
aprendo come vedremo,
il browser, può vederedelle password
quali siti die siti ...
pagine sono stati consultati. Cancellare dati dalla
4.1.9Cronologia
Eliminare4.1.9
serve
dati privati
Eliminare
pertanto
da un
dati
a eliminare
browser,
privati da un quali
una o più pagine
cronologia
browser,
dall'elenco
di navigazione,
quali cronologia
delle
file temporanei
di navigazione,
pagine visualizzate
di internet,
file temporanei
e impedire
password,
di internet, password,cookie, che
cookie,
si possa
dati per risalire
il completamento
dati a tali informazioni.
automatico.
per il completamento automatico.
Figura
Figura29:
29: La
La Cronologia
Cronologia
OgniPer cancellare
volta che
Ognisivolta parteche della
visualizza una Cronologia,
si visualizza pagina unaweb, occorre:
pagina il browser ne memorizza
web, il browser ne memorizzal'URLl'URL
e il titolo. La Cronologia
e il titolo. La Cronologianon è è
non
• selezionare
nient'altro il menu
che Visualizza
l'elenco delle / Barra
pagine laterale
visitate di/ Cronologia
recente e (oppure
permette
nient'altro che l'elenco delle pagine visitate di recente e permette all'utente di ripercorrere la navigazione premere
all'utente di Ctrl + H)
ripercorrere la navigazione
fatta• ecomparefatta sul
di tornare ea dilato
tornare
pagine sinistroa pagine la Cronologia
precedentemente (Figura
precedentemente 29) MentreMentre
visualizzate.
visualizzate. questa questa funzionalità
funzionalità risulta
risulta particolarmente
particolarmente
utile,• può utile,
fare click
creare può
destro creare
problemisulla paginaproblemi
in termini in
che si termini
di desidera di riservatezza
riservatezzarimuoveredei dati dei dati
CronologiaChiunque acceda al al
personali.
dallapersonali. Chiunque acceda personal
personal
• dal menucomputer, aprendo
contestuale il
chepuò browser,
compare può vedere
(Figura quali siti e pagine sono stati consultati. Cancellare dati dalla
computer, aprendo il browser, vedere quali 30),
siti scegliere
e pagine lasono vocestati
Elimina
consultati. Cancellare dati dalla
Cronologia serve pertanto a eliminare una o più pagine dall'elenco delle pagine visualizzate e impedire che
Cronologia
• vienesiservepossapertanto
cancellato risalire aatali
eliminare
il riferimento dalla
informazioni.una o più pagine dall'elenco delle pagine visualizzate e impedire che
Cronologia.
si possa risalire a tali informazioni.
Perdi cancellare parte della Cronologia, occorre:le pagine più frequentemente consultate. Per accedervi,
Per La Barra
cancellare navigazione
parte
• selezionare dellail menu di Firefox
Cronologia, Visualizza
memorizza
occorre:
/ Barra laterale / Cronologia (oppure premere Ctrl + H)
occorre:
• selezionare il menu sul
• compare Visualizza
lato sinistro / Barra laterale(Figura
la Cronologia / Cronologia
29) (oppure premere Ctrl + H)
• cliccare sull'icona con il triangolino nero rivolto verso il basso, presente all'estremità destra della Barra di
• compare •sul farelato sinistro
click destrolasulla Cronologia
pagina che (Figura 29) rimuovere dalla Cronologia
si desidera
navigazione
• fare click•destrodal menu sullacontestuale
pagina che che si compare
desidera(Figura
rimuovere30), scegliere la voce Elimina
dalla Cronologia
• compare • vieneun menu
cancellato a discesa
il delle dalla
riferimento pagine più consultate
Cronologia. Figura 30: Elimina dalla
• dal menu contestuale che compare (Figura 30), scegliere la voce Elimina
• posizionare il cursore del mouse sulla voce da cancellare (Figura 31) Cronologia
• viene cancellato il riferimento dalla Cronologia.
• premere La Barrail tasto di Canc
navigazione di Firefox memorizza le pagine più frequentemente consultate. Per accedervi,
• viene occorre:
La Barra di• cancellato
navigazione
cliccare
il riferimento
sull'icona di Firefox
con ECDL
alla pagina. le pagine più frequentemente consultate. Per accedervi,
memorizza
il triangolino nero rivolto verso il basso, presente
© Sergio Margarita - Nuova e Open Source 79all'estremità destra della Barra di IT Security
occorre: navigazione
Volendo invece cancellare tutta la cronologia, occorre:
• cliccare sull'icona
• comparecon un menuil triangolino
a discesa nero
dellerivolto
pagineverso il basso, presente all'estremità destra della Barra di
più consultate Figura 30: Elimina dalla
• selezionare
navigazione • posizionareil menu Strumenti
il cursore / Cancella
del mouse la cronologia
sulla voce da cancellare recente
(Figura(oppure
31) premere Ctrl + Maiusc + Canc) Cronologia
• dalla •un
• compare finestra
menu che compare
ail discesa (Figura 32),più
delle scegliere il periodo di tempo che si vuole cancellare
Realizzato premere
esclusivamentetasto Canc per pagine
GABRIELE consultate
TOMASI - SKILL on LINE Figura 30: Elimina dalla
• selezionare
• viene la sola
cancellato voce il Cronologia
riferimento
• posizionare il cursore del mouse sulla voce da cancellare Navigazione
alla pagina. e download
(Figura 31) Cronologia
• premere
• premere il tasto Cancil pulsante Cancella adesso
• vengono Volendo invece tutte
eliminate cancellare
lealla tutta dalla
pagine la cronologia, occorre:
• viene cancellato il riferimento pagina. Cronologia.
Cancellare
Volendo invece i dati esclusivamente
Realizzato dei moduli
cancellare precedentemente
per GABRIELE
tutta la cronologia, memorizzati
TOMASI
occorre: ci impedisce
- SKILL on LINE di usufruire del completamento
automatica ma impedisce a chi dovesse accedere al computer di vedere i dati inseriti. Per cancellare tali
dati, è sufficiente: © Copyright AICA 2014 – 2019
• selezionare
Realizzato il menu Strumenti
esclusivamente / Cancella
per GABRIELE la cronologia
TOMASI recente
- SKILL on LINE (oppure premere Ctrl + Maiusc + Canc)
• dalla finestra che compare (Figura 32), scegliere il periodo di tempo che si vuole cancellare
• vengono eliminate tutte le pagine dalla Cronologia.
Cancellare i dati dei moduli precedentemente memorizzati ci impedisce di usufruire del completamento
automatica
• selezionare mail impedisce a©chi
menu Strumenti © dovesse
/ Cancella
Sergio
Sergio Margarita
Margarita accedere
la
- Nuova
- Nuova al computer
cronologia
ECDL
ECDL e eOpen recente
Open Source
Source di vedere
(oppurei premere
dati inseriti.
79Ctrl Per
79 cancellare
+ Maiusc + Canc)tali IT Security
IT Security
dati, è sufficiente:
•• selezionare
selezionare illamenu
sola voce • •selezionare
Strumenti selezionare
Cronologia/ Cancella il menu
il menu
Navigazione la Strumenti
cronologia
Strumenti / Cancella
e /download
Cancella lalacronologia
recente cronologia
(oppure recente
recentepremere(oppureCtrl
(oppure premere
premere Ctrl++Maiusc
+ Maiusc
Ctrl Maiusc ++Canc)
+ Canc)Canc)
• •dalla
dalla finestra
finestra cheche compare
compare (Figura
(Figura 32),scegliere
32), scegliereil ilperiodo
periododiditempo
tempoche chesisivuole
vuolecancellare
cancellare
•• dalla
premerefinestra che compare
il pulsante Cancella (Figura
adesso 32),lascegliere il periodo di tempo che si vuole cancellare
• •selezionare
selezionare la solasola voce
voce Cronologia
Cronologia Navigazione
Navigazione e edownload
download
•• selezionare la sola tutte
vengono eliminate vocele Moduli
•premere
• pagine e ricerche
premere il pulsante
dalla
il pulsante Cancellaadesso
Cronologia.
Cancella adesso
• premere il pulsante Cancella • •vengono
vengono
adesso eliminate
eliminate tutte
tutte lelepagine
paginedalla
dallaCronologia.
Cronologia.
Figura 31: Pagine più frequenti
•Cancellare
vengono eliminate
i dati deitutte le informazioni
moduli precedentemente
Cancellare i dati relative ai moduli
memorizzati (e alle ricerche
memorizzatieffettuate).
ci memorizzati
impedisce diimpedisce
usufruire del completamento
Cancellare i dati deideimoduli
moduli precedentemente
precedentemente ciciimpedisce didi usufruire
usufruire del completamento
del completamento
automatica ma impedisce aautomatica chi dovesse
automatica ma accedere
maimpedisce
impedisce a achichial computer
dovesse
dovesse accedere
accedere di alvedere
alcomputer
computer i didati inseriti.
divedere
vedere i idati Per
datiinseriti.cancellare
inseriti. Per talitali
Per cancellare
cancellare tali
dati, è sufficiente:
dati, è sufficiente: dati, è sufficiente:
• selezionare il menu Strumenti / Cancella la cronologia recente (oppure premere Ctrl + Maiusc + Canc)
• selezionare il menu Strumenti Esercizio
/ Cancella la cronologia recente (oppure premere Ctrl + Maiusc + Canc) 69
• selezionare il menu Strumenti • dalla / Cancella
finestra che comparela cronologia
(Figura 32),recente
scegliere il(oppure
periodo di premere
tempo che siCtrl
vuole+cancellare
Maiusc + Canc)
• dalla finestra che compare• (Figura• selezionare 32), la sola voce
scegliere Moduli e
il periodoricerche
selezionare la sola voce Moduli e ricerchedi tempo che si vuole cancellare
• selezionarePer sicurezza, • cancellare interamente le informazioni memorizzate relative ai
• premere il pulsante Cancella adesso
la sola voce Modulipremere e ricerche
il pulsante Cancella adesso
• vengono eliminate tutte le informazioni relative ai moduli (e alle ricerche effettuate).
©• Sergio moduli
premereMargarita e prendete
il pulsante- Nuova
Cancella ECDL l'abitudine
• vengono
adesso eliminateditutte
e Open Source farlo. Frequentemente.
le informazioni relative ai moduli (e alle ricerche effettuate).
80 IT Security
• vengono eliminate tutte le informazioni relative ai moduli (e alle ricerche Esercizio effettuate).
Esercizio
Nella stessa finestra compaiono diverse voci (Figura 33) che possono essere utilizzate per eliminare diversi
elementi della cronologia, sempre scegliendo Per sicurezza,
il periodo cancellare
temporaleinteramente le informazioni memorizzate relative ai
desiderato.
Per sicurezza, cancellare interamente le informazioni memorizzate relative ai
moduli Esercizio
e prendete l'abitudine di farlo. Frequentemente.
moduli e prendete l'abitudine di farlo. Frequentemente.
Di conseguenza per eliminare i file temporanei di Internet (la cosiddetta cache), i cookie o i dati dei moduli, si
seleziona rispettivamente
Per sicurezza, in questa
Nella stessa
cancellare finestra le voci Cache,
finestra compaiono
interamente diverse voci
le Cookie
informazioni(Figura 33)ememorizzate
Moduli
che possono e ricerche. In questo
essere utilizzate
relative stesso
per eliminare diversi
Cancellare interamente
Nella stessa
elementi la
della cache
finestra
cronologia, delsempre
compaiono browser.
diverse voci (Figura
scegliendo 33)temporale
il periodo che possono essere
desiderato. utilizzateaiper eliminare diversi
modo, si sarebbe potuto anche cancellare la Cronologia delle pagine consultate. Figura 32: Elimina i file Internet temporanei
moduli e prendeteelementil'abitudine
della cronologia,di farlo.sempreFrequentemente.
scegliendo il periodo temporale desiderato.
Di conseguenza per eliminare i file temporanei di Internet (la cosiddetta cache), i cookie o i dati dei moduli, si
© Sergio Margarita - Nuova
Diseleziona
conseguenza perECDL
rispettivamentee inOpen
eliminare i questaSource
file temporanei
finestra di
le Internet 80ecache),
(la cosiddetta
voci Cache, Cookie Moduli i ecookie o i dati
ricerche. dei moduli,
In questo stessosi IT Security
Cosa ne è delle password? selezionamodo, sirispettivamente in questa
sarebbe potuto anche finestralaleCronologia
cancellare voci Cache,delleCookie
pagineeconsultate.
Moduli e ricerche. In questo stesso Figura 32: Elimina i file Internet temporanei
Nella stessa finestra compaiono modo, si sarebbe voci
diverse potuto(Figura
ancheEsercizio
cancellare
33) che la Cronologia
possonodelle pagineutilizzate
essere consultate.per eliminare diversi Figura 32: Elimina i file Internet temporanei
Per molti della
elementi sono cronologia,
un incubo: sempre
ricordarsi tutte le password
scegliendo il periodo- temporale
soprattuttodesiderato.
adesso che si applicano le regole viste al
Esercizio
punto 3.4.2 - Cancellare
è un'impresa! Dover digitare
interamente la Cronologia. queste sequenze interminabili
Esercizio Esercizio di segni! Allora quando Firefox ci Figura 33: Opzioni per la cancellazione
Di conseguenza
viene per eliminare
in aiuto Visualizzare
proponendo i file temporanei
dilasalvare le password di diInternet
accesso (la ai
cosiddetta
siti, come cache), i cookie o i dati dei moduli, si
resistere?
Cronologia e verificare
Cancellare interamente la che non rimangono informazioni
Cronologia.
seleziona rispettivamente in Cancellare
questa finestra leinteramente
interamente
Cancellare
Visualizzare voci Cache,
lalacache ladel Cookie
browser.
Cronologia.
Cronologia e verificaree Moduli
che none rimangono
ricerche. informazioni
In questo stesso
Riconoscendo memorizzate.
chepotuto
stiamo inserendo un codice utente edelle
unaepagine
password in una
non pagina web, ci propone una Figura 32: Elimina i file Internet temporanei
modo, si sarebbe anche cancellare la Cronologia
Visualizzare
memorizzate. la Cronologia consultate.
verificare che rimangono informazioni
scorciatoia per le volte successive munita di un bel pulsante Ricorda la password (Figura 34). Come dire di
memorizzate.
Cosa ne
no? Peccato che pochi è delle password?
sappiano che:
Per molti sono Realizzato
per
un esclusivamente
GABRIELE
incubo: TOMASI
ricordarsi tutte per GABRIELE
-il SKILL TOMASI
on LINE - SKILL on LINE
• non solo viene memorizzata la password,
Realizzato ma
esclusivamente per le
anche password
Esercizio -utente
codiceTOMASI
GABRIELE soprattutto
- SKILL adesso
on LINEche si applicano le regole viste al
punto 3.4.2 - è un'impresa! Dover digitare queste sequenze interminabili di segni! Allora quando Firefox ci Figura 33: Opzioni per la cancellazione
• la password viene memorizzata in chiaro
viene in aiuto proponendo di salvare le password di accesso ai siti, come resistere? Figura 34: Vogliamo salvare la password?
• se il proprietario del
Cancellare computer
interamente nonlaadotta opportuni accorgimenti, chi usa il computer successivamente
Cronologia.
tutteRiconoscendo
può vedereVisualizzare
le password
scorciatoia per
che stiamo inserendo un codice utente e una password in una pagina web, ci propone una
salvate.
la leCronologia e munita
volte successive verificare chepulsante
di un bel non Ricorda
rimangono informazioni
la password (Figura 34). Come dire di
memorizzate.
no? Peccato che pochi sappiano che:
Per questo, è sufficiente:
• non solo viene memorizzata la password, ma anche il codice utente
• selezionare il menu Strumenti
• la password / Opzioni
viene memorizzata in chiaro Figura 34: Vogliamo salvare la password?
•Realizzato • se
scegliere esclusivamente il proprietario
la scheda Sicurezza del
per GABRIELEcomputerTOMASI
non adotta- SKILL
opportunion
accorgimenti,
LINE chi usa il computer successivamente
può vedere tutte le password salvate.
• cliccare sul pulsante Password salvate
• nella finestra che Percompare, vengono visualizzati i siti per i quali è stata salvata la password (Figura 35) e
questo, è sufficiente:
relativo codice
© Copyright utente
AICA 2014• selezionare
– 2019 il menu Strumenti / Opzioni www.micertificoecdl.it
• cliccare sul pulsante Mostra
• scegliere password
la scheda per visualizzare le password.
Sicurezza
• cliccare sul pulsante Password salvate
scorciatoia per le volte successive munita di un bel pulsante Ricorda la password (Figura 34). Come dire di
no? Peccato che pochi sappiano Cancellare
che: interamente la cache del browser.
•© non
Sergio
soloMargarita
Cosa - Nuova ECDL
ne è
viene memorizzata delle password? e Open ma
la password, Source
anche il codice utente 81 IT Security
Per Cosa
• la password viene molti ne è delle
memorizzata
sono password?
in chiaro
un incubo: ricordarsi tutte le password - soprattutto adesso che si applicano le regole viste al Figura 34: Vogliamo salvare la password?
punto
• se il proprietario Per3.4.2
del molti- sono
è un'impresa!
computer unnon
incubo: Dover digitare
ricordarsi
adotta tuttequeste
opportuni sequenze
le password interminabili
- soprattutto
accorgimenti, chi usa ildicomputer
adesso segni!
che Allora quando
si applicano Firefox
le regole
successivamentevistecial Figura 33: Opzioni per la cancellazione
Morale: è sempre viene in
puntoaiuto proponendo
3.4.2 - è di salvare
un'impresa! le
Dover password
digitare di
questeaccesso ai
sequenze siti, come resistere?
interminabili di segni! Allora quando Firefox ci
può vedere tuttemeglio saperne
le password di più.
salvate. Figura 33: Opzioni per la cancellazione
viene in aiuto
Riconoscendo che proponendo di salvare
stiamo inserendo unlecodice
password di accesso
utente ai siti, come
e una password resistere?
in una pagina web, ci propone una
scorciatoia per le volte successive munita di un bel pulsante
Riconoscendo che stiamo inserendo un codice utente e una password in una pagina
Per questo, è sufficiente: Ricorda la password (Figuraweb,
34). ciCome dire una
propone di
no? scorciatoia
Peccato che perpochi sappiano
le volte Esercizio
che: munita
successive di un bel pulsante Ricorda la password (Figura 34). Come dire di
• selezionare il menu
• non Strumenti
no?soloPeccato
vieneche / pochi
Opzioni
memorizzata sappiano che:
la password, ma anche il codice utente
• scegliere la scheda Sicurezza
• la•password
non solo vieneviene memorizzata la in password,
chiaro ma anche il codice utente Figura 34: Vogliamo salvare la password?
• cliccare sul Se •utilizzate
pulsante l'e-banking:
Password
se• illaproprietario
password salvate
viene
del memorizzata
computer noninadotta
chiaroopportuni accorgimenti, chi usa il computer successivamente Figura 34: Vogliamo salvare la password?
• verificate
• nella finestra chepuò se ilse
•compare,
vedere inserendo
tutte
proprietario
vengono del le
le password credenziali,
salvate.
computer
visualizzati Firefox
non iadotta
siti per i vi
opportuniconsente
quali è statadisalvata
accorgimenti, memorizzarle
chi usa il computer successivamente
la password (Figura 35) e
• seutente può vedere tutte le password salvate.
sì, memorizzatele
relativo codice
70 Per questo, è sufficiente:
• cliccare sul •pulsante
andate a
• selezionare
vedere
Per Mostra
questo, quali datiper
password
il èmenu
sono stati memorizzati
Strumenti /visualizzare
sufficiente: Opzioni le password.
• controllate
• selezionare
• scegliere sescheda
la i ildati
menu memorizzati sono sufficienti per collegarsi in un secondo
Strumenti / Opzioni
Sicurezza
momento
Nella stessa finestra, • sono
• cliccare alpresenti
scegliere
sul sito.
la scheda
pulsante iPassword
pulsanti
Sicurezza di cancellazione di singoli siti e di cancellazione generale.
salvate
• cliccare
• nella finestrasul che pulsante
compare,Password
vengono salvate
visualizzati i siti per i quali è stata salvata la password (Figura 35) e
Due notizie di conforto:• nellacodice
relativo finestra che compare, vengono visualizzati i siti per i quali è stata salvata la password (Figura 35) e
utente
• si può proteggere con
• cliccare una
relativo
sul codice password
pulsante Mostral'accesso
utente password per allavisualizzare
lista delle password (tramite l'opzione Utilizza una
le password.
password principale nella scheda
• cliccare sul pulsante Sicurezza vista
Mostra password Esercizio
prima)
per visualizzare le password. Figura 35: Password salvate
Nella stessa finestra, sono presenti i pulsanti di cancellazione
• in generale i siti sensibili (banche, ...) usano degli accorgimenti per l'accesso che impedisce la di singoli siti e di cancellazione generale.
Nella stessa finestra, sono presenti i pulsanti di cancellazione di singoli siti e di cancellazione generale.
Se Due
memorizzazione fate acquisti
delle
notizie su Internet:
credenziali
di conforto: di autenticazione o il loro uso.
• si Due
• accedete puònotizie
ai sitidi che
proteggere conforto:
utilizzate
con abitualmente
una password l'accesso alla lista delle password (tramite l'opzione Utilizza una
• si puòprincipale
password proteggere conscheda
nella una password
Sicurezza l'accesso alla lista delle password (tramite l'opzione Utilizza una
vista prima) Figura 35: Password salvate
• fate lopassword
stesso esercizio
principale proposto
nella scheda prima.
Sicurezza vistadegli
prima)accorgimenti per l'accesso che impedisce la Figura 35: Password salvate
• in
Realizzato esclusivamente generale i siti
per iGABRIELE sensibili (banche,
TOMASI ...) usano
- SKILL on LINE
• in generale siti sensibili (banche,
memorizzazione delle credenziali di autenticazione o il loro uso. ...) usano degli accorgimenti per l'accesso che impedisce la
memorizzazione delle credenziali di autenticazione o il loro uso.
Comprendere lo scopo, la funzione e i tipi di software per il controllo del contenuto, quali
4.1.10 Comprendere lo scopo, tlawfunzione
a r e peei rtipi
s o fesclusivamente i ldiGABRIELE
fsoftware
i l t r a gperi ilocontrollo
gTOMASI n tdel
d i - iSKILL contenuto,
e ron t , s oquali
n eLINE f t wsoftware
a r e d iperc o
il filtraggio
n t r o l l odi g e n i t o r i
Realizzato per
internet, software di controllo genitori.
Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE La Notizia
Tutti i computer aziendali sono collegati ad Internet ma molte aziende adottano sistemi per impedirne un uso Il decalogo per la sicurezza online
ricreativo o non aziendale. Sotto certe condizioni, possono essere registrati gli indirizzi dei siti consultati e
molto spesso è proprio inserito un sistema che impedisce la navigazione in particolari siti; siti di giochi online Plus 24 Il Sole 24 Ore
o siti contenenti materiale illegale (pornografia, pedofilia, opere soggetti a diritto d'autore, ...). Spesso sono 12/7/2014 n. 620, Cover Story -
bloccate le reti sociali, anche per vari abusi che sono stati raccontati da numerosi giornali. Oltre a limitazioni Cybercrime e risparmio
alla navigazione, sono frequenti le limitazioni allo scaricamento di file. L'elevata velocità dei collegamenti
http://www.banchedati.ilsole24ore.com/do
adoperati dalle imprese può indurre qualcuno a installare programmi di scaricamento peer-to-peer e c.get?uid=finanza-FM20140712005BPS
approfittarne per scaricare filmati o brani musicali, non solo violando le leggi sul copyright ma anche
peggiorando le prestazioni della linea. Queste limitazioni possono essere qualitative (non si scaricano certi Notizia riprodotta per gentile
tipi di file) o quantitative (non si scaricano file oltre ad un certa dimensione). autorizzazione da Il Sole 24 ORE S.p.A.

Una considerazione a parte meritano i sistemi di protezione destinati alla tutela dei bambini. L'uso da parte
dei bambini e dei ragazzi, del computer, di Internet, dei videogiochi nonché degli strumenti elettronici e
Una considerazione
informatici in generale non a parte meritanoessere
può sempre i sistemi di protezione
lasciato alla loro destinati alla tutela
libera scelta. dei bambini.
Le limitazioni L'uso da parte
eventualmente
dei bambini e dei ragazzi, del computer, di Internet, dei videogiochi
introdotte dai genitori dipendono ovviamente dall'età dei figli. Si pensi alla televisione o ai videogiochinonché degli strumenti elettronici
e al e
informatici in generale non può sempre essere lasciato alla loro
loro potere di coinvolgimento che rende impossibile per molti bambini e ragazzi autolimitarsi. libera scelta. Le limitazioni eventualmente
introdotte dai genitori dipendono ovviamente dall'età dei figli. Si pensi alla televisione o ai videogiochi e al
La necessità
loro potere per di bambini e ragazzi
coinvolgimento chedi rende
diversificare le attività,
impossibile di recepire
per molti bambiniglie stimoli
ragazzieducativi e formativi adatti
autolimitarsi.
alla propria età, di partecipare ad interazioni sociali "dal vivo" e non solo virtuali, induce i genitori ad
La necessità
esercitare per bambini
una limitazione e ragazzi
ed un controllodi diversificare
nel ricorso agli le attività,
strumenti di recepire gli stimoli educativi
più "coinvolgenti". Non solo ema formativi
alcuni di adatti 71
questi strumenti non sono originariamente differenziati a seconda dell'età del fruitore. Basti pensare ai ad
alla propria età, di partecipare ad interazioni sociali "dal vivo" e non solo virtuali, induce i genitori
esercitare
contenuti una limitazione
di Internet che sono ed tutti
un controllo
accessibili nel indiscriminatamente,
ricorso agli strumenti senza più "coinvolgenti".
distinzione Non di età,solocon ma forte
alcuni di
possibilità di esposizione dei bambini e dei ragazzi a contenuti non adatti alla loro età. Per questo sono ai
questi strumenti non sono originariamente differenziati a seconda dell'età del fruitore. Basti pensare
contenuti
disponibili di Internet
appositi softwareche persono tutti le
regolarne accessibili
modalità di indiscriminatamente, senza didistinzione
utilizzo, limitando il tempo di età, con
utilizzo o l'accesso a sitiforte
presenti in un apposito elenco. Per tutti però, è decisamente preferibile ricorrere a regole e interventi "umani"sono
possibilità di esposizione dei bambini e dei ragazzi a contenuti non adatti alla loro età. Per questo
disponibili
mirati piuttostoappositi
che a software
strumentiperinformatici
regolarne automatizzati.
le modalità di utilizzo, limitando
Gli interventi di ilcontrollo
tempo dieutilizzo o l'accesso a siti
regolamentazione
presenti in un apposito elenco. Per tutti però, è decisamente
dipenderanno, come accennato, dall'età del bambino o del ragazzo ma saranno improntate a: preferibile ricorrere a regole e interventi "umani"
mirati piuttosto che a strumenti informatici automatizzati. Gli interventi di
• evitare l'isolamento del bambino nell'uso degli strumenti, affiancandolo il più possibile durante l'utilizzo per controllo e regolamentazione
dipenderanno,
indirizzarlo e per come accennato,
controllare dall'età
l'aderenza deidel bambino
contenuti allao sua
del ragazzo
età ma saranno improntate a:
• evitare delle
• prevedere l'isolamento
modalitàdel di bambino
uso di questinell'uso degli strumenti,
strumenti "accompagnate"affiancandolo il più possibile durante l'utilizzo per
da un adulto
indirizzarlo e per controllare l'aderenza dei contenuti alla sua età
• definire delle limitazioni temporali nell'uso del computer, del collegamento a Internet, dei videogiochi a
• prevedere
favore delle altre delle modalità
attività di uso disvolgere
che devono questi strumenti
bambini e"accompagnate"
ragazzi (attività da un adulto
sportive e scolastiche, ...)
• definire delle
• sensibilizzare limitazioni
bambini temporali
e ragazzi, in modo nell'uso del computer,
differenziato a seconda del collegamento a Internet,
dell'età, sui contenuti e ledei videogiochi
possibilità di a
favore delle altre attività che devono svolgere bambini
utilizzo della rete oltreché sui rischi e sugli accorgimenti da rispettare. e ragazzi (attività sportive e scolastiche, ...)
• sensibilizzare bambini e ragazzi, in modo differenziato a seconda dell'età, sui contenuti e le possibilità di
Saranno utilizzo della
infatti più rete oltreché
efficaci sui rischi di
le limitazioni e sugli
uso accorgimenti
se accompagnate da rispettare.
da un affiancamento e da interventi di
sensibilizzazione da parte dei genitori, piuttosto che la sola introduzione di sistemi automatici di filtro.
Saranno infatti più efficaci le limitazioni di uso se accompagnate da un affiancamento e da interventi di
sensibilizzazione da parte dei genitori, piuttosto che la sola introduzione di sistemi automatici di filtro.
Ricreazione
Ricreazione
Per approfondire il tema dell'accesso protetto a Internet, consultare a titolo di
esempio il sito http://www.davide.it
Per approfondire
Chiudere il browser. il tema dell'accesso protetto a Internet, consultare a titolo di
esempio il sito http://www.davide.it
Chiudere il browser.

Realizzato
© esclusivamente
Copyright AICA 2014 – 2019 per GABRIELE TOMASI - SKILL on LINE www.micertificoecdl.it
Comprendere lo scopo di cifrare, decifrare un messaggio di posta elettronica
5.1.1 Comprendere lo scopo di cifrare, decifrare un messaggio di posta elettronica.
5.1.1 Comprendere lo scopo di cifrare, decifrare un messaggio di posta elettronica.
Molti sistemi di posta elettronica inviano i messaggi in chiaro, ossia senza applicare tecniche crittografiche
per Molti
cifrali.sistemi
Questodisignifica
posta elettronica inviano ièmessaggi
che il messaggio facilmenteinleggibile
chiaro, ossia
da chisenza
dovesseapplicare tecniche
intercettarlo, crittografiche
inserendosi
72 per per cifrali.
esempio Questo
nella rete significa
del che
mittente oil messaggio
del è
destinatario facilmente
e leggibile
adoperando da
appositichi dovesse
programmi. intercettarlo,
Lo stesso inserendosi
dicasi per
per esempio
eventuali documenti nellaallegati
rete delal mittente
messaggio. o del destinatario e adoperando appositi programmi. Lo stesso dicasi per
eventuali documenti allegati al messaggio.
Uno dei modi per rendere la posta elettronica uno strumento più sicuro è quello di cifrare il messaggio di
postaUno al dei modi per
momento rendereInlaquesto
dell'invio. posta elettronica uno strumento
modo il messaggio trasmessopiù sicuro
verrà èresoquello di cifrare
illeggibile il messaggio
a chi dovesse di
posta al momento
intercettarlo. Ovviamente dell'invio. In questo
l'operazione opposta,modoconsistente
il messaggio nel trasmesso
decifrare ilverrà reso illeggibile
messaggio, a chi dovesse
dovrà essere fatta
intercettarlo.
quando il messaggio Ovviamente l'operazione
verrà recapitato opposta, consistente
per consentirne la lettura al nel decifrare il messaggio, dovrà essere fatta
destinatario.
quando il messaggio verrà recapitato per consentirne la lettura al destinatario.
Per cifrare (e decifrare) messaggi di posta elettronica in modo trasparente per l'utente, esistono diversi
Per cifrare
programmi, (eodecifrare)
liberi commerciali, messaggi
nonché di postaonline.
servizi elettronica in modo trasparente per l'utente, esistono diversi
programmi, liberi o commerciali, nonché servizi online.
Per quanto riguarda la sicurezza dei soli allegati, spesso si ricorre a metodi più semplici (anche se meno
Per quanto
efficaci) riguarda
consistenti la sicurezzacon
nel proteggerli deiuna
soli password
allegati, spesso si ricorre
e inviare a metodi
la password al più semplici (anche
destinatario. L'invio se meno
della
efficaci)per
password, consistenti nel proteggerli
motivi facilmente intuibili, con unacon
va fatta password e inviare
mail separata la altri
o con password
sistemialdistinti
destinatario.
dalla mail.L'invio della
password, per motivi facilmente intuibili, va fatta con mail separata o con altri sistemi distinti dalla mail.
Si sta sempre di più diffondendo l'uso di protocolli di trasmissione più sicuri (cosiddetti SMTPS) che
Si sta l'autenticazione
richiedono sempre di più dell'utente
diffondendoperl'uso di diprotocolli
l'invio messaggidie trasmissione più sicuri dal
cifrano la trasmissione (cosiddetti SMTPS)al che
client dell'utente
richiedono
server l'autenticazione
che spedisce così comedell'utente
protocolli per l'invio di messaggi
di ricezione (POPS, IMAPS)e cifranochela rendono
trasmissione dal client
più sicura dell'utente
la lettura del al
server che
messaggio spedisce
dal server delcosì come protocolli
destinatario di ricezione
al suo client di posta.(POPS, IMAPS) che rendono più sicura la lettura del
messaggio dal server del destinatario al suo client di posta.
Esercizio
Esercizio
Se non lo avete già fatto in un precedente esercizio, assegnate una password al
Setesto
file di non documentoriservato.odt.
lo avete già fatto in un precedente esercizio, assegnate una password al
file di testo documentoriservato.odt.
Speditelo per mail ad un vostro amico, con un testo di accompagnamento e
Speditelo
inviategli per amail
in mail ad la
parte unpassword,
vostro amico, con un testo
chiedendogli di accompagnamento
di confermarvi l'avvenuta e
inviategli
ricezione e la in mail a
corretta parte la
apertura delpassword,
documento.chiedendogli di confermarvi l'avvenuta
ricezione e la corretta apertura del documento.
5.1.2 Comprendere il termine firma digitale.

5.1.2 Comprendere il termine firma digitale.
© Sergio Margarita - Nuova ECDL e Open CSource
o m p r e n d e r e i l t e r m84
ine firma digitale IT Security
© Sergio
Oltre Margarita
al problema - Nuova
della scarsa ECDL e Open Source
riservatezza 84
appena visto, la posta elettronica presenta anche il problema IT Security
dell'identificazione del mittente. E' molto facile creare un messaggio di posta e spedirlo facendolo risultare
Oltre al
come seproblema
fosse stato della scarsa
spedito da riservatezza
qualcun altro.appena visto,
La firma la posta
digitale elettronica
sopperisce presenta
a questa anche
carenza il problema
e permette di
dell'identificazione
garantire del mittente.
l'identificazione E' molto
del mittente. Nonfacile
solo creare
ma puòunessere
messaggio di posta
applicata e spedirlo
a documenti facendolo
in formato risultare
elettronico,
come
73
con trese fosse stato spedito da qualcun altro. La firma digitale sopperisce a questa carenza e permette di
benefici:
•garantire l'identificazione
autenticità. Il destinatariodelè mittente. Non solo del
sicuro dell'identità ma mittente
può esseredel applicata
documento a documenti in formato elettronico,
con tre benefici:
• non ripudiabilità. Il mittente non può negare di aver inviato il documento da lui firmato
•• integrità.
autenticità. Il Ildestinatario
destinatariononè sicuro
può dell'identità
alterare un del mittente del
documento né documento
crearne uno facendolo risultare firmato da
• qualcun
non ripudiabilità.
altro. Il mittente non può negare di aver inviato il documento da lui firmato
• integrità. Il destinatario non può alterare un documento né crearne uno facendolo risultare firmato da
Unqualcun
sistemaaltro.
oggi largamente utilizzato è quello della Crittografia asimmetrica (o crittografia a chiave pubblica)
accennato nel precedente punto 1.4.3.
Un sistema oggi largamente utilizzato è quello della Crittografia asimmetrica (o crittografia a chiave pubblica)
Chi volesse saperne di più sulla firma digitale può far riferimento alle Linee guida per l'utilizzo della Firma
accennato nel precedente punto 1.4.3.
Digitale, testo disponibile all'indirizzo https://ca.notariato.it//approfondimenti/LineeGuidaFD_200405181.pdf
Chi volesse saperne di più sulla firma digitale può far riferimento alle Linee guida per l'utilizzo della Firma
5.1.3 Creare
Digitale, e aggiungere
testo disponibileunaall'indirizzo
firma digitale.
https://ca.notariato.it//approfondimenti/LineeGuidaFD_200405181.pdf
Prima di poter apporre una firma digitale suCun
5.1.3 Creare e aggiungere una firma digitale.
r edocumento
a r e e a ginformatico,
giungere u n a disporre
occorre f i r m a di
d iuna
g i tfirma
a l e digitale.
Per questo è necessario rivolgersi ad uno degli enti certificatori abilitati (l'elenco è disponibile sul sito
Prima di poter
dell'Agenzia perapporre una firmaall'indirizzo
l'Italia Digitale, digitale suhttp://www.agid.gov.it/).
un documento informatico, occorre disporre di una firma digitale.
Per questo è necessario rivolgersi ad uno degli enti certificatori abilitati (l'elenco è disponibile sul sito
Una volta ultimata la pratica, si dispone, fra l'altro, di un file contenente le informazioni che definiscono
dell'Agenzia per l'Italia Digitale, all'indirizzo http://www.agid.gov.it/).
l'identità del titolare, la propria chiave pubblica e il periodo di validità del certificato stesso, oltre ai dati
Una voltacertificatore
dell'ente ultimata la che pratica,
lo hasirilasciato.
dispone, Questo
fra l'altro,
filediverrà
un file contenente
utilizzato le informazioni
per firmare che idefiniscono
digitalmente documenti
l'identitàil software
tramite del titolare, la propria
fornito chiave
in generale pubblica
insieme e il periodo di validità del certificato stesso, oltre ai dati
al certificato.
dell'ente certificatore che lo ha rilasciato. Questo file verrà utilizzato per firmare digitalmente i documenti
In alternativa, una volta installato il certificato sul computer, si possono usare i software usuali per
tramite il software fornito in generale insieme al certificato.
aggiungere la firma elettronica ad un documento.
In LibreOffice, per aggiungere una firma digitale ad un documento (creato con Writer, Calc o Impress), è
necessario:
•In aprire
LibreOffice, per aggiungere una firma digitale ad un documento (creato con Writer, Calc o Impress), è
il documento
•necessario:
selezionare il menu File / Firme digitali
• nella
aprirefinestra
il documento
Firme digitali che appare cliccare sul pulsante Firma documento
selezionare
• nella finestra, il menu File / Firme
selezionare digitali
il certificato e premere sul pulsante OK
•© Copyright
nella finestra
di ritornoAICA Firme
alla finestra digitali
2014 – 2019
che appare cliccare
Firme digitali, premere sul pulsante
il pulsante Firma documento
Chiudi www.micertificoecdl.it
• nella finestra, selezionare il certificato e premere sul pulsante OK
• di ritorno alla finestra Firme digitali, premere il pulsante Chiudi
dell'Agenzia per l'Italia Digitale, all'indirizzo http://www.agid.gov.it/).
Una volta ultimata la pratica, si dispone, fra l'altro, di un file contenente le informazioni che definiscono
l'identità del titolare, la propria chiave pubblica e il periodo di validità del certificato stesso, oltre ai dati
dell'ente certificatore che lo ha rilasciato. Questo file verrà utilizzato per firmare digitalmente i documenti
tramite il software fornito in generale insieme al certificato.
In LibreOffice, per aggiungere una firma digitale ad un documento (creato con Writer, Calc o Impress), è
necessario:
• aprire il documento
• selezionare il menu File / Firme digitali
• nella finestra Firme digitali che appare cliccare sul pulsante Firma documento
74 ©
• Sergio Margarita
nella finestra, - NuovailECDL
selezionare e Open
certificato Sourcesul pulsante OK
e premere 85 IT Security
• di ritorno alla finestra Firme digitali, premere il pulsante Chiudi
• la firma viene aggiunta al documento e nella Barra di stato compare l'icona Firma digitale ad indicare lo
stato della firma.
Analoga operazione si può svolgere con Thunderbird per apporre una firma digitale ai messaggi. Per questo
occorre:
• installare il certificato nel programma di posta:
• selezionando il menu Strumenti / Impostazioni account
• nella finestra Impostazioni account, scegliere la voce Sicurezza nella colonna di sinistra
• nella sezione Certificati cliccare sul pulsante Mostra certificati
• cliccare sul pulsante Importa per scegliere il file del certificato
• attivare l'uso del certificato:
• di ritorno nella finestra Impostazioni account, nella sezione Firma digitale:
• cliccare sul pulsante Seleziona e scegliere il certificato installato
• attivare l'opzione Apponi una firma digitale ai messaggi.
5.2.3 Riconoscere metodi per assicurare la confidenzialità durante l’uso della messaggistica istantanea, quali cifratura,
non divulgazione di informazioni importanti, limitazione di condivisione di file.
Anche se non tutti su Internet sono sensibili e attenti alla riservatezza e alla protezione delle proprie
informazioni, molti stanno prestando una crescente attenzione alla propria privacy. Un esempio fra tutti: ad
inizio 2014, Facebook - noto per le sua attività di raccolta di informazioni personali e di profilazione degli
utenti - ha acquistato il sistema gratuito di messaggistica istantanea WhatsApp. In seguito a questa
operazione, molti utenti hanno abbandonato WhatsApp per passare ad altri sistemi come Telegram
(https://telegram.org), emergente sistema di messaggistica, anch'esso gratuito, che assicura un elevato
livello di sicurezza e riservatezza grazie alla cifratura dei messaggi.
Ricorrere ad un sistema che trasmette i messaggi in forma crittografata garantisce senz'altro un livello di
sicurezza e di confidenzialità maggiore mettendo al riparo l'utente dalle intercettazioni. Ma questo è un
aspetto esclusivamente tecnico che non esaurisce le misure di sicurezza.
La stessa condivisione di file, se non correttamente configurata, può mettere a disposizione di terzi delle
Telegram
informazioni che pensavamo essere al riparo da occhi indiscreti.
• nella finestra Impostazioni account, scegliere la voce Sicurezza nella colonna di sinistra
• nella sezione Certificati cliccare sul pulsante Mostra certificati
• cliccare sul pulsante Importa per scegliere il file del certificato
• attivare l'uso del certificato:
• di ritorno nella finestra Impostazioni account, nella sezione Firma digitale:
• cliccare sul pulsante Seleziona e scegliere il certificato installato
• attivare l'opzione Apponi una firma digitale ai messaggi.
Riconoscere metodi per assicurare la confidenzialità durante l’uso della messaggistica istantanea,
5.2.3 Riconoscere metodi per assicurare la confidenzialità durante l’uso della messaggistica istantanea, quali cifratura,
quali cifratura, non divulgazione di informazioni importanti, limitazione di condivisione di file
non divulgazione di informazioni importanti, limitazione di condivisione di file.
Anche se non tutti su Internet sono sensibili e attenti alla riservatezza e alla protezione delle proprie
informazioni, molti stanno prestando una crescente attenzione alla propria privacy. Un esempio fra tutti: ad
inizio 2014, Facebook - noto per le sua attività di raccolta di informazioni personali e di profilazione degli 75
utenti - ha acquistato il sistema gratuito di messaggistica istantanea WhatsApp. In seguito a questa
operazione, molti utenti hanno abbandonato WhatsApp per passare ad altri sistemi come Telegram
(https://telegram.org), emergente sistema di messaggistica, anch'esso gratuito, che assicura un elevato
livello di sicurezza e riservatezza grazie alla cifratura dei messaggi.
Ricorrere ad un sistema che trasmette i messaggi in forma crittografata garantisce senz'altro un livello di
sicurezza e di confidenzialità maggiore mettendo al riparo l'utente dalle intercettazioni. Ma questo è un
aspetto esclusivamente tecnico che non esaurisce le misure di sicurezza.
La stessa condivisione di file, se non correttamente configurata, può mettere a disposizione di terzi delle
Telegram
informazioni che pensavamo essere al riparo da occhi indiscreti.
E' fondamentale infatti che chi utilizza Internet acquisisca una sensibilità alla protezione dei propri dati e alla
non divulgazione delle informazioni personali. Come si può constatare dalla crescente diffusione degli
© SergiodiMargarita
attacchi ingegneria- Nuova
sociale ECDL e Open
(si veda il puntoSource 86 che aiuta il malintenzionato a
1.3.1) è spesso lo stesso utente IT Security
compiere frodi e altri illeciti, fornendogli informazioni riservate o sensibili. Involontariamente in un attacco di
ingegneria sociale, volontariamente in caso di uso poco attento delle reti sociali. E' importante che la
divulgazione di informazioni personali
Realizzato esclusivamente sia limitata
per GABRIELE allo stretto
TOMASI - SKILLindispensabile
on LINE e ai soli destinatari interessati.
Bisogna inoltre valutare attentamente:
• il grado di importanza delle proprie informazioni. Spesso si tende a pensare che certe informazioni siano
poco rilevanti e possano essere divulgate senza cautele. Invece possono servire a creare un attacco di
ingegneria sociale, sostituendosi più facilmente ad una persona
• gli strumenti con i quali si scambiano informazioni. Gli strumenti di condivisione di file (per esempio
Drpbox) sono ritenuti tipicamente sicuri. Depositate un file troppo voluminoso per essere inviato per posta
elettronica e mandate invece per posta elettronica o per messaggistica istantanea al vostro destinatario un
link che gli permetterà di scarica il file. Il link, generato al momento in modo dinamico, è noto solo a lui e a
chi ha compromesso la sua casella di mail o a chi ha intercettato il vostro messaggio istantaneo o a chi ...
Si raccomanda quindi di analizzare e valutare sempre bene il livello di sicurezza e di riservatezza nonché i
rischi che dati personali possono correre.
© Copyright
4.2.2 Essere AICA 2014 – della
consapevoli 2019 necessità di applicare impostazioni adeguate per la privacy del proprio account su una rete www.micertificoecdl.it
sociale.
divulgazione di informazioni personali sia limitata allo stretto indispensabile e ai soli destinatari interessati.
Bisogna inoltre
ingegneria valutare
sociale, attentamente:in caso di uso poco attento delle reti sociali. E' importante che la
volontariamente
divulgazione
• il grado di di informazioni
importanza personali
delle proprie sia limitata alloSpesso
informazioni. stretto indispensabile e ai soli
si tende a pensare chedestinatari interessati.
certe informazioni siano
poco rilevanti
Bisogna e possano
inoltre valutare essere divulgate senza cautele. Invece possono servire a creare un attacco di
attentamente:
ingegneria sociale, sostituendosi più facilmente ad una persona
• il grado di importanza delle proprie informazioni. Spesso si tende a pensare che certe informazioni siano
• poco
gli strumenti
rilevanti con i quali essere
e possano si scambiano
divulgate informazioni. Gli strumenti
senza cautele. Invece possonodi condivisione di file (per
servire a creare esempio
un attacco di
Drpbox) sono ritenuti tipicamente sicuri. Depositate
ingegneria sociale, sostituendosi più facilmente ad una persona un file troppo voluminoso per essere inviato per posta
• gli
linkstrumenti con i quali
che gli permetterà si scambiano
di scarica informazioni.
il file. Il link, generato Gli strumentiindimodo
al momento condivisione
dinamico,diè noto
file (per
soloesempio
a lui e a
Drpbox) sono ritenuti la
chi ha compromesso tipicamente
sua casella sicuri.
di mailDepositate
o a chi haun file troppoilvoluminoso
intercettato per essere
vostro messaggio inviato oper
istantaneo posta
a chi ...
Si link
raccomanda quindi di di
che gli permetterà analizzare
scarica il efile.
valutare
Il link, sempre
generatobene il livello di
al momento in sicurezza e di riservatezza
modo dinamico, è noto solononché
a lui e ai
76 rischi checompromesso
dati personalila possono correre.
chi ha sua casella di mail o a chi ha intercettato il vostro messaggio istantaneo o a chi ...
Si raccomanda quindi di analizzare e valutare sempre bene il livello di sicurezza e di riservatezza nonché i
4.2.2 Essere consapevoli della necessità di applicare impostazioni adeguate per la privacy del proprio account su una rete
rischi che dati personali possono correre.
sociale.
Essere consapevoli della necessità di applicare impostazioni adeguate per la privacy del proprio
La partecipazione
4.2.2 a una
Essere consapevoli dellacomunità
necessità virtuale e/oimpostazioni
di applicare a una
a c crete nsociale
o uadeguate uspesso
t s u perna r efornisce
la privacy
t e del cl'impressione
s oproprio di una
i a l e account su essere
rete
sociale.
all'interno di un circuito protetto a cui possono accedere solo i nostri amici: questo può spingere le persone a
rivelare molte informazioni, anche private, su di sé. Così come nella vita reale, anche in rete gli individui
La partecipazione
possono intendere aleuna comunità
amicizie virtuale
a diversi e/oeacosì
livelli, unacome
rete sociale
possono spesso
nascere fornisce
possono l'impressione
concludersi. di Non
essere
va
all'interno di un circuito protetto a cui possono accedere solo i nostri amici: questo
inoltre dimenticato che qualsiasi cosa scritta o pubblicata in rete non potrà mai essere cancellata: infatti può spingere le persone a
rivelare molte informazioni, anche private, su di sé. Così come nella vita
anche se si cancella quella frase scritta in un momento di rabbia o quella foto imbarazzante, qualcuno reale, anche in rete gli individui
possono
potrebbe intendere le amicizie
averla copiata a diversi
su un altro livelli,
server, e così come
rendendone possono
difficile nascereo possono
il reperimento il controlloconcludersi. Non va
della diffusione.
inoltre dimenticato che qualsiasi cosa scritta o pubblicata in rete non potrà mai essere cancellata: infatti
Le reti se
anche sociali offrono quella
si cancella un accesso gratuitoin aiunpropri
frase scritta momentoservizi di perché
rabbia o utilizzano
quella fotole informazioni
imbarazzante, chequalcuno
ognuno
potrebbe averla copiata su un altro server, rendendone difficile il reperimento o il controllo della diffusione.per
fornisce a scopo di marketing: dichiarare le proprie preferenze o quali acquisti sono stati fatti serve
favorire la diffusione del passaparola che è considerato oggi il modo più efficiente di fare marketing in rete.
Le reti ricercatori
Alcuni sociali offrono
hannouninoltre
accesso gratuito
effettuato degliai studi
propriperservizi perché utilizzano
cui l'esplicitazione delle le informazioni
proprie amicizieche ognuno
favorisce lo
fornisce a scopo di marketing: dichiarare le proprie preferenze o quali acquisti
svelamento automatico e incontrollato anche di informazioni sui nostri amici. Oggi si tende a partecipare sono stati fatti serve pera
favorire
molte reti, la diffusione
e a volte del passaparola
si ha l'impressioneche è di considerato
non riuscireoggi il modo dopo
a gestirle: più efficiente di fare marketing
il sovraccarico cognitivo in rete.
(troppe
Alcuni ricercatori hanno inoltre effettuato degli studi per cui l'esplicitazione
informazioni equivalgono a nessuna informazione), siamo giunti al sovraccarico da social network. delle proprie amicizie favorisce lo
svelamento automatico e incontrollato anche di informazioni sui nostri amici. Oggi si tende a partecipare a
Possono
molte reti,quindi esseresi utili
e a volte ha alcuni suggerimenti
l'impressione di non perriuscire
utilizzare le reti sociali
a gestirle: dopoe ilnon esserne travolti:
sovraccarico cognitivo (troppe
informazioni equivalgono a nessuna informazione), siamo giunti al sovraccarico da social network.
Possono quindi
Realizzato essere utili alcuni
esclusivamente suggerimenti
per GABRIELE per utilizzare
TOMASI le reti
- SKILL sociali e non esserne travolti:
on LINE

© Sergio
© Sergio Margarita
Margarita -- Nuova
Nuova ECDL
ECDL ee Open
Open Source
Source 87
87 IT Security
IT Security
•• chiaritevi
chiaritevi le
le idee
idee sul
sul perché
perché iscrivervi
iscrivervi ee aa cosa
cosa vivi serve
serve
•• una
una volta
volta scelto
scelto ii network
network considerati
considerati interessanti,
interessanti, cercate
cercate di
di usarli
usarli per
per lo
lo scopo
scopo con
con cui
cui vi
vi siete
siete iscritti,
iscritti,
onde evitare
onde evitare di
di duplicare
duplicare le le informazioni
informazioni
•• definite
definite ii vostri
vostri confini
confini didi utilizzo:
utilizzo: se
se usate
usate Facebook
Facebook per per ilil tempo
tempo libero
libero ee Linkedin
Linkedin per
per ii contatti
contatti
professionali, gestite le richieste di contatto in modo
professionali, gestite le richieste di contatto in modo opportuno opportuno
©
•• Sergio
leggeteMargarita
leggete bene le
bene - Nuova
le clausole
clausole ECDLalla
relative
relative e Open
alla Source
privacy
privacy ee al
al copyright,
copyright, èè sempre 88 essere
sempre meglio
meglio essere informati
informati in
in anticipo.
anticipo. IT Security
77
E' opportuno
E' opportuno adoperare
adoperare le le funzionalità
funzionalità offerte
offerte dalle
dalle reti
reti sociali
sociali per
per gestire
gestire la la privacy
privacy dei
dei propri
propri dati.
dati. E'
E' vero
vero
che lo scopo della rete sociale è "socializzare" e che la socializzazione passa
che lo scopo della rete sociale è "socializzare" e che la socializzazione passa proprio dalla condivisione deiproprio dalla condivisione dei
propri dati ma è fondamentale sfruttare le Esercizio
possibilità di gestione delle autorizzazioni per controllare chi può
propri dati ma è fondamentale sfruttare le possibilità di gestione delle autorizzazioni per controllare chi può
accedere alla
accedere alla vostra
vostra pagina
pagina ee con con quali
quali diritti:
diritti: si
si impostano
impostano così così per per esempio,
esempio, la la visibilità
visibilità dei
dei dati,
dati, si
si
inseriscono limitazioni,
inseriscono limitazioni,
Se utilizzatesi definiscono
si definiscono eventuali
una o più eventuali liste
comunità liste di blocco,
virtuali
di blocco, ...
(reti sociali,
... ...) verificate se non avete
L'attenzione alla esagerato
alla proprianel fornire
privacy troppi
è un dati personali.
un fenomeno
fenomeno in espansione
espansione ee sono sono sempre
sempre più più numerosi
numerosi gligli utilizzatori
utilizzatori di
di
L'attenzione Fra propria
tutti privacy
quelli che èavete inserito in
(testi, fotografie, ...), elencate quelli che non vi
reti sociali
reti sociali oo didi sistemi
sistemi didi messaggistica
messaggistica istantanea
istantanea che che si si rivolgono aa siti siti oo app
app che
che garantiscono
garantiscono un un elevato
elevato
livello di farebbe piacere
di riservatezza.
riservatezza. La prova qualcuno
prova trovasse
ne èè lo
lo sviluppo in rete fra rivolgono
di sistemi
sistemidieci anni.conversazioni
dove e informazioni
informazioni pubblicate
pubblicate
livello Ce ne La
sono? ne sviluppo di dove conversazioni e
hanno un
hanno un tempo
tempo limitato
limitato di Peccato!
di permanenza
permanenza
Nonsul potete
sito,più
sul sito, oltre
rimuoverli
oltre quale da
al quale
al sono
sono
Internet.
automaticamente cancellate.
automaticamente cancellate.
Ricordiamo i tre approcci complementari che abbiamo La Notiziapresentato all'inizio della parte 2 di questo IBUQ in
Notizia
tema di sicurezza dei dati: La
1. mettere in pratica tutte le misure per impedire il furto
11
2. fare in11 settembre
settembre
modo 2014 di furto il ladro non possa utilizzare i dati rubati
2014
che in caso
3. fare inFacebook
modo che annuncia
Facebook in caso di che
annuncia furtosta
che torniamo
sta a disporrela
sperimentando
sperimentando ladei nostri dati di
funzionalità
funzionalità in tempi
di Choose
Choose molto brevi.
expiration
expiration
(Scegli la
(Scegli la scadenza)
scadenza) che che consentirebbe
consentirebbe di di scegliere
scegliere lala durata
durata di di pubblicazione
pubblicazione dei dei
Il primo punto ha dei messi
contenuti risvoltiin direte.
sicurezza
Sembralogica (riservatezza
che l'annuncio
l'annuncio abbiadella password,
lo scopo
scopo ...), che il abbiamo già
di contrastare
contrastare
contenuti messi in rete. Sembra che abbia lo di il
esaminato; ma anche deinumero
crescente risvolti legati
di alla di
utenti sicurezza
servizi fisica
come dei dispositivi
Telegram per evitarne il furto oola distruzione
(https://telegram.org/)
crescente numero di utenti di servizi come Telegram (https://telegram.org/) o
che verranno Snapchat
considerati(https://www.snapchat.com/)
al successivo punto 6.1.1. Ilche terzobasano
punto è ilmolto loro importante
successo insulla caso di furto, di
sulla
Snapchat (https://www.snapchat.com/) che basano il loro successo
distruzione o di perdita dei dati. La
cancellazione automatica caratteristica
automatica ee sulla "D" del
sulla riservatezza. modello
riservatezza. Non CID,
Non sisi sa la
sa se disponibilità,
se ii contenuti rimarranno interrotta il
deve
contenuti rimarranno essere
cancellazione
minor tempo possibile e ripristinata in tempi molto brevi. Qui entrano in gioco leoppure
copie dinosicurezza dei dati.
aa disposizione
disposizione di Facebook
di Facebook dopo
dopo ilil loro
loro ritiro
ritiro dalla
dalla pubblicazione
pubblicazione oppure no ...
...
http://www.ilfattoquotidiano.it/2014/09/11/facebook-lancia-choose-expiration-il-post-a-
http://www.ilfattoquotidiano.it/2014/09/11/facebook-lancia-choose-expiration-il-post-a-
6.1.2 Riconoscere l’importanza di avere una procedura di copie di sicurezza per ovviare alla perdita di dati, di informazioni
tempo-il-messaggio-si-autodistrugge/1117686/
tempo-il-messaggio-si-autodistrugge/1117686/
finanziarie, di segnalibri/cronologia web.
Nell'uso corrente del personal computer, i dati che creiamo o inseriamo vengono memorizzati sul disco fisso.
Non èè
Non
Che indispensabile
indispensabile
siano che tutti
che tutti possano
legati ad un'attività possano
lavorativafare
fare tutto sulla
tutto sullatabelle,
(relazioni, vostra ...)
vostra pagina,
pagina, limitando
o al limitando per esempio
per
tempo libero esempio le possibilità
le possibilità
(le foto delle vacanze) di
di
azione
azione alle
alle sole
sole persone
persone che
che conoscete
conoscete realmente.
realmente.
rivestono una notevole importanza. I file che li contengono corrono alcuni rischi, non sempre valutati. Il
computer può infatti:
Realizzato
•Realizzato esclusivamente
subire unAICA
guasto, per GABRIELE TOMASI -- SKILL
SKILL onon LINE
LINE
© Copyright 2014rendendo
esclusivamente
– 2019 per i file illeggibili e TOMASI
GABRIELE i dati inutilizzabili (ad esempio, danneggiamento dell'hard disk) www.micertificoecdl.it
• essere distrutto in un incendio, un'inondazione, ...
• essere compromesso da virus o altri tipi di malware che intaccano l'integrità e la disponibilità dei file
2. fare in modo che in caso di furto il ladro non possa utilizzare i dati rubati
3. fare in modo che in caso di furto torniamo a disporre dei nostri dati in tempi molto brevi.
Il primo punto ha dei risvolti di sicurezza logica (riservatezza della password, ...), che abbiamo già
esaminato; ma anche dei risvolti legati alla sicurezza fisica dei dispositivi per evitarne il furto o la distruzione
che verranno considerati al successivo punto 6.1.1. Il terzo punto è molto importante in caso di furto, di
distruzione o di perdita dei dati. La caratteristica "D" del modello CID, la disponibilità, deve essere interrotta il
minor tempo possibile e ripristinata in tempi molto brevi. Qui entrano in gioco le copie di sicurezza dei dati.
Riconoscere l’importanza di avere una procedura di copie di sicurezza per ovviare alla perdita di
dati, di informazioni finanziarie, di segnalibri/cronologia web
E' quindi molto importante, per ridurre i danni in caso di evento infausto, disporre di una o più copie di
sicurezza
Nell'uso corrente(backup) dei filecomputer,
del personal di dati presenti sul disco
i dati che creiamo fisso. In questo modo,
o inseriamo vengonose memorizzati
i file originali non sono fisso.
sul disco più
disponibili si è immediatamente
Che siano legati ad un'attività in grado
lavorativa
E' quindi - una
(relazioni,
molto importante, volta ripristinata
tabelle,
per ridurre la
...)in ocaso
i danni funzionalità
al ditempo del
evento libero personal
infausto,(le computer
foto didelle
disporre - di di
una ovacanze)
più copie
78 reinserire i file dal backup e di
sicurezza disporre di
(backup) dei tutti i
file di dati
dati precedentemente
presenti sul disco fisso.registrati.
In questo modo, se i file originali non sono più
rivestono una notevole importanza. I file che li contengono corrono alcuni rischi, non sempre valutati. Il
disponibili si è immediatamente in grado - una volta ripristinata la funzionalità del personal computer - di
computer può infatti: reinserire i file dal backup e di disporre di tutti i dati precedentemente registrati.
Di conseguenza è buona norma:
• subire un guasto, rendendo i file illeggibili e i dati inutilizzabili (ad esempio, danneggiamento dell'hard disk)
• effettuare regolarmente una copiaèdibuona
Di conseguenza backupnorma: dei dati su un supporto rimovibile (CD-RW, DVD-RW, chiave
• essereUSB,distrutto
discoin esterno,
un incendio,
• ...).
un'inondazione,
Farla
effettuare su un'unità
regolarmente
...copia di fissa
unainterna backupserve solo
dei dati su una supporto
evitare rimovibile
il rischio(CD-RW,
di cancellazione
DVD-RW, chiave
• Sergio
© essereaccidentale
compromesso
Margarita da virus
- Nuova ECDL
dell'originale
USB, odisco
ma altri
e Open
non tipi
quellodiSource
esterno, malware
di
...).un guasto
Farla che
su o intaccano
furto l'integrità
di uninterna
un'unità serve e
fissa 89 solola adisponibilità deidifile
evitare il rischio cancellazione IT Security
• essere manovrato
• rimuovere il supporto accidentale
"distrattamente"
dal computer edell'originale
i datiedche ma non quello
contiene
archiviarlo di un guasto
inessere
luogo o di un furto
cancellati
separato, inavvertitamentelontano da non
sufficientemente
• rimuovere il supporto dal computer ed archiviarlo in luogo separato, sufficientemente lontano da non
• esserecorrere
rubato,gliinstessi rischicorrere
particolare del
secomputer.
siglitratta di undel
stessi rischi computer
computer. portatile.
E' quindi molto importante, per ridurre i danni in caso di evento infausto, disporre di una o più copie di
E' quindi opportuno che quindi ognuno definisca un metodo e una strategiauna personale per effettuare le copie dei dei
sicurezza (backup) dei file E' di dati opportuno che ognuno
presentistabilendo
sul disco definisca
fisso. In un metodo
questoedimodo, strategia personale
se i file per effettuare
originali non le copie
sono più
localilocali Figura 36: Backup ripristino dei file
Figura 36: Backup o ripristino dei file
propriesclusivamente propri documenti,
documenti, stabilendo modalità eTOMASI modalità die frequenza
frequenza esecuzione. esecuzione. Oltre ai sistemi
Oltre ai sistemi di backup di backup
Realizzato
disponibili si è immediatamente per
esaminati,
GABRIELE
in grado
vi è anche - una volta
la possibilità
- SKILL
ripristinata
di effettuare
on LINE
la
backupfunzionalità del personal computer - di
esaminati, vi è anche la possibilità di effettuare backup remoto, se il remoto,
computer se il ècomputer
collegato è collegato
in rete.inVerranno
rete. Verranno
reinserire i file dal backup e di disporre
esaminate nelladi tutti
parte i dati
finale precedentemente
di questo IBUQ, a propositoregistrati.
delle imprese per le quali è un aspetto essenziale..
esaminate nella parte finale di questo IBUQ, a proposito delle imprese per le quali è un aspetto essenziale..
Di conseguenza è buona norma: Attenzione

• effettuare regolarmente una copia di backup dei dati Attenzione
su un supporto rimovibile (CD-RW, DVD-RW, chiave
USB, disco esterno, ...). Farla su Analizzate
un'unità bene quali sono i dati importanti che meritano un backup. Si includono
interna fissa serve solo a evitare il rischio di cancellazione
(quasi) sempre i dati creati direttamente con i programmi che usiamo
Analizzate
accidentale dell'originale mabene
nonquali
quellosono i dati
di un
regolarmente importanti
guasto
(Writer, che
o di un
Calc, meritano
furto
Impress) unsfuggirne
ma può backup.qualcuno.
Si includono
Se siete un
(quasi) sempre
• rimuovere il supporto dal computer i dati creati
edutente"
"forte direttamente
archiviarlo in luogo
di Internet, con i
potreste separato,programmi che
aver creato sufficientemente
nel vostro browserusiamolontano
una vera e da non
correre gli stessi regolarmente (Writer,
rischi del computer. Calc,banca
propria Impress)
dati dima può sfuggirne
Segnalibri. qualcuno.
Perderla potrebbe Se siete
costituire un non
un danno
indifferente: quindi ricordatevi di fare il backup anche dei Segnalibri di Firefox.
"forte utente" di Internet, potreste aver creato nel vostro browser una vera e
propria banca dati di Segnalibri. Perderla potrebbe costituire un danno non
E' quindi opportunoindifferente:
che ognuno definisca
quindi un metodo
ricordatevi e una anche
di fare il backup strategia
dei personale
Segnalibri diper effettuare le copie dei
Firefox. Figura 36: Backup o ripristino dei file
propri documenti, stabilendo modalità e frequenza di esecuzione. Esercizio Oltre ai sistemi di backup locali
esaminati, vi è anche la possibilità di effettuare backup remoto, se il computer è collegato in rete. Verranno Figura 37: Unità di destinazione delle
esaminate nella parte finale di questo Definite
IBUQ,una vostra possibile
a proposito delleprocedura
imprese di copia di sicurezza
per le quali è unper aspetto
i dati che gestite
essenziale.. copie
Esercizio
tramite il PC (supporto, frequenza, luogo di archiviazione delle copie, ...).
Figura 37: Unità di destinazione delle
Definite una vostra possibile procedura di copia di sicurezza per i dati che gestite
Attenzione copie
tramite il Realizzato
PC (supporto, frequenza, luogo di archiviazione
esclusivamente per GABRIELE delleon
TOMASI - SKILL copie,
LINE ...).
Analizzate bene quali sono i dati importanti che meritano un backup. Si includono
(quasi) sempre i dati creati direttamente con i programmi che usiamo
regolarmente
Realizzato (Writer,
esclusivamente perCalc, Impress)
GABRIELE ma può
TOMASI sfuggirne
- SKILL on LINEqualcuno. Se siete un
"forte utente" di Internet, potreste aver creato nel vostro browser una vera e
propria banca dati di Segnalibri. Perderla potrebbe costituire un danno non
indifferente: quindi ricordatevi di fare il backup anche dei Segnalibri di Firefox.
6.1.4 Effettuare la copia di sicurezza di dati.

Effettuare la copia di sicurezza di dati
Quando si6.1.4
parlaEffettuare la copia di sicurezza di dati.
di copia di sicurezza dei dati, non si ha in mente l'azione estemporanea di copia-incolla di
qualche file
Quando si chiavetta
su una USBdibensì
parla di copia unadei
sicurezza procedura
dati, non sistematica
si ha in mentee periodica di duplicazione
l'azione estemporanea di un insieme
di copia-incolla di
strutturatoqualche
di file, avente lo scopo di assicurare il ripristino dei dati allo loro stato prima di un
file su una chiavetta USB bensì una procedura sistematica e periodica di duplicazione di un insieme evento dannoso
che ne hastrutturato
causato di il file,
danneggiamento
avente lo scopoparziale o la ilperdita
di assicurare ripristinototale.
dei datiSpesso
allo loro si tratterà,
stato prima disoprattutto
un evento in ambito
dannoso
aziendale,che
di una
ne haprocedura
causato ilautomatica,
danneggiamentoeseguita peroesempio
parziale la perditaditotale.
notte,Spesso
di salvataggio deisoprattutto
si tratterà, dati dei server.
in ambito
79
aziendale, di una procedura automatica, eseguita per esempio di notte, di salvataggio dei dati dei server.
Esistono numerosi programmi Open Source e commerciali in grado di svolgere questa funzione sui supporti i
più diversi.Esistono numerosi
L'importanza programmi
delle copie diOpen Source ha
sicurezza e commerciali in gradoWindows
portato a dotare di svolgerediquesta funzione sui supporti
una funzionalità i
di backup
più diversi. L'importanza
che può essere utilizzata allo scopo. delle copie di sicurezza ha portato a dotare Windows di una funzionalità di backup
che può essere utilizzata allo scopo.
Questa funzionalità permette di creare la procedura di backup, definendo i file da copiare, l'unità sulla quale
Questa funzionalità permette di creare la procedura di backup, definendo i file da copiare, l'unità sulla quale
effettuare effettuare
la copia elalacopia
pianificazione temporale
e la pianificazione del backup.
temporale PerPer
del backup. creare
crearela la
procedura
proceduradidibackup, occorre:
backup, occorre:
• selezionare Start / Pannello
• selezionare di controllo
Start / Pannello / Backup
di controllo e ripristino
/ Backup (nella
e ripristino visualizzazione
(nella visualizzazione aa icone)
icone)
• nella finestra
• nellaBackup
finestra o ripristino
Backup dei filedei
o ripristino (Figura 36), cliccare
file (Figura sul sul
36), cliccare pulsante
pulsante Configura
Configurabackup
backup Figura
Figura 38: Elementi
38: Elementi da copiare
da copiare
• nelle finestre
• nellesuccessive che vengono
finestre successive proposte,
che vengono si scelgono:
proposte, si scelgono:
• l'unità, locale o di rete, di destinazione delle
• l'unità, locale o di rete, di destinazione delle copie (Figura copie (Figura
37)37)
• gli elementi (cartelle e file) che si vogliono
• gli elementi (cartelle e file) che si vogliono copiare, scegliendo copiare, scegliendo manualmente oppure
manualmente oppure accettando
accettandolele
impostazioni di default (Figura 38)
impostazioni di default (Figura 38)
• la pianificazione temporale del backup, frequenza, giorno e ora (Figura 39)
• la pianificazione temporale del backup, frequenza, giorno e ora (Figura 39)
• al termine, cliccando sul pulsante OK si avvia il backup (Figura 40).
• al termine, cliccando sul pulsante OK si avvia il backup (Figura 40).
Nella finestra Backup o ripristino dei file, una volta configurato il backup (Figura 36), sono visualizzate le
Nella finestra Backuprelative
informazioni o ripristino dei pianificato,
al backup file, una volta configurato
modificabile tramite ilil pulsante
backup Cambia
(Figura impostazioni
36), sono visualizzate
ed è possibilele
informazioni relative
avviare al backup
un backup pianificato, modificabile
indipendentemente tramite tramite
dalla pianificazione il pulsante Cambia
il pulsante impostazioni
Esegui backup. ed è possibile
avviare un backup indipendentemente dalla pianificazione tramite il pulsante Esegui backup.
Esercizio
Esercizio
Nel Pannello di controllo, scegliere la visualizzazione per categoria. Figura 39: Pianificazione del backup
Individuare il percorso per effettuare le operazioni di backup descritte sopra.
Nel Pannello di controllo, scegliere la visualizzazione per categoria. Figura 39: Pianificazione del backup
Individuare il percorso per effettuare le operazioni di backup descritte sopra.

Come già ampiamente sottolineato, lo scopo delle copie di sicurezza (backup) è di poter ripristinare i dati
Come già(restore) in caso disottolineato,
ampiamente furto o perditalodegli
scopostessi. Il backup
delle copie di
di per sé è utile(backup)
sicurezza solo al momento in cui
è di poter è necessario
ripristinare i dati
eseguire il restore. Come dice qualcuno con una lunga esperienza informatica:
(restore) in caso di furto o perdita degli stessi. Il backup di per sé è utile solo al momento in cui è necessario
©eseguire
Sergio Margarita - Nuova
il restore. Come "Il ECDL
dice efunziona
qualcuno
backup Open
conSource
una lunga
sempre, è il esperienza 91
informatica:
restore che spesso non funziona." IT Security
Fortunatamente"Il© backup
l'affidabilità funziona
Sergio Margarita
attuale sempre,
- Nuova ECDL
dell'hardware è eil Open
restore
- inSource che spesso
particolare non funziona."
le unità 91
di memorizzazione - è molto IT Security
Come già ampiamente sottolineato, lo scopo delle copie di sicurezza (backup) è di poter ripristinare i dati
80 (restore)
elevata, soprattutto rispetto a quella che era anni addietro. Sfortunatamente, questo significa che fate
in caso dil'affidabilità
furtoCome o fiduciosamente
perdita deglidell'hardware
stessi. Il backup diperper sécopie
èfinoutile solo
Fortunatamente
scrupolosamente e
già ampiamente
attuale sottolineato,
il backup
lo in
dei -dati
scopo delle
particolare
anni, le unitàaldimomento
di sicurezza
al momento
(backup) è di
memorizzazione
in cui capita inpoter
cui èripristinare
necessario
- è molto
la necessità
i dati
di
eseguire ilsoprattutto
restore.i Come (restore) in
diceviaqualcunocaso di furto
con o perdita
una degli
lunga stessi. Il backup di per sé è utile solo al momento in cui è necessario
elevata,ripristinare dati.rispetto
Allora
eseguire quellaCome
ilaccorgete
restore. chechedice era
il supporto
qualcuno èesperienza
anni addietro.
conrovinato,
una lunga
informatica:
Sfortunatamente,
oppure
esperienza dati, in questo
che iinformatica: parte o tutti,significa
non sono chepiùfate
leggibili, oppure
scrupolosamente e fiduciosamente che la procedura
"Il backup funziona il backupne copiava
sempre, deièdati solo una
per
il restore parte
anni,
che e
fino non tutti
al momento quelli che pensavate
in cui capita la necessità oppure che di
"Il backup funziona sempre, è ilspesso
restore che non funziona."
spesso non funziona."
nuovi dati si sono aggiunti negli anni ma non sono mai
ripristinare i dati. Allora vi accorgete che il supporto è rovinato, oppure che i dati, in parte o tutti, non sono piùstati copiati oppure ...
leggibili,6.1.5
Fortunatamente oppure che la
l'affidabilità
Ripristinare
procedura
Fortunatamente
e validareattuale
ne copiava
l'affidabilità
dell'hardware
i dati sottoposti
solo- dell'hardware
attuale
a copia di sicurezza.
una parte e- in
in particolare non le tutti
unitàquelli
particolare le chedipensavate
di unità memorizzazione
memorizzazione oppure
- è- èmolto che
molto
nuovi dati si sono aggiuntielevata, negli soprattutto
anni ma rispetto
non a quella
sono mai che
stati eracopiatianni addietro.
oppure Sfortunatamente,
... questo significa che fate
elevata, soprattutto rispetto a quella che era anni addietro. Sfortunatamente, questo significa che fate
scrupolosamente e fiduciosamente il backup dei dati per anni, fino al momento in cui capita la necessità di
Di conseguenza
scrupolosamente se è importante
e fiduciosamente
ripristinare i dati.il Allora
backup eseguire
vi dei dati
accorgete ilche
backup,
per anni,è fino
il supporto èfondamentale
al momento
rovinato, oppureverificare
cheini cui inperiodicamente
dati, capita
parte olatutti,
necessità che di
non sono più
6.1.5 Ripristinare
ripristinare i dati.eAllora
l'operazione validare
di restore
vi i datisia
leggibili,
sottoposti
accorgete in grado
oppure che di
che alacopia
supporto di sicurezza.
il ripristinare
procedura ne ècorrettamente
rovinato,
copiava solo oppuretutti parte
una i dati.
chee i non
dati,tuttiin quelli
parteche o tutti,
pensavatenon oppure
sono più che Figura 40: Avanzamento del backup
leggibili, L'operazione
oppure che dilaripristino nuovi
proceduradati si sono ne aggiunti
copiava neglisolo anni unama non sono e
parte mainon stati tutti
copiati oppureche
quelli ... pensavate oppure che
Di conseguenza se è importante essendo strettamente
eseguire collegataèa fondamentale
il backup, quella di backup, la si attivaperiodicamente
verificare in modo simile alche
nuovi dati si sono aggiunti
backup: 6.1.5negli annie ma
Ripristinare validarenon sono
i dati mai astati
sottoposti copia copiati
di sicurezza. oppure ...
l'operazione di restore sia in grado di ripristinare correttamente tutti i dati.
• selezionare Start / Pannello
Di
R i p r i s tdiise
conseguenza
ncontrollo e e /vBackup
aèr importante i d a er eripristino
a l eseguire il
d a t i(nella
i backup, tvisualizzazione
s ofondamentale
è
a acicone)
t o p o s t iverificare o pperiodicamente
i a d i s i c uche r e z z a Figura 40: Avanzamento del backup
6.1.5 Ripristinare
L'operazione e
• nelladifinestra validare
ripristino i dati
Backup sottoposti
essendo a copia
strettamente
o ripristino di sicurezza.
dei filecollegata
(Figura 41), a quella nella sezionedi backup, la si attiva
Ripristino, cliccarein modo simile al
sul pulsante
l'operazione di restore sia in grado di ripristinare correttamente tutti i dati.
backup: Ripristina file personali Figura 40: Avanzamento del backup
Di conseguenza
• nelle Start
• selezionare se è
finestre/ Pannello importante
L'operazione
successivedi chedi eseguire
ripristino essendo
vengono /proposte,
controllo il backup,
strettamente
Backupsiescelgono: è fondamentale
collegata a quella
ripristino (nella visualizzazione a icone) verificare
di backup, la periodicamente
si attiva in modo che
simile al
l'operazione di restore backup:
sia in grado dicheripristinare correttamente tutti i dati.
• gli
• nella finestra Backup elementi (cartelle e
o ripristino file) si vogliono ripristinare, cercandoli nel backup più recente (Figura sul42) Figura 40: Avanzamento del backup
• selezionare Startdei / Pannellofile (Figura
di controllo 41), nella
/ Backup esezione
ripristino (nellaRipristino, cliccare
visualizzazione a icone) pulsante
•
Ripristina file
L'operazione dove li si
personali
di ripristino vuole ripristinare.
essendo
• nella Per
finestrastrettamente un
Backup o ripristino ripristino
collegata vero e
dei filea (Figura proprio,
quella 41), li si
di backup, può ripristinare
nella sezione la siRipristino,nella
attiva incliccareloro
modo sul posizione
simile
pulsanteal
originale mentre per una
Ripristina fileverifica,
personali li si ripristina su un'unità o in una cartella diversa
backup:
• nelle finestre successive che vengono proposte, si scelgono: Figura 41: Ripristino dei file
• al termine, cliccando • nelle finestre sul pulsante
successive Rispristina
che vengono si avvia
proposte, il restore.
si scelgono:
• selezionare
• gli elementi Start / Pannello
(cartelle e file) di
che controllo
si vogliono / Backup
ripristinare, e ripristino
cercandoli (nella nel visualizzazione
• gli elementi (cartelle e file) che si vogliono ripristinare, cercandoli nel backup più recente (Figura 42)backup più a
recente icone)(Figura 42)
• nella
• dove finestra
Un lilink Backup
si nella
vuole pagina •oBackup
ripristinare.ripristino
dove li sioPer dei
ripristino
vuole file
dei (Figura
unripristinare.
ripristinofile Per un41),
vero
permette nella
e ilproprio,
ripristinoripristino
vero sezione puòRipristino,
liedaproprio,
sibackup liripristinare
piùpuò
si vecchi cliccare
nellanella
anziché
ripristinare sul
loro pulsante
posizione
dall'ultimo.
loro posizione
Ripristina
originale filementre
personali per una verifica,
originale mentre li si
perripristina
una verifica, su li un'unità
si ripristinaosuinun'unità una cartella diversa
o in una cartella diversa
Con il passare degli • al anni,
termine, si accumulano
cliccando supportiRispristina
sul pulsante magnetici, ottici ilorestore.
si avvia elettronici contenenti dati che possono Figura 41: Ripristino
Figura dei file dei file
41: Ripristino
• nelle
• al finestre
termine,
essere diventatisuccessive
cliccando inutili. che
sul vengono
pulsante
Fra questi vi proposte,
Rispristina
sono sicuramente sisi avvia
scelgono: il restore.
dati personali o dati sensibili che non ci sono più utili
• gli elementi
ma che potrebbero(cartelleUneessere file)
link nellache si vogliono
interessanti
pagina Backup peroripristinare,
un ladrodei
ripristino di filecercandoli
informazioni.
permette il ripristino nel backup
In questo più èrecente
caso,
da backup vecchi(Figura
opportuno
più 42)
provvedere
anziché dall'ultimo.
Un • link
dove nella sipagina
vuole Backup
allali cancellazione ripristinare.
di o
questi ripristino
Per
dati. un
Ma dei
come file
ripristino permette
abbiamo vero il
e ripristino
proprio,
accennato al da
li si
precedentebackup
può
Con il passare degli anni, si accumulano supporti magnetici, ottici o elettronici contenenti dati che possono
più vecchi
ripristinare
punto 6.2.2, anziché
nella
vi è loro
una dall'ultimo.
posizione
differenza
fra cancellare
originale mentre eperdistruggere.
unasidiventati
essere verifica, li si Fra
inutili. ripristina
questi visu sonoun'unità
sicuramente oottici
in una dati cartellaodiversa
personali dati sensibili che nonche ci sono più utili
Con il passare degli anni, accumulano supporti magnetici, o elettronici contenenti dati possono Figura 41: Ripristino dei file
• al termine, cliccando ma che
sul potrebbero
pulsante essere
Rispristina interessanti
si avvia per un
il ladro
restore. di informazioni. In questo caso, è opportuno provvedere
essere diventati inutili. Fra questi vi sono sicuramente dati personali o dati sensibili che non ci sono più utili
alla cancellazione di questi dati. Ma come abbiamo accennato al precedente punto 6.2.2, vi è una differenza
ma che potrebbero essere interessanti
fra cancellare per un ladro di informazioni. In questo caso, è opportuno provvedere
e distruggere.
Un Realizzato
paginaesclusivamente per GABRIELE TOMASI - SKILL on daLINE
allalink nella
cancellazione diBackup o ripristino
questi dati. Ma come dei file permette
abbiamo il ripristino
accennato backup più
al precedente vecchi
punto anziché
6.2.2, dall'ultimo.
vi è una differenza
fra cancellare e distruggere.
ma che potrebbero essere interessanti per un ladro di informazioni. In questo caso, è opportuno provvedere
alla cancellazione
Realizzato di questi dati.
esclusivamente perMa come abbiamo
GABRIELE accennato
TOMASI - SKILLalon precedente
LINE punto 6.2.2, vi è una differenza
fra cancellare e distruggere.
Ripristina file personali
• nelle finestre successive che vengono proposte, si scelgono:
• gli elementi (cartelle e file) che si vogliono ripristinare, cercandoli nel backup più recente (Figura 42)
• dove li si vuole ripristinare. Per un ripristino vero e proprio, li si può ripristinare nella loro posizione
originale mentre per una verifica, li si ripristina su un'unità o in una cartella diversa
Figura 41: Ripristino dei file
• al termine, cliccando sul pulsante Rispristina si avvia il restore.
Un link nella pagina Backup o ripristino dei file permette il ripristino da backup più vecchi anziché dall'ultimo.
ma che potrebbero essere interessanti per un ladro di informazioni. In questo caso, è opportuno provvedere
alla cancellazione di questi dati. Ma come abbiamo accennato al precedente punto 6.2.2, vi è una differenza
fra cancellare e distruggere. 81
I d e n t iesclusivamente
Realizzato f i c a r e i m e t oper
d i GABRIELE
p i ù c o m TOMASI
u n i p e r- SKILL
d i s t ron
u gLINE
gere i dati in modo permanente, quali uso di trita
documenti, distruzione di memorie di massa/dispositivi, smagnetizzazione, uso di utilità per la
6.2.3 Identificare i metodi più comuni per distruggere i dati in modo permanente, quali uso di trita documenti, distruzione
cancellazione definitiva dei dati
di memorie di massa/dispositivi, smagnetizzazione, uso di utilità per la cancellazione definitiva dei dati.
I metodi da adoperare per distruggere in modo permanente i dati dipendono dal supporto sul quale sono
registrati e dall'uso futuro
6.2.3 che si
Identificare vuol più
i metodi fare (o non
comuni per fare più) del
distruggere i datisupporto.
in modo permanente, quali uso di trita documenti, distruzione
di memorie di massa/dispositivi, smagnetizzazione, uso di utilità per la cancellazione definitiva dei dati.
Per distruggere i dati da un supporto ottico non riscrivibile (CR-ROM, DVD-ROM), occorre distruggere
I metodi(Figura
fisicamente il supporto da adoperare per distruggere
43). Oltre all'uso diinstrumenti
modo permanente i dati edipendono
quali pinze martello,dalsconsigliati
supporto sulper
quale sono
i rischi
registrati e dall'uso futuro che si vuol fare (o non fare più) del supporto.
che corre l'utilizzatore, esistono diversi modelli di trita documenti previsti per sminuzzare CD e DVD oltre ai
soliti fogli di carta.Per distruggere i dati da un supporto ottico non riscrivibile (CR-ROM, DVD-ROM), occorre distruggere
fisicamente il supporto (Figura 43). Oltre all'uso di strumenti quali pinze e martello, sconsigliati per i rischi
Per distruggere l'intero
che correcontenuto di un
l'utilizzatore, dispositivo
esistono diversi (CD-ROM riscrivibile
modelli di trita documentioprevisti
chiavetta USB per esempio),
per sminuzzare CD e DVD oltrenonaiè
sufficiente procedere alla diformattazione
soliti fogli carta. del dispositivo in quanto spesso questa operazione non distrugge
tutte le informazioni contenutel'intero
Per distruggere nei file. Si puòdi ricorrere
contenuto un dispositivoalla(CD-ROM
cosiddetta "formattazione
riscrivibile di basso
o chiavetta USB livello"non
per esempio), cheè
esula dai temi di questo
sufficientee-book e che
procedere allasconsigliamo
formattazione del all'utente nonin esperto.
dispositivo Per maggiore
quanto spesso sicurezza
questa operazione nonconviene
distrugge
adoperare appositi tutteprogrammi
le informazioni di contenute
cancellazionenei file.sicura,
Si può ricorrere alla cosiddetta
già inseriti nel sistema "formattazione
operativodi obasso livello" che
aggiuntivi, gli
esula dai temi di questo e-book e che sconsigliamo all'utente non esperto. Per maggiore sicurezza conviene
stessi che permettono di distruggere cartelle e file. Va detto inoltre che esistono dispositivi hardware
adoperare appositi programmi di cancellazione sicura, già inseriti nel sistema operativo o aggiuntivi, gli
destinati a smagnetizzate
stessi che i supporti magnetici.
permettono Chiamati
di distruggere degausser,
cartelle sono inoltre
e file. Va detto generalmente in dotazione
che esistono ai centri
dispositivi hardware Figura 42: Seleziona i dati da rispristina
specializzati e permettono di eliminare ii supporti
destinati a smagnetizzate dati e rendere
magnetici.il Chiamati
dispositivo inutilizzabile,
degausser, tramite l'applicazione
sono generalmente di un
in dotazione ai centri Figura 42: Seleziona i dati da rispristina
campo magneticospecializzati
di forte intensità.
e permettono di eliminare i dati e rendere il dispositivo inutilizzabile, tramite l'applicazione di un
campo magnetico di forte intensità.
Per distruggere in modo permanente una cartella o un file (e quindi anche l'intero contenuto di un'unità), è
Per distruggere in modo permanente una cartella o un file (e quindi anche l'intero contenuto di un'unità), è
possibile - ed è possibile
il metodo maggiormente utilizzato - adoperare un apposito programma che oltre a
- ed è il metodo maggiormente utilizzato - adoperare un apposito programma che oltre a
cancellare i riferimenti ai file ne sovrascriva
cancellare i riferimenti anche il contenuto.
ai file ne sovrascriva Sono disponibili
anche il contenuto. numerosi
Sono disponibili numerosiprogrammi di
programmi di
questo tipo, per i questo
diversitipo,
sitemi
per ioperativi, quali
diversi sitemi per esempio
operativi, Wipe o Wipe
quali per esempio Shred per Linux;
o Shred SDelete,
per Linux; File
SDelete, FileShredder
Shredder
o CBL Data Shreddero CBLper
DataWindows, Disk
Shredder per Utility oDisk
Windows, srmUtility
in Mac
o srmOSX.
in Mac OSX.
La cancellazione La di cancellazione di un singolo elemento tramite l'applicazione che lo ha creato offre un minore livello di
un singolo elemento tramite l'applicazione che lo ha creato offre un minore livello di
controllo sull'effettiva distruzione permanente dei dati. A titolo di esempio, il modo più sicuro offerto da
controllo sull'effettiva
Thunderbird (si veda l'IBUQ ECDLdei
distruzione permanente dati.Essentials)
Online A titolo per
di esempio, il modo
cancellare un più sicuro
messaggio di posta offerto da
elettronica
© Copyright AICA
Thunderbird (si 2014
veda – 2019
l'IBUQ ECDL Online Essentials) per cancellare un messaggio di posta elettronica www.micertificoecdl.it
consiste nel:
consiste nel: • eliminare il messaggio, che viene così spostato nel Cestino di Thunderbird
• cancellare
• eliminare il messaggio, cheil viene
messaggio dal Cestino,
così spostato nelche viene nascosto
Cestino e segnato come cancellato ma rimane nel
di Thunderbird
tutte le informazioni contenute soliti
nei fogli
file.di Si può ricorrere alla cosiddetta "formattazione di basso livello" che
carta.
esula dai temi di questo e-bookPer
e che sconsigliamo all'utente non esperto. Per maggiore sicurezza conviene
distruggere l'intero contenuto di un dispositivo (CD-ROM riscrivibile o chiavetta USB per esempio), non è
adoperare appositi programmi sufficiente
di cancellazione sicura, già del
procedere alla formattazione inseriti nel insistema
dispositivo operativo
quanto spesso o aggiuntivi,
questa operazione gli
non distrugge
stessi che permettono di distruggere cartelle
tutte le informazioni e file.neiVa
contenute file. detto inoltre alla
Si può ricorrere che esistono
cosiddetta dispositivi
"formattazione hardware
di basso livello" che
esula dai temi di questo e-book e che sconsigliamo all'utente non esperto. Per maggiore sicurezza conviene
destinati a smagnetizzate i supporti magnetici. Chiamati degausser, sono generalmente in dotazione ai centri
adoperare appositi programmi di cancellazione sicura, già inseriti nel sistema operativo o aggiuntivi, gli
Figura 42: Seleziona i dati da rispristina
specializzati e permettono di eliminare
stessi chei dati e rendere
permettono il dispositivo
di distruggere cartelle einutilizzabile, tramite
file. Va detto inoltre l'applicazione
che esistono dispositivi di un
hardware
campo magnetico di forte intensità.
destinati a smagnetizzate i supporti magnetici. Chiamati degausser, sono generalmente in dotazione ai centri Figura 42: Seleziona i dati da rispristina
specializzati e permettono di eliminare i dati e rendere il dispositivo inutilizzabile, tramite l'applicazione di un
Per distruggere in modo permanente una cartella
campo magnetico o un file (e quindi anche l'intero contenuto di un'unità), è
di forte intensità.
possibile - ed è il metodo maggiormente utilizzato
Per distruggere in modo - adoperare
permanente una cartella o ununfileapposito programma
(e quindi anche che dioltre
l'intero contenuto a è
un'unità),
possibile - ed è il metodo maggiormente utilizzato - adoperare un apposito programma che oltre a
cancellare i riferimenti ai file ne sovrascriva anche il contenuto. Sono disponibili numerosi programmi di
cancellare i riferimenti ai file ne sovrascriva anche il contenuto. Sono disponibili numerosi programmi di
questo tipo, per i diversi sitemi questo
operativi, quali
tipo, per persitemi
i diversi esempio Wipe
operativi, o Shred
quali per esempio per
WipeLinux;
o Shred SDelete, File Shredder
per Linux; SDelete, File Shredder
o CBL Data Shredder per Windows, DiskShredder
o CBL Data Utility per
o srm in Mac
Windows, DiskOSX.
Utility o srm in Mac OSX.
La cancellazione di un singolo elemento tramite l'applicazione che lo ha creato offre un minore livello di
82 La cancellazione di un singolocontrollo
elemento tramite
sull'effettiva l'applicazione
distruzione permanenteche lo ha
dei dati. creato
A titolo offre ilun
di esempio, minore
modo livello
più sicuro di da
offerto
controllo sull'effettiva distruzione permanente
Thunderbird (si veda dei
l'IBUQ dati.
ECDL A Online
titoloEssentials)
di esempio, il modo
per cancellare più sicuro
un messaggio offerto
di posta da
elettronica
consiste nel:
Thunderbird (si veda l'IBUQ ECDL Online Essentials) per cancellare un messaggio di posta elettronica
• eliminare il messaggio, che viene così spostato nel Cestino di Thunderbird
consiste nel: • cancellare il messaggio dal Cestino, che viene nascosto e segnato come cancellato ma rimane nel
• eliminare il messaggio, che viene così spostato nel Cestino di Thunderbird
Cestino Figura 43: Supporti ottici distrutti
• compattare il Cestino o le cartelle di posta, eliminando così il messaggio dai file di Thunderbird.
• cancellare il messaggio dal Cestino, che viene nascosto e segnato come cancellato ma rimane nel
Cestino Questo non garantisce che i dati del messaggio non siano rimasti sul disco del vostro personal computer, Figura 43: Supporti ottici distrutti
• compattare il Cestino o le cartelle di posta, eliminando così il messaggio dai file di Thunderbird.
© Sergio Margarita - Nuova ECDL Realizzato
e Openesclusivamente
Source per GABRIELE TOMASI - SKILL 93 on LINE IT Security
Questo non garantisce che i dati del messaggio non siano rimasti sul disco del vostro personal computer,
fuori dai file gestiti da Thunderbird, oppure che ne sia rimasta una copia sul server di posta del vostro
Internet Service
Realizzato Provider oppure
esclusivamente per ...
GABRIELE TOMASI - SKILL on LINE
Lo stesso legislatore ha prestato attenzione al problema emanando indicazioni specifiche per la distruzione
permanente dei dati in caso di reimpiego o di smaltimento delle apparecchiature elettroniche. Riportiamo
una parte del Provvedimento del Garante per la protezione dei dati personali del 13 ottobre 2008 "Rifiuti di
apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali", pubblicato sulla
Gazzetta Ufficiale n. 287 del 9 dicembre 2008.
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali - 13 ottobre 2008 G.U. n. 287 del 9 dicembre 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

--- OMISSIS ---
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell'art. 154, comma 1, lett. h) del Codice, richiama l'attenzione di persone giuridiche,
pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle
proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non
distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei
accorgimenti e misure, anche con l'ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non
consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:
a. reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A);
Lo stesso legislatore ha prestato attenzione al problema emanando indicazioni specifiche per la distruzione
permanente dei dati in caso di reimpiego o di smaltimento delle apparecchiature elettroniche. Riportiamo
una parte del Provvedimento del Garante per la protezione dei dati personali del 13 ottobre 2008 "Rifiuti di
apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali", pubblicato sulla
Gazzetta Ufficiale n. 287 del 9 dicembre 2008.
Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

personali - 13 ottobre 2008 G.U. n. 287 del 9 dicembre 2008
IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

--- OMISSIS ---
83
TUTTO CIÒ PREMESSO IL GARANTE
1. ai sensi dell'art. 154, comma 1, lett. h) del Codice, richiama l'attenzione di persone giuridiche,
pubbliche amministrazioni, altri enti e persone fisiche che, avendone fatto uso nello svolgimento delle
proprie attività, in particolare quelle industriali, commerciali, professionali o istituzionali, non
distruggono, ma dismettono supporti che contengono dati personali, sulla necessità di adottare idonei
accorgimenti e misure, anche con l'ausilio di terzi tecnicamente qualificati, volti a prevenire accessi non
consentiti ai dati personali memorizzati nelle apparecchiature elettriche ed elettroniche destinate a essere:
a. reimpiegate o riciclate, anche seguendo le procedure di cui all'allegato A);
b. smaltite, anche seguendo le procedure di cui all'allegato B).
Tali misure e accorgimenti possono essere attuate anche con l'ausilio o conferendo incarico a terzi
tecnicamente qualificati, quali centri di assistenza, produttori e distributori di apparecchiature che
attestino l'esecuzione delle operazioni effettuate o che si impegnino ad effettuarle.
Chi procede al reimpiego o al riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche o di loro
componenti è comunque tenuto ad assicurarsi dell'inesistenza o della non intelligibilità di dati personali
sui supporti, acquisendo, ove possibile, l'autorizzazione a cancellarli o a renderli non intelligibili;
2. dispone che copia del presente provvedimento sia trasmesso al Ministero della giustizia-Ufficio
© Sergio Margaritaleggi
pubblicazione - Nuova ECDL
e decreti, perela
Open Source
sua pubblicazione 94 della Repubblica Italiana.
sulla Gazzetta Ufficiale I
Roma, 13 ottobre 2008

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli

Allegato A) al provvedimento del Garante del 13 ottobre 2008
Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche
© Sergio Margarita - Nuova ECDL e Open Source 94 I
Roma, 13 ottobre 2008

IL PRESIDENTE
Pizzetti
IL RELATORE
Fortunato
IL SEGRETARIO GENERALE
Buttarelli
84
Allegato A) al provvedimento del Garante del 13 ottobre 2008
Reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche
In caso di reimpiego e riciclaggio di rifiuti di apparecchiature elettriche ed elettroniche le misure e gli
accorgimenti volti a prevenire accessi non consentiti ai dati personali in esse contenuti, adottati nel
rispetto delle normative di settore, devono consentire l'effettiva cancellazione dei dati o garantire la loro
non intelligibilità. Tali misure, anche in combinazione tra loro, devono tenere conto degli standard tecnici
esistenti e possono consistere, tra l'altro, in:
Misure tecniche preventive per la memorizzazione sicura dei dati, applicabili a dispositivi elettronici o
informatici:
1. Cifratura di singoli file o gruppi di file, di volta in volta protetti con parole-chiave riservate, note al
solo utente proprietario dei dati, che può con queste procedere alla successiva decifratura. Questa
modalità richiede l'applicazione della procedura di cifratura ogni volta che sia necessario proteggere un
dato o una porzione di dati (file o collezioni di file), e comporta la necessità per l'utente di tenere traccia
separatamente delle parole-chiave utilizzate.
2. Memorizzazione dei dati sui dischi rigidi (hard-disk) dei personal computer o su altro genere di
supporto magnetico od ottico (cd-rom, dvd-r) in forma automaticamente cifrata al momento della loro
scrittura, tramite l'uso di parole-chiave riservate note al solo utente. Può effettuarsi su interi volumi di
dati registrati su uno o più dispositivi di tipo disco rigido o su porzioni di essi (partizioni, drive logici, file-
system) realizzando le funzionalità di un c.d. file-system crittografico (disponibili sui principali sistemi
operativi per elaboratori elettronici, anche di tipo personal computer, e dispositivi elettronici) in grado di
proteggere, con un'unica parola-chiave riservata, contro i rischi di acquisizione indebita delle
informazioni registrate. L'unica parola-chiave di volume verrà automaticamente utilizzata per le

© Sergio Margarita - Nuova ECDL e Open Source 95 IT
operazioni di cifratura e decifratura, senza modificare in alcun modo il comportamento e l'uso dei
programmi software con cui i dati vengono trattati.
Misure tecniche per la cancellazione sicura dei dati, applicabili a dispositivi elettronici o informatici:
3. Cancellazione sicura delle informazioni, ottenibile con programmi informatici (quali wiping program o
file shredder) che provvedono, una volta che l'utente abbia eliminato dei file da un'unità disco o da
analoghi supporti di memorizzazione con i normali strumenti previsti dai diversi sistemi operativi, a 85
scrivere ripetutamente nelle aree vuote del disco (precedentemente occupate dalle informazioni eliminate)
sequenze casuali di cifre "binarie" (zero e uno) in modo da ridurre al minimo le probabilità di recupero di
informazioni anche tramite strumenti elettronici di analisi e recupero di dati.
Il numero di ripetizioni del procedimento considerato sufficiente a raggiungere una ragionevole sicurezza
(da rapportarsi alla delicatezza o all'importanza delle informazioni di cui si vuole impedire l'indebita
acquisizione) varia da sette a trentacinque e incide proporzionalmente sui tempi di applicazione delle
procedure, che su dischi rigidi ad alta capacità (oltre i 100 gigabyte) possono impiegare diverse ore o
alcuni giorni), a secondo della velocità del computer utilizzato.
4. Formattazione "a basso livello" dei dispositivi di tipo hard disk (low-level formatting–LLF), laddove
effettuabile, attenendosi alle istruzioni fornite dal produttore del dispositivo e tenendo conto delle possibili
conseguenze tecniche su di esso, fino alla possibile sua successiva inutilizzabilità;
5. Demagnetizzazione (degaussing) dei dispositivi di memoria basati su supporti magnetici o magneto-
ottici (dischi rigidi, floppy-disk, nastri magnetici su bobine aperte o in cassette), in grado di garantire la
cancellazione rapida delle informazioni anche su dispositivi non più funzionanti ai quali potrebbero non
essere applicabili le procedure di cancellazione software (che richiedono l'accessibilità del dispositivo da
parte del sistema a cui è interconnesso).
Allegato B) al provvedimento del Garante del 13 ottobre 2008

Smaltimento di rifiuti elettrici ed elettronici
In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai
supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che,
nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo
ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.
La distruzione dei supporti prevede il ricorso a procedure o strumenti diversi a secondo del loro tipo,
Realizzato
© Copyright AICA 2014 – 2019 esclusivamente per GABRIELE TOMASI - SKILL on LINE www.micertificoecdl.it
Allegato B) al provvedimento del Garante del 13 ottobre 2008
Smaltimento di rifiuti elettrici ed elettronici
In caso di smaltimento di rifiuti elettrici ed elettronici, l'effettiva cancellazione dei dati personali dai
supporti contenuti nelle apparecchiature elettriche ed elettroniche può anche risultare da procedure che,
nel rispetto delle normative di settore, comportino la distruzione dei supporti di memorizzazione di tipo
ottico o magneto-ottico in modo da impedire l’acquisizione indebita di dati personali.
© Sergio Margarita - Nuova ECDL e Open Source 96 IT
La distruzione
© Sergio Margarita - Nuova ECDL edeiOpen
supporti prevede il ricorso a procedure
Source 96 o strumenti diversi a secondo del loro tipo, IT Security
quali:
quali:
Realizzato• esclusivamente per GABRIELE
sistemi di punzonatura TOMASI
o deformazione - SKILL on LINE
meccanica;
• sistemi di punzonatura o deformazione
• distruzione fisica o dimeccanica;
disintegrazione (usata per i supporti ottici come i cd-rom e i dvd);
• distruzione fisica
• odemagnetizzazione
di disintegrazione ad(usata
alta per i supporti ottici come i cd-rom e i dvd);
intensità.
86 • demagnetizzazione ad alta intensità.
Il testo completo è disponibile all'indirizzo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-
Il testo completodisplay/docweb/1571514.
è disponibile all'indirizzo http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-
A questo ha fatto seguito una scheda informativa tecnica "Istruzioni pratiche per
display/docweb/1571514. A questo ha fatto
una cancellazione sicura dei dati: seguito una scheda informativa tecnica
le raccomandazioni degli"Istruzioni pratiche
operatori", per
disponibile all'indirizzo
una cancellazione sicura dei dati: le raccomandazioni degli operatori", disponibile all'indirizzo
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1574080 alla quale rinviamo
http://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/1574080
il lettore interessato. alla quale rinviamo
il lettore interessato.
In questa parte, siamo passati al contrattacco e abbiamo esaminato come difenderci dal furto di dati e altre
In questa parte, aggressioni
siamo passati al contrattacco
informatiche. e abbiamoabbiamo
In particolare, esaminato come difenderci
esaminato come: dal furto di dati e altre
aggressioni informatiche. In particolare,
• come gestire le nostreabbiamo
password esaminato come:
• come gestire le nostre password
• come gestire i programmi anti-malware, tenendoli aggiornati
• come gestire i •programmi anti-malware,
come ridurre i rischi delle tenendoli
attività inaggiornati
rete, specialmente di quelle che hanno risvolti finanziari
• come ridurre i •rischi
comedelle attività inil browser
adoperare rete, specialmente
per ottenere di un
quelle che hanno
elevato risvolti
livello di finanziari
privacy
• come adoperare il browser per ottenere un elevato livello di privacy
• come organizzare ed effettuare copie di sicurezza e ripristinare i dati in caso di necessità.
• come organizzare ed effettuare copie di sicurezza e ripristinare i dati in caso di necessità.

Capitolo 5 – I rischi per le aziende
Riferimento Syllabus 1.1.4 Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto.
Riferimento Syllabus 1.1.5 Riconoscere le minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne. 87
Riferimento Syllabus 1.2.2 Comprendere i motivi per proteggere informazioni commercialmente sensibili, quali prevenzione di furti, di uso improprio dei
dati dei clienti o di informazioni finanziarie.
Riferimento Syllabus 1.2.6 Comprendere l’importanza di creare e attenersi a linee guida e politiche per l’uso dell’ICT.
Riferimento Syllabus 1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a sistemi
informatici.
Riferimento Syllabus 1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di carpire
informazioni personali.
Riferimento Syllabus 3.1.1 Comprendere il termine rete e riconoscere i più comuni tipi di rete, quali LAN (rete locale), WAN (rete geografica), VPN (rete
privata virtuale).
Riferimento Syllabus 3.1.2 Comprendere il ruolo dell’amministratore di rete nella gestione delle operazioni di autenticazione, autorizzazione e
assegnazione degli account all’interno di una rete.
Riferimento Syllabus 3.1.3 Comprendere la funzione e i limiti di un firewall.
Riferimento Syllabus 3.4.1 Comprendere lo scopo di un account di rete e come accedere alla rete usando un nome utente e una password.
Riferimento Syllabus 3.4.3 Identificare le comuni tecniche di sicurezza biometriche usate per il controllo degli accessi, quali impronte digitali, scansione
dell’occhio.

Riferimento Syllabus 4.1.5 Comprendere il termine “one-time password”.
Riferimento Syllabus 6.1.1 Riconoscere modi per assicurare la sicurezza fisica di dispositivi, quali registrare la collocazione e i dettagli degli apparati, usare
cavi di sicurezza, controllare gli accessi.
Riferimento Syllabus 6.1.2 Riconoscere l’importanza di avere una procedura di copie di sicurezza per ovviare alla perdita di dati, di informazioni finanziarie,
di segnalibri/cronologia web.
88
Riferimento Syllabus 6.1.3 Identificare le caratteristiche di una procedura di copie di sicurezza, quali regolarità/frequenza, pianificazione, collocazione della
memoria di massa
Contenuti della lezione In questa lezione vedremo: l'estrema importanza che rivestono le linee guida e politiche per l'uso delle ICT, l'importanza della
protezione delle informazioni commerciali e finanziarie, le minacce ai dati, interne e esterne, l'ingegneria sociale e i suoi metodi,
le reti, la loro gestione e messa in sicurezza e il ruolo dell'amministratore, alcuni strumenti tecnici di protezione e le procedure
di salvataggio e ripristino dei dati.

In questa parte, vedremo quindi:
• l'estrema importanza che rivestono le linee guida e politiche per l'uso delle ICT
• l'importanza della protezione delle informazioni commerciali e finanziarie
• le minacce ai dati, interne e esterne
• l'ingegneria sociale e i suoi metodi
• le reti, la loro gestione e messa in sicurezza e il ruolo dell'amministratore
• alcuni
C ostrumenti
mprend tecnici
e r e di
l ’ iprotezione
mportan e zleaprocedure
d i c r e adir esalvataggio
e a t t e neeripristino
r s i a l idei
n edati.
e guida e politiche per l’uso dell’ICT
1.2.6 Comprendere l’importanza di creare e attenersi a linee guida e politiche per l’uso dell’ICT.
Mentre nell'uso personale di un computer un buon livello di sicurezza può essere raggiunto senza necessità
di formalizzazione particolare, con la sola conoscenza dei pericoli e delle precauzioni da prendere (per
esempio tramite la lettura di questo IBUQ), diversa è la realtà inell'uso professionale di un computer in
89
ambito lavorativo. Non solo il livello di articolazione dell'hardware è decisamente superiore (spesso si ha a
che fare con reti interconnesse di personal computer nelle quali sono presenti numerosi server), non solo il
© Sergio
livello Margarita - del
di complessità Nuova ECDLè emaggiore
software Open Source
(procedure integrate fra di100
loro, basi di dati complesse) ma si IT Security
aggiunge anche il peso degli aspetti organizzativi per i numerosi addetti che devono poter accedere al
sistema informatico.
In questoinformatico.
sistema caso, diventa fondamentale che l'impresa o l'organizzazione analizzi i risvolti legati all'uso, interno
e esterno, delle Tecnologie dell'Informazione e della Comunicazione (TIC o ICT in inglese), con particolare
In questo caso,
riferimento diventa
ai rischi fondamentale
relativi e alle misure chedi l'impresa
sicurezzaoda l'organizzazione analizzi
attuare. Il risultato i risvolti
di questa legatideve
analisi all'uso, interno
portare a
e esterno, delle Tecnologie dell'Informazione e della Comunicazione (TIC o ICT in inglese),
formalizzare una politica per l'uso delle ICT contenenti le linee guida per una corretta gestione delle risorse con particolare
riferimento ailerischi
informatiche, relativieeregolamentazioni
procedure alle misure di sicurezza da attuare.
interne anche Il risultato
in termini di questa analisi deve portare a
di sicurezza.
formalizzare una politica per l'uso delle ICT contenenti le linee guida per una corretta gestione delle risorse
Ilinformatiche,
documento le che formalizza
procedure tali politiche e linee
e regolamentazioni guida
interne deveinessere
anche terminicomunicato
di sicurezza.al personale in modo che
tutti gli addetti conoscano la posizione dell'azienda sui vari aspetti legati all'uso del sistema informativo e
Il documento
delle che formalizza
risorse informatiche tali politiche
e possano e linee
attenersi guida
alle deve
regole essere comunicato
aziendale destinate adalassicurare
personale unain modo che
corretta
tutti gli addetti
gestione delle ICT. conoscano la posizione dell'azienda sui vari aspetti legati all'uso del sistema informativo e
delle risorse informatiche e possano attenersi alle regole aziendale destinate ad assicurare una corretta
gestione delle ICT.
1.2.2 Comprendere i motivi per proteggere informazioni commercialmente sensibili, quali prevenzione di furti, di uso
C o m p dei
improprio r e dati
n d edei
r eclienti
i moodit informazioni
i v i p e r pfinanziarie.
roteggere informazioni commercialmente sensibili, quali prevenzione
1.2.2 Comprendere i motivi per proteggere informazioni commercialmente sensibili, quali prevenzione di furti, di uso
di furti, di uso improprio dei dati dei clienti o di informazioni finanziarie
improprio
Le dei come
imprese, dati deileclienti o di informazioni
persone, finanziarie.
possono essere oggetto di furti e di frodi. Se il furto di dati personali può avere
conseguenze gravi, il furto di dati aziendali può avere conseguenze drammatiche. Un'azienda che detiene
Le imprese,
dati relativi a come le persone,
persone, fornitori,possono essere
clienti può essere oggetto
tenutadiresponsabile
furti e di frodi.
in Se
casoil furto di dati
di furto personali
e/o uso può di
improprio avere
tali
conseguenze gravi, il furto di dati aziendali può avere conseguenze drammatiche.
dati. Ma questo è per così dire il danno minore rispetto a quelli che possono nascere, per esempio, dalla Un'azienda che detiene
dati relativi
vendita dei adati
persone, fornitori,
dei clienti clienti può della
ad un'azienda essere tenuta responsabile
concorrenza in caso di
o alla diffusione di furto e/o uso improprio
informazioni finanziariedisui
tali
dati. Ma questo è per così dire il danno minore rispetto a quelli che possono nascere,
clienti di una banca o al furto dei numeri di carta di credito dei clienti di un'istituzione finanziaria- Per non per esempio, dalla
vendita dello
parlare dei dati dei clienti
spionaggio ad un'azienda
industriale della
che vede concorrenza
il furto o alla tecniche
di informazioni diffusioneo commerciali
di informazioni su finanziarie sui
nuovi prodotti
clienti di
o progetti. una banca o al furto dei numeri di carta di credito dei clienti di un'istituzione finanziaria- Per non
parlare dello spionaggio industriale che vede il furto di informazioni tecniche o commerciali su nuovi prodotti
Ad un certo livello, oltre ad un rischio di reputazione, tali crimini informatici possono portare alla perdita di
o progetti.
tutti o parte dei clienti e alla chiusura dell'azienda.
Ad un certo livello, oltre ad un rischio di reputazione, tali crimini informatici possono portare alla perdita di
©
tutti
1.1.5 o parteAICA
dei clienti
Riconoscere
Copyright
e alla chiusura dell'azienda.
le minacce
2014 – 2019ai dati provocate da impiegati, fornitori di servizi e persone esterne. www.micertificoecdl.it
1.1.5 Riconoscere
Non le minacce aiche
sempre la percezione dati provocate da sicurezza
si ha della impiegati, fornitori di servizi e -persone
- o insicurezza esterne.
informatica corrisponde alla realtà.
1.2.2 gli tutti gli addetti
Comprendere conoscano
i motivi per la posizione
proteggere dell'azienda
informazioni sui vari aspetti
commercialmente legati all'uso
sensibili, del sistema di
qualidel
prevenzione informativo e
furti, di uso
tutti addetti conoscano la posizione dell'azienda sui vari aspetti legati all'uso sistema informativo e
improprio delle
dei risorse
dati dei informatiche
clienti o di e possano
informazioni attenersi alle regole aziendale destinate ad assicurare una corretta
finanziarie.
delle risorse informatiche
gestione delle ICT. e possano attenersi alle regole aziendale destinate ad assicurare una corretta
gestione
© delle ICT.
LeSergio
imprese,Margarita
come le -persone,
Nuova ECDL e Open
possono essereSource
oggetto di furti e di frodi. Se101il furto di dati personali può avere IT Security
conseguenze
1.2.2 gravi, il furtoi motivi
Comprendere di datiperaziendali
proteggerepuò avere conseguenze
informazioni commercialmentedrammatiche. Un'aziendadi che
sensibili, quali prevenzione furti, detiene
di uso
1.2.2 improprio idei
Comprendere dati dei
motivi perclienti o di informazioni
proteggere finanziarie.
informazioni commercialmente
dati relativi a persone, fornitori, clienti può essere tenuta responsabilesensibili,
in caso quali prevenzione
di furto di furti, didiuso
e/o uso improprio tali
improprio dei dati dei clienti o di informazioni finanziarie.
dati. Ma questo
Le imprese, è per comecosìledire il danno
persone, possono minoreessere rispetto
oggettoa diquellifurti eche possono
di frodi. nascere,
Se il furto per esempio,
di dati personali può avere dalla
vendita dei dati
conseguenze dei clienti ad un'azienda
gravi, il furto di dati della
aziendali concorrenza
La Notizia
può avere o alla
conseguenze diffusione di
drammatiche. informazioni
Un'azienda finanziarie
che detiene sui
Le imprese, come le persone, possono essere oggetto di furti e di frodi. Se il furto di dati personali può avere
clienti di una bancaaopersone,
dati relativi al furtofornitori,
dei numeri clientidipuò cartaesseredi credito dei clienti di
tenuta responsabile un'istituzione
in caso di furto e/ofinanziaria-
uso improprio Per non
di tali
conseguenze gravi, il furto di dati aziendali può avere conseguenze drammatiche. Un'azienda che detiene
parlare dello dati.spionaggio
13Mamarzoquesto2014 industriale
è per così dire cheil vede
dannoil minore
furto dirispetto
informazionia quellitecniche
che possono o commerciali
nascere, per suesempio,
nuovi prodotti
dalla
dati relativivendita
a persone, dei datifornitori,
dei clienti
clienti ad può esseredella
un'azienda tenuta responsabile
concorrenza o alla indiffusione
caso di furtodi e/o uso improprio
informazioni finanziarie disui
tali
o progetti.
dati. Ma questo Targetè per così dire
(www.target.com), il danno una minore
delle rispetto
maggiori a quelli
catene che possono
commerciali
clienti di una banca o al furto dei numeri di carta di credito dei clienti di un'istituzione finanziaria- Per non nascere,
degli Stati per esempio,
Uniti dalla
Ad un certo
vendita livello,
deiparlare
dati
condei oltre
clienti
1.800
dello adadunun'azienda
negozi,
spionaggio rischio di reputazione,
apparentemente
industriale della
che vede concorrenzatalidi crimini
sensibile
il furto aiotemi allainformatici
informazioni diffusione
della tecniche possono
di
sicurezza portare
informazioni
informatica
o commerciali alla
nuoviperdita
su finanziarie
prodottisuidi
tutti o parte
clienti di una dei clienti
banca o e alla
al chiusura
furto dei dell'azienda.
numeri di carta di credito
investe nel 2013 1,6 milioni di dollari per un software di individuazione del
o progetti. dei clienti di un'istituzione finanziaria- Per non
90
parlare dello Ad unspionaggio
malware.
certo livello, industriale
oltre ad un cherischio
vede diil furto di informazioni
reputazione, tali criminitecniche
informatici o commerciali
possono portare su alla
nuovi prodotti
perdita di
o1.1.5 Riconoscere le minacce ai dati provocate da impiegati, fornitori di servizi e persone esterne.
progetti. tutti Ao parte dei clienti e alla chiusura dell'azienda.
fine 2013 un gruppo di crackers installa un malware nel sistema dei pagamenti
Ad
Nonunsempre
certo livello,
1.1.5che
la oltre leadminacce
intercetta
percezione
Riconoscere iun
dati
che rischio
delle
siai di reputazione,
carte
ha provocate
dati della di dacredito
sicurezza tali
dei
impiegati,
crimini
clienti
- ofornitori
insicurezza informatici
quando
di
possonopagamenti
effettuano
servizi- einformatica
persone esterne.
portare allaalla
corrisponde perdita di
realtà.
tutti
Spessoo parte dei
si pensain clienti
uno efrodi
alledei alla chiusura
negozi.
realizzate dell'azienda.
Il malware
su Internet li registra
mentresulaun server parte
maggior di Target è fuori controllato
dalla rete, daial furto di dati
delleR carte di cracker
credito che
in rete a sua
mentre volta
ce neli invia
sono a
di server
più nei -sparsi
o
canali per
i c o n o s c e r e l e m i n a c c e a i d a t i p r o v o c a t e d a i m p i e g a t i , f o r n i t o r i alla
Non sempre la percezione che si ha della sicurezza insicurezza gli
tradizionali, - Stati
informaticaUniti
all'uso per poi
corrisponde
di strumenti realtà.
ddii attacco
servizi e persone esterne.
1.1.5 Riconoscere lesiminacce aiRussia.
dati provocate da suimpiegati, fornitori di servizi e persone esterne.
altamente sofisticati mentre si dimentica l'ingegneria sociale (come si vedrà più avanti). Non ultimo,dati
Spesso pensa
trasmetterli alle
in frodi realizzate
Appena il Internet
malware mentre
entra la
in maggior
attività, parte
il sistemaè fuoridi dalla rete,
protezione al furto di nel
mondo delle dellescatta
carte di
imprese credito
spessoincirete
puntualmente si ementre
segnala
protegge ce nedalesono di piùesterni
operazioni
attacchi neifraudolenti.
canali
mentretradizionali,
Peccato
si all'uso
ignorano cheodiqueste
strumenti di attacco
dimenticano i rischi
Non sempre la
altamente percezione
sofisticati
segnalazioni che
mentresi ha della sicurezza
si dimentica dalil'ingegneria - o insicurezza
sociale alla(come - informatica
si vedrà più corrisponde alla realtà.
avanti). Non ultimo, nel
provenienti dall'interno.
mondo delle
In vengano
imprese
sintesi
spesso
si ignorate
associano
ci si protegge
team
crimini
da
preposto
informatici
attacchi esterni
sicurezza!
o le minacce
mentre si
ai datioadimenticano
ignorano
malware penetrati
i rischi
Spesso si pensa alle frodi realizzate su Internet mentre la maggior parte è fuori dalla rete, al furto di dati
nel sistema e Risultato:
ad attacchi40di milionitipoIninformatico,
di cedati magari
si relativi compiuti
alle carte diin credito
modo remote oele70 via Internet.
milioni aididati
delle carteprovenienti
di creditodall'interno.
in rete mentre sintesi ne associano
sono di i crimini
più informatici
nei canali tradizionali, minacce
all'uso diindirizzi,
a malware di
strumenti penetrati
attacco
nel sistema
numeri edi ad attacchi
telefono a di tipo
altri informatico,
dati personali magari
rubati.compiuti
altamente sofisticati mentre si dimentica l'ingegneria sociale (come si vedrà più avanti). Non ultimo, nel in modo remote via Internet.
mondo
Realizzato delleesclusivamente
imprese spessoper ci GABRIELE
si protegge TOMASI da attacchi esterni
http://www.businessweek.com/articles/2014-03-13/target-missed-alarms-in-epic-hack-of-
- SKILL onmentre
LINE si ignorano o dimenticano i rischi
provenientiRealizzato
dall'interno.
credit-card-data In sintesi si associano
esclusivamente per GABRIELE TOMASI - SKILL on i crimini informatici o leLINE minacce ai dati a malware penetrati
nel sistema e ad attacchi di tipo informatico, magari compiuti in modo remote via Internet.
Si tende invece a sottovalutare il rischio di attacchi tecnologicamente più modesti, che possono essere
Realizzato
compiuti daesclusivamente
persone che perper GABRIELE
motivi TOMASI
fra i più leciti hanno- SKILL on LINE
occasione di entrare in azienda e di accedere a dati
riservato o al sistema informativo aziendale.
Pensiamo per esempio a fornitori di servizi informatici che per ragioni tecniche devono poter intervenire sui
personal computer degli utenti o sui server aziendali per installare o aggiornare i programmi. I tecnici
operano in genere con il massimo dei permessi di accesso, proprio per esigenze tecniche, e così come
hanno accesso ai programmi hanno anche accesso ai dati. Con il rischio di distruzione o modifica accidentali
piuttosto che di sottrazione o distruzione volontaria.
Più semplicemente, pensiamo a persone esterne anche non tecniche che possono accedere, perché
presenti in azienda, al sistema informativo: un personal computer lasciato momentaneamente incustodito e

riservato o al sistema informativo aziendale.
Pensiamo per esempio a fornitori di servizi informatici che per ragioni tecniche devono poter intervenire sui
personal computer degli utenti o sui server aziendali per installare o aggiornare i programmi. I tecnici
operano in genere con il massimo dei permessi di accesso, proprio per esigenze tecniche, e così come
hanno accesso ai programmi hanno anche accesso ai dati. Con il rischio di distruzione o modifica accidentali
piuttosto che di sottrazione o distruzione volontaria.
©
PiùSergio Margarita - pensiamo
semplicemente, Nuova ECDL e Open Source
a persone esterne anche non tecniche 102che possono accedere, perché IT Security
presenti in azienda, al sistema informativo: un personal computer lasciato momentaneamente incustodito e
non protetto da password è un facile punto di accesso al sistema informativo. Così come una rete Wi-Fi
lasciata
© Sergioaperta o non
Margarita correttamente
- Nuova protetta
ECDL e Open è facilmente utilizzabile102
Source tramite un portatile, un tablet o IT Security
addirittura uno smartphone perpercarpire
GABRIELE TOMASI dati
o danneggiare - SKILL on LINE
presenti nel sistema informativo.
In
nontutti questi da
protetto casipassword
abbiamo fatto
è un riferimento
facile punto a personale
di accessoesterno all'azienda,
al sistema alla scuola
informativo. Così o all'ente
come unaproprietario
rete Wi-Fi 91
del
lasciata aperta o non correttamente protetta è facilmente utilizzabile tramite un portatile, provengono
sistema informativo. Ancora più importanti perché spesso inaspettato sono le minacce che un tablet o
dall'interno.
addirittura unoChismartphone
più di un dipendente
per carpireaccede al sistema
o danneggiare dati informativo? Per la sua
presenti nel sistema stessa attività deve poter
informativo.
accedere ai dati e involontariamente, in caso di disattenzione, può provocare una perdita dei dati. Oppure
In tutti questi casi abbiamo fatto riferimento a personale esterno all'azienda, alla scuola o all'ente proprietario
volontariamente, in caso di comportamento fraudolento, impossessarsi dei dati, portarli all'esterno
del sistema informativo. Ancora più importanti perché spesso inaspettato sono le minacce che provengono
dell'azienda all'insaputa del datore di lavoro e farne un uso non corretto. O ancora distruggere dati o
dall'interno. Chi più di un dipendente accede al sistema informativo? Per la sua stessa attività deve poter
danneggiare il sistema informatico per ripicca o vendetta. In questo caso, la tutela è molto più complessa e
accedere ai dati e involontariamente, in caso di disattenzione, può provocare una perdita dei dati. Oppure
richiede un'attenta politica di sicurezza che oltre a un sistema di autenticazione che consenta l'accesso al
volontariamente, in caso di comportamento fraudolento, impossessarsi dei dati, portarli all'esterno
sistema solo agli utenti registrati, preveda anche un sistema di autorizzazioni che permetta agli utenti
dell'azienda all'insaputa del datore di lavoro e farne un uso non corretto. O ancora distruggere dati o
registrati di accedere soltanto ai dati per i quali sono stati specificatamente autorizzati. Oltre a un efficace
danneggiare il sistema informatico per ripicca o vendetta. In questo caso, la tutela è molto più complessa e
sistema di salvataggio dei dati.
richiede un'attenta politica di sicurezza che oltre a un sistema di autenticazione che consenta l'accesso al
sistema solo agli utenti registrati, preveda anche un sistema di autorizzazioni che permetta agli utenti
1.1.4 Riconoscere
registrati le minacce
di accedere ai datiaiprovocate
soltanto dati per da forza sono
i quali maggiore,
statiquali fuoco, inondazione,
specificatamente guerra, terremoto.
autorizzati. Oltre a un efficace
sistema di salvataggio dei dati.
R i cse
Anche o ngli
o seventi
c e r e straordinari
l e m i n a cchec e possono
a i d a t i minacciare
p r o v o c aun
t e sistema
d a f o rinformatica
z a m a g gsonoi o r erari,
, q iudanni
ali fu o c ne
che o, inondazione, guerra,
derivano possono essere particolarmente gravi per le imprese. Molte imprese,
terremoto soprattutto quelle di una certa
1.1.4 Riconoscere le minacce ai dati provocate da forza maggiore, quali fuoco, inondazione, guerra, terremoto.
dimensione o quelle che trattano dati dei clienti di particolare importanza (si pensi alle banche e alle
assicurazioni, ai grandi ISP), mettono in atto delle vere e proprie politiche di disaster recovery che
Anche se gli eventi straordinari che possono minacciare un sistema informatica sono rari, i danni che ne
garatiscono una ripartenza del sistema informatico in tempi ridotti, anche in caso di distruzione totale
derivano possono essere particolarmente gravi per le imprese. Molte imprese, soprattutto quelle di una certa
provocate da cause di forza maggiore (catastrofi naturali, eventi straordinari, ...), magari in luoghi diversi
rispetto alla loro sede originaria. Si ricorda per esempio la notizia relativa a Aruba vista prima.
In questi casi,
garatiscono unaa ripartenza
politiche didel protezione fisica degli in
sistema informatico edifici
tempi cheridotti,
ospitano
anchele infrastrutture informatiche,
in caso di distruzione si
totale
affiancano
provocate da politiche ripristino
cause di forza che prevedono
maggiore la duplicazione
(catastrofi naturali, (spesso presso
eventi straordinari, centri in esterni)
...), magari delle
luoghi diversi
apparecchiature e testoriginaria.
rispetto alla loro sede periodici dell'efficienza
Si ricorda perdella continuità
esempio dei servizi
la notizia relativacon simulazione
a Aruba delle interruzioni.
vista prima.
Queste
In questi misure,
casi, per i loro costi
a politiche e oneri di gestione
di protezione moltiedifici
fisica degli elevati, sono
che messe le
ospitano in pratica da poche
infrastrutture aziende per
informatiche, si
le quali il sistema
affiancano informatico
politiche è realmente
di ripristino strategicolae nulla
che prevedono hanno a (spesso
duplicazione che fare presso
con le "semplici" procedure
centri esterni) di
delle
apparecchiature
backup e restoree chetest l'utente
periodicididell'efficienza della continuità
personal computer dei servizi
può mettere conNon
in atto. simulazione delle interruzioni.
si tratta infatti di un banale
backup dei dati ma di una duplicazione dell'intera struttura elaborativa (hardware, software, reti, dati).
Queste misure, per i loro costi e oneri di gestione molti elevati, sono messe in pratica da poche aziende per
le quali il sistema informatico è realmente strategico e nulla hanno a che fare con le "semplici" procedure di
6.1.1
backupRiconoscere
e restoremodi cheper assicurare
l'utente la sicurezza
di personal fisica dipuò
computer dispositivi,
mettere quali registrare
in atto. Nonlasicollocazione
tratta infattie ididettagli degli
un banale
apparati,
© usare
Copyright cavi
AICA di
2014 sicurezza,
– 2019 controllare gli accessi.
backup dei dati ma di una duplicazione dell'intera struttura elaborativa (hardware, software, reti, dati). www.micertificoecdl.it

Anche se gli eventi straordinari che possono minacciare un sistema informatica sono rari, i danni che ne
derivano possono essere particolarmente gravi per le imprese. Molte imprese, soprattutto quelle di una certa
garatiscono una ripartenza del sistema informatico in tempi ridotti, anche in caso di distruzione totale
provocate da cause di forza maggiore (catastrofi naturali, eventi straordinari, ...), magari in luoghi diversi
rispetto alla loro sede originaria. Si ricorda per esempio la notizia relativa a Aruba vista prima.
In questi casi, a politiche di protezione fisica degli edifici che ospitano le infrastrutture informatiche, si
affiancano politiche di ripristino che prevedono la duplicazione (spesso presso centri esterni) delle
apparecchiature e test periodici dell'efficienza della continuità dei servizi con simulazione delle interruzioni.
Queste misure, per i loro costi e oneri di gestione molti elevati, sono messe in pratica da poche aziende per
92 le quali il sistema informatico è realmente strategico e nulla hanno a che fare con le "semplici" procedure di
backup e restore che l'utente di personal computer può mettere in atto. Non si tratta infatti di un banale
backup dei dati ma di una duplicazione dell'intera struttura elaborativa (hardware, software, reti, dati).
6.1.1 Riconoscere modi per assicurare la sicurezza fisica di dispositivi, quali registrare la collocazione e i dettagli degli
apparati, usare cavi di sicurezza, controllare gli accessi.
Riconoscere modi per assicurare la sicurezza fisica di dispositivi, quali registrare la collocazione e
Realizzato i - Nuova
d e t t aper
esclusivamente
© Sergio Margarita g l i GABRIELE
ECDL d ee g l i a Source
Open pTOMASI
p a r a t i -, SKILL
usareoncLINE
avi d i sicurezza, controllare gli accessi
103 IT Security
Il tema delle sicurezza fisica riguarda da vicino tutte le imprese, più degli utenti singoli di PC. Il furto di
Il temaodelle
portatili, tablet sicurezza èfisica
smartphone riguarda da invicino
un fenomeno tutte leche
aumento imprese,
tocca più degli
tutti. Nelutenti
casosingoli
però didelle
PC. imprese,
Il furto di il
portatili, tablet o smartphone è un fenomeno in aumento che tocca tutti. Nel caso
fenomeno è acuito dal maggior numero di dispositivi che possono trovarsi nei locali di un'impresa e dal però delle imprese, il
fenomeno è acuito dal maggior numero di dispositivi che possono trovarsi nei locali di un'impresa e dal
maggior flusso di persone esterne che, per un motivo o un altro, hanno occasione di entrare in azienda.
maggior flusso di persone esterne che, per un motivo o un altro, hanno occasione di entrare in azienda.
Per ridurrePeri rischi
ridurre di furto dio furto
i rischi di danneggiamento
o di danneggiamento delledelle
apparecchiature,
apparecchiature, con conconseguente
conseguente furto furto oo perdita
perditadidi
dati, le imprese intervengono su più aspetti:
dati, le imprese intervengono su più aspetti:
• controllo degli accessi.
• controllo Si regolamenta
degli accessi. l'accesso
Si regolamenta agli agli
l'accesso edifici e aie locali
edifici in incui
ai locali cuisisisvolge
svolge l'attività dell'impresa,
l'attività dell'impresa,
con un livello
con un di livello
protezione variabile
di protezione a seconda
variabile dei rischi
a seconda cheche
dei rischi si possono
si possonoincorrere
incorrereinin ogni zona:l'accesso
ogni zona: l'accesso
a locali
a locali più più "sensibili"
"sensibili" sarà soggetto
sarà soggetto a regole
a regole più restrittive,
più restrittive, fra fra le quali
le quali peresempio
per esempio l'identificazione
l'identificazione delledelle
persone chepersonehanno cheaccesso.
hanno accesso.
• protezione fisica dei computer. Mentre i server saranno in localiadadaccesso
accesso controllato
controllato ee limitato, Figura 44: Un
44:dispositivo antifurto
• protezione fisica dei computer. Mentre i server saranno in locali limitato,i i Figura Un dispositivo antifurto
computer periferici potranno essere protetti contro il furto da cavi di sicurezza, in particolare i personal
computer periferici potranno essere protetti contro il furto da cavi di sicurezza, in particolare i personal
computer e ancora di più i portatili (Figura 44).
• censimento e localizzazione delle apparecchiature. Tenere un registro - costantemente aggiornato - delle
• censimento e localizzazione
apparecchiature delle apparecchiature.
informatiche con per ognunoTenere marca, un registroconfigurazione,
modello, - costantemente aggiornato
dispositivi - delle
collegati e
apparecchiature
collocazione aiuta nella gestione tecnica del parco macchine e facilita la rapida individuazione di e
informatiche con per ognuno marca, modello, configurazione, dispositivi collegati
collocazione aiuta nella
manomissioni gestione tecnica del parco macchine e facilita la rapida individuazione di
o furti.
manomissioni o furti.
Ma vediamo ora un tipo di attacco piuttosto subdolo al quale sono maggiormente soggette le imprese.
Subdolo,
Ma vediamo ora poco notodie la
un tipo cui efficacia
attacco e diffusione
piuttosto è ampiamente
subdolo sottovalutata.
al quale sono maggiormente soggette le imprese.
Subdolo, 1.3.1
pocoComprendere
noto e la cui efficacia e diffusione è ampiamente sottovalutata.
il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a
sistemi informatici.
1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a
Come si fa a carpire una password per accedere a dati riservati?
Esistono diversi metodi che richiedono conoscenze tecniche e disponibilità di strumenti per attaccare il
• controllo
con un livello
degli di protezione
accessi. variabile a seconda
Si regolamenta l'accessodeiaglirischi
edificiche
e aisi locali
possono
in cuiincorrere
si svolgeinl'attività
ogni zona: l'accesso
dell'impresa,
con un livello
a locali di protezione
più "sensibili" sarà variabile
soggetto aa seconda
regole piùdeirestrittive,
rischi chefra si le
possono
quali perincorrere
esempioin l'identificazione
ogni zona: l'accessodelle
apersone
locali più
che"sensibili" sarà soggetto a regole più restrittive, fra le quali per esempio l'identificazione delle
hanno accesso.
• persone
protezionechefisica
hannodei accesso.
computer. Mentre i server saranno in locali ad accesso controllato e limitato, i Figura 44: Un dispositivo antifurto
• protezione fisica deipotranno
computer periferici computer. Mentre
essere i server
protetti controsaranno in locali
il furto da cavi diadsicurezza,
accesso in controllato
particolare e ilimitato,
personali Figura 44: Un dispositivo antifurto
computer
computer periferici
e ancora potranno essere
di più i portatili protetti
(Figura contro il furto da cavi di sicurezza, in particolare i personal
44).
• censimento e localizzazione delle apparecchiature. Tenere un registro - costantemente aggiornato - delle
• censimento
apparecchiaturee localizzazione
informatichedelle conapparecchiature.
per ognuno marca, Teneremodello,
un registro - costantemente
configurazione, aggiornato
dispositivi - dellee
collegati
apparecchiature
collocazione aiuta informatiche
nella gestionecon per ognuno
tecnica del marca, modello, configurazione,
parco macchine e facilita la rapida dispositivi collegati di
individuazione e
collocazione
manomissioniaiuta o furti.nella gestione tecnica del parco macchine e facilita la rapida individuazione di
manomissioni o furti.
Ma vediamo ora un tipo di attacco piuttosto subdolo al quale sono maggiormente soggette le imprese.
Ma vediamo
Subdolo, pocoora unetipo
noto la cuidiefficacia
attacco epiuttosto
diffusionesubdolo al qualesottovalutata.
è ampiamente sono maggiormente soggette le imprese.
Subdolo,
C o m p rpoco
e n dnoto
e r e e ila
l cui
t e refficacia
m i n e “e idiffusione
n g e g n eèr ampiamente
i a s o c i a l esottovalutata.
” e le sue implicazioni, quali raccolta di informazioni, 93
1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a
frodi e accesso a sistemi informatici
sistemi
1.3.1 informatici. il termine “ingegneria sociale” e le sue implicazioni, quali raccolta di informazioni, frodi e accesso a
Comprendere
© Sergio Margarita
Esistono diversi metodi- Nuovache ECDL e Open
richiedono Source tecniche e disponibilità
conoscenze 105 di strumenti per attaccare il IT Security
© Sergio diversi
Esistono Margarita - Nuova
metodi chelaECDL e Open Source tecniche e disponibilità
richiedono 105 IT Security
sistema cercando scoprire password, conoscenze
come per esempio i tentativi di brute di strumenti
force per attaccare
attack (attacco il
di forza
sistema
bruta) incercando scoprire
cui si generano la password,
molteplici passwordcomecombinando
per esempio i tentativi
caratteri e sidiprovano
brute force attack (attacco
in sequenza, oppuredil'uso
forza
di
bruta) in cui
dizionari di si generanoche
password, molteplici
sfruttanopassword
le parolecombinando caratteri edisi caratteri
e le combinazioni provano più in sequenza,
usate dagli oppure
utentil'uso di
come
dizionari
password. di password, che sfruttano le parole e le combinazioni di caratteri più usate dagli utenti come
Ma esiste un metodo molto più semplice, che non richiede nessuna conoscenza tecnica né strumento
password.
Ma esiste un
informatico: metodo
farsi dire la molto
password più dasemplice, che non richiede nessuna conoscenza tecnica né strumento
chi la conosce.
informatico: farsi dire la password da chi la conosce.
Questo è il modo di procedere e l'obiettivo dell'ingegneria sociale (o social engineering). Per usare i termini
Questo è il modo
dell'ex hacker Kevindi procedere
Mitnick, oraehacker
l'obiettivo
eticodell'ingegneria
(vedere puntosociale
1.1.3), (o
unosocial engineering).
dei massimi espertiPer usare i termini
in materia:
dell'ex hacker Kevin Mitnick, ora hacker etico (vedere punto 1.1.3), uno dei massimi esperti in materia:
Social Engineering uses influence and persuasion to deceive people by convincing them that the
Social Engineering
social engineer uses influence
is someone he is not,andor persuasion to deceive
by manipulation. As apeople
result,by convincing
the them that
social engineer the
is able
social
Realizzato engineer
to takeesclusivamente is someone
advantage of people he
per GABRIELEis not, or by manipulation.
TOMASI -with
to obtain information SKILL As a result,
on LINE
or without the social engineer
the use of technology. is able
to take
Realizzato advantage of people
esclusivamente to obtain information
per GABRIELE TOMASI - with
SKILL or without
on LINEthe use of technology.
ossia
ossia
L'ingegneria sociale usa ascendente e potere di persuasione per ingannare le persone
L'ingegneria
convincendolesociale usa ascendente
che l'ingegnere sociale è e qualcuno
potere di che persuasione
non è, o per ingannare le
manipolandole. Come persone
tale,
convincendole che l'ingegnere sociale è qualcuno che non è, o manipolandole.
l'ingegnere sociale è capace di usare le persone per ottenere informazioni con o senza l'uso Come tale,
l'ingegnere
della tecnologia.sociale è capace di usare le persone per ottenere informazioni con o senza l'uso
della tecnologia.
L'ingegneria sociale si basa sui rapporti umani, più che sulla conoscenza di tecniche avanzate, e sulla
L'ingegneria
psicologia delle sociale si basa
persone, più sui
che rapporti umani,
su strumenti più che sulla
tecnologici, conoscenza
con scopi di tecniche
fraudolenti avanzate,
quali carpire e sulla
informazioni
psicologia delle persone, più che su strumenti tecnologici, con scopi fraudolenti quali
personali o riservate, ottenere credenziali di autenticazione per accedere a sistemi informatici. compiere furti carpire informazioni
personali
di dati o dioidentità
riservate,
perottenere
sostituirsicredenziali
ad altri per di compiere
autenticazione per accedere ao sistemi
frodi, malversazioni reati. informatici. compiere furti
di dati o di identità per sostituirsi ad altri per compiere frodi, malversazioni o reati.
1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di
1.3.2 Identificare
carpire i metodi
informazioni applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di
personali.
carpire informazioni personali.
Se volete saperne di più, potete trovare molti esempi interessanti raccontati da Mitnick (uno dei più famosi
Se volete saperne
ex-hacker) nei suoidi libri,
più, potete trovare
non certo per molti esempi
imparare interessanti
a diventare unraccontati
ingegneredasociale
Mitnickma
(unoal dei più famosi
contrario per
ex-hacker) nei suoi libri, non certo per imparare a diventare un ingegnere sociale ma al contrario per
to take advantage of people to obtain information with or without the use of technology.
ossia
L'ingegneria sociale usa ascendente e potere di persuasione per ingannare le persone
convincendole che l'ingegnere sociale è qualcuno che non è, o manipolandole. Come tale,
l'ingegnere sociale è capace di usare le persone per ottenere informazioni con o senza l'uso
della tecnologia.
© Sergio Margarita
psicologia - Nuova ECDL
delle persone, più che e Open Source tecnologici, con scopi
su strumenti 104 fraudolenti quali carpire informazioni IT Security
personali o riservate, ottenere credenziali di autenticazione per accedere a sistemi informatici. compiere furti
1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di La Notizia
94 carpire informazioni personali.
Come ti assicuro dalle insidie del
Se volete saperne di più, potete trovare molti esempi interessanti raccontati da Mitnick (uno dei più famosi cyber crime
difendervi dagli attacchi, in particolare in L'arte dell'inganno. I consigli dell'hacker più famoso del mondo. Plus 24 Il Sole 24 Ore
Fra i diversi messi usati nell'ingegneria sociale, le telefonate la fanno da padrone. Un mezzo14/6/2014 di n. 616, Polizze e sicurezza
comunicazione familiare come il telefono ben si presta a sfruttare l'ingenuità o la buona fede inform atica
dell'interlocutore, facendogli rivelare informazioni apparentemente innocue ma che, in una catenahttp://www.banchedati.ilsole24ore.com/do
di
telefonate a persone diverse, permettono di giungere a informazioni riservate. c.get?uid=finanza-FM20140614011APS
Notizia riprodotta per gentile
autorizzazione da Il Sole 24 ORE S.p.A.
Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE Zoomate la pagina per leggere più
facilmente l'articolo del quotidiano.

l'ingegnere sociale è capace di usare le persone per ottenere informazioni con o senza l'uso
della tecnologia.
psicologia delle persone, più che su strumenti tecnologici, con scopi fraudolenti quali carpire informazioni
personali o riservate, ottenere credenziali di autenticazione per accedere a sistemi informatici. compiere furti
Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing,
1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, phishing, shoulder surfing al fine di
shoulder surfing al fine di carpire informazioni personali
carpire informazioni personali.
Se volete saperne di più, potete trovare molti esempi interessanti raccontati da Mitnick (uno dei più famosi
Esercizio I consigli dell'hacker più famoso del mondo.
difendervi dagli attacchi, in particolare in L'arte dell'inganno. 95
Fra i diversiSe messi usati dinell'ingegneria
disponete sociale, analizzate
un servizio e-banking, le telefonate la fanno
il vostro estrattoda padrone.
conto online eUn mezzo di
comunicazione familiare come il telefono ben si presta a sfruttare l'ingenuità
fate la lista delle informazioni personali che si possono dedurre dalla sua lettura o la buona fede
dell'interlocutore, facendogli rivelare informazioni apparentemente
(datore di lavoro, consumi, acquisti, abitudini, ...). innocue ma che, in una catena di
telefonate a persone diverse, permettono di giungere a informazioni riservate.
Un'altra tecnica è quella del phishing (esaminata al punto 5.1.5), nota ormai a tutti quelli che usano la posta
elettronica: molti dei messaggi di posta indesiderata o spam (descritti al punto 5.1.4) sono relativi a tentativi
di phishing in cui il mittente, fingendosi una banca o un gestore di carte di credito richiede di comunicare per
conferma leesclusivamente
Realizzato proprie credenziali
perdiGABRIELE
accesso al TOMASI
servizio (codice
- SKILLutente e password) per non rischiare il blocco
on LINE
del servizio stesso e l'impossibilità ad accedervi. Non ci crederete ma qualcuno ci casca ancora, non
sapendo che nessuna banca chiede informazioni riservate ai propri clienti, men che meno per posta
elettronica! Anche se vi sono ulteriori protezioni che impediscono al malintenzionato di prelevare soldi dal
vostro conto, può impadronirsi di informazioni per esempio sui vostri acquisti (data, importo, fornitore) o sui
vostri introiti (stipendio, datore di lavoro) che gli consentiranno attacchi successivi più convincenti ed efficaci.
Sempre per raccogliere informazioni, e con una parvenza molto più innocua, sono i messaggi di phishng che
sembrano provenire dal vostro gestore di posta elettronica e vi chiedono di confermare le vostre credenziali
di accesso alla vostra casella, per esempio per verificarne il regolare funzionamento in seguito ad un
malfunzionamento. Il fatto che non vi sia nessuna implicazione monetaria diretta abbassa le difese e rende
meno sospettoso l'utente che spesso le comunica. Non dovete mai farlo per non consentire l'accesso ai
vostri messaggi che rivelano MOLTE informazioni su di voi, utilizzabili per farvi abbassare la guardia in
ulteriori attacchi.
Esercizio
Analizzare i vostri messaggi di posta elettronica, quelli spediti e ricevuti in un

mese, e fate la lista di tutte le informazioni personali che se ne possono ricavare.
Sotto
© il termini
Copyright AICAaltisonante
2014 – 2019di
shoulder surfing si nasconde una tecnica molto semplice e "a bassa tecnologia" www.micertificoecdl.it
per carpire informazioni di accesso quali password o PIN; semplicemente guardando "sopra la spalla"
(shoulder) di chi inserisce il proprio codice utente, password o PIN in un dispositivo: computer, tablet,
Esercizio
© Sergio Margarita
smartphone, - Nuova
Bancomat, ECDL
sistema e Open Source
di pagamento automatizzato, ... e magari107
impadronendosi successivamente IT Security
del dispositivoAnalizzare
o della tessera.
i vostri messaggi di posta elettronica, quelli spediti e ricevuti in un
smartphone, Bancomat,
mese, e sistema
fate la lista di
Tutte tecniche che non richiedono di pagamento
tutte automatizzato,
le informazioni
nessuna conoscenza ... eche
personali
informaticamagari
se
mane impadronendosi successivamente
possonolaricavare.
sfruttano destrezza del ladro e
del dispositivo o della tessera.
l'inattenzione o l'ingenuità del bersaglio.
Tutte tecniche che non richiedono nessuna conoscenza informatica ma sfruttano la destrezza del ladro e
Sotto il terminioaltisonante
l'inattenzione l'ingenuità del di shoulder
bersaglio. surfing si nasconde una tecnica molto semplice e "a bassa tecnologia"
©
per Sergio
carpire Margarita
informazioni - Nuova ECDL e Open
di accesso quali Source password Esercizio o PIN; semplicemente 107 guardando "sopra la spalla" IT Security
(shoulder) di chi inserisce il proprio codice utente, password o PIN in un dispositivo: computer, tablet,
smartphone, Bancomat, Esaminando tutte le
sistema tracce elettroniche
di pagamento Esercizio
automatizzato, registrate ... esui siti che
magari utilizzate (banca,
impadronendosi successivamente
smartphone, Bancomat, sistema di pagamento automatizzato, ... e magari impadronendosi successivamente
carta
del dispositivo o della tessera. di credito, posta
del elettronica,
dispositivo o della servizi
tessera. autostradali, ...) elencate - se ci sono - le
96 informazioni che
Esaminando tutte permettono
perTutteGABRIELE
le tracce diTOMASI
tecniche elettroniche
che individuare
non richiedono i periodi
-registrate
SKILL
nessuna onconoscenza
suiLINE in
siti cuiche non siete
utilizzate
informatica in casa
(banca,
ma sfruttano la destrezza del ladro e
Tutte tecnichecarta che di
(vacanza, noncredito, posta elettronica, servizi autostradali, ...) elencate - se ci sono - le del ladro e
richiedono
viaggi periodici,nessuna
l'inattenzione acquisti
o conoscenza
l'ingenuità fattidelin giorniinformatica
bersaglio. fissi, ...). ma sfruttano la destrezza
l'inattenzione oinformazioni
l'ingenuità del chebersaglio.
permettono di individuare i periodi in cui non siete in casa
(vacanza, viaggi periodici, acquisti fatti in giorni fissi, ...). Esercizio
Abbiamo già parlato di rete e dei pericoli che possono tuttenascere per un individuo chesitifruisce dei servizi
(banca, in rete.
Esaminando Esercizio le tracce elettroniche registrate sui che utilizzate
Il tema va approfondito ed esaminato dalcarta punto di vista
di credito, posta dell'impresa
elettronica, serviziche gestisce
autostradali, un'intera
...) elencate rete
- se ci sonoper- le le sue
comunicazioni interne. informazioni che permettono di individuare i periodi in cui non siete in casa
Abbiamo già Esaminando
parlato di retetutte e deilepericoli
tracceche possono
elettroniche
(vacanza, nascere
registrate
viaggi periodici, per
acquisti unsiti
suifatti individuo
in chefissi,
giorni che
...). fruisce
utilizzate (banca,dei servizi in rete.
Il tema va approfondito ed esaminato dal punto di vista dell'impresa
carta di credito, posta elettronica, servizi autostradali, ...) elencate - se ci sono - le che gestisce un'intera rete per le sue
3.1.1 Comprendere il termine rete e riconoscere i più comuni tipi di rete, quali LAN (rete locale), WAN (rete geografica),
comunicazioni
VPN (rete privata interne.
informazioni
virtuale). che permettono di individuare i periodi in cui non siete in casa
C o m p r e n(vacanza,
d e r e i l viaggi i Abbiamo
t e r mperiodici,
n e r e già parlato di rete e dei pericoli che possono nascere per un individuo che fruisce dei servizi in rete.
t e
acquisti
Il tema va approfondito
e r i fatti
c edo nesaminato
inogiorni
s c e rdal e punto
fissi,i p idiùvista
...). c odell'impresa
m u n i tche i p gestisce
i d i run'intera
e t e , reteq upera l lei sue
LAN (rete locale), WAN
3.1.1 Comprendere il termine rete ecomunicazioni riconoscere i più comuni tipi di rete, quali LAN (rete locale), WAN (rete geografica),
Una rete può essere definita come un (insieme r einterne.
t e gdie o g r a f i c a(ed
computer ) , eventualmente
V P N ( r e t e di p raltri
i v adispositivi
t a v i r t uelettronici)
ale)
VPN (rete privata virtuale).
collegati fra di loro in modo da consentire 3.1.1 Comprendere la ilcondivisione
termine rete e riconosceredi risorse comuni
i più comuni tipi di(spazio
rete, quali LAN di archiviazione,
(rete locale), WAN (rete archivi,
geografica),
stampanti,
Abbiamo già ...) nonché
parlato di lo
rete scambio
e dei di
pericoli informazioni
che possono da parte
nascere
Una rete può essere definita come un insieme di computer (ed eventualmente di altri dispositivi elettronici) degli
per utenti
un con
individuo variche sistemi
fruisce dideicomunicazione.
servizi in rete.
Insito
temanel
Ilcollegati concetto
vafraapprofondito di reteed è l'insieme
esaminato
Una rete delle
dal
può essereprocedure
punto di
definita vista di
come sicurezza
dell'impresa
un insieme
di loro in modo da consentire la condivisione di risorse comuni (spazio di archiviazione, archivi, diche che garantisce
computer gestisce
(ed l'accesso
un'intera
eventualmente di ai
rete
altri dati
per soltanto
dispositivile sue
elettronici)
agli utenti
comunicazioni autorizzati.
stampanti, ...) interne. Utenti
nonché lo scambio che dispongono
collegati fra di loro
di informazioni di
in credenziali
modo da consentire
da parte di autenticazioni
la condivisione
degli utenti
di (codice
risorse
condegli
comuni
variutenti
sistemiutente
(spazio edi password
archiviazione, per
archivi,
stampanti, ...) nonché lo scambio di informazioni da parte con varidisistemi
comunicazione.
di comunicazione.
esempio) per farsi riconoscere
Insito nel concetto di rete è l'insieme e che
Insito neldelle
accedono
concetto procedure ai servizi
di rete è l'insiemedi sicurezza offerti
delle procedure
dalle rete
che digarantisce limitatamente
sicurezza chel'accesso
ai diritti di
ai datiaisoltanto
garantisce l'accesso
cui
dati soltanto
dispongono
3.1.1 Comprendere nel sistema.
il termine rete eagli riconoscere i più comuni tipi di rete, quali LAN (rete locale),
utenti autorizzati. Utenti che dispongono di credenziali di autenticazioni (codice utente e password per WAN (rete geografica),
agli utenti autorizzati. Utenti che
dispongono di credenziali di autenticazioni (codice utente e password per
esempio) per farsi riconoscere e che accedono ai servizi offerti dalle rete limitatamente ai diritti di cui
esempio)
Le reti possonoper farsi essere riconoscere
classificate e in che
dispongono base accedono
nel a diversiaicriteri.
sistema. servizi offerti dalle rete limitatamente ai diritti di cui
Figura 45: Schema di una rete (NYC Resistor
dispongono
Una rete può nel sistema.
essere èdefinita come un insieme
Un aspetto rilevante la distanza Le reti
che possono
separa essere i di computer
classificate
calcolatori (eda diversi
in base eventualmente
interconnessi: di altri dispositivi
criteri.per consuetudine elettronici)
si classificano le Network)
collegati
retireti
Le in basefra
possono di loro
a criteri in
essere modo
spaziali, da
classificateconsentire
come un
Un ufficio,
aspetto
in base la
rilevante condivisione
uno o più
a diversiè la distanza di risorse comuni (spazio di
edifici fino ad arrivare alla rete delle reti, Internet, che
criteri. che separa i calcolatori interconnessi: archiviazione,
per consuetudine si archivi,
classificano le Network)
reti in base a criteri spaziali, come un ufficio, uno o più edifici fino ad arrivare alla rete delle reti, Internet, cheFigura 45: Schema di una rete (NYC Resistor
stampanti, ...) nonché lo scambio
consente un'interconnessione di informazioni
planetaria. Accettando da parte qualchedegli utenti con
semplificazione, varisemplificazione,
sistemi
riportiamo di comunicazione.
nel prospetto
Un aspetto rilevante è la distanza consente
chedelleun'interconnessione
separa i calcolatori planetaria. Accettando
interconnessi: qualche
per consuetudine riportiamo
si nel prospetto Network)
Insito nel concetto di rete
sottostante alcune tipologie frequenti. è l'insieme procedure
sottostante alcune tipologie frequenti. di sicurezza che garantisce l'accesso aiclassificano
dati soltanto le
reti in
agli baseautorizzati.
utenti a criteri spaziali,Utenti come un ufficio, uno
che dispongono o più edificidifino
di credenziali ad arrivare (codice
autenticazioni alla reteutente delle reti, Internet, che
e password per
consente un'interconnessione planetaria. Accettando
esempio) per farsi riconoscere e che accedono ai servizi offerti dalle rete limitatamente ai diritti qualche semplificazione, riportiamo nel prospetto
di cui
sottostante alcune
dispongono nel sistema. tipologie frequenti.
Le reti possono essere classificateGABRIELE

Realizzato esclusivamente per in base a diversi TOMASI - SKILL on LINE
criteri.
Un aspetto rilevante è la distanza che separa i calcolatori interconnessi: per consuetudine si classificano le Network)
Realizzato
reti esclusivamente
in base a per GABRIELE
criteri spaziali, come TOMASI
un ufficio, uno o più -edifici
SKILL onad
fino LINE
arrivare alla rete delle reti, Internet, che
consente un'interconnessione planetaria. Accettando qualche semplificazione, riportiamo nel prospetto
sottostante alcune tipologie frequenti. © Copyright AICA 2014 – 2019
stampanti, ...) nonché lo scambio di informazioni da parte degli utenti con vari sistemi di comunicazione.
Insito nel concetto di rete è l'insieme delle procedure di sicurezza che garantisce l'accesso ai dati soltanto
agli utenti autorizzati. Utenti che dispongono di credenziali di autenticazioni (codice utente e password per
esempio) per farsi riconoscere e che accedono ai servizi offerti dalle rete limitatamente ai diritti di cui
dispongono nel sistema.
Le reti possono essere classificate in base a diversi criteri.
Un aspetto rilevante è la distanza che separa i calcolatori interconnessi: per consuetudine si classificano le Network)
reti in base a criteri spaziali, come un ufficio, uno o più edifici fino ad arrivare alla rete delle reti, Internet, che
© Sergio
Sergio Margarita
consente
© Margarita -- Nuova
Nuova ECDL
un'interconnessione ECDL ee Open
OpenAccettando
planetaria. Source
Source 108
qualche semplificazione,
108 riportiamo nel prospetto IT Security
IT Security
sottostante alcune tipologie frequenti.
Ambito
Ambito Distanza
Distanza Tipo di
Tipo di rete
rete
97
Ufficio, laboratorio
Ufficio, laboratorio 10 m
10 m LAN di
LAN di ufficio
ufficio
Edificio (azienda,
Edificio (azienda, scuola)
scuola) 100 m
100 m LAN aziendale
LAN aziendale
Campus, plesso
Campus, plesso 11 km
km LAN estesa
LAN estesa
Città, area
Città, area geografica
geografica 10 km
10 km MAN
MAN
Regione, provincia
Regione, provincia 100 km
100 km WAN
WAN
Nazione, continente
Nazione, continente 1.000 km
1.000 km WAN estesa
WAN estesa
Pianeta
Pianeta 10.000 km
10.000 km Internet
Internet
Si identificano
Si identificano pertanto
pertanto tre
tre tipi
tipi di
di reti
reti (Figura
(Figura 45),
45), aa seconda
seconda della
della loro
loro estensione:
estensione:
•• LAN
LAN (Local
(Local Area
Area Network),
Network), frafra le
le quali
quali troviamo
troviamo lele WLAN
WLAN (Wireless
(Wireless Local
Local Area
Area Network)
Network)
•• MAN
MAN (Metropolitan
(Metropolitan Area
Area Network)
Network)
•• WAN
WAN (Wide
(Wide Area
Area Network).
Network).
Vediamo quali
Vediamo quali sono
sono lele loro
loro caratteristiche
caratteristiche ee cosa
cosa le
le differenzia:
differenzia:
•• LAN
LAN èè una
una rete
rete locale
locale per
per ilil collegamento
collegamento didi PC
PC all'interno
all'interno di
di una
una casa,
casa, di
di un
un ufficio
ufficio oo di
di una
una intera
intera struttura
struttura
(azienda, scuola, ente). Gli utenti di una LAN operano in una stessa organizzazione,
(azienda, scuola, ente). Gli utenti di una LAN operano in una stessa organizzazione, condividendo dati condividendo dati ee
dispositivi hardware tramite connessioni ad alta velocità (100 Mbps o 1Gbps), elevata sicurezza ee
dispositivi hardware tramite connessioni ad alta velocità (100 Mbps o 1Gbps), elevata sicurezza
affidabilità. Si vanno sempre più affermando le WLAN, reti locali con connessioni wireless (Wi-Fi), che
utilizzano onde radio tra i computer in rete. La velocità tipica di una WLAN è di 54 Mbps
• MAN è una rete metropolitana, ossia un'estensione delle rete locali in ambito urbano, rese possibili
dall'armonizzazione di standard congiunti a cura degli enti ISO e CCITT. Tali reti di solito utilizzano le reti
in fibra ottica messe a disposizione dagli operatori di telecomunicazioni. La velocità di una connessione
MAN è compresa fra i 2 Mbps e i 140 Mbps. Le reti MAN sono sempre più spesso classificate tra le WAN
• WAN è una rete geograficamente estesa, che può collegare reti che si trovano in città diverse. Le reti
WAN devono garantire il controllo contro accessi non autorizzati, attraverso la predisposizione di
meccanismi di sicurezza.
Nessuna azienda né organizzazione opera in condizioni di isolamento. O perché appartenenti ad una stessa
filiera produttiva, o perché facenti parte di uno stesso gruppo o per semplici necessità di scambio di dati e
informazioni, tutte hanno esigenze di interconnessione del proprio sistema informatico.
Vediamo quali sono le loro caratteristiche e cosa le differenzia:
• LAN è una rete locale per il collegamento di PC all'interno di una casa, di un ufficio o di una intera struttura
(azienda, scuola, ente). Gli utenti di una LAN operano in una stessa organizzazione, condividendo dati e
dispositivi hardware tramite connessioni ad alta velocità (100 Mbps o 1Gbps), elevata sicurezza e
affidabilità. Si vanno sempre più affermando le WLAN, reti locali con connessioni wireless (Wi-Fi), che
utilizzano onde radio tra i computer in rete. La velocità tipica di una WLAN è di 54 Mbps
• MAN è una rete metropolitana, ossia un'estensione delle rete locali in ambito urbano, rese possibili
dall'armonizzazione di standard congiunti a cura degli enti ISO e CCITT. Tali reti di solito utilizzano le reti
in fibra ottica messe a disposizione dagli operatori di telecomunicazioni. La velocità di una connessione
MAN è compresa fra i 2 Mbps e i 140 Mbps. Le reti MAN sono sempre più spesso classificate tra le WAN
• WAN è una rete geograficamente estesa, che può collegare reti che si trovano in città diverse. Le reti
WAN devono garantire il controllo contro accessi non autorizzati, attraverso la predisposizione di
98 meccanismi di sicurezza.
Nessuna azienda né organizzazione opera in condizioni di isolamento. O perché appartenenti ad una stessa
filiera produttiva, o perché facenti parte di uno stesso gruppo o per semplici necessità di scambio di dati e
informazioni,
© tutte hanno
Sergio Margarita esigenze
- Nuova ECDLdie interconnessione
Open Source del proprio sistema informatico.
109 IT Security
L'estensione
Realizzato della rete all'esterno
esclusivamente per richiede un'attenzione
GABRIELE TOMASI - SKILLancoraonmaggiore
LINE 109 alle problematiche di sicurezza e
© SergiolaMargarita
richiede messa in- Nuova
opera di ECDL e Open Source
accorgimenti particolari a protezione delle comunicazioni, per esempio la IT Security
creazione di cosiddette reti virtuali private (VPN, Virtual Private Network). Per comunicare fra sedi o uffici
L'estensione delladistaccati,
geograficamente rete all'esterno richiede
un'impresa puòun'attenzione ancorainfrastruttura
creare una propria maggiore alledi problematiche
rete ma con ladidiffusione
sicurezzadie
richiede si
Internet, la tende
messaperin motivi
operadidicostoaccorgimenti particolari
ad abbandonare a protezione
questo approcciodellee ad comunicazioni,
utilizzare inveceper esempio
la stessa la
rete
creazioneIndi questo
Internet. cosiddette
caso retisivirtuali
parla private
di rete(VPN, Virtual
privata Private
virtuale (in Network).
inglese VPN) Per comunicare
per indicare frauna
sedi rete
o uffici
di
geograficamente
comunicazione distaccati,
privata un'impresa
che utilizza delle può creare una
infrastrutture di propria infrastruttura
rete pubbliche di rete
(Internet). ma con
Scopo dellala VPN
diffusione di
sarà di
Internet,le siproblematiche
gestire tende per motivi di costo ad
di sicurezza cheabbandonare questodall'uso
possono derivare approccio e adrete
di una utilizzare invece
condivisa per lafarstessa rete
transitare
Internet. In riservate.
informazioni questo caso si parla il di
In particolare rete privata
software virtuale
di gestione della(in VPN inglese
prenderà VPN) per indicare
in carico unadeirete
la cifratura dati di
e
comunicazione degli
l'autenticazione privata che raggiungendo
utenti, utilizza delle infrastrutture di rete
così un elevato livellopubbliche
di sicurezza(Internet). Scopo della VPN sarà di
nella trasmissione
gestire le problematiche di sicurezza che possono derivare dall'uso di una rete condivisa per far transitare
3.4.1 Comprendere
informazioni lo scopo
riservate. In di un accountil di
particolare rete e come
software accederedella
di gestione alla rete
VPN usando un nome
prenderà utente la
in carico e una password.
cifratura dei dati e
l'autenticazione degli utenti, raggiungendo così un elevato livello di sicurezza
Comprendere lo scopo di un account di rete e come accedere alla rete usando un nome utente e nella trasmissione
Come più volte ricordato, nome utente e password costituiscono le principali credenziali di autenticazione
per l'accesso ad un sistema di elaborazione. Le misure di sicurezza una p a s s wrichiedono
minime ord che soltanto gli utenti
3.4.1 Comprendere lo scopo di un account di rete e come accedere alla rete usando un nome utente e una password.
autorizzati possano accedere alle risorse informatiche, limitatamente ai diritti che gli sono assegnati per la
Come
loro più volte
attività. Questoricordato,
vale pernome utente ecomputer,
un personal passwordper costituiscono le principali
i server o a maggior credenziali
ragione di autenticazione
per le reti, soprattutto se
per l'accesso
queste sono di adgrandi
un sistema di elaborazione.
dimensioni Le misure
e si estendono di sicurezza minime
geograficamente fuori dairichiedono
locali eche
dal soltanto gli utenti
diretto controllo
dell'impresa.
loro attività. Questo vale per un personal computer, per i server o a maggior ragione per le reti, soprattutto se
Ogni utente all'interno dell'impresa o dell'organizzazione sarà dotato di un account personale di rete al quale
queste sono di grandi dimensioni e si estendono geograficamente fuori dai locali e dal diretto controllo
sarà abbinato un codice utente e una password, quest'ultima da scegliere nel rispetto delle regole aziendali
dell'impresa.
e da modificare periodicamente. In questo modo potrà accedere alle funzionalità del sistema di sua
Ogni utenteaiall'interno
pertinenza, programmi dell'impresa o dell'organizzazione
che è autorizzato ad utilizzare, aisarà
datidotato
utili perdi lo
unsvolgimento
account personale
delle sue di mansioni.
rete al quale
Si
sarà abbinato un codice utente e una password, quest'ultima da scegliere
ricorda infatti che la funzione del nome utente e della password nell'account di rete è duplice: nel rispetto delle regole aziendali
•e autenticazione.
da modificare Per periodicamente.
identificare chiIn siquesto
collegamodo potrà accedere
e permettere alle funzionalità
il collegamento solo a chi del
è in sistema
possessodidelle
sua
pertinenza, ai programmi che è autorizzato ad utilizzare, ai dati utili per lo svolgimento delle sue mansioni. Si © Copyright AICA 2014 – 2019
credenziali.
•ricorda infatti che la
autorizzazione. funzione del
All'account nome
di rete utente
sono e dellai password
associati nell'account
diritti di accesso di rete èconfigurati
alle risorse, duplice: in modo che
• autenticazione. Per identificare chi si collega e permettere il collegamento solo a chi è in possesso delle
l'autenticazione degli utenti, raggiungendo così un elevato livello di sicurezza nella trasmissione
3.4.1 Comprendere lo scopo di un account di rete e come accedere alla rete usando un nome utente e una password.
Come più volte ricordato, nome utente e password costituiscono le principali credenziali di autenticazione
per l'accesso ad un sistema di elaborazione. Le misure di sicurezza minime richiedono che soltanto gli utenti
loro attività. Questo vale per un personal computer, per i server o a maggior ragione per le reti, soprattutto se
queste sono di grandi dimensioni e si estendono geograficamente fuori dai locali e dal diretto controllo
dell'impresa.
Ogni utente all'interno dell'impresa o dell'organizzazione sarà dotato di un account personale di rete al quale
sarà abbinato un codice utente e una password, quest'ultima da scegliere nel rispetto delle regole aziendali
e da modificare periodicamente. In questo modo potrà accedere alle funzionalità del sistema di sua
99
pertinenza, ai programmi che è autorizzato ad utilizzare, ai dati utili per lo svolgimento delle sue mansioni. Si
ricorda infatti che la funzione del nome utente e della password nell'account di rete è duplice:
• autenticazione. Per identificare chi si collega e permettere il collegamento solo a chi è in possesso delle
credenziali.
• autorizzazione. All'account di rete sono associati i diritti di accesso alle risorse, configurati in modo che
ogni utente possa accedere soltanto alle risorse informatiche di cui necessita nell'ambito della sua attività.
Naturalmente il livello di protezione assicurato da questo sistema dipende da molti fattori quali le precauzioni
prese per tenere riservate le credenziali e per gestirle nel tempo (non si scrive la password su un foglietto e
non si numera progressivamente quando bisogna modificarla pippo01, pippo02, ...); la resistenza agli
attacchi di tutti i tipi; la corretta configurazione degli accessi e dei diritti; la fedeltà del collaboratore, ... Non
ultimo, la disattivazione dell'account di rete quando cessa il rapporto di lavoro e l'aggiornamento tempestivo
©dei diritti di
Sergio accesso -quando
Margarita Nuova cambiano
ECDL e Openle mansioni.
Source 110 IT Security
Per questo motivo,

Realizzato negli ambienti
esclusivamente che richiedono
per GABRIELE un maggior
TOMASI livello
- SKILL di sicurezza sono messi in atto dispositivi
on LINE
diversi e più sicuri. In questo, come in tutte le problematiche generali di sicurezza gioca un ruolo importante
l'amministratore di rete.
3.1.2 Comprendere il ruolo dell’amministratore di rete nella gestione delle operazioni di autenticazione, autorizzazione e
L'amministratore di rete è la persona (più di una nel caso di realtà di grandi dimensioni), interna o esterna
all'azienda o all'organizzazione, preposta alla gestione tecnica della rete di computer. Assume un ruolo
particolarmente importante sulle tematiche di sicurezza ed in particolare deve:
• assicurare il regolare funzionamento delle apparecchiature di rete e dei dispositivi di collegamento
• definire e mettere in opera le misure di sicurezza atte a garantire un corretto livello di protezione della rete
• gestire tutti gli aspetti dell'accesso alla rete da parte degli utenti.
Su quest'ultimo punto in particolare, deve:

• creare gli account utente e assegnare le credenziali di autenticazione (codice utente e password) ai nuovi
utenti AICA 2014 – 2019
© Copyright www.micertificoecdl.it
• assegnare le autorizzazioni ai nuovi utenti (diritti di accedere ad alcuni dati o programmi e non ad altri, a Figura 46: Un firewall
seconda delle mansioni svolte)
© Sergio
© Sergio Margarita
Margarita- -Nuova NuovaECDL ECDL e Open
e Open SourceSource 110 110 IT Security
IT Security
Per questo motivo, negli ambienti che richiedono un maggior livello di sicurezza sono messi in atto dispositivi
Per questo motivo, negli ambienti che richiedono un maggior livello di sicurezza sono messi in atto dispositivi
diversi e piùmotivo,
Per questo sicuri. negli
In questo, come
ambienti in richiedono
che tutte le problematiche generali
un maggior livello di sicurezza
di sicurezza gioca
sono un ruolo
messi in attoimportante
dispositivi
diversi e più sicuri. In questo, come in tutte le problematiche generali di sicurezza gioca un ruolo importante
l'amministratore
diversi e più di
sicuri.
l'amministratore di rete.rete.
In questo, come in tutte le problematiche generali di sicurezza gioca un ruolo importante
C o mdiprete.
l'amministratore rendere il ruolo dell’amministratore di rete nella gestione delle operazioni di
3.1.2 Comprendere il ruolodell’amministratore
t i c a dell’amministratore
a u t eil nruolo
3.1.2 Comprendere idiz zrete
z i o n e , a u t odir rete a znella gestione
i ogestione
nella ne a s delle
e delle e g operazioni
soperazioni n edi d
autenticazione,
n a z idio autenticazione, c c o autorizzazione
u n t ael l ’ i n te e r n o d i u n a r e t e
e g l i aautorizzazione
assegnazione
3.1.2 degliaccount
Comprendere
assegnazione degli account all’interno
il ruoloall’interno di di una
dell’amministratore
una rete.
rete. di rete nella gestione delle operazioni di autenticazione, autorizzazione e
L'amministratore
L'amministratore didirete reteè èlalapersona
persona (più(più di una
di una nel nel
casocaso di realtà
di realtà di grandi
di grandi dimensioni),
dimensioni), internainterna o esterna
o esterna
L'amministratore
all'azienda di rete è la persona
all'azienda oo all'organizzazione,
all'organizzazione, preposta (piùalla
preposta di una
alla nel caso
gestione
gestione tecnicadi realtà
tecnica di grandi
delladella
rete rete didimensioni),
computer.
di computer. Assume interna
Assume oun
un ruolo esterna
ruolo
100 all'azienda
particolarmente
particolarmenteo all'organizzazione,
importantesulle
importante sulle preposta
tematiche
tematiche alla
di gestione
sicurezza
di sicurezza ed in tecnica
edparticolare della
in particolare rete
deve:deve:di computer. Assume un ruolo
•particolarmente
assicurare importante
assicurareililregolare
regolare sulle tematiche
funzionamento
funzionamento delle
delle diapparecchiature
sicurezza eddiinrete
apparecchiature particolare deideve:
e deiedispositivi
di rete di collegamento
dispositivi di collegamento
•• definire e
assicurare
definire mettere in
il regolare
e mettere opera le misure
funzionamento
in opera di
le misure di sicurezza
delle atte a garantire
apparecchiature
sicurezza un corretto
di reteun
atte a garantire e dei livello di
dispositivi
corretto protezione della rete
livellodidicollegamento
protezione della rete
•• gestire
definiretutti
gestire tuttigligliaspetti
e mettere in dell'accesso
aspetti opera alla
le misure
dell'accesso rete
alla da da
di rete parte
sicurezzapartedegli autenti.
attedegligarantire
utenti. un corretto livello di protezione della rete
• gestire tutti gli aspetti dell'accesso alla rete da parte degli utenti.
SuSu quest'ultimo
quest'ultimopunto puntoininparticolare,
particolare, deve:
deve:
•Sucreare gli account
quest'ultimo utente
puntoutente e assegnare
in particolare, le credenziali di autenticazione (codice utente e password) ai nuovi
deve:
• creare gli account e assegnare le credenziali di autenticazione (codice utente e password) ai nuovi
utenti
• utenti
creare gli account utente e assegnare le credenziali di autenticazione (codice utente e password) ai nuovi
• assegnare le autorizzazioni ai nuovi utenti (diritti di accedere ad alcuni dati o programmi e non ad altri, a Figura 46: Un firewall
utenti
• seconda
assegnare le mansioni
autorizzazioni Figura 46: Un firewall
delle svolte)ai nuovi utenti (diritti di accedere ad alcuni dati o programmi e non ad altri, a
• seconda
assegnare le autorizzazioni
delle mansioni svolte)ai nuovi utenti (diritti di accedere ad alcuni dati o programmi e non ad altri, a Figura 46: Un firewall
• aggiornare le autorizzazioni degli utenti (per esempio, in caso di cambio di mansioni che portano a gestire
seconda
• dati
aggiornare delle
diversi) le mansioni
autorizzazionisvolte)degli utenti (per esempio, in caso di cambio di mansioni che portano a gestire
•• rimuovere
aggiornare
dati diversi) le autorizzazioni
gli account degli utenti chedegli utenti
lasciano(perlaesempio,
struttura. in caso di cambio di mansioni che portano a gestire
dati diversi)
• rimuovere gli account degli utenti che lasciano la struttura.
•3.1.3
rimuovere
Comprenderegli account
la funzione degli utenti
e i limiti che
di un lasciano la struttura.
firewall.
3.1.3 Comprendere la funzione e i limiti di un firewall.
Quando le infrastrutture informatiche C o m p rconnesse
e n d e r ealla
l a rete
f u n sono
zione e i l i malle
i t i intrusioni:
d i u n f i molti
rewall
3.1.3 Comprendere la funzione e i limiti di unsono
firewall. vulnerabili
programmi,
Quando le tipicamente applicazioni
infrastrutture per losono
informatiche scambio di file, sfruttano
connesse alla retela sono
possibilità di accedere
vulnerabili alle aiintrusioni:
dati per molti
carpire informazioni
Quando le tipicamente
programmi, riservate, come
infrastruttureapplicazioni
informatichele password,
per sono
lo scambio usando
connesse i PC come
allasfruttano
di file, testa
rete sono di ponte per
vulnerabili
la possibilità entrare inaireti
alle intrusioni:
di accedere datimolti
per
aziendali.
programmi,
carpire Per ovviare
tipicamente
informazioni a questi inconvenienti
applicazioni
riservate, come per si ricorre
lo scambiousando
le password, al firewall o "muro
di file, isfruttano
PC come tagliafuoco",
la possibilità destinato
di accedere
testa di ponte cioè
per entrareaiaddati
in per
reti
impedireinformazioni
carpire
aziendali. la Per
propagazione adel
ovviareriservate,fuoco,
questi e perleanalogia
come password,
inconvenienti sidel malware.
usando
ricorre i PC come
al firewall o "muro testa di ponte per
tagliafuoco", entrarecioè
destinato in reti
ad
aziendali.laPer
impedire ovviare a questi
propagazione del fuoco,inconvenienti
e per analogia si ricorre al firewall o "muro tagliafuoco", destinato cioè ad
del malware.
Il firewall èlaun
impedire dispositivo software
propagazione del fuoco,e/o hardware
e per analogiaposto del
a protezione
malware.di segmenti di rete, per regolare il traffico
in ingresso e in uscita, secondo regole specifiche definite dagli amministratori: in questo modo tutte le
Ilconnessioni
firewall è un dispositivo software e/o hardware posto a protezione di segmenti di rete, per regolare il traffico
in entrata e in uscita sono filtrate e il transito viene concesso solo a quelle esplicitamente
Il firewall
in è un dispositivo software e/o hardware posto a protezione di segmenti di rete, per regolare il traffico
autorizzate. Più in
ingresso e uscita, secondo
in dettaglio, il compiti regole specifiche
del firewall sono: definite dagli amministratori: in questo modo tutte le
in ingresso ein inentrata
connessioni uscita,e secondo
in uscitaregole specifiche
sono filtrate e il definite
transito dagli
viene amministratori:
concesso solo ina questo modo tutte le
quelle esplicitamente
connessioni Più
autorizzate. in entrata e in iluscita
in dettaglio, compitisono filtrate sono:
del firewall e il transito viene concesso solo a quelle esplicitamente
autorizzate. Più in dettaglio, il compiti del firewall sono:


• impedire l'accesso ad Internet di applicazioni presenti sul computer che non sono abilitate ad accedere
all'esterno
• impedire l'accesso alla rete interna da parte di applicazioni esterne che non sono abilitate ad accedere
all'interno della rete (o del computer)
©• Sergio Margaritanon
filtrare contenuti - Nuova
adatti ECDL
al contesto
• impedire e Open
l'accesso Source
di ad
utilizzo
Internet(bambini, attività
di applicazioni sul111
lavorativa,
presenti ...) che non sono abilitate ad accedere
computer IT Security
• segnalare all'utente e all'amministratore di rete i tentativi di accesso non autorizzati.
all'esterno
• impedire l'accesso alla rete interna da parte di applicazioni esterne che non sono abilitate ad accedere
• impedire l'accesso ad Internet di della
applicazioni presenti sul computer che non sono abilitate ad accedere
Esistono numerosi firewall• all'interno
all'esterno software, rete (o del computer)
sia Open Source sia commerciali, che rispondono alle più svariate
filtrare contenuti non adatti al contesto di utilizzo (bambini, attività lavorativa, ...)
esigenze. Fra quelli FLOSS,
• impedire l'accesso alla rete si possono
interna
• segnalare citare
da parte
all'utente per Linux:
di applicazioni
e all'amministratore di reteesterne
i tentativi diche nonnon
accesso sono abilitate ad accedere
autorizzati.
• all'interno
Netfilter/iptables, per(oil del
della rete filtraggio
computer) del traffico di rete
•• filtrare
Firestarter e Shorewall,
contenuti non adatti
Esistono numerosi firewall software, sia Open Source sia commerciali, che rispondono alle più svariate
come interfacce
al contesto grafiche a Netfilter/iptables. 101
esigenze. Fra quellidi utilizzo
FLOSS, (bambini,
si possono citareattività lavorativa, ...)
per Linux:
• segnalare all'utente e all'amministratore
• Netfilter/iptables, per di ilrete i tentativi
filtraggio di di
del traffico accesso
rete non autorizzati.
Va infine osservato che in• un sistema
Firestarter di comunicazione,
e Shorewall, come interfaccepossono essere installati più firewall, ognuno con
grafiche a Netfilter/iptables.
uno scopo,
Esistono un ambito
numerosi e unsoftware,
firewall gestore diversi:sia che
Open un PersonalsiaFirewall sul computer dell'utente,alle un piùfirewall che
Va infine osservato in unSource commerciali,
sistema di comunicazione, cheessere
possono rispondono
installati più firewall, svariate
ognuno con
separa la rete aziendale
esigenze. Fra quelli FLOSS, da Internet,
unosiscopo,
possono un firewall
citare
un ambito e un
presso
pergestore l'Internet Service Provider.
Linux:diversi: un Personal Firewall sul computer dell'utente, un firewall che
separa la rete
• Netfilter/iptables, per il filtraggio del aziendale da rete
traffico di Internet, un firewall presso l'Internet Service Provider.
• Firestarter e Shorewall, come interfacce grafiche a Netfilter/iptables.

Esercizio
Esercizio
Va infine osservato che in un sistema di comunicazione, possono essere installati più firewall, ognuno con
Verificate sul personal computer
Verificate sulche state
personal usando
computer chese è presente
state usando se èun firewall.
presente un firewall.
uno scopo, un ambito e un gestore Determinatene
diversi: un ilPersonal Firewall sul computer dell'utente, un firewall che
nome e la versione.
Determinatene il nome e la versione.
separa la rete aziendale da Internet, un firewall presso l'Internet Service Provider.
Anche se rappresentano un valido strumento per filtrare e rendere più sicuro il traffico fra l'interno e l'esterno,
Anche se rappresentano un valido
i firewall strumento
presenta per filtrare
concretamente alcune e limitazioni,
rendere fra piùle sicuro
quali: il traffico fra l'interno e l'esterno,
• il livello di protezione Esercizio
offerto dal firewall dipende strettamente dal modo in cui è stato configurato. Le
i firewall presenta concretamente alcune limitazioni, fra le quali:
regole di filtraggio devono essere molto attentamente analizzate per assicurare un'elevata protezione
• il livello di protezione offerto
• questedal firewall
regole dipende
richiedono strettamente
una costante attenzione dal
e unmodo
regolareinaggiornamento
cui è statoper configurato. Le
far fronte ai rischi
Verificate sul personal
regole di filtraggio devonoderivanti
esseredamoltocomputer che state
attentamente
nuovi attacchi usando se è presente un firewall.
analizzate per assicurare un'elevata protezione
o nuovi malware
• queste regole Determinatene
richiedono • leiluna nome
regole e la
non
costante versione.
devono essere tali daepenalizzare
attenzione un regolare la regolare attività lavorativaper
aggiornamento nell'impresa
far fronte ai rischi
• i firewall non hanno nessuna utilità contro gli attacchi alla rete interna provenienti dall'interno. Se un PC è
derivanti da nuovi attacchiinfetto o nuovi malware
da un malware o un collaboratore malevolo utilizza il suo PC per compiere attacchi dall'interno.
• le regole
Anche non devono essere
se rappresentano un valido tali strumento
da penalizzare la regolare
per filtrare e rendereattività
piùlavorativa nell'impresa
sicuro il traffico fra l'interno e l'esterno,
4.1.5 Comprendere il termine “one-time password”.
•i firewall
i firewall non hanno nessuna utilità contro gli attacchi
presenta concretamente alcune limitazioni, fra le quali: alla rete interna provenienti dall'interno. Se un PC è
infetto da un malware o un collaboratore malevolo utilizza il suo PC per
• il livello di protezione offerto dal firewall dipende strettamente dal modo in cui è stato configurato. Le compiere attacchi dall'interno.
regole di filtraggio devono essereesclusivamente
Realizzato molto attentamente
per GABRIELE analizzate
TOMASI per assicurare
- SKILL on LINE un'elevata protezione
• queste regole richiedono una costante attenzione e un regolare aggiornamento per far fronte ai rischi
derivanti da nuovi attacchi o nuovi malware
• le regole non devono essere tali da penalizzare la regolare attività lavorativa nell'impresa
Realizzato
• i firewall nonesclusivamente
hanno nessuna perutilità
GABRIELEcontro gliTOMASI
attacchi- SKILL
alla reteoninterna
LINE provenienti dall'interno. Se un PC è
infetto da un malware o un collaboratore malevolo utilizza il suo PC per compiere attacchi dall'interno.

Nelle linee guida sulla sicurezza si richiede che i sistemi informatici consentano agli utenti di cambiare
autonomamente la propria password e si raccomanda agli utenti stessi di cambiarla frequentemente. Per
maggiore sicurezza © Sergio
alcuni Margarita - Nuova ECDL
sistemi prevedono e Open Source
un cambio obbligatorio periodico (per 112 esempio ogni 30 giorni). IT Security
© Sergio Margarita - NuovalaECDL
Naturalmente,
C o m pdella
durata edi Open
r e npassword
validitàSource
d e r e inonl t epuò
r messere
i n e 112
“così
o nbreve
e-tim e password”
da penalizzare l'operatività IT Security
Nelle
dell'utilizzatore, ma linee guida
è indubbio che sulla sicurezza si
al crescere richiede
della cheaumenta
durata i sistemi informatici consentano
la possibilità che la agli utenti divenga
password cambiare
scoperta ed ancheautonomamente
che ne sia la un
fatto propria password
utilizzo e si raccomanda agli utenti stessi di cambiarla frequentemente. Per
fraudolento.
Nelle linee guida sulla sicurezza si richiede che i sistemi informatici consentano agli utenti di cambiare
maggiore sicurezza alcuni sistemi prevedono un cambio obbligatorio periodico (per esempio ogni 30 giorni).
autonomamente Perlaoperazioni
propria password
critiche, come
Naturalmente,e quelle
sila raccomanda
chedihanno
durata agli
validitàrisvolti utenti stessi
finanziari
della password non puòdi(bonifici
diretti cambiarla
essere perbreve
così frequentemente.
esempio), sono utilizzate
da penalizzare Per
l'operatività
password la cui dell'utilizzatore,
durata è molto brevema è indubbio
(30cambio che al
secondi o crescere
1 minuto). della durata
questi aumenta
Inperiodico casi,(per
non la èpossibilità
l'utente che
che la
la password
sceglie venga
ma
maggiore sicurezza alcuni sistemi prevedono
scoperta ed anche
un obbligatorio esempio ogni 30 giorni).
è generata automaticamente da unche ne sia fattoelettronico
dispositivo un utilizzo fraudolento.
(Figura 47). La validità nel tempo così ridotta della
Naturalmente, la durata di validità della password non può essere così breve da penalizzare l'operatività
102 password ne rendePer l'intercettazione
operazioni critiche,e soprattutto
come quellel'utilizzo
che hanno improprio molto difficile.
risvolti finanziari diretti (bonifici per esempio), sono utilizzate
dell'utilizzatore, ma è indubbiopassword
che allacrescere
cui durata è della durata
molto breve aumenta
(30 secondi la possibilità
o 1 minuto). In questi casi,che nonla password
è l'utente vengama
che la sceglie
scoperta ed ancheUn altro
cheapproccio èè
ne sia fatto quello della "one-time
un utilizzo
generata password",
fraudolento.
automaticamente da un dispositivoo password valida47).
elettronico (Figura unaLasola volta.
validità L'utente
nel tempo cosìdispone
ridotta della
come nel caso precedente dirende
password ne un dispositivo cheegenera
l'intercettazione la l'utilizzo
soprattutto password oppure
improprio la difficile.
molto riceve sul proprio telefono
Per operazioni portatile
critiche,income
un SMS.quelle
UnUna che
altro volta hanno
inserita
approccio risvolti
la
è quello della finanziari
password sul sito
"one-time diretti (bonifici
ed eseguita
password", per
l'operazione,
o password validaesempio),
questa
una sono
perde
sola volta. utilizzate
di validità
L'utente dispone
e non può essere
password la cui durata è moltocome utilizzata
breve nel (30 per altre
casosecondi operazioni.
precedenteodi1un minuto).Oltre a
dispositivoInche offrire
questi un
generacasi, livello di sicurezza
non è oppure
la password l'utente più
che la
la riceve elevato, questi
sul sceglie
proprio ma
telefono
sistemi in cui la password
è generata automaticamente portatile
da un in non è scelta
un SMS.
dispositivo Una dall'utente
volta
elettronico ma
inserita(Figura
la generata
password 47). automaticamente,
sul La
sito validità
ed eseguita nel tutelano
l'operazione,
tempo "malgrado
questa
così perde di
ridotta loro"
validità
della Figura 47: Un generatore di password
quegli utenti poco esensibili
non puòalle tematiche
essere utilizzatadiper
sicurezza e poco Oltre
altre operazioni. desiderosi
a offrirediunrispettare le buonepiù
livello di sicurezza prassi per questi
elevato, la
password ne rende l'intercettazione
gestione sistemi e
delle password in soprattutto
cui la password
(descritte al puntol'utilizzo
non improprio
è scelta
3.4.2). dall'utentemolto difficile.
ma generata automaticamente, tutelano "malgrado loro" Figura 47: Un generatore di password
quegli utenti poco sensibili alle tematiche di sicurezza e poco desiderosi di rispettare le buone prassi per la
Un altro approccio
Molti è quello
infatti della
usano "one-time
password
gestione troppo
delle password",
semplici,
password alopunto
magari
(descritte password
il codicevalida
se 3.4.2). utente una sola volta.
è il proprio cognome L'utente
usano ildispone
proprio
come nel casonome precedente di Molti
come password, un dispositivo
aggiungendo
infatti che
usano password genera
un numero la password
progressivo
troppo semplici, se oppure
tutte
magari il le la cui
volteutente
codice in riceve
è ilsono sul proprio
costretti
proprio cognome telefono
a cambiarla:
usano il proprio
sergio2,
portatile in un SMS. Unasergio3,
voltasergio4,
inserita
nome ... lapassword,
come password sul sitouned
aggiungendo eseguita
numero l'operazione,
progressivo tutte le volte questa
in cui sonoperde
costrettidiavalidità
cambiarla:
e non può essere utilizzata per sergio2,
altre sergio3, sergio4, ... Oltre a offrire un livello di sicurezza più elevato, questi
operazioni.
3.4.3 Identificare le comuni tecniche di sicurezza biometriche usate per il controllo degli accessi, quali impronte digitali,
sistemi in cui lascansione
password non3.4.3
dell’occhio.è scelta
Identificaredall'utente madigenerata
le comuni tecniche automaticamente,
sicurezza biometriche tutelano
usate per il controllo "malgrado
degli accessi, quali impronteloro"
digitali,
Figura 47: Un generatore di password
scansione dell’occhio.
La password,
gestione delle password abbinata
(descritte o no
al punto
La password,
adabbinata
un3.4.2).
codice utente, è il sistema di controllo degli accessi maggiormente diffuso
o no ad un codice utente, è il sistema di controllo degli accessi maggiormente diffuso
ma il suo livello dima
sicurezza nondi èsicurezza
il suo livello molto alto.
non La protezione
è molto può essere
alto. La protezione puòrafforzata con dispositivi
essere rafforzata più sicuri
con dispositivi più sicuri
Molti infatti usano
comepassword
per esempio troppo
badge
come semplici,
per individuali magari
esempio badge se il ma
(smartcard)
individuali codice
ancheutente
(smartcard) questi
ma ancheèpossono
il questi
proprio cognome
essere
possono usano
rubati, rubati,
essere oltre il aproprio
aoltre
richiedere
richiedere
appositi dispositivi di lettura
appositi collegati
dispositivi di al personal
lettura computer
collegati al che
personal ne
computerne
nome come password, aggiungendo un numero progressivo tutte le volte in cui sono costretti a cambiarla: hanno
che ne finora
ne hannorallentato
finora la diffusione.
rallentato la diffusione.
sergio2, sergio3, sergio4,
In casi in cui ... In casi un
è richiesto in cui è richiesto
controllo un controllo ai
dell'accesso dell'accesso ai dati (o dell'accesso
dati (o dell'accesso a certidi
a certi locali) locali) di elevata
elevata sicurezza,
sicurezza, si si
ricorre a dispositiviricorre a dispositivi
biometrici che biometrici
sfruttanoche sfruttano
alcune alcune caratteristiche
caratteristiche fisiche dell'individuo
fisiche dell'individuo anziché anziché la sua Figura
la sua Figura 48: Un lettore di impronte digitali
48: Un lettore di impronte digitali
conoscenza di una parola chiave. La caratteristica biometrica maggiormente in uso è quella delle impronte
3.4.3 Identificare conoscenza di unadigitali
le comuni tecniche parola chiave.
di sicurezza La caratteristica
biometriche usate biometrica
per il maggiormente
controllo degli in uso
accessi, è quella
quali delle
impronte impronte
digitali,
(Figura 48). Un apposito lettore (di ridotte dimensioni e costo limitato, tant'è che ne sono addirittura
digitali (Figura 48).dotai
scansione dell’occhio. Un alcuni
apposito lettore
personal (di ridotte
computer dimensioni
portatili) sul quale sie passa
costoil limitato,
dito leggetant'è che ne
le impronte sono
digitali e leaddirittura
confronta con
dotai alcuni personal computer
quelle portatili) sul
precedentemente quale si passa
memorizzate. il dito
Molto più legge levoluminosi
complessi, impronte edigitali
costosie le confronta
sono con che
i dispositivi
quelle precedentemente
La password, abbinata o no ad un codice memorizzate.
utente, è Molto più complessi,
il sistema di controllovoluminosi e costosimaggiormente
degli accessi sono i dispositivi che
diffuso
ma il suo livello di sicurezza non è molto
Realizzato alto. La protezione
esclusivamente può
per GABRIELE essere
TOMASI rafforzata
- SKILL on LINE con dispositivi più sicuri
come per esempio badge
Realizzato individuali (smartcard)
esclusivamente ma TOMASI
per GABRIELE anche questi
- SKILLpossono
on LINE essere rubati, oltre a richiedere
appositi dispositivi di lettura collegati al personal computer che ne ne hanno finora rallentato la diffusione.
In casi in cui è richiesto un controllo dell'accesso ai dati (o dell'accesso a certi locali) di elevata sicurezza, si
ricorre a dispositivi biometrici che sfruttano alcune caratteristiche fisiche dell'individuo anziché la sua Figura 48: Un lettore di impronte digitali
digitali (Figura 48). Un apposito lettore (di ridotte dimensioni e costo limitato, tant'è che ne sono addirittura
dotai alcuni personal computer portatili) sul quale si passa il dito legge le impronte digitali e le confronta con
quelle precedentemente memorizzate. Molto più complessi, voluminosi e costosi sono i dispositivi che

e non può essere utilizzata per altre operazioni. Oltre a offrire un livello di sicurezza più elevato, questi
sistemi in cui la password non è scelta dall'utente ma generata automaticamente, tutelano "malgrado loro" Figura 47: Un generatore di password
gestione delle password (descritte al punto 3.4.2).
Molti infatti usano password troppo semplici, magari se il codice utente è il proprio cognome usano il proprio
nome come password, aggiungendo un numero progressivo tutte le volte in cui sono costretti a cambiarla:
sergio2, sergio3, sergio4, ...
Identificare le comuni tecniche di sicurezza biometriche usate per il controllo degli accessi, quali
3.4.3 Identificare le comuni tecniche di sicurezzai m
biometriche
p r o n t e usate
d i gper
i t aill controllo
i , s c a ndegli
sion accessi,
e d e lquali
l ’ o cimpronte
c h i o digitali,
scansione dell’occhio.
La password, abbinata o no ad un codice utente, è il sistema di controllo degli accessi maggiormente diffuso
ma il suo livello di sicurezza non è molto alto. La protezione può essere rafforzata con dispositivi più sicuri
come per esempio badge individuali (smartcard) ma anche questi possono essere rubati, oltre a richiedere 103
appositi dispositivi di lettura collegati al personal computer che ne ne hanno finora rallentato la diffusione.
In casi in cui è richiesto un controllo dell'accesso ai dati (o dell'accesso a certi locali) di elevata sicurezza, si
ricorre a dispositivi biometrici che sfruttano alcune caratteristiche fisiche dell'individuo anziché la sua Figura 48: Un lettore di impronte digitali
digitali (Figura 48). Un apposito lettore (di ridotte dimensioni e costo limitato, tant'è che ne sono addirittura
© Sergio
dotai alcuniMargarita
personal- computer
Nuova ECDL e Open
portatili) Source
sul quale si passa il dito legge le113
impronte digitali e le confronta con IT Security
quelle precedentemente memorizzate. Molto più complessi, voluminosi e costosi sono i dispositivi che
effettuano una scansione dell'occhio riconoscendo le caratteristiche dell'iride dell'utente autorizzato.
Realizzato
Si può citareesclusivamente per GABRIELE TOMASI - SKILL on LINE personali la firma grafometrica. La
effettuano unaanche fra ledell'occhio
scansione tecniche di sicurezza
riconoscendo legate a caratteristiche
le caratteristiche dell'iride dell'utente autorizzato.
tecnica ,che stanno introducendo alcune banche nei rapporti con i clienti, consiste nel riconoscimento dei
Si può citare
movimenti fattianche fra le un
nel firmare tecniche di sicurezza
documento. legateun'apposita
Adoperando a caratteristiche
penna,personali la firma
l'utente firma grafometrica.
su una La
tavoletta che
tecnica ,che stanno introducendo alcune banche nei rapporti con i clienti, consiste
trasmette le informazioni sulla firma ad un programma per confrontarle con quelle precedentemente nel riconoscimento dei
movimenti
depositate.fatti
Le nel firmarediun
tecniche documento.
sicurezza Adoperando
biometrica un'apposita
oggi in penna, l'utente firma
corso di sperimentazione su una tavoletta
presentano un livelloche
di
trasmette
protezione lemaggiore
informazioni sulla nascere
ma fanno firma ad un programma
diverse problematicaperin confrontarle con quelle
termini di privacy precedentemente
e di misure di sicurezza
depositate. Le tecniche
per la protezione dei dati di sicurezza
biometrici biometrica inizialmente
di riferimento oggi in corso di sperimentazione presentano un livello di
raccolti.
protezione maggiore ma fanno nascere diverse problematica in termini di privacy e di misure di sicurezza
per la protezione dei dati biometrici di riferimento inizialmente raccolti.
R i c o n odis csegnalibri/cronologia
finanziarie, e r e l ’ i m p o r t aweb.
nza di avere una procedura di copie di sicurezza per ovviare alla perdita di
6.1.2 Riconoscere l’importanzaddia averet i , duna
i i procedura
n f o r m adi
z icopie
o n i dif isicurezza
n a n z i aper
rieovviare
, d i alla
s e perdita
g n a l idi
b rdati,
i / cdir o
informazioni
nologia web
finanziarie, di segnalibri/cronologia
Dell'importanza web.
delle copie di sicurezza si è già detto nella parte che illustra come difenderci dai rischi.
Addirittura si è suggerito, anche in un uso personale del computer, di pianificare i backup e definire una
Dell'importanza
procedura di copie delle copie di sicurezza si è già detto nella parte che illustra come difenderci dai rischi.
di sicurezza.
Quest'obiettivo
procedura è ancora
di copie più stringente per le imprese, vuoi per la natura dei dati che gestiscono, vuoi per il
di sicurezza.
maggior numero di attacchi che possono ricevere, vuoi ancora per i rischi provenienti dall'interno. Diventa
Quest'obiettivo è ancoraimportanza
quindi di fondamentale più stringente
cheper le imprese,
l'intera attività vuoi peralle
legata la natura
copie di deisicurezza
dati che gestiscono, vuoiinper
sia pianificata unail
maggior numero di attacchi che possono ricevere, vuoi ancora per i rischi provenienti
vera e propria procedura, indipendentemente dalla dimensione e dalle caratteristiche dell'impresa e dalla dall'interno. Diventa
quindi di fondamentale
gestione, interna o esterna,importanza che l'intera attività legata alle copie di sicurezza sia pianificata in una
dell'informatica..
vera e propria procedura, indipendentemente dalla dimensione e dalle caratteristiche dell'impresa e dalla
Non è sufficiente
gestione, interna oper esempio
esterna, che qualcuno vada a sostituire periodicamente il supporto mobile sul quale
dell'informatica..
vengono
© Copyrightfatte le 2014
AICA copie– 2019
oppure ogni tanto a controllare che non sia pieno. Anche perché se il processo non è www.micertificoecdl.it
Non è sufficiente
automatico e per per
mesiesempio
non vi èchela qualcuno
necessità vada a sostituire
di ripristinare periodicamente
i dati, il supportodiminuisce
il livello di attenzione mobile sulequale
ci si
vengono fatte le copie
"scorda" di fare le copie ...oppure ogni tanto a controllare che non sia pieno. Anche perché se il processo non è
Dell'importanza delle copie di sicurezza si è già detto nella parte che illustra come difenderci dai rischi.
procedura di copie di sicurezza.
Quest'obiettivo è ancora più stringente per le imprese, vuoi per la natura dei dati che gestiscono, vuoi per il
maggior numero di attacchi che possono ricevere, vuoi ancora per i rischi provenienti dall'interno. Diventa
quindi di fondamentale importanza che l'intera attività legata alle copie di sicurezza sia pianificata in una
vera e propria procedura, indipendentemente dalla dimensione e dalle caratteristiche dell'impresa e dalla
gestione, interna o esterna, dell'informatica..
104 Non è sufficiente per esempio che qualcuno vada a sostituire periodicamente il supporto mobile sul quale
vengono fatte le copie oppure ogni tanto a controllare che non sia pieno. Anche perché se il processo non è
automatico e per mesi non vi è la necessità di ripristinare i dati, il livello di attenzione diminuisce e ci si
"scorda" di fare le copie ...
Come accennato, oltre ad un backup locale può essere fatto un backup remoto. Se il computer è collegato
ad una rete locale, tipicamente in situazioni lavorative, l'utente ha spesso a disposizione un'unità di rete (si
veda il precedente punto 4.3.1). I file che vengono creati sono quindi prevalentemente memorizzati su
questa unità di rete. Non solo questa unità è in un luogo separato rispetto al computer ma il backup regolare
è assicurato dai tecnici che gestiscono il sistema informatico. Oltre ad unità personali dei singoli utenti sono
spesso disponibili unità comuni (per gruppi di utenti, per ogni reparto, ...) che permettono di condividere dati
e di accedervi da diverse postazioni ed anche queste unità sono oggetto di un backup.
©
SeSergio Margarita
il computer - Nuovainformativo
o il sistema ECDL e Open Source ad Internet, questo sistema
è collegato 114 è ulteriormente potenziato. IT Security
Diversi siti infatti offrono servizi di archiviazione di dati su unità online. Malgrado il possibile inconveniente
del rallentamento dovuto alla linea di trasmissione, questo sistema presenta diversi vantaggi per quanto
riguarda il backup:
• il backup viene fatto sicuramente in un luogo separato (a volte non si sa nemmeno dove sono i server)
• vi sono numerosi servizi altamente professionali che garantiscono un elevato livello di sicurezza
• i costi sono commisurati all'utilizzo effettivo del sistema, con un costo fisso nullo o molto basso.
Va ricordato che lo scopo delle copie di sicurezza è di poter ripristinare completamente e in tempi brevi i
contenuti del sistema informativo in seguito al verificarsi di danneggiamenti e assicurare la continuità dei
servizi. A seconda dei sistemi, "contenuti" può significare solo i dati, i dati e i programmi applicativi, i dati, i
programmi applicativi e il sistema operativo. Se la procedura di backup si riferisce soltanto ai dati, deve
essere integrata con la definizione di procedure di re-installazione del software: l'importante non è di
ripristinare i dati ma la funzionalità completa del sistema.
6.1.3 Identificare le caratteristiche di una procedura di copie di sicurezza, quali regolarità/frequenza, pianificazione,
collocazione della memoria di massa.
Per essere affidabile, una procedura di copie di sicurezza deve definire diverse caratteristiche quali:
• Regolarità. Come accennato, le copie di sicurezza non devono essere occasionali o lasciate all'iniziativa di
singoli individui. Vanno invece svolte con regolarità, tramite una procedura automatica che esegue il
backup ad orari prestabiliti, senza intervento umano. In caso di problema, errore, interruzione,
impossibilità di effettuare il backup previsto, la procedura deve inviare una segnalazione automatica
©delSergio
rallentamento
Margaritadovuto - Nuova allaECDL
linea ediOpen trasmissione,
Source questo sistema presenta 114 diversi vantaggi per quanto IT Security
riguarda il backup:
• il rallentamento
del backup viene fatto dovutosicuramente
alla linea indiun luogo separato
trasmissione, (a volte
questo non sipresenta
sistema sa nemmeno diversidove sono i per
vantaggi server)
quanto
• vi sonoil numerosi
riguarda backup: servizi altamente professionali che garantiscono un elevato livello di sicurezza
• ili costi
backup sono commisurati
viene all'utilizzoineffettivo
fatto sicuramente un luogodel sistema,(acon
separato volteunnoncosto fisso
si sa nullo o molto
nemmeno dove basso.
sono i server)
• vi sono numerosi servizi altamente professionali che garantiscono un elevato livello di sicurezza
•Vai costi
ricordato
sonoche lo scopo all'utilizzo
commisurati delle copie di sicurezza
effettivo è di poter
del sistema, con un ripristinare
costo fisso completamente e in tempi brevi i
nullo o molto basso.
contenuti del sistema informativo in seguito al verificarsi di danneggiamenti e assicurare la continuità dei
servizi.
Va A seconda
ricordato che lodei sistemi,
scopo delle"contenuti" può significare
copie di sicurezza è di potersolo ripristinare
i dati, i daticompletamente
e i programmi applicativi,
e in tempi ibrevi
dati, ii
programmidel
contenuti applicativi
sistema e il sistemainoperativo.
informativo seguito alSeverificarsi
la procedura di backup si riferisce
di danneggiamenti soltanto
e assicurare ai dati, deve
la continuità dei
servizi. A seconda dei sistemi, "contenuti" può significare solo i dati, i dati e i programmi applicativi, i dati,dii
essere integrata con la definizione di procedure di re-installazione del software: l'importante non è
ripristinare iapplicativi
programmi dati ma la e funzionalità
il sistema completa
operativo.delSesistema. la procedura di backup si riferisce soltanto ai dati, deve
essere integrata con la definizione di procedure di re-installazione del software: l'importante non è di 105
ripristinare i dati ma la funzionalità completa del sistema.
collocazione della memoria di massa.
Identificare le caratteristiche di una procedura di copie di sicurezza, quali regolarità/frequenza,
Per essere affidabile, unadiprocedura p i di
a ncopie
i f i c adizsicurezza
ione, co l l o cdefinire
deve a z i o ndiverse
e d e l caratteristiche
l a m e m o r i aquali:di massa
collocazione della memoria massa.
• Regolarità. Come accennato, le copie di sicurezza non devono essere occasionali o lasciate all'iniziativa di
Persingoli
essereindividui.
affidabile, Vanno invece svolte
una procedura di copiecondiregolarità,
sicurezza deve tramite una procedura
definire automatica quali:
diverse caratteristiche che esegue il
backup ad orari prestabiliti, senza intervento umano. In caso
• Regolarità. Come accennato, le copie di sicurezza non devono essere occasionali o lasciate all'iniziativa di problema, errore, interruzione,di
impossibilità
singoli di effettuare
individui. Vanno invece il backup
svolteprevisto, la procedura
con regolarità, tramitedeve una inviare
proceduraunaautomatica
segnalazione cheautomatica
esegue il
all'amministratore
backup ad orari del sistema. senza intervento umano. In caso di problema, errore, interruzione,
prestabiliti,
• impossibilità
Frequenza. La di frequenza
effettuare diil esecuzione
backup previsto, deve essere stabilitadeve
la procedura sulla inviare
base dellaunaquantità di dati da
segnalazione copiare,
automatica
della loro criticità e del
all'amministratore del sistema. periodo massimo accettabile di perdita dei dati: fare una copia mensile dei dati (per
assurdo) significa
• Frequenza. accettare
La frequenza di di perdere fino
esecuzione deve a un mesestabilita
essere di dati sulla
ossiabasequellidella
aggiunti e modificati
quantità di dati dadall'ultimo
copiare,
backup.
della loroSpesso
criticità eladel
frequenza è giornaliera
periodo massimo e il backup
accettabile di perditaavviene di notte,
dei dati: periodo
fare una copia tipico
mensiledi dei
inattività. In
dati (per
situazioni significa
assurdo) più critiche, la frequenza
accettare di perderepuò essere
fino a un piùmese
alta (duedi datio più volte
ossia al giorno)
quelli aggiunti e modificati dall'ultimo
• backup.
Pianificazione.SpessoPer la lo stesso insieme
frequenza è giornaliera di dati, e illabackup
copia può essere
avviene differenziata
di notte, periodoper datididainattività.
tipico copiare In e
frequenzapiù
situazioni di copia.
critiche, Sono in uso sistemi
la frequenza può essere di copiapiùche, per esempio,
alta (due o più volte copiano i soli dati quotidianamente e
al giorno)
l'intero disco una
• Pianificazione. Pervolta alla settimana
lo stesso insieme odi una dati,volta al mese,
la copia può magari
essere su supporti diper
differenziata archiviazione diversi.
dati da copiare e
Nella pianificazione,
frequenza di copia. Sono andrebbero
in uso anche
sistemidefinite
di copialeche,procedure di provacopiano
per esempio, periodica di ripristino
i soli e le procedure
dati quotidianamente e
vere e proprie
l'intero disco unadi ripristino
volta alla in caso di problema.
settimana o una volta al mese, magari su supporti di archiviazione diversi.
• Nella pianificazione,
Collocazione. andrebbero
Fondamentale è laanche definite fisica
separazione le procedure
del luogo di prova
in cui periodica
risiedono di ripristino
ii dati e le procedure
da copiare e quello
vere
delle ecopie.
proprie di ripristino
Lasciarli ambeduein caso di problema.
nello stesso server o nella stessa stanza non è una buona norma in quanto
non vengono gestiti
• Collocazione. i rischi di èdistruzione
Fondamentale la separazione o di furto.
fisicaLe delcopie
luogo di in
sicurezza vannoiifatte
cui risiedono dati su
da computer
copiare e oquello
unità
delle copie. Lasciarli ambedue nello stesso server o nella stessa stanza non è una buona norma in quanto
non vengono gestiti i rischi di distruzione o di furto. Le copie di sicurezza vanno fatte su computer o unità

diverse, poste fisicamente in un luogo diverso. Va pertanto scelto il tipo di backup (locale o remoto) che
potrà operare su dispositivi locali, su dispositivi collegati alla LAN o addirittura su server di Internet.
La Notizia
106 2 gennaio 2009

Slashdot (http://slashdot.org), storico e autorevole sito di news informatiche, con
un articolo dal titolo apparentemente tecnico Why Mirroring Is Not a Backup
Solution (Perché avere i dischi duplicati non è una soluzione di backup) racconta
di un sito di blog, journalspace.com, nato nel 2002 e vissuto 6 anni, a quanto pare
senza aver mai fatto le copie di sicurezza, fino a quando il suo database è andato
distrutto, causando la morte dell'azienda. Negli ultima anni, con diverse migliaia
di blogger aveva un traffico significativo di 14.000 visitatori al mese.
http://hardware.slashdot.org/story/09/01/02/1546214/why-mirroring-is-not-a-backup-
solution
ripreso da Techcrunch all'indirizzo http://techcrunch.com/2009/01/03/journalspace-drama-
all-data-lost-without-backup-company-deadpooled/
Se non specificato, le immagini sono di pubblico
dominio (Public domain). Le altre sono sotto licenza
Creative Commons Attribution-Share Alike 3.0
Va ricordato che le copie di sicurezza sono soltanto uno dei mattoni delle politiche di sicurezza dei dati ed è Unported license. Si riporta l'attribuzione all'autore o
l'ultimo ricorso, in caso di danneggiamento. Si affiancano infatti a tutti gli altri, destinati a prevenire il furto o a chi ha pubblicato l'immagine, quando disponibile, e
il sito da dove è stata tratta l'immagine:
la distruzione dei dati nonché ad impedire all'eventuale ladro di utilizzare i dati rubati. Firewall: Faisal007 (Wikipedia)
Enigma: Gartanene (Wikipedia)
Spam: freezelight (Flickr)
In questa parte, abbiamo approfondito gli argomenti dell'IT Security sotto il profilo delle imprese: Impronte digitali: Rachmaninoff (Wikipedia)
Cavo di sicurezza: redline (Wikipedia)
• le politiche per l'uso delle ICT e per le copie di sicurezza dei dati e il loro ripristino CD distrutti: Seth Anderson (Flickr - CC BY-SA 2.0)
• l'importanza della protezione delle informazioni commerciali e finanziarie Dumpster diving: Ilya Plekhanov (Wikimedia
Commons)
• le minacce ai dati dell'impresa e i metodi dell'ingegneria sociale
• il ruolo dell'amministratore di rete
• alcuni strumenti di protezione dei dati.
www.micertificoecdl.it per GABRIELE TOMASI - SKILL on LINE © Copyright AICA 2014 – 2019

Modulo IT Security Parte2

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Modulo IT Security Parte2

Caricato da

Copyright:

Formati disponibili

Capitolo 4 – Come possiamo difenderci

Riferimento Syllabus 4.1.7 Comprendere il termine “cookie”.

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Riferimento Syllabus 5.1.2 Comprendere il termine firma digitale.

Riferimento Syllabus 5.1.3 Creare e aggiungere una firma digitale.

Riferimento Syllabus 6.1.4 Effettuare la copia di sicurezza di dati.

Riferimento Syllabus 6.1.5 Ripristinare e validare i dati sottoposti a copia di sicurezza.

© Copyright AICA 2014 – 2019 www.micertificoecdl.it

Per limitare il numero

Comprendere il termine quarantena e l’operazione di mettere in quarantena file infetti/sospetti

Verificate sul personal computer cheEsercizio

Realizzato esclusivamente persalvare GABRIELE TOMASI

Per impostare una password ad un foglio Assegnare una password

vostra cartella di lavoro.

I programmi Se di fra le opzioni individuale

• nella finestra che compare,

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Più Più precisamente,

Serve buon senso per tutelarsi

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

Comprendere il termine “certificato digitale”. Convalidare un certificato digitale

Vedremo al successivo punto 4.1.9

Figura 26: Strumenti / Opzioni / Privacy

Selezionare impostazioni adeguate per consentire, bloccare i cookie

Per bloccare i cookie provenienti da tutti i siti, occorre:

Vedremo al successivo punto 4.1.9 come si Attenzione

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

5.1.2 Comprendere il termine firma digitale.

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Di conseguenza è buona norma: Attenzione

© Sergio Margarita - Nuova ECDL e Open Source 90 IT Security

6.1.4 Effettuare la copia di sicurezza di dati.

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati

IL GARANTE PER LA PROTEZIONE DEI DATI PERSONALI

Roma, 13 ottobre 2008

© Copyright AICA 2014 – 2019 www.micertificoecdl.it

Roma, 13 ottobre 2008

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Allegato B) al provvedimento del Garante del 13 ottobre 2008

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

Riferimento Syllabus 3.1.3 Comprendere la funzione e i limiti di un firewall.

© Copyright AICA 2014 – 2019 www.micertificoecdl.it

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

www.micertificoecdl.it © Copyright AICA 2014 – 2019

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE

Analizzare i vostri messaggi di posta elettronica, quelli spediti e ricevuti in un

Le reti possono essere classificateGABRIELE

Per questo motivo,

Su quest'ultimo punto in particolare, deve:

Realizzato esclusivamente per GABRIELE TOMASI - SKILL on LINE