La Sicurezza delle Informazioni nel Web 2.0 - Powered by IBM

1. La sicurezza
delle informazioni
nell’era
del Web 2.0
I contributi della wiki IBM
sul tema della sicurezza
informatica e di come
gli strumenti offerti
dal web 2.0 possano essere
amministrati senza mettere
a repentaglio la sicurezza
dei sistemi.
Documento pubblicato
in collaborazione con IBM
sotto licenza Creative
Commons.
Attribuzione
Non commerciale
Non opere derivate

2. INTRODUZIONE
“La sicurezza delle informazioni nell’era del Web 2.0” è il tema del progetto promosso da IBM
per discutere sul tema della sicurezza informatica e, nello specifico, di come gli strumenti offerti
dal web 2.0 possano essere amministrati senza mettere a repentaglio la sicurezza dei sistemi.
Il progetto è coordinato dal Dott. Roberto Marmo, consulente informatico, professore a contratto
di informatica presso la Facoltà di Ingegneria della Università di Pavia e Facoltà Scienze MM.FF.NN.
della Università Insubria – Como e studioso del web 2.0. http://www.robertomarmo.net.
Questo progetto vorrebbe idealmente proseguire il percorso iniziato con il tema “La sicurezza
aziendale ai tempi di Facebook” promosso in occasione dell’evento IBM Security Day 2009.
,
Accedi alla documentazione finale e scarica il documento in formato pdf oppure accedi alla pagina
in cui si descrivono le finalità del progetto.
L’obiettivo di questo progetto
Il documento che si intende sviluppare in questo ambiente wiki intende rendere noti i nuovi rischi
e pericoli derivanti dall’uso del web 2.0 con priorità rivolta all’ambito aziendale e della Pubblica
Amministrazione. Il documento è rivolto in particolare a chi non ha sufficiente fiducia verso
le potenzialità del web 2.0 a causa dei pericoli derivanti per la sicurezza informatica dei loro sistemi
e la riservatezza dei dati. Si vuole pertanto diffondere la consapevolezza e la cultura per un uso
responsabile.
02 Introduzione

3. INDICE
La sicurezza informatica
Il concetto di sicurezza informatica 4
Information technology e sicurezza 6
Analisi dei rischi 7
Creare e gestire un sistema per le domande di sicurezza 8
Opportunità offerte dal web 2.0
Cosa si intende per web 2.0 13
Servizi offerti dal web 2.0 17
Cloud computing per il web 2.0 17
Web 2.0 per sensibilizzare alla sicurezza informatica 17
Web 2.0 per la Pubblica Amministrazione 18
Vulnerabilità del Web 2.0 19
Web2.0 versus Web3.0 21
Sicurezza nel Web 2.0
Privacy 2.0 23
Virus inseriti nella struttura dei siti 25
Phishing 25
Vulnerabilità di AJAX 25
Vulnerabilità di RSS 25
Vulnerabilità di tipo Cross Site Scripting 26
Vulnerabilità di Link Injection 27
Vulnerabilità di Denial of Service 28
Vulnerabilità di SQL Injection 28
Gli strumenti per realizzare la sicurezza 2.0
Sicurezza proattiva nel Web di seconda generazione 29
Approccio euristico nella sicurezza nel Web semantico 30
Linee guida per realizzare la sicurezza 2.0 31
Progetti Open Source per la sicurezza delle applicazioni web 32
Reti “fiduciose” 33
Valutare la sicurezza 35
Risorse utili per approfondire
Autori 36
Bibliografia 38
Sitografia 38
Glossario 39
03 Indice

4. IL CONCETTO DI SICUREZZA Gli elementi da considerare in un progetto
INFORMATICA di sicurezza informatica sono, nell’ordine:
1. beni da proteggere
La sicurezza informatica ha come obiettivi: 2. minacce
• il controllo del diritto di accesso alle 3. agenti
informazioni; 4. vulnerabilità
• la protezione delle risorse da danneggiamenti 5. vincoli
volontari o involontari; 6. misure di protezione
• la protezione delle informazioni mentre esse Gli elementi elencati sono raccolti nel documento
sono in transito sulla rete; di Risk Analysis. Questo documento permette
• la verifica dell’identità dell’interlocutore, di conoscere qual è il rischio di subire danni
in particolare la certezza che sia veramente al proprio sistema informatico e, di conseguenza,
chi dice di essere. di preparare una mappa delle possibili
contromisure da adottare.
Per creare sicurezza bisogna prima studiare:
Il Vulnerability Assesment permette di raccogliere
• chi può attaccare il sistema, perché lo fa
informazioni sul sistema informatico tramite
e cosa cerca;
la registrazione dei potenziali problemi
• quali sono i punti deboli del sistema;
di sicurezza individuati. Si decide poi di proseguire
• quanto costa la sicurezza rispetto al valore
con il Penetration Test per controllare
da proteggere e rispetto al valore dei danni
la sicurezza del sistema informatico con una
causati;
serie di attacchi mirati alla ricerca di problemi
• con quale cadenza gli apparati/sistemi
di sicurezza.
di sicurezza vengono aggiornati.
La nascita di nuovi problemi per la sicurezza
Il ciclo di vita della sicurezza informatica prevede:
informatica
1. Prevention: è necessario implementare delle
Tutto ciò ha portato all’uso sempre più diffuso
misure per prevenire lo sfruttamento delle
con una forte crescita delle opportunità, dei
vulnerabilità del sistema.
vantaggi, della quantità di informazioni. Il rapido
2. Detection: è importante rilevare prontamente
sviluppo, però, non ha ancora permesso una
il problema; prima si rileva il problema, più
esatta e profonda conoscenza da parte di molte
semplice è la sua risoluzione.
persone dei meccanismi e della gestione della
3. Response: è necessario sviluppare un piano
presenza nei social network. Ecco la forte
appropriato di intervento in caso di violazione
crescita degli svantaggi e di ricadute negative
con individuazione delle responsabilità
dovute a furti e truffe di vario tipo, oltre alle
e le azioni da intraprendere.
eventuali fonti di distrazione e perdite di tempo.
Occorre tenere ben presente l’importanza del L’uso degli strumenti tradizionali della sicurezza
documento di Auditing del sistema: il documento informatica può fronteggiare solo in parte i nuovi
analizza la struttura del sistema e individua pericoli e bisogna perfezionare tali strumenti
le operazioni atte a verificare lo stato di salute per adattarli a una piattaforma di comunicazione
del sistema con varie tipologie di verifica in grado di far interagire persone con esigenze
della sicurezza. molto diverse.
04 La sicurezza informatica

5. ll ruolo dell’amministratore In merito alle modalità di verifica, bisogna
Il ruolo di amministratore della sicurezza deve sempre tener presente che i controlli a distanza
comprendere l’educare e rendere consapevoli sono vietati. Occorre sempre un accordo
di rischi derivanti da uso in ambito lavorativo. con i sindacati e comunque bisogna evitare
la raccolta di informazioni troppo intrusive
Quali sono le nuove responsabilità e il nuovo
nella privacy dei dipendenti. Tipicamente,
ruolo del responsabile della sicurezza ICT?
viene individuata una categoria di siti adeguati
Il responsabile della sicurezza deve certamente per svolgere l’attività aziendale e una categoria
ridurre il rischio che in ufficio il social network di siti proibiti perché non adeguati all’attività
venga utilizzato in modo indebito. Deve aziendale.
innanzitutto creare chiare regole di disciplina
Occorre preparare un sistema di deleghe
da aggiornare periodicamente, in cui indicare
in caso di assenza dell’addetto alla gestione
chiaramente quali sono i comportamenti:
del social network per fini aziendali.
tollerati, da evitare, in grado di generare una
verifica. Il documento deve poi essere fatto
ampiamente circolare tra i dipendenti.
05 La sicurezza informatica

6. INFORMATION TECHNOLOGY Mentre un attore del panorama IT che si attiene
E SICUREZZA a questi standard può “certificarsi” secondo
le linee guida della norma ISO, se utilizza ITIL
Spesso si dimentica che la sicurezza di non è obbligato a seguire le norme ISO,
un’infrastruttura IT non è data soltanto dai sistemi ma è sicuro che seguendo queste ultime sarà
utilizzati per arginare una serie di problematiche comunque in grado di progettare una struttura IT
(attacchi esterni o interni, social engineering, con le dovute caratteristiche business continuity,
sicurezza dei sistemi operativi o degli delivery, maintenance, security...
applicativi...), ma da tutta una serie di fattori
che possono essere analizzati con strumenti Per la gestione della sicurezza ci sono quattro
validi. Se, ad esempio, abbiamo un sistema standard che appartengono alla famiglia
che esegue svariati processi (in modalità utente ISO/IEC 27000:
non privilegiato) è possibile creare un software 1) 27001:2005 Information Security Management
ad hoc che consenta di creare errori Systems - Requirements
(es. “divisione per zero”) che possono portare 2) 27002:2005 Code of Practice for Information
il sistema in una situazione “non giusta” tale Security Management
da consentire all’utente che esegue il software 3) 27005:2008 Information Security Risk
malevolo, di avere privilegi superiori (es. root). Management
È molto difficile scoprire/testare tutti i processi 4) 27006:2007 Requirements for Bodies
in esecuzione sul proprio sistema, nell’esempio Providing Audit and Certification of
precedente si procede sfruttando vulnerabilità Information Security Management Systems
del cuore stesso del sistema operativo, ma è Ed in più: ISO/IEC 27799:2008 Health Informatics
possibile che il programmatore abbia veramente - Information Security Management in Health
sbagliato nella stesura di un determinato Using ISO/IEC 27002
software, che in alcune situazioni particolari
(non testate precedentemente al rilascio) Le altre in preparazione (alcune quasi completate
portano ad un rischio veramente grave. e rilasciate tra la fine del 2009 e l’inizio del 2010):
- 27000 introduzione con i principi, i concetti
Esistono molti strumenti che permettono ed un glossario dei termini
un’attenta analisi di ciò che è presente nei nostri - 27003 guida all’implementazione della 27001 e 2
sistemi IT. Anche in Italia la diffusione di best - 27004 analisi per un sistema di gestione
practice utilizzate (e nate) in paesi anglosassoni, della sicurezza
è in continua evoluzione. Tra tutti questi strumenti - 27007 guida per gli auditor di sistemi
è doveroso citare “IT Infrastructure Library - ITIL” di gestione della sicurezza verso le specifiche
nella sua versione 3. ITIL è un insieme di best della ISO/IEC 27001
practice per la gestione di un sistema IT, - 27032 Cybersecurity (dovrebbe essere
descrivendone i processi, le funzioni l’insieme delle linee guida per gli Internet
e le strutture che sono di supporto a molte aree Service Provider e gli utenti della rete)
di un sistema IT. - 27033 Network security (preventivate
sette sezioni)
Tra tutti questi processi vengono descritte
- 27034 Sicurezza delle informazioni
le linee guida di un sistema di gestione
per le applicazioni IT
della sicurezza delle informazioni, adattato
Parecchie linee guida appartenenti ad ITIL
per essere applicato in vari ambiti.
e alle linee guida ISO/IEC sono sovrapponibili
Gli standard internazionali di riferimento di o comunque “molto vicine” fra loro
gestione di servizi IT, appartengono alla famiglia e consentono una gestione EFFICACE
ISO/IEC 20000, che è suddivisa in varie parti. del proprio sistema IT.
06 La sicurezza informatica

7. L’ANALISI DEI RISCHI non rendendosi conto che perfino una macchina
dedicata al gioco, priva di qualsiasi dato
Molte persone hanno l’abitudine di memorizzare personale, può essere fonte di grossi guai per
nei loro elaboratori numerose informazioni di una il suo proprietario qualora non adeguatamente
certa importanza come, per esempio, dati relativi protetta: un intruso che riesca ad assumerne
ai conti bancari, password di carte di credito il controllo potrebbe adoperarla per accedere
e bancomat, ecc. a siti Internet dai contenuti illegali
(pedopornografia, terrorismo ecc.) o per attaccare
Questo modo di agire, pur non costituendo
altri sistemi informatici (banche, aziende,
di per sé un problema, diviene estremamente
agenzie governative) o, ancora, per memorizzare
rischioso quando la macchina destinata
temporaneamente materiale illegale (come,
a contenere questi dati viene connessa a una
per esempio, informazioni derivanti da attività
rete informatica: da quel momento, infatti, se
di spionaggio).
non sono state prese le opportune precauzioni,
le probabilità che un aggressore esterno possa Gli esempi che si possono fare sono davvero
accedere ai nostri dati sono davvero molto alte. tanti ma il risultato è sempre lo stesso:
la paternità di queste azioni ricadrà sempre
Paure di questo tipo, che fino a qualche tempo
sull’ignaro proprietario della macchina
addietro potevano forse essere considerate
compromessa, che risponderà in prima persona
esagerate, sono oggi confermate da reali
per ogni reato commesso.
riscontri e, qualora qualcuno avesse ancora
dei dubbi in merito, questi possono essere Egli, ovviamente, potrà far valere le sue ragioni
rapidamente dissipati attraverso la semplice dichiarandosi estraneo ai fatti ma, considerando
lettura dei file di log generati da un comune che questo non avverrà in tempi brevi
personal firewall (un software di protezione e che nel frattempo si dovranno subire tutte
largamente diffuso); la lettura di questi file le conseguenze del caso (perquisizione, arresto,
evidenzia chiaramente come un elaboratore interrogatori ecc.), è certamente auspicabile
connesso in rete (per esempio, a Internet) non trovarsi mai in una di queste situazioni.
sia continuamente insidiato da svariati tentativi
di intrusione finalizzati alla rilevazione La prassi seguita dall’aggressore è quasi
di eventuali vulnerabilità utili per la conquista sempre la stessa: quando egli decide di effettuare
di un accesso illegittimo. operazioni illegali su di un certo obiettivo remoto,
adopera una o più macchine delle quali ha
I problemi che un’intrusione può causare precedentemente assunto il controllo, macchine
sono numerosi: si va dalla violazione della che, come abbiamo visto in precedenza,
privacy, attraverso l’accesso a foto e documenti appartengono a utenti del tutto ignari.
personali, ai danni di carattere economico,
derivanti dal rilevamento del numero della nostra Fortunatamente, la conquista di un sistema
carta di credito o dei parametri per accedere informatico non è immediata ma avviene
al nostro servizio di home banking, incautamente per gradi e i tempi che la caratterizzano sono
memorizzati all’interno dell’elaboratore. strettamente connessi sia al tipo di vulnerabilità
da sfruttare sia al grado di preparazione
Quelli appena citati sono solo alcuni esempi dell’attaccante.
dei rischi cui un utente può andare incontro
ma, nonostante la posta in palio sia alta, molte Pertanto, l’analisi dei rischi è elemento
persone continuano a ritenere la sicurezza fondamentale per la scelta delle misure
informatica un problema esclusivo di coloro di sicurezza appropriate secondo il valore
che gestiscono dati di una certa importanza, delle risorse da proteggere e dei potenziali danni.
07 La sicurezza informatica

8. CREARE E GESTIRE UN SISTEMA 5. non è possibile trascriverla.
PER LE DOMANDE DI SICUREZZA Riguardo l’ultimo punto, qualcuno potrebbe
Gran parte dei nostri account su Internet, che obiettare che vi è sempre la possibilità di inserire
siano e-mail, registrazioni a siti, Paypal, eBay risposte casuali tenendone poi traccia
o altro, presenta una vulnerabilità non da poco: con un programma di salvataggio delle
la domanda di sicurezza. Chiedere il nome password, tuttavia ciò snaturerebbe il senso
della madre da signorina, o la città dove siamo della domanda di sicurezza, che dovrebbe
nati, o il nome del nostro primo cane o gatto essere considerata “l’ultima spiaggia”
poteva essere una buona idea (?) anni fa, nei casi in cui detti programmi risultassero
ma oggi dobbiamo fare i conti con un aumento indisponibili.
esponenziale del numero di siti dai quali
Come fare quindi per fornire una risposta
è possibile ottenere facilmente tali dati sul nostro
robusta ma allo stesso tempo da noi accessibile
conto. Mettere ampi stralci della propria vita
in caso di emergenza? Ecco una serie
in piazza su Facebook e altri social network può
di soluzioni che potranno aiutarci a gestire
semplificare il lavoro a un ipotetico aggressore
meglio questo problema.
telematico che desideri impossessarsi di uno
qualsiasi dei nostri account. E se anche non 1. AGITARE E MESCOLARE
fossimo noi a rivelare dettagli della nostra vita,
potrebbero farlo, in buona fede, i nostri amici Nel caso il sito ci consentisse di scrivere
su quegli stessi social network. la nostra domanda di sicurezza e la relativa
risposta, sarebbe utile creare un quesito difficile
Dimentichiamoci quindi di ritenere sicure da risolvere per tutti fuorché per noi, dopodiché
informazioni come quelle, o altre sempre inerenti mischiare le risposte e codificarle assieme.
alla nostra vita “semi-pubblica” come il modello
,
di auto che guidiamo o la data del nostro Alcuni esempi di domanda:
matrimonio, per fare altri due esempi.
D: Numero di telaio della mia seconda auto
Poiché la domanda di sicurezza è una procedura e totale della mia dichiarazione dei redditi
sempre più usata durante la registrazione del 1998, nell’ordine di ciò che è arrivato prima.
ai siti, dobbiamo trovare un modo per continuare
D: Numero di protocollo del rogito per l’acquisto
a usarla e allo stesso tempo impedire agli altri
della mia casa di Perugia e numero della prima
- anche alle persone che ci conoscono - di trovarla.
carta d’identità che ho chiesto al Comune di
Iniziamo con analizzare alcune caratteristiche Roma, nell’ordine di ciò che ho ottenuto prima.
di questa domanda di sicurezza e della relativa D: Il voto che ho preso alla maturità moltiplicato
risposta: per gli anni di ginnasio che ho effettivamente
1. una volta inserita di solito non la si usa quasi frequentato, diviso per gli anni di lavoro
mai, quindi è facile dimenticarla; che ho trascorso prima di conoscere mia moglie.
2. per noi non deve essere necessariamente Se in molti di questi esempi la risposta sembra
immediata da trovare o da ricordare, perché lunga da trovare anche per l’interessato,
dopotutto la si deve usare solo nei casi di emergenza, ricordate il punto 2. di cui sopra: fornire
basta che alla fine si riesca a reperirla; la risposta alla domanda di sicurezza generalmente
diviene necessario solo in caso di emergenza,
3. a volte viene chiesto di inserire molteplici quindi non importa quanto sia lunga la ricerca,
domande e risposte di sicurezza; l’importante è che alla fine solo noi saremo
in grado di trovarla.
4. molti siti ci invitano a cambiare regolarmente
la password, ma non la domanda di sicurezza. Vantaggi: Si tratta di parametri immutabili
Potremmo quindi essere chiamati a ricordarcela nel tempo e difficilmente reperibili in pubblico,
anche dopo molti anni; perché pochi sono soliti pubblicare tali
08 La sicurezza informatica

9. informazioni dentro un post in un blog social network ci sarà scritto che siamo nati
o nel proprio profilo su Facebook. a Roma. Un eventuale malintenzionato non avrà
modo di conoscere le risposte, proprio perché
Svantaggi: È probabile che per ritrovare le avremo inventate di sana pianta.
la risposta dovremo andare a scartabellare
un po’ di vecchi documenti, di cui dovremo Vantaggi: È praticamente impossibile
necessariamente conservare una copia. Inoltre, che un malintenzionato individui le risposte
malgrado siano alquanto difficili da trovare, non scavando nella nostra vita privata. Le risposte
è escluso che qualcuno con le adeguate risorse inoltre sono di facile utilizzo da parte nostra,
e il tempo necessario sia in grado di reperire l non ci sarà bisogno di scartabellare nulla,
e risposte. Infine, è un metodo che si può usare se non la nostra fantasia.
solo quando il sito ci permette di scrivere
le domande. Svantaggi: Queste informazioni andranno
ricordate per sempre, e proprio perché irreali
2. RISPOSTE INVERTITE sarà particolarmente difficile ricordarle tali
e quali ad esempio fra dieci o venti anni.
Per confondere le idee a tutti fuorché a noi,
Inoltre, non bisognerà ovviamente condividere
è possibile immaginarsi un certo ordine con cui
pubblicamente i dettagli di questo “mondo
invertire domande e risposte. Ad esempio se
parallelo”.
chiedono il cognome da nubile di vostra madre
voi inserite la città in cui siete nati, e viceversa. 4. APRIRE IL LIBRO A PAGINA N
Vantaggi: È un metodo semplice da ricordare Usare un vecchio libro come fonte di risposte
e di immediato utilizzo. Si può usare anche alle nostre domande di sicurezza è uno dei
quando il sito non ci permette di scrivere metodi più romantici e allo stesso tempo
da noi la domanda di sicurezza, a patto che usi abbastanza efficace, basta non rivelare il titolo
domande banali. del libro né l’autore. Quando dovremo scrivere
una domanda di sicurezza, sarà sufficente
Svantaggi: Bisogna mantenere questo metodo
indicare “Pagina venti, quarta riga, quinta parola”
segreto. Non funziona quando il sito ci offre
e il gioco è fatto. Ovviamente sarà necessario
domande non banali (ad es. il nome della prima
avere quel dato libro sempre a portata di mano.
scuola) e al tempo stesso non ci permette
Per sempre.
di scrivere le domande da soli. Infine, bisogna
ricordarsi quali argomenti sono stati scambiati Vantaggi: È un metodo relativamente sicuro,
fra loro, o si rischierà di fare confusione. a patto che manteniate segreti i dati del libro
(autore, titolo, edizione). Se avete il libro
3. REALTÀ AD HOC
a portata di mano, trovare le risposte sarà
È uno dei metodi più curiosi e affascinanti, molto rapido.
ma anche il più pericoloso per chi non ha una
Svantaggi: Dovrete avere quel libro sempre
mente disciplinata. Si inventano alcuni dettagli
con voi. Perdetelo e con esso perderete tutte
di un mondo immaginario che abbiamo creato
le risposte alle domande di sicurezza, almeno
ad hoc e che conosciamo solo noi, dove molte
fino a quando non lo ricomprerete (sperando
informazioni sono alterate. Ad esempio se in
di riuscire a trovare esattamente la stessa
realtà siamo nati a Roma, il cognome di nostra
edizione). Non funziona ovviamente quando
madre da nubile è Rossi e al liceo siamo andati
il sito non ci permette di scrivere le domande.
al Dante Alighieri, possiamo invece stabilire che
siamo nati a Milano, il cognome di nostra madre 5. SCAVARE NELLA PROPRIA MEMORIA
è Bianchi e al liceo siamo andati al Petrarca. A LUNGO TERMINE
Così facendo la risposta alla domanda
di sicurezza “dove sei nato” sarà Milano, anche Qui camminiamo su un terreno sdrucciolevole,
se ovunque nei nostri documenti e nei nostri quindi sta a voi decidere se usare o meno
09 La sicurezza informatica

10. questo metodo. Scavate nella vostra memoria nella domanda, quando usiamo il termine “cosa”).
e andate a ripescare ricordi vividi di eventi che
Se possibile poi usate termini generici quel
vi sono capitati almeno dieci anni fa, se non
tanto che basta a rendere la vita più difficile
ancora prima. Può essere qualsiasi cosa, basta
a chi cerca di indovinare la risposta. Se volete
che abbia lasciato un ricordo indelebile nella
necessariamente indicare il nome di una città,
vostra memoria. Alcuni ricordi sono immutabili
non scrivete “In che città mi trovavo quando...” ,
nel tempo, persistono anche quando siamo
scrivete piuttosto “In che posto mi trovavo
molto in là con gli anni, quindi perché non
quando...” perché aprirebbe molti altri ipotetici
usarli a nostro vantaggio? Se ad esempio un
scenari da individuare, visto che un “posto”
giorno siete caduti con la bicicletta in modo
può essere un edificio, un locale, una stanza,
alquanto disastroso, vi ricorderete quella caduta
eccetera.
più di ogni altra. La domanda potrà essere
“Dove mi trovavo quella volta che sono caduto Fate poi attenzione a non creare delle risposte
rovinosamente dalla bicicletta?” . lunghe, perché i sistemi automatici di solito
Attenzione tuttavia a non creare delle domande confrontano la risposta lettera per lettera. Una
con risposte facili da indovinare. Una domanda domanda del tipo “Perché l’allenatore mi prese
sbagliata potrebbe essere “Era giorno o era nella squadra di calcio?” oggi potrebbe essere
notte quando sono caduto rovinosamente dalla risposta con un “Perché mi disse che ero bravo” ,
bicicletta?” visto che bastano due tentativi
, ma fra dieci anni potremmo non ricordarci
per indovinare la risposta giusta. Stessa cosa le parole esatte che abbiamo usato per scrivere
con gli anni, mai chiedersi “Quanti anni avevo la risposta, e un semplice “Perché ero bravo”
quando...” perché a meno che non siate o “Perché mi disse che ero capace”
Matusalemme, saranno sufficienti poche decine non verranno riconosciute come esatte,
di tentativi per trovare la risposta giusta. anche se il senso è lo stesso.
In generale, se volete usare questo metodo, Infine, non usate ricordi condivisi, come
ponetevi nei panni di un malintenzionato ad esempio il luogo dove avete chiesto a vostra
e cercate di capire quanto possa essere facile moglie di sposarvi, perché gli altri “protagonisti”
indovinare la risposta anche senza conoscerla. dell’evento potrebbero averlo raccontato
Evitate quindi riferimenti ai tratti somatici ad amici o pubblicato on-line, soprattutto se si
di una persona (es. “Di che colore ha gli occhi tratta di un evento particolare anche per loro.
Tizio?”) perché possono essere individuati dopo Ripescate il più possibile dalla vostra infanzia
pochi tentativi. Inoltre, se avete sempre abitato o dalla vostra gioventù, poiché andrete a trovare
nella stessa città (e questo potrebbe essere ricordi che hanno resistito alla prova degli anni,
facilissimo da individuare, basta scaricare un quindi pressoché indelebili.
qualche curriculum che avete messo in rete),
Alcuni esempi di domanda corretta:
non ponete domande del tipo “Dove abitavo
quando...”. D: Cosa avevo fatto a Marina?
Cercate dei particolari che nessuno conosce, Commento: La domanda è generica quanto
ma che allo stesso tempo sono ben piantati nella basta, e benché il ricordo sia condiviso (Marina
vostra memoria. Inoltre, per rendere la procedura fa parte dell’evento) probabilmente non era
più difficile, ponete la domanda in modo criptico così importante per l’altro protagonista, sempre
per tutti fuorché per voi. Ad esempio se ricordate che quest’ultimo sia in grado di riconoscersi
bene come da bambini avete avuto un incidente nell’evento. La risposta può essere qualsiasi
che vi ha lasciato un bernoccolo sulla testa, cosa, un disegno, una dichiarazione,
chiedete “Cosa mi diede quel bernoccolo?” Sarà uno sgambetto... l’importante è che questa
inutile per un eventuale malintenzionato elencare domanda evochi in noi - e solo in noi - subito
tutto il pentolame di casa, quando alla fine la risposta giusta.
a darvi quel bernoccolo fu vostro fratello
maggiore (notare il piccolo trabocchetto insito D: Chi incontrai sul ponte?
010 La sicurezza informatica

11. Commento: Anche se in questo caso il ricordo pubblicamente. Nel caso dobbiate utilizzare
è condiviso, non si sa da chi. La persona può la risposta di sicurezza, l’unico posto che dovrete
essere chiunque, se di persona si tratta. andare a scavare sarà la vostra memoria
Per indovinare la risposta probabilmente non a lungo termine.
basterebbe l’intero libro dei nomi, soprattutto
se nella risposta oltre al nome si inserisce anche Svantaggi: Se il ricordo non è indelebile,
il cognome. E se invece di una persona o se è sovrapponibile ad altri, l’informazione
ci riferiamo a un animale? Lo sappiamo solo noi. rischia di andare persa o confusa con altre.
Anche in questo caso ovviamente la domanda Serve un po’ di tempo per trovare il ricordo giusto
ci deve far balzare alla memoria subito e formulare la domanda in maniera appropriata.
la risposta giusta. L’evento deve essere indelebile, Infine, se formuliamo una domanda troppo
non qualcosa accaduto lunedì scorso. generica, rischiamo di non ricordarci più
quale aspetto del ricordo volevamo portare
D: Dove venni truffato durante quel viaggio? in risalto.
Commento: Il ricordo non è condiviso, il viaggio
6. CODIFICARE LE RISPOSTE
è generico per tutti fuorché per noi.
Inoltre il termine “dove” non lascia intendere Questo metodo funziona da solo o in combinazione
se ci riferiamo a una città, un paese, un negozio, con uno qualsiasi dei metodi descritti sopra.
un albergo o altro. È sufficiente trovare un modo per codificare
le vostre risposte, con un codice semplice
Alcuni esempi di domanda sbagliata:
o complesso a seconda del vostro grado di
D: In che ruolo giocai in quella partita di calcio? capacità di gestire i codici segreti.
Commento: Giusto il riferimento a un evento Ad esempio, un codice semplicissimo può
sportivo che solo il protagonista riesce essere quello di invertire l’ordine delle lettere
a individuare, ma sbagliato il riferimento al ruolo delle risposte reali. Se la città di nascita è Roma,
giocato. In campo ci sono undici giocatori, basterà scrivere Amor. Se il cognome da nubile
servirebbero quindi solo undici tentativi di vostra madre è Rossi si dovrà scrivere Issor.
per individuare la risposta giusta (sedici E via dicendo. Semplice ma già efficace.
se contiamo anche arbitri e allenatore).
Un codice leggermente più complicato può
D: Quanti anni avevo quando mi ruppi il braccio
prevedere la trasformazione di determinate
cadendo dalla bicicletta?
lettere in numeri o in caratteri speciali.
Commento: Sbagliato il riferimento a un evento Ad esempio potremmo decidere di trasformare
così specifico tale da essere individuato ogni lettera “L” nel numero “1” ogni lettera “S”
,
anche da altri. Sbagliato inoltre indicare nel segno del dollaro “$” e ogni lettera “A”
come risposta un numero abbastanza limitato nel numero “4” L’ipotetico luogo di nascita
.
e collegato all’età. “Sassari” si trasformerebbe quindi in “$4$$4ri” ,
o il cognome da nubile di nostra madre “Bianchi”
D: Quante guglie aveva l’edificio? diventerebbe “Bi4nchi” .
Commento: Giusto il riferimento a un edificio Per rendere il tutto un po’ più complicato
generico per tutti tranne che per il protagonista. basta combinare i due codici indicati sopra,
Sbagliato il riferimento a un numero comunque la trasformazione delle lettere e la loro
limitato e facile da individuare. Quante guglie inversione, ed ecco che “Sassari” diverrebbe
potrà avere un edificio? Una? Tre? Venti? “ir4$$4$” e “Bianchi” diverrebbe “ihcn4iB” .
Nessuna? Alla fine la risposta si trova.
L’importante ovviamente è ricordarsi il codice
Vantaggi: La risposta è molto difficile
e mantenerlo immutato nel tempo. E naturalmente
da scoprire, soprattutto se il ricordo viene
non condividere questo segreto con nessuno.
scelto bene e se non ne avete mai parlato
011 La sicurezza informatica

12. Vantaggi: Senza la conoscenza del codice è Contrariamente a quanto indicato nel sito
impossibile per un malintenzionato individuare di cui sopra, non sono d’accordo sulla necessità
le risposte corrette, mentre per noi sarà facile di assegnare alla domanda di sicurezza
indicare il termine giusto dopo aver compiuto la caratteristica di “semplice, facile da ricordare”
.
solo un paio di operazioni. Questo metodo si può Come già spiegato nell’elenco di caratteristiche
utilizzare in combinazione con tutti gli altri metodi all’inizio di questo articolo, non vi è una vera
indicati sopra. necessità di ricordare in due secondi la risposta
alla domanda di sicurezza, l’importante
Svantaggi: Sarà necessario ricordarsi questo è reperirla in un tempo ragionevole.
codice anche dopo molti anni, e non modificarlo
mai. Infine un ultimo consiglio. Quando troverete
il metodo che fa per voi, assicuratevi che sia per
La letteratura sempre. Già adesso dovrete andare a cambiare
Sorprendentemente, ho trovato pochi testi che praticamente tutte le risposte alle domande
trattano in profondità questo argomento. di sicurezza che avete lasciato in giro prima
Il sito http://www.goodsecurityquestions.com di oggi. Sarebbe scomodo doverlo fare ogni
viene citato da più fonti. Esso fornisce volta che cambiate metodo.
un’analisi accurata delle caratteristiche che
deve avere una buona domanda di sicurezza,
assieme a esempi e a una tabella http://www.
goodsecurityquestions.com/compare.htm
per confrontare alcune domande di sicurezza
secondo tali caratteristiche.
012 La sicurezza informatica

13. COSA SI INTENDE PER WEB 2.0 e che migliora con l’utilizzo delle persone,
sfruttando e mescolando i dati da sorgenti
Il web 2.0 è l’insieme delle tecnologie multiple, tra cui gli utenti, i quali forniscono
collaborative per organizzare Internet come i propri contenuti e servizi in un modo
una piattaforma in cui tutti possono inserire da permetterne il riutilizzo da parte di altri
i propri contributi ed interagire con gli altri utenti. utenti, e creando una serie di effetti attraverso
Il termine nasce da una frase coniata da O’Reilly “un’architettura della partecipazione” che va
e da Dale Dougherty nel 2004 e il documento oltre la metafora delle pagine del Web 1.0 per
che ne ha ufficialmente sancito l’inizio risale produrre così user experience più significative”.
al 30 settembre del 2005. (traduzione da “Web 2.0: compact definition”,
Tim O’Reilly)
“Il Web 2.0 è la rete intesa come una piattaforma
con tutti i dispositivi collegati; le applicazioni Il web 2.0 vuole segnare una separazione netta
Web 2.0 sono quelle che permettono di ottenere con la New Economy dell’inizio millennio definita
la maggior parte dei vantaggi intrinseci della come web 1.0 e caratterizzata da siti web statici,
piattaforma, fornendo il software come di sola consultazione e con scarsa possibilità
un servizio in continuo aggiornamento di interazione dell’utente.
013 Opportunità offerte dal Web 2.0

14. La tendenza attuale è quella di indicare come che lo contraddiceva nel Web 1.0 per diventare
Web 2.0 l’insieme di tutti gli strumenti/le protagonista tramite la creazione, modifica
applicazioni online che permettono uno spiccato e condivisione di contenuti multimediali
livello di interazione sito-utenti quali i blog, a propria scelta.
i forum, le chat, etc... In ambito aziendale,
la condivisione del Web 2.0 permette di creare Tendenzialmente per descrivere le caratteristiche
idee insieme a tutti i dipendenti, commentare del Web 2.0 si procede spesso per confronto
gli sviluppi di progetti in collaborazione con il Web 1.0, indicando come nel passaggio
con i dipendenti. di versione gli elementi fondamentali si sono
evoluti o sono stati sostituiti da nuovi. Si tratta
Tutto ciò è stato reso possibile da collegamenti di un modo di rappresentare il Web 2.0
ad Internet molto più veloci e dall’unione di varie divulgativo e non prettamente tecnico, ma
tecnologie di facile apprendimento e uso. piuttosto efficace per riconoscere l’evoluzione
dei sistemi su Internet.
Come appena citato, Il Web 1.0 a differenza del
Web 2.0 era composto prevalentemente da siti Ad esempio nell’era Web 1.0 la costruzione
web “statici” che non davano alcuna possibilità
, di un sito web personale richiedeva
di interazione con l’utente, eccetto la normale la padronanza di elementi di linguggio
navigazione tra le pagine, l’uso delle e-mail di programmazione HTML, viceversa oggigiorno
e dei motori di ricerca. con i blog chiunque è in grado di pubblicare
i propri contenuti, magari dotandoli anche di una
Il Web 2.0 viceversa costituisce un approccio veste grafica più accattivante, senza possedere
filosofico alla rete che ne connota la dimensione alcuna particolare preparazione tecnica specifica.
sociale, la condivisione, l’autorialità rispetto
alla mera fruizione. Il ruolo dell’utente in questo Le differenze tra Web 1.0 e web 2.0 potrebbero
senso diventa centrale, esce dalla passività essere schematizzate come segue:
Web 1.0 Web 2.0
Top-Down Bottom - Up
Contenuti in sola lettura L’utente genera contenuti
Siti personali Blogging
Sistemi di gestione dei contenti Wikis
Servizi venduti sul web Web - services
Client - server Peer – to -Peer
Companies Communities
Pubblicazione Partecipazione
Directories (tassonomia) Tagging (folksonomia)
Stickiness Syndacation
Web 1.0 vs Web 2.0
Fonti varie
014 Opportunità offerte dal Web 2.0

15. Concludendo, gli ingredienti del Web 2.0 sono: professionale esistono i business social network
informazione, interazione, partecipazione, come LinkedIn o Viadeo in cui il professionista
contributi creati degli utenti, connessione può promuovere le proprie capacità, aggiornarsi,
a reti sociali. trovare collaboratori e nuove opportunità ecc.
Altri approfondimenti su http://it.wikipedia.org/
Altri approfondimenti su http://it.wikipedia.org/ wiki/Social_network
wiki/Web_2.0
Social network non riguarda solo le persone,
Su questo link http://www.dynamick.it/web-20- la presenza di aziende è sempre più forte sia per
una-definizione-in-10-punti-534.html si può attività di marketing e pubblicità sia come nuovo
trovare come viene definito da Tim O’Reilly strumento per svolgere l’attività aziendale, creare
in “What is Web 2.0” da Paul Graham nel suo
, il profilo aziendale per promuovere l’azienda,
“Web 2.0” e da Jason Fried nel libro “User Survey”
. fare nuovi affari, ecc. L’Enterprise 2.0 intende
infatti adattare i concetti del web 2.0 in ambito
Social media è il termine generico per indicare
aziendale.
tecnologie e pratiche online con cui gli utenti
creano e condividono i contenuti sul web, Il termine Enterprise 2.0 descrive un insieme
un grosso cambiamento rispetto al web 1.0 di approcci organizzativi e tecnologici orientati
caratterizzato dalla presenza di una comunità all’abilitazione di nuovi modelli organizzativi
concentrata sulla condivisione di contenuti. basati sul coinvolgimento diffuso, la collaborazione
Altri approfondimenti su http://it.wikipedia.org/ emergente, la condivisione della conoscenza e
wiki/Social_media lo sviluppo e valorizzazione di reti sociali interne
ed esterne all’organizzazione.
Certamente una delle più grosse opportunità
Dal punto di vista organizzativo l’Enterprise 2.0
fornite dal web 2.0 sono i social network o reti
è volto a rispondere alle nuove caratteristiche
sociali, con cui le persone creano un profilo con
ed esigenze delle persone ed a stimolare
i dati personali e possono comunicare con altri
flessibilità, adattabilità ed innovazione.
profili per creare nuove forme di socializzazione
e di espressione. Attualmente vari milioni Dal punto di vista tecnologico l’Enterprise
di italiani possiedono un profilo, creando di fatto 2.0 comprende l’applicazione di strumenti
una enorme piattaforma di comunicazione. riconducibili al cosiddetto Web 2.0 – ovvero
Facebook è l’esempio più noto, per l’ambito blog, wiki, RSS, folksonomie e, in un’accezione
015 Opportunità offerte dal Web 2.0

16. più allargata, l’adozione di nuovi approcci Su Internet si possono trovare diverse
tecnologici ed infrastrutturali. classificazioni di questi strumenti, ad esempio
Come detto l’Enterprise 2.0 deriva dal Web da “Centre for Learning & Performance
2.0 ed è spesso usato per indicare l’introduzione Technologies” (http://www.c4lpt.co.uk/Directory/
e l’implementazione di Social Software all’interno Tools/collaboration.html)
di un’impresa ed i cambiamenti sociali
ed organizzativi ad esso associati. Altri approfondimenti su http://it.wikipedia.org/
Il termine è stato coniato da Andrew McAfee, wiki/Enterprise_2.0
professore della Harvard Business School, Le applicazioni realizzate con l’approccio
nel paper seminale “Enterprise 2.0: The Dawn Web 2.0 sono spesso indicate come RIA - Rich
of Emergent Collaboration” pubblicato sul MIT
, Internet Application, ovvero applicazioni con
Sloan Management Review. uso intensivo di Internet. Le tecnologie RIA
La definizione puntuale secondo McAfee rappresentano approcci migliori con cui gli
di Enterprise 2.0 è: sviluppatori possono realizzare e distribuire
“l’uso in modalità emergente di piattaforme interfacce utente semplici da usare, ricche
di social software all’interno delle aziende e dinamiche. L’aspetto fondamentale del RIA
o tra le aziende ed i propri partner e clienti.” è che l’interfaccia utente non deve essere
Così come visto per il Web 2.0 possiamo rivisualizzata completamente dopo ogni
vedere anche in modo schematico quali sono interazione. In tal modo, si crea capacità
le differenze tra Enterprise 1. 0 e 2.0: di risposta e interattività del sistema.
Ajax (Asynchronous JavaScript and XML)
Gli strumenti web 2.0 disponibili su Internet sono è una tecnologia molto diffusa per l’aggiornamento
molteplici, una parte di questi con l’aggiunta dinamico di una pagina web senza esplicito
di altri più specifici di un contesto aziendale ricaricamento da parte dell’utente, fondamentale
formano l’insieme dei tool Enterprise 2.0. nelle pagine web dei social network.
Enterprise 1.0 Enterprise 2.0
Organizzazione gerarchica Organizzazione orizzontale
Frizioni Semplicità nei flussi organizzativi
Burocrazia Agilità operativa
Rigidità Flessibilità
Innovazione guidata dalle tecnologie Innovazione guidata dall’utente
Team centralizzati Team distribuiti
Barriere Spazi aperti
Gestione del sapere Conoscenza aperta
Sistemi informativi strutturati Sistemi informativi emergenti
Tassonomie Folksonomie
Standard proprietari Open standard
Scheduling delle attività On demand
Time to Market lungo Time to Market breve
Enterprise 1.0 vs Enterprise 2.0
Fonte: Adattamento da Forrester Research
016 Opportunità offerte dal Web 2.0

17. SERVIZI OFFERTI DAL WEB 2.0 CLOUD COMPUTING PER IL WEB 2.0
Il web 2.0 è caratterizzato da una serie di servizi Il cloud computing può dare una risposta
innovativi come: di efficienza a molte problematiche aziendali:
ad esempio consente un risparmio in termini
• wikipedia, enciclopedia caratterizzata
di hardware di esercizio. La sua adozione
da libera e gratuita fruizione dei contenuti
non deve trascurare gli aspetti di sicurezza:
da parte di tutti gli utenti, in un lavoro corale
in particolare l’azienda deve potersi fidare
e collettivo destinato all’inserimento di nuove
di chi offre il servizio.
voci e alla correzione delle voci esistenti.
Sito http://it.wikipedia.org; La sicurezza nel cloud significa garantire
soluzioni affidabili in grado di tenere in sicurezza
• social network, per creare reti di relazioni
le informazioni indipendentemente dal posto
tra le persone e condividere informazioni,
in cui sono memorizzate. Peraltro il cloud può
foto, eventi, ecc. Il più famoso è Facebook
mentre per le relazioni professionali si passa innalzare i livelli di sicurezza aziendale tramite
a LinkedIn o Viadeo. Altre informazioni sulla l’accentrare in un’unica soluzione tutta
versione precedente di questa wiki destinata la gestione sicura di rete, server, memoria.
alla sicurezza dei social network;
Sottolinea Bruce Schneier: “se il computer è
• blog, possibilità molto semplice per tenere all’interno della nostra rete abbiamo tutti i mezzi
un diario personale visibile online. Il più famoso per proteggerlo. In un modello come quello
è WordPress; del cloud computing, non possiamo fare
altro che fidarci di chi ci offre il servizio, perché
• raccolte di fotografie commentate non abbiamo altra possibilità di controllo”.
e classificate dagli utenti come Flickr;
WEB 2.0 PER SENSIBILIZZARE
• condivisione di link come Del.icio.us.;
ALLA SICUREZZA INFORMATICA
• RSS Really Simple Syndication
Una delle migliori difese utili alla sicurezza
per la diffusione frequente di contenuti
informatica consiste nel creare comportamenti
sul web da parte di blog e siti.
virtuosi delle persone.
Le opportunità di interazione del web 2.0
sono utili anche per sensibilizzare le persone
alle problematiche della sicurezza.
Nel link seguente http://sicurezza626lavoro.
wordpress.com/2010/01/27/web-2-0-e-sicurezza-
sul-lavoro/ possiamo leggere un blog dedicato
ai problemi della sicurezza del lavoro, un ambito
diverso dall’infomatica ma utile per avere delle
idee. Peraltro la costruzione tramite wiki
di questo documento è un altro esempio.
In merito ai social network, si può pensare
alla creazione di gruppi di persone interessate
all’argomento per fornire idee e aggiornamenti.
017 Opportunità offerte dal Web 2.0

18. WEB 2.0 PER LA PUBBLICA L’importante è considerare il Web 2.0 come una
AMMINISTRAZIONE parte di un progetto ampio di e-governance
stando bene attenti alle problematiche
Secondo l’enciclopedia Wikipedia in diritto di violazione della privacy e alla scarsa qualità
il termine amministrazione pubblica (o pubblica dei servizi offerti.
amministrazione denotata anche con la sigla PA)
ha un duplice significato: L’e-government tramite il Web 2.0 è strategico
• in senso oggettivo è una funzione pubblica per raggiungere la modernizzazione del servizio
(funzione amministrativa), consistente pubblico verso l’utente in termini di:
nell’attività volta alla cura degli interessi
• semplificazione delle procedure;
della collettività (interessi pubblici),
• orientare l’utente nella scelta e nell’uso
predeterminati in sede di indirizzo politico;
dei servizi;
• in senso soggettivo è l’insieme dei soggetti
• i cittadini collaborano per fornire nuovi servizi;
che esercitano tale funzione.
• i cittadini criticano il funzionamento dei servizi;
L’aggettivo “pubblica” che qualifica il termine • trasparenza degli atti amministrativi;
amministrazione fa capire che quest’ultimo ha un • servizi più usabili.
significato più ampio: qualsiasi persona o ente E verso i funzionari pubblici in termini di:
svolge attività volta alla cura dei propri interessi • integrazione, efficienza e innovazione;
privati o di quelli della collettività di riferimento. • collaborazione interistituzionale;
• knowledge management tramite social
Le applicazioni Web 2.0 per la pubblica bookmark, RSS, blog;
amministrazione sono interessanti su vari fronti • gestione risorse umane;
tra cui: • aggiornamento.
• fare crescere la partecipazione politica
dei cittadini; Un documento di David Osimo con alcuni casi
• fornire strumenti semplici ai cittadini con cui di studio in lingua inglese è disponibile qui.
contribuire al miglioramento dei servizi;
• creare relazioni aperte e trasparenti tra
cittadini e amministrazione;
• costruire un’amministrazione più semplice
e interconnessa tramite software
a basso costo.
018 Opportunità offerte dal Web 2.0

19. VULNERABILITÀ DEL WEB 2.0 competenti e i processi adeguati allora possono
nascere incidenti pericolosi. Tutto questo sta
Una vulnerabilità è un punto debole di un sistema portando alla nascita della cultura aziendale 2.0.
informatico che potrebbe essere usato per creare
problemi di sicurezza informatica al sistema. I rischi per la sicurezza dalle applicazioni web 2.0
Spesso nascono da una programmazione Le applicazioni Web 2.0 sono spesso
superficiale e negligente che non tiene conto caratterizzate dall’avere una forte interazione tra
delle possibilità di un attacco alla sicurezza. gli utenti, che porta a un conseguente incremento
dello scambio di dati tra gli utenti stessi, come
La sicurezza applicativa identifica le problematiche accade per i siti di Social Network. Questo
della sicurezza delle applicazioni web. fenomeno, sebbene non sia di per sé negativo,
richiede una maggiore attenzione ai problemi
Le soluzioni tradizionali di sicurezza informatica
di sicurezza logica che tra l’altro siamo già
non sono adeguate a questa problematica perché:
abituati ad affrontare nel Web “tradizionale” .
• Firewalls e antivirus non possono bloccare
Infatti, nell’ambito della elevata interazione tra
tutti gli eventuali attacchi al livello applicativo
client e server il punto debole della sicurezza
poiché la porta 80 deve essere disponibile per
consiste nella possibilità di modificare
essere utilizzata;
i messaggi scambiati tra client e server al fine
• gli strumenti di scansione della rete non
di creare pericoli.
identificano le vulnerabilità a livello applicativo;
• gli sviluppatori di applicazioni Web non hanno Mettendoci nell’ottica dell’azienda che vuole
conoscenze adeguate di sicurezza applicativa. consentire l’accesso al Web 2.0 per i propri
utenti, e concentrandoci sulle problematiche
Diventa necessario pensare la sicurezza durante
di sicurezza che queste scelte possono indurre,
l’intero ciclo di sviluppo delle applicazioni,
ci si può focalizzare su due categorie di problemi:
in modo che lo sviluppo degli aspetti di sicurezza
venga pienamente integrato nel ciclo di vita 1) Malware Intrusion - sono i contenuti che
delle applicazioni. possono essere scaricati dagli utenti attraverso il
canale del SN: hyperlink, file o applicazioni che
Oltre alle vulnerabilità tipiche del Web come SQL
contengono o puntano a contenuti malevoli che,
Injection, nuove vulnerabilità nelle applicazioni
una volta eseguiti dall’host interno all’azienda,
per il Web 2.0 nascono dall’uso di framework
rischiano di compromettere la sicurezza dell’intera
con alta interazione client/server basati su XML.
rete. Prendendo spunto da quanto pubblicato
IBM rende disponibili su www.ibm.com/security/ nel report dell’ENISA (http://www.enisa.
xforce i risultati del suo rapporto annuale europa.eu/act/res/other-areas/social-networks/
IBM X-Force Trend and Risk per il 2009 security-issues-and-recommendations-for-
sulle minacce più diffuse, quali il phishing online-social-networks), risulta che diversi SN
e le vulnerabilità relative ai documenti digitali. non applicano i controlli di sicurezza necessari
non solo a garanzia dello stato del SN stesso (es.
Nelle aziende moderne il confine tra pubblico SAMY Worm), ma a tutela degli utenti connessi
e privato è reso sempre più sottile grazie (es. attacchi XSS). Va inoltre considerato che
all’uso del Web 2.0, specialmente con l’arrivo il rischio di “insicurezza” viene amplificato dal
dei giovani dipendenti che si aspettano di poter continuo aumento di informazioni scambiate,
accedere dal posto di lavoro ai servizi rendendo il controllo dei contenuti un fattore
che normalmente usano in casa. sempre più critico e fondamentale alla sicurezza
Pertanto, al fine di evitare problemi di sicurezza degli utenti e al successo del SN.
occorre sviluppare regole di comportamento
interne sull’uso del web. Infatti, si possono avere 2) Data Extrusion - riguarda i dati di proprietà
tecnologie in grado di identificare e risolvere dell’azienda che devono essere trattati solo in un
i problemi, ma se non ci sono le persone contesto controllato secondo le policy definite,
019 Opportunità offerte dal Web 2.0

20. ma che possono essere resi pubblici attraverso ma potenzialmente dannosi, riduzione della
la pubblicazione nel SN, causando potenziali possibilità di manipolazione dell’input durante
problemi alla reputazione e alla proprietà intellettuale il passaggio tra le varie componenti
dell’azienda. Si pensi alla condivisione • struttura dell’applicazione con componenti e
di informazioni tecniche e non solo, come ogni componente deve essere blindato per
si vede spesso nei blog. Per affrontare entrambi non offrire risorse ai maleintenzionati;
i problemi occorre adottare tecnologie in grado • controllo dei privilegi permessi all’utente
di analizzare in dettaglio i contenuti dei flussi per l’accesso alle funzioni dei componenti;
di traffico. In particolare, le minacce tipo Malware • controllo degli input provenienti dall’utente
Intrusion si affrontano “architetturalmente” prima di eseguirli, sia input espliciti tramite
partendo dal perimetro della rete aziendale, form sia impliciti come gli header Http e altri
in modo da eliminare all’ingresso eventuali dati provenienti dai server;
malware veicolati attraverso la connessione • scrittura attenta dei messaggi di errore
al SN. Tipicamente i sistemi in grado di realizzare per non mostrare informazioni in grado
questo tipo di filtraggio sono: di far scoprire struttura e comportamenti
dei componenti sensibili;
• Network Intrusion Prevention; • costante aggiornamento dei sistemi;
• Network Antivirus; • gestione della sessione utente, apertura
• Url Content filtering; mantenimento e chiusura per evitare furti
• Mail content inspection. degli id sessione e la contemporanea
Fino alle tecnologie di protezione degli host tipo: presenza dello stesso utente in più sessioni
• Host Antivirus; differenti;
• Host Intrusion Prevention. • gestione dei file log dell’applicazione
La minaccia tipo Data Extrusion o Data Leakage, per il tracciamento delle sessioni,
al contrario del Malware Intrusion, deve essere del comportamento dell’utente
affrontata cercando di applicare i controlli e della comunicazione tra le componenti;
di sicurezza il più vicino possibile ai dati, • creazione di un sistema di avviso in caso
tipicamente sulle macchine degli utenti: di condizioni anomali;
• Endpoint Data Loss Prevention • difesa da denial of service.
o, dove questo non fosse possibile, analizzando
i flussi di trafico direttamente sulla rete: Nei prossimi paragrafi verranno affrontate
• Network Data Loss Prevention per intercettare le principali vulnerabilità da tenere presente
e bloccare le informazioni confidenziali durante lo sviluppo di un’applicazione.
che vengono pubblicate sul SN o su altre
applicazioni web.
Web content filtering significa fare il filtraggio
dei contenuti per controllare il traffico generato
dai social network.
Alcune linee guida per realizzare applicazioni
web sicure:
• controllo delle operazioni di autenticazione
dell’utente, aggiornamento delle politiche
di autorizzazione alle risorse, verifica della
robustezza delle password;
• riduzione delle superfici esposte all’attacco,
tramite un elenco chiaro ed esaustivo
delle componenti logiche e strutturali
dell’applicazione e delle divisioni con relative
interfacce, eliminazione di componenti inutili
020 Opportunità offerte dal Web 2.0

21. WEB 2.0 VERSUS WEB 3.0 esplosione di nuovi media comunicativi.
All’interno di ciò sta crescendo anche
L’Università di Berkley ha recentemente il netwoking Aziendale, le Reti aziendali.
calcolato che tra il 1970 e il 2000 (un arco
temporale di 30 anni) è stata prodotta la stessa Web 2.0 (connect people). Gli scettici
quantità di informazioni che è stata generata del Web 2.0 e della conoscenza condivisa
dalla preistoria ad oggi, grazie soprattutto in generale puntano il dito sulla autorevolezza
al web. e sulla validità dei contenuti user-generated.
La mancanza di un filtro preventivo sulle
Il Web con 1 miliardo e 200 mila siti, 60 milioni informazioni generate dagli utenti, come
di log, 1,6 milioni di post (messaggi) multimediali avviene invece nel mainstream, potrebbe essere
prodotti ogni giorno, (solo in Italia sono presenti considerato un punto debole del Web 2.0.
circa 300 mila Blog) cresce esponenzialmente. La diffusione molecolare dell’informazione è resa
possibile con terminali portatili connessi alla rete,
Il Web 2.0 è per alcuni una nuova visione
infatti gli utenti ( potenziali “gateway umani”),
di Internet che sta influenzando il modo
possono usufruire di una pluralità
di lavorare, interagire, comunicare nella Rete,
di dispositivi intelligenti, integrati nei più svariati
per altri una evoluzione di Internet.
tipi terminali mobili capaci di riconoscere
Una rivoluzione silenziosa che consentirà e rispondere ininterrottamente in modo discreto
un insieme di approcci innovativi nell’uso della e invisibile, ciò che va sotto il nome di tecnologia
rete, dati indipendenti dall’autore che viaggiano enable, abilitante. Nonostante la rivoluzione
liberamente tra un blog e un’altro subendo dal basso, del cliente-utente, fatta con gli strumenti
trasformazioni e arricchimenti multimediali, del Web 2.0 interattivi e collaborativi, solo una
di passaggio in passaggio, tramite la condivisione ristretta élite determina i contenuti nel grande
di e-comunità, l’idea che si approfondisce panorama del Web, è la regola dell’1% (su 100
sempre più con la possibilità di diventare utenti web solo 1% di essi è attivo nel produrre
popolare, o esplodere in forme virali (ideavirus). informazione,contenuti).
Le informazioni diventano opensource Tuttavia l’autorevolezza dei contenuti può
condivisibili, o IPinformation come preferiscono autogenerarsi tramite una selezione dei contenuti
chiamarle altri, che nagivano liberamente stessi attraverso meccanismi di social network
nel nuovo Web. insiti nella rete stessa, al di là dei numero
dei link e click per post pagina. Il concetto
La rete ha trasformato ogni business di conoscenza condivisa come creazione
in un business globale e ogni consumatore e diffusione di contenuti sembra stridere
in un consumatore globale, la società verso con la formazione culturale ed individuale
una società della conoscenza, e l’economia a cui siamo stati abituati, e mi riferisco al mondo
verso un’economia digitale, la wiki economia, del lavoro, della formazione, dell’università.
la collaborazione di “massa” in favore Servirebbe un’evoluzione verso modalità digitali
del vantaggio competitivo. di pensiero più consona a quella delle nuove
generazioni- utenti (digital natives). Esistono poi
Il Web 2.0 è anche un nuovo modo di elaborare
anche i digital explorers, coloro cioè chi vanno
le informazioni basato su tecnologie “less is
per necessità nella cultura digitale per cercare
more” (tecnologie di facile apprendimento, uso
ciò che può servire a raggiungere scopi
e accessibilità). La condivisione e l’accesso
che non siano fini alla cultura digitale stessa.
alle informazioni ormai riguarda tutti, tutti
Spesso viene a crearsi così un gap, da una parte
potenzialmente possono diventare produttori
i geeks (digital natives), dall’altra i dummies
di informazioni e di idee.
(digital immigrants) che faticano a relazionarsi
La società del futuro sarà digitale, mutevole, e comunicare anche al di là dello spazio virtuale,
interattiva, basta osservare la notevole nel mezzo un’ampio spazio per i “gestori
021 Opportunità offerte dal Web 2.0

22. dell’interazione” sociale e comunicativa tra che dà rilevanza al significato reale dei termini
i due gruppi. e considera il contesto in cui sono inseriti,
consentendo una ricerca più precisa
Versus WEB 3.0 (connect infomation) “Una e riducendo le risposte ridondanti. Si tratta
delle migliori cose sul web è che ci sono tante
di una visione completamente nuova nel web,
cose differenti per tante persone differenti. Il
basata sul concetto che ognuno,ogni creatore
Web Semantico che sta per venire moltiplicherà
di contenuti può determinare una propria
questa versatilità per mille...il fine ultimo del Web
ontologia delle informazioni. A tal fine vengono
è di supportare e migliorare la nostra esistenza
impiegati sistemi di OSM (Ontology Systems
reticolare nel mondo” (Tim Berners Lee).
.
Management) che possono utilizzare diversi
Dopo l’invenzione del linguaggio xml linguaggi standard, come l’RDF (Resource
(eXtensible Markup Language, metalinguaggio Description Framework) o l’OWL (Web Ontology
utile allo scambio dei dati) impiegato in diverse Language) che consententono nuovi costrutti.
applicazioni Web 2.0, ora gli sforzi di ricerca Con OWL è possibile scrivere delle ontologie
si stanno concentrando nel suo impiego che descrivono la conoscenza che abbiamo
in tecnologie semantiche. Generalmente di un certo dominio, tramite classi, relazioni
la ricerca di una parola sui motori di ricerca fra classi e individui appartenenti a classi.
attuali, non contestualizzata, può generare un Con il Web 2.0 e i Social Network abbiamo
overload di risultati e quindi un eccesso di pensato che fosse arrivato il futuro ora sappiamo
risposte inutili. Per ovviare in parte a tale effetto che sono solo il presente, nel futuro c’è il Web
viene in soccorso la “tecnologia semantica” Semantico, il Web 3.0
022 Opportunità offerte dal Web 2.0

23. PRIVACY 2.0 Facebook in particolare è il primo strumento
di profilazione massiva, volontaria e comportamentale
Gli obiettivi degli hacker in ambito Web 2.0 non destinata a creare la base dati privata del settore
sono più le reti di computer ma le informazioni più dettagliata e completa mai vista.
e le proprietà intellettuali memorizzate nel web.
Pertanto non sono più sufficienti i classici mezzi Definizione contestuale di social network ed
di difesa. Il termine privacy 2.0 intende delineare osservazioni
un nuovo approccio alla gestione della privacy
A valle delle considerazioni ed al contesto
adeguato al Web 2.0.
delineato risulta più semplice riuscire a definire
Coinvolge il furto di identità nei social network,
cos’è un social network.
la consapevolezza ed il diritto all’oblio,
Una rete di informazioni condivise o, in sintesi,
e la definizione stessa di social network. Tanti
identità digitali condivise.
argomenti, tanti aspetti legati alla privacy diversi
Si completano, si intrecciano, si sovrappongono
ma che si sovrappongono in più punti formando
ma costituiscono parte di un “io digitale”
una sorta di grafo multidimensionale che assume
multidimensionale che trae origine dalla curiosità
delle connotazioni diverse in base al punto
del nuovo strumento tecnologico e dalla
di osservazione.
possibilità, per certi versi, di avere meno barriere
Sembra strano parlare e soprattutto esigere un
dell’”io reale” in cui troppo spesso non si può
certo grado di privacy in un ambiente 2.0 legato
essere apertamente sè stessi.
sempre più alle reti sociali ed alla condivisione.
In questo scenario, è ancora possibile parlare
La questione viene spesso semplicisticamente
di furto di identità quando le informazioni oggetto
etichettata come un falso problema: “se voglio
di “furto” sono state rese dalla “vittima” stessa
mantenere la mia privacy non mi registro
più o meno consapevolmente?
ad un social network“. Posizione esasperata
È più corretto parlare di “appropriazione”
infruttuosa: deve esistere una soluzione
di identità?
mediatrice che passa dalla consapevolezza
C’è una profonda e determinante differenza che
del mezzo, del suo utilizzo reale e potenziale.
andrebbe valutata e normata di conseguenza.
Sebbene da un punto di vista statistico la platea
di utenti dei social network non è così giovane
come si potrebbe pensare, è opportuno vedere
il fenomeno da una prospettiva diversa.
Consapevolezza.
Quanti di noi, utilizzatori ad esempio di Facebook,
hanno verificato le impostazioni della privacy?
Quanti hanno letto i termini di accettazione
del servizio in fase di registrazione? Quanti
hanno monitorato i loro cambiamenti?
Quanti hanno realmente la percezione di cosa
sia il datamining, il behavioral advertising,
profilazione massiva? Quanti si sono interrogati
sulla “gratuità” di Facebook? Quanti sanno dove
vanno a finire i propri dati?
Certo, quello che noi intendiamo fornire, non
necessariamente dati reali.
023 Sicurezza nel web 2.0

24. Privacy 2.0: nuove generazioni, nuove ad un colloquio di lavoro perché, anni prima,
responsabilità avete pubblicato bravate di cui, anche volendo,
non avete sempre la possibilità o le competenze
Demonizzare non serve, occorre invece essere
per una totale e definitiva rimozione.
consapevoli e responsabili soprattutto verso
La rete va verso il Web semantico, verso il Web
le nuove generazioni.
3.0 e sempre più ricorda, copia, clona, veicola,
Queste ultime sono nate e cresciute in cui è
salva, archivia anche a nostra insaputa
“normale” usare certi mezzi e vengono usati con
per innumerevoli motivi e tecnicismi.
la leggerezza e l’ingenuità propria della loro età.
Noi esperti di sicurezza, di comunicazione
È giusto che sia così: non devono essere
online, noi con il “doppio cappello” lo sappiamo
le nuove generazioni a crescere troppo in fretta
bene e abbiamo il dovere di alzare la mano
perché noi diamo loro a disposizione dei mezzi
per porre la questione all’attenzione di tutti.
potenzialmente pericolosi.
La condivisione e la consapevolezza sono
Piuttosto, abbiamo noi il dovere di essere al loro
le strade da seguire per contestualizzare
fianco ed indicare loro un uso responsabile,
ed affrontare responsabilmente la problematica
attento e consapevole.
Privacy 2.0 veicolando anche attraverso
Le attenzioni e la prudenza non sono mai troppe
lo stesso Web 2.0 messaggi chiari, casi di studio
visto che, in rete più che nella vita privata, non
ed esempi concreti di approcci e scenari
esiste il concetto di diritto all’oblio.
che ne possono scaturire.
Non è fantascienza ipotizzare di essere scartati
024 Sicurezza nel web 2.0

25. VIRUS INSERITI NELLA STRUTTURA per ottenere la nuova password. Il file allegato è
DEI SITI in realtà un virus in grado di creare danni.
Leggere il campo mittente di queste email non è
Anche siti popolari e importanti possono spesso di grande aiuto, poiché viene abilmente
nascondere malware e sistemi per il reindirizzamento falsificato mostrando i dati corrispondenti al
del navigatore dal sito desiderato verso siti servizio reale. Un rimedio consiste nel non
pericolosi e inaffidabili. Occorrono prodotti cliccare sui link allegati ma andare direttamente
in grado di classificare in tempo reale gli indirizzi al sito scrivendone l’indirizzo che ben conosciamo.
dei siti per capire se i contenuti sono pericolosi. Conviene inoltre iscriversi a servizi di
aggiornamento sulle vulnerabilità del servizio
PHISHING interessante, per essere aggiornati sulle nuove
modalità di attacco e difesa.
Il phishing è una truffa mirata al furto di identità
e di dati sensibili come password, numero VULNERABILITÀ DI AJAX
carta credito ecc. La truffa si esegue tramite
email false, ma anche contatti telefonici, Ajax è una sigla nata dall’unione di Asynchronous
che riproducono l’apparenza grafica dei siti JavaScript e XML con cui si denota una tecnologia
di banche, poste, ecc. web in grado di fornire un aggiornamento
L’utente riceve un invito a scrivere le proprie asincrono all’applicazione web. In tal modo
credenziali per difendersi da virus, eseguire la trasmissione di dati tra client e server avviene
aggiornamenti ecc. ma in realtà viene indirizzato secondo specifiche zone della pagina senza
verso un sito in grado di rubare le informazioni dover ricaricare tutta la pagina, ovvero l’utente
riservate e usarle subito per derubare le persone. avrà sempre una pagina con i contenuti
Si tratta purtroppo di un fenomeno in continua aggiornati senza dover fare operazioni
crescita e in costante aggiornamento, per cui per ricaricare la pagina.
si manifesta in forme sempre diverse.
Alcune vulnerabilità di AJAX sono:
All’inizio queste email contenevano grossi
- esecuzione di codice dannoso in grado di
errori di italiano che li rendevano facilmente
sostituire i cookie quando il browser effettua
individuabili, adesso sono sempre più corrette
una chiamata con AJAX;
e sofisticate e vale la regola d’oro del non cliccare
- altre forme di cross-site scripting;
sui link nell’email ma andare direttamente
- si può evitare i controlli AJAX per fare
all’indirizzo del sito che ben conosciamo.
richieste POST o GET dirette, però si espone
Per informazioni http://it.wikipedia.org/wiki/
l’applicazione ai pericoli.
Phishing e il portale Anti-Phishing Italia su
www.anti-phishing.it/ Le Rich Internet Application (RIA) permettono
Anche i servizi offerti tramite il Web 2.0 sono un’esperienza di navigazione più ricca anche
colpiti da questo fenomeno con varie modalità. grazie all’inserimento di oggetti creati con Adobe
Nel primo modo si riceve una email fasulla Flash, controlli ActiveX o Applet. Questi oggetti
con l’apparenza grafica delle classiche email sono scaricati sul client in formato binario
che riceviamo da parte del gestore del servizio ed esistono software per decompilarli
web. L’email contiene, per esempio, una foto e modificarli, con tali operazioni si potrebbe
di una persona e un nominativo richiedente iniettare un oggetto pericoloso nel client
un contatto sul social network. superando tutti i controlli.
Cliccando sul link si viene rediretti verso
un sito con l’apparenza simile a quella del social VULNERABILITÀ DI RSS
network, ma in realtà è depositato su un altro
server e creato apposta per rubare login Grazie alle vulnerabilità Atom injection di RSS,
e password da rivendere al mercato nero. un attaccante può mandare (“iniettare”)
Un’altra modalità consiste nell’invio di email nel flusso di notizie del codice scritto
con avvisi del cambiamento di password in JavaScript per compiere azioni dannose
per motivi di sicurezza e invitando a aprire un file senza che il sistema di lettura RSS se ne accorga.
025 Sicurezza nel web 2.0