AS
www.asinformatica.net
consulenza e sviluppo software
Sicurezza e backup

Questa pagina è dedicata a tutti coloro che, per lavoro o interesse personale, utilizzano un computer. Anche se non siete, né desiderate diventare, un utente “esperto”, ma semplicemente un utente che non desidera conoscere nulla di più di quanto gli è necessario, leggere quanto segue potrebbe un giorno evitarvi dispiaceri anche grossi.

Il backup

I vostri dati sono letti e scritti nel disco fisso del PC da testine che applicano per tempi infinitesimi e con estrema precisione campi magnetici localizzati ai piatti che gli ruotano sotto ad altissima velocità a distanze inferiori al centesimo di millimetro. I campi magnetici modificano l’orientamento delle particelle di ossidi di ferro collocate sulla superficie dei piatti, e di conseguenza il loro contenuto di informazione. Il disco fisso è l’unico dispositivo meccanico all’interno del PC, ed è talmente sofisticato e preciso nella sua costruzione da poter essere danneggiato irreparabilmente anche solo dall'ingresso di una particella di fumo.

In altri termini, se la percezione dell’utente comune è che i dati salvati nel PC sono in cassaforte, blindati, a prova di bomba, la realtà è diversa. Perché i dischi fissi sono sorprendentemente, ma non assolutamente, affidabili, e quando si rompono non si riparano, si sostituiscono. Con un disco nuovo, vuoto.

E’ vero che esistono aziende specializzate nel recupero dei dati da dischi danneggiati, e fanno miracoli. Ma il risultato non può essere garantito, e quanto ai costi, son cifre a tre zeri.

Va qui menzionata una importante recente tendenza, che è il progressivo calo dei prezzi e aumento delle capacità dei dischi SSD (solid state drive), che conservano i dati in microcircuiti e di conseguenza non hanno parti mobili, risultando quindi intrinsecamente più affidabili. Il costo per unità di memorizzazione è ancora però significativamente più alto rispetto ai dischi tradizionali. E in ogni caso neppure i dischi SSD sono indistruttibili.

L’unica reale difesa sono le copie di sicurezza dei dati, o backup. Questa è una lezione che ho visto troppo spesso apprendere nel modo più amaro. Meglio allora attrezzarsi prima. Come organizzarsi per il backup? E’ essenziale disporre di una soluzione agevole e rapida da usare, altrimenti il backup da quotidiano diventa sporadico e quindi inutile. Descrivo qui la soluzione da me adottata da anni con soddisfazione.

Utilizzo il software SyncBack, scaricabile dal sito del produttore www.2brightsparks.com. Esiste, accanto alle versioni a pagamento, una versione gratuita, SyncBackFree, con funzioni di base ma sufficienti per i nostri scopi. E’ facile da installare (anche in italiano) e configurare. Esistono certamente altri software analoghi, che funzionano secondo una logica simile a quella qui descritta.

E’ normale oggi avere grandi volumi di dati da conservare, immagini e video pesano assai, per questo assumiamo che si utilizzino per il backup dischi fissi, interni o esterni al PC.

Il modo più efficiente di usare SyncBack è configurare inizialmente i “profili”, ovvero le operazioni di backup standard che si desidera eseguire, dopodiché l’esecuzione del backup sarà solo questione di qualche click del mouse. La configurazione di un profilo consiste essenzialmente nell’indicazione delle cartelle contenenti i dati da salvare e in cui salvare (ovviamente su dischi diversi) e nella scelta tra due tipi fondamentali di scenari:

Ovviamente i due scenari non sono alternativi, ma possono coesistere ed essere composti come preferite: con un’opportuna configurazione il vostro disco esterno potrebbe diventare un veicolo per la sincronizzazione dei PC di casa e di ufficio, oltre che, necessariamente, uno strumento di backup; potreste avere più di un PC e uno o più dischi fissi esterni, per avere più copie di sicurezza e difendervi ancor meglio dalla malasorte, dalla legge di Murphy e dai topi di appartamento. Io personalmente ho sempre almeno 4 copie di tutto, sono arrivato a 6 per le cose importanti.

Le operazioni di SyncBack sono assai rapide perché ignorano la grande massa dei dati non modificati. Un uso quotidiano è pertanto possibile e raccomandato. L’esecuzione automatica ad orari programmati è possibile, ma io personalmente ne diffido: esiste il rischio di sovrascrivere la copia valida di un file con una più recente, ma non corretta.

Infine, il backup online: SyncBack è in grado di gestirlo su Google Drive, DropBox e altri con le stesse modalità del backup locale, anche se solo in versione a pagamento. Il problema del backup online è, in presenza di grandi volumi di dati, l’esigua velocità del collegamento ad Internet in uscita, tipicamente molto inferiore rispetto al collegamento in entrata (la A in ADSL significa Asymetric!). Speriamo che le cose migliorino nei prossimi anni, in particolare con il diffondersi della fibra ottica.

Insomma, mentre un disco fisso esterno costa poco, i vostri dati, forse una parte significativa della vostra vita di lavoro, di studio o personale, possono valere molto. Leggevo di una persona che alla vigilia della discussione perse la sua tesi di laurea, e non aveva backup. Non si è laureato mai più.

La sicurezza

La sicurezza informatica è un problema non adeguatamente percepito e spesso sottovalutato nel sentire comune. Si sente dire con indifferenza “Ma sì, avrò qualche virus nel computer”. Oggi il “virus”, o più esattamente il malware, o software malevolo/maligno/maledetto (di cui i virus sono una sottospecie), non è più una palestra per teppisti informatici, ma uno strumento della criminalità organizzata internazionale.

Con quali obiettivi? Rubare dati personali e finanziari, dei quali esiste un vasto mercato nero mondiale, per furti di identità e non solo; controllare a distanza milioni di PC ignari (“botnet”), così da fare del vostro PC uno strumento di appoggio per inviare valanghe di email truffaldine (“spam”), o scatenare, a scopo ricattatorio, un numero colossale di tentativi simultanei di accesso a un sito in modo da produrne il collasso (DDOS: Distributed Denial of Service, è stato fatto perfino con Facebook).

Ma forse il nemico più pericoloso è il cosiddetto "ransomware", da ransom, riscatto. Esso rende i dati sul vostro PC inaccessibili tramite un’operazione di cifratura, e vi chiederà denaro (vero) in cambio della chiave per decriptarli (che non avrete alcuna garanzia di ricevere, ovviamente). Vi basta?

Possiamo quindi affermare che la sicurezza informatica è una necessità personale, ma anche un dovere sociale. Qui di seguito quelle che a mio avviso sono le regole fondamentali, scritte pensando agli utenti Windows (ma gli utenti Macintosh non devono ritenersi al sicuro; gli utenti Linux non hanno bisogno dei miei consigli):

Il punto più debole delle difese è il fattore umano: molti attacchi si manifestano come tentativi di indurre comportamenti di collaborazione da parte della vittima, senza i quali non potrebbero aver successo. Supponiamo che siate appena uscito dalla vostra banca, e un signore, mostrandovi un qualche foglio di carta intestata della medesima, vi inviti (senza neppure sapere il vostro nome) a consegnargli Bancomat e PIN “per controlli”, promettendovi l’invio a domicilio di una nuova tessera “più sicura”. Lo assecondereste? Non credo. Infatti nessuno tenta truffe del genere nel mondo reale. Su Internet invece è esattamente quello che accade, ogni giorno. Come il mondo reale, anche il mondo di Internet, che poi di fatto ne fa parte, non è popolato solo da galantuomini, e anche in rete non tutto è ciò che sembra.

Usare un buon antivirus (antimalware sarebbe più corretto, ma ormai il termine è in uso); la mia personalissima preferenza va a Kaspersky e Nod32, e tra quelli gratuiti ad Avira; assicurarsi che siano attivate le funzioni di aggiornamento automatico, senza le quali è inutile. Usare solo antivirus di reputazione certa e consolidata. Non installare più di un antivirus: si ostacoleranno a vicenda, e saranno inefficaci.

Mai credere ai messaggi che vi avvertono di pretesi attacchi o infezioni in corso (salvo quelli certamente provenienti dal vostro antivirus!). Nel migliore dei casi hanno l’obiettivo di indurvi ad acquistare del software inutile e nocivo, nel peggiore sono un veicolo per accesso del malware (con il vostro permesso!). Non cliccate semplicemente sul pulsante “No” o di chiusura, chiudete proprio il browser.

Usare un firewall, quello che accompagna l’antivirus se ce ne è uno, o quello standard (automaticamente attivo) di Windows. La differenza tra l’antivirus e il firewall? Il primo intercetta e blocca l’attività dell’eventuale software indesiderato sul vostro PC, il secondo controlla gli accessi al vostro PC dall’esterno, ossia dalla rete locale o Internet a cui è collegato.

Non ritenersi per questo completamente al sicuro: nessun antivirus è infallibile, anche perché è inevitabile che passi del tempo tra la comparsa di una nuova minaccia e le contromisure degli antivirus.

La password: non importa se siete gli unici ad avere accesso fisico al vostro PC: l'accesso è possibile tramite Internet. Non avere una password consente a chiunque un accesso che il sistema, ma anche antivirus e firewall, considerano legittimo. E’ come avere le sbarre alle finestre e la porta blindata, ma con la chiave nella toppa, all'esterno! E non pensate che non possa accadere a voi, esistono software che percorrono la rete alla ricerca di accessi facili.

La password non dovrà essere banale o scontata (“password”, “pluto”, “qwerty”, “123456”), e neppure ritrovarsi un un dizionario, potrebbe essere vulnerabile ad attacchi automatizzati, cosiddetti "forza bruta", che tentano un enorme numero di password possibili. La lunghezza della password è la miglior protezione contro questi attacchi, perché aumenta a dismisura il numero delle combinazioni possibili, e quindi funzionano bene unioni, il più possibile lunghe, di più parole, magari inesistenti, che formino una frase facile da ricordare ma non da indovinare ("castagnaruscellopaperinoparbello"). Le password inadeguate sono uno dei principali punti deboli della sicurezza informatica, tant'è vero che spesso vi si affianca un altro strumento di identificazione quale ad esempio un codice valido una tantum (OTP, one time password) spedito per SMS o autogenerato ("autenticazione a due fattori").

Oggi capita sempre più spesso di registrarsi a un sito o un servizio e dover scegliere una password. Si raccomanda una password diversa per ogni registrazione, ma ciò, oltre ad essere snervante, ci costringe a gestire liste di password, e ciò rappresenta di per sé un rischio. Molti allora usano ovunque la stessa password. Tenete presente però che non tutti i siti a cui vi registrate custodiscono la vostra preziosa chiave d'accesso universale con la stessa cura, alcuni sono più facili da violare di altri. Il mio consiglio è di usare (quantomeno): 1) una password per il vostro, o i vostri PC 2) una password per i siti di uso più critico, ma di certa affidabilità, come i servizi di banking o di email on line 3) una password per gli altri. Tenete presente che qualora la password venisse carpita potreste avere delle bruttissime sorprese, come perdere completamente l'accesso alla vostra casella di posta (per non parlare, ovviamente, della banca online).

Mai cliccare su un link o aprire un allegato contenuti in un email di provenienza non certa; attenzione anche al contenuto: il software malevolo potrebbe aver creato un messaggio che sembra provenire da un destinatario a voi noto: l’email potrebbe effettivamente provenire dal PC (infettato a sua volta) del vostro amico, ma a sua insaputa!

In particolare, mai cliccare su un link o aprire un allegato apparentemente provenienti da banche, posta, istituzioni finanziarie, mittenti apparentemente autorevoli, ecc., della cui effettiva provenienza non siate certi. Un segno infallibile dell’essere il messaggio truffaldino è l’assenza di riferimenti personali al suo interno che provino che il mittente conosce di voi qualcosa di più dell’indirizzo email. A volte perfino l’italiano è approssimativo.

Tenete presente che nessun mittente legittimo ha motivo di chiedervi via email conferma dei vostri dati personali, che già possiede, e meno che mai delle vostre password, che nessuno oltre a voi deve conoscere. Il server o il sito al quale vi collegate dando un nome utente e una password non conosce in effetti la vostra password “in chiaro”, perché la memorizza dopo averla cifrata con un algoritmo unidirezionale, che cioè consente di passare dalla password effettiva a quella cifrata, ma non il contrario. Tanto è vero che se perdete una vostra password e la richiedete, non riceverete un’email con la vostra password, ma con una nuova password temporanea e la raccomandazione di cambiarla appena possibile. Questo almeno nei sistemi seri.

Mai scaricare un software da Internet se non dal sito del produttore. Non avete modo di sapere con certezza se il software che scaricate da un sito terzo è stato manipolato.

Essere sempre in condizione di riportare a nuovo il computer. Oggi le infezioni da malware possono essere molto complesse e ramificate, di conseguenza spesso l’unica strada certa per la rimozione è una reinstallazione completa del sistema operativo e di tutti i programmi, sostanzialmente un riportare il PC a nuovo (dopo aver salvato i dati, di cui si presume comunque esista un backup). Nei PC con Windows preinstallato occorre per questo disporre dei dischi (DVD) di installazione o ripristino, ed eventualmente generarli preventivamente.