Piccolo dodecalogo di sicurezza

(C) 2003 by Paolo Attivissimo -- www.attivissimo.net

Prima versione: 25 agosto 2003. Ultimo aggiornamento: 18 novembre 2003

Norme di distribuzione

Questo documento può essere duplicato e distribuito liberamente purché in forma gratuita e lasciando intatta l'indicazione dell'autore (Paolo Attivissimo) e di dove reperire le versioni più aggiornate (http://www.attivissimo.net).

Premessa

Non illudetevi che queste semplici regole vi rendano assolutamente invulnerabili. La sicurezza assoluta è una chimera. Un aggressore deciso ed esperto, che prenda di mira specificamente voi, è in grado di aggirare queste precauzioni e probabilmente è in grado di aggirare qualsiasi precauzione, ricorrendo anche a tecniche non strettamente informatiche (corruzione, pedinamento, infiltrazione nell'organizzazione, furto materiale del computer, eccetera).

Ma la realtà è che il pericolo più frequente e probabile per l'utente medio è costituito da attacchi non mirati, in cui l'aggressore spara nel mucchio, sperando di trovare vittime facili, e chi spara è uno dei tantissimi dilettanti e aspiranti vandali che appestano la Rete. Pertanto adottare queste regole significa respingere con sicurezza la maggior parte degli attacchi più comuni.

Per capirci, queste regole sono sufficienti a farvi evitare tutti i più recenti attacchi informatici che hanno fatto notizia ultimamente e a tenervi al riparo anche dalla stragrande maggioranza degli attacchi futuri.

Queste regole non hanno la pretesa di essere le Tavole della Legge: sono semplicemente consigli basati sulla mia esperienza e sui suggerimenti raccolti ascoltando chi ne sa più di me, temperati dall'esigenza di renderli pratici e comprensibili anche all'utente non esperto.

La brevità di questo documento, concepito come "miniposter" da appendere al muro come promemoria, mi impedisce di spiegare a fondo molti aspetti della sicurezza. Qui c'è spazio soltanto per le regole: le spiegazioni, se tutto va bene, andranno in un documento separato che dovrebbe anche diventare un libro.

Attenzione: queste regole non riguardano la sicurezza fisica del vostro computer. Quest'argomento richiederebbe una lunga trattazione a parte, ma è di interesse più ristretto rispetto al problema universale della sicurezza contro gli attacchi informatici perpetrati via Internet.

Regola 0

Ho assegnato il numero zero a questa regola perché è un po' estrema e radicale rispetto alle altre. E' inoltre la più efficace, ma è anche la più impegnativa da mettere in pratica, per cui è da considerare separatamente rispetto alle altre.

Le ragioni di questa regola sono fondamentalmente due:

• Praticamente tutti gli attacchi informatici sono mirati a sfruttare le vulnerabilità del software Microsoft, perché è il più diffuso e quindi offre il maggior numero di vittime potenziali, e perché è intrinsecamente più difficile creare un virus per Linux per una lunga serie di ragioni tecniche. Non è un caso che tutti i virus più famigerati, per esempio, funzionino soltanto con Windows e non intacchino Linux, Mac, eccetera. Usando i sistemi operativi alternativi evitate sostanzialmente il problema virus (con eccezioni talmente rare da essere trascurabili).
  
• Il software Microsoft è notoriamente più ricco di vulnerabilità rispetto alle alternative. Lo testimonia il numero di patch di correzione che Microsoft è costretta a sfornare per i componenti vitali di Windows (incluso Internet Explorer, che è parte integrante del sistema operativo).

Lo so che è una proposta radicale e apparentemente insensata, ma il fatto è che usare Linux (che ormai offre tutte le stesse potenzialità e applicazioni di Windows, a patto di studiare un po') o Mac (che le offre da un pezzo, sia pure a caro prezzo) elimina in un sol colpo tutti i vostri problemi di sicurezza. Nessun virus, worm o allegato infetto può farvi nulla se la vostra macchina Linux o Mac è correttamente configurata. La cosa interessante è che i sistemi operativi alternativi vengono automaticamante configurati correttamente per la sicurezza. Windows no.

Se ritenete che sia davvero impossibile abbandonare Windows, allora leggete le regole successive: vi permetteranno di rendere Windows meno insicuro.

Un esempio di buon antivirus, oltretutto gratuito, è AVG Free (http://www.grisoft.com). E' quello che uso io sulla mia unica macchina Windows rimanente (le altre usano tutte Linux), e funziona.

E per l'amor del cielo, ricordatevi di tenere aggiornato il vostro antivirus. Escono virus nuovi letteralmente tutti i giorni, e l'antivirus li può riconoscere soltanto se lo aggiornate. Avere un antivirus non aggiornato è intelligente quanto riciclare i preservativi scaduti. Dovete aggiornarlo almeno una volta la settimana e preferibilmente una volta al giorno. E' un obbligo, non un consiglio, altrimenti l'antivirus non serve assolutamente a nulla.

Non commettete l'errore di pensare "a me l'antivirus non serve, tanto non apro gli allegati". Molti virus sono in grado di colpire le macchine Windows anche senza che apriate un allegato (un esempio per tutti è il famigerato MSBlaster). Molte versioni dei programmi Microsoft meno recenti tuttora in circolazione, inoltre, aprono automaticamente gli allegati. Alcuni virus, se colpiscono computer con Internet Explorer e/o Outlook Express non recenti, riescono a farsi eseguire semplicemente visualizzando l'anteprima del messaggio al quale sono allegati.

L'antivirus non va usato soltanto sugli allegati che ricevete via Internet, ma su tutti i file che arrivano al vostro computer da qualsiasi fonte: quindi anche sulla musica che scaricate, sui programmi che prelevate da Internet o dai CD allegati alle riviste, sui video, insomma su tutto, compresi i file che ricevete da altri utenti della vostra rete locale. Un virus può annidarsi anche in un dischetto o in un CD: anzi, prima del boom di Internet questo era il loro metodo di diffusione principale.

Anche se l'antivirus vi dice che un file che avete ricevuto nella posta è "pulito", non fidatevi. Passa un certo tempo (qualche ora o più) fra quando inizia la circolazione di un nuovo virus e il momento in cui viene reso disponibile l'aggiornamento dell'antivirus che lo riconosce. Verificate sempre che il mittente voleva davvero mandarvelo.

Almeno una volta la settimana, eseguite una scansione completa del vostro computer subito dopo aver aggiornato l'antivirus.

Ricordate che l'antivirus non protegge contro i "dialer" (i programmi presenti in tante pagine Web che promettono di farvi scaricare suonerie, musica o pornografia gratis se solo cliccate su "Sì"). Trovate un approfondimento qui.

Un firewall è l'equivalente digitale di un buttafuori. Serve a tenere fuori gli indesiderati e a far passare soltanto i dati che autorizzate a circolare. E là fuori, su Internet, ci sono tanti individui indesiderati e indesiderabili.

Windows XP è dotato di un firewall, ma è normalmente disattivato (verrà attivato automaticamente nelle prossime versioni). Il che è profondamente stupido, come mettere una porta blindata in casa e non chiuderla a chiave. Navigare in Internet con Windows senza firewall significa cercarsi guai.

Non perdete tempo ad attivare questo firewall integrato in Windows: per ammissione della stessa Microsoft, è un colabrodo (http://support.microsoft.com/default.aspx?scid=kb;EN-US;Q306203) e comunque non blocca il traffico uscente dal vostro computer, per cui un virus che vi infetta può lanciare attacchi dal vostro PC verso altri utenti senza che il firewall Microsoft lo fermi in alcun modo.

Procuratevi un firewall separato, come ad esempio Zone Alarm (gratuito, http://www.zonelabs.com); ma l'ideale, se potete permettervelo, è un firewall hardware: un aggeggio (che può anche essere un vecchio computer con su Linux) dedicato all'unico scopo di filtrare il traffico da e verso Internet.

Gli esperti storceranno il naso, ma usare Zone Alarm è sempre meglio che esporre a Internet un computer indifeso. E' come un casco per la moto: non vi salverà la vita se vi centra un carrarmato, ma vi proteggerà dagli incidenti più comuni.

Zone Alarm sostituisce egregiamente il firewall di Windows, e in più vi permette di decidere quali programmi sono autorizzati a trasmettere dati dal vostro computer verso Internet e ad accedere alla Rete. Questo vi consente, per esempio, di non autorizzare Internet Explorer (programma estremamente vulnerabile) a uscire su Internet, ma di autorizzare invece un programma alternativo (di cui vi parlerò tra poco).

Come qualsiasi software, anche il software Microsoft ha numerose vulnerabilità, che vengono scoperte e corrette man mano dalla comunità degli informatici e da Microsoft stessa. Le correzioni vengono distribuite esclusivamente da Microsoft, spesso con cadenza quasi settimanale, sotto forma di programmi scaricabili gratuitamente da Internet. Non vengono mai distribuite come allegati a e-mail.

In Windows è integrata una funzione, denominata Windows Update, che provvede ad automatizzare il procedimento per chiedere a Microsoft se ci sono nuove correzioni e poi scaricarle e installarle.

Molti utenti non permettono questo aggiornamento automatico del loro computer. Temono l'effetto "Grande Fratello" (quello orwelliano), ossia che Microsoft usi queste patch per intrufolarsi nel loro computer e faccia lo spione. A parte il fatto che salvo casi rarissimi a Microsoft non potrebbe fregar di meno di quello che contiene il computer dell'utente medio, chi ha queste paranoie non ha capito che se Microsoft o chi per essa volesse entrargli nel computer, potrebbe sfruttare proprio le vulnerabilità che le patch vogliono correggere. In altre parole, non aggiornare Windows è stupido.

E poi scusate, se non vi fidate di Microsoft, perché diavolo continuate a usare i suoi prodotti?

Un esempio lampante delle conseguenze di questa diffusa incoscienza è la devastazione causata ad agosto 2003 dal virus (o più correttamente worm) MSBlast/Lovsan. La patch che correggeva la falla sfruttata da quest'aggressore era già disponibile un mese prima che iniziasse a circolare il virus; persino il Dipartimento di Difesa statunitense aveva diramato avvisi invitando gli utenti a scaricare la patch. Ma milioni di utenti non l'hanno scaricata e installata, e pertanto si sono infettati. Così imparano. Forse.

Un'altra ragione più fondata per la quale molti utenti non installano gli aggiornamenti Microsoft è che ogni tanto questi aggiornamenti automatici non funzionano o addirittura guastano Windows. Questo purtroppo effettivamente capita, anche se non molto spesso (http://www.pcworld.com/news/article/0,aid,105144,00.asp). Pertanto è consigliabile fare un backup prima di installare queste patch.

Questo non vuol dire che le patch non vanno installate; semplicemente vuol dire che vanno installate con cautela. La possibilità che la patch faccia danni esiste, ma è molto più remota della possibilità -- o meglio, della certezza -- di danni se non la installate.

Se tutta questa tiritera di patch e backup vi sembra una scocciatura eccessiva, valutate l'idea di passare a sistemi operativi alternativi, come Linux o MacOS, per i quali le patch sono assai meno frequenti, con costi e fastidi di manutenzione conseguentemente ridotti.

Internet Explorer è estremamente vulnerabile, e le sue vulnerabilità sono quelle preferite dagli aggressori informatici, perché sono facili da sfruttare e possono fare un elevatissimo numero di vittime.

Se usate Internet Explorer per visitare le pagine Web, vi esponete al rischio di imbattervi in pagine Web che per il solo fatto di essere visualizzate possono infettarvi il computer. Questo fatto viene riconosciuto da Microsoft in quasi tutti i suoi advisory(comunicati in cui annuncia l'esistenza di una falla e la procedura da adottare per correggerla).

Al posto di Internet Explorer, usate programmi alternativi come Opera (http://www.opera.com, anche in italiano) o Mozilla (http://www.mozilla.org), in italiano presso http://members.xoom.virgilio.it/mozdoesit/), entrambi disponibili gratuitamente.

Al posto di Outlook Express, usate alternative come queste:

• Eudora (http://www.eudora.com, gratuito se in versione "ridotta", a pagamento in italiano presso http://www.eudora.com/buying/localized.html)
• The Bat! (http://www.ritlabs.com/the_bat, a pagamento, in italiano presso http://www.mediando.com/thebat/download.html)
• Pegasus (http://www.pmail.com, gratuito ma non disponibile in italiano)
• oppure una versione recente di Outlook Express configurabile in modo che non si appoggi più a Internet Explorer per la visualizzazione dei messaggi. Questo è possibile soltanto nelle versioni recenti di Outlook Express, come indicato presso http://www.microsoft.com/windows/ie_intl/it/iereadme.htm: andate in Strumenti > Opzioni > Lettura e fate comparire il segno di spunta in "Visualizza tutti i messaggi come testo normale".

Il vantaggio dei programmi di posta alternativi è che a differenza di Outlook Express non si appoggiano a Internet Explorer per visualizzare i messaggi (o possono essere impostati in modo da non farlo): li visualizzano come testo semplice, disattivando pertanto qualsiasi contenuto pericoloso. Outlook Express, invece, usa Internet Explorer per visualizzare i messaggi (perlomeno nelle versioni meno recenti), per cui è possibile confezionare un e-mail che attacca l'utente tramite una delle tante falle di Internet Explorer.

Inoltre, siccome i programmi alternativi sono meno diffusi dei prodotti Microsoft, le loro eventuali falle sono oggetto di minori attenzioni da parte degli aggressori informatici.

Ripeto: di qualunque tipo e chiunque ne sia il mittente. Ripeto ancora: chiunque.

• Non esistono tipi di file sicuri, soprattutto sotto Windows. Persino i documenti, le immagini, i videoclip e i brani musicali sono potenziali vettori di attacco. L'unico tipo di file sicuramente immune è il file di testo semplice (quello scritto col Blocco Note, per intenderci). Ma esistono inoltre vari trucchi che fanno sembrare che un file sia di tipo "testo semplice" (o di un altro tipo ritenuto innocuo) quando in realtà è un programma eseguibile e contiene codice virale. E' un classico espediente usato dai virus. Non ci si può fidare di Windows per il riconoscimento esatto del tipo di file, e quindi è necessario considerare a rischio tutti i tipi di file.
  
• E' facilissimo falsificare il mittente di un e-mail. Quindi non dovete credere ai messaggi che sostengono di provenire da Microsoft, CNN, IBM o da vostri conoscenti o colleghi e vi invitano ad aprire un allegato: alterare il vero mittente di un e-mail è un classico trucco degli autori di virus.
• E' altrettanto facile creare file infetti non riconoscibili dagli antivirus. Anche se l'antivirus appena aggiornato vi dice che il file è pulito, non apritelo a meno che sia un allegato che vi aspettavate di ricevere. Anche se l'avete ricevuto da un amico o collega fidato, prima di aprirlo chiedetegli conferma del fatto che intendeva mandarvelo.
• Fra l'uscita di un nuovo virus e la disponibilità dell'antivirus aggiornato che lo riconosce passa del tempo (in genere qualche ora). Durante questa finestra temporale, l'antivirus può dunque dirvi che un file è pulito quando in realtà è infetto. Non fidatevi ciecamente del responso negativo di un antivirus ("il file non è infetto"), anche se fresco di aggiornamento. Fidatevi soltanto di quello positivo ("il file è infetto").
  

Perché insisto tanto sul "chiunque ne sia il mittente"? Perché una tecnica molto in voga fra gli autori di virus consiste nell'inviare alla vittima un e-mail infettante che sembra provenire da una persona o azienda che conosce e di cui si fida.

Per esempio, gli autori dei virus spesso creano e-mail che fingono di provenire da Microsoft e dichiarano di contenere un allegato costituito da una patch di correzione per difendervi dall'ennesimo virus, mentre è in realtà è esso stesso un virus.

Microsoft ha addirittura una pagina apposita di smentita (http://www.microsoft.com/italy/technet/solutions/security/falsi_bolletini.asp), che dice fra l'altro che è facile capire quando un e-mail che apparentemente ha come mittente Microsoft è in realtà fasullo: "Il messaggio non è firmato tramite la chiave PGP del Microsoft Security Response Center. Prima di inviare i bollettini, Microsoft appone sempre una firma digitale che è possibile controllare utilizzando la chiave pubblicata all'indirizzo http://www.microsoft.com/technet/security/bulletin/notify.asp. In caso di dubbi sull'autenticità di un bollettino ricevuto per posta elettronica, è possibile confrontarlo con le versioni ufficiali dei bollettini pubblicate sul sito Web Microsoft TechNet." [...] "I bollettini autentici non contengono mai un collegamento a una patch, ma rimandano alla versione completa del bollettino pubblicata sul sito Web di Microsoft, in cui è disponibile il collegamento alla patch."

Un'altra tecnica molto diffusa fra i realizzatori di virus è attingere alla rubrica degli indirizzi della vittima. Per esempio, un virus può infettare il computer di un vostro conoscente, nella cui rubrica trova il vostro indirizzo. Il virus poi confeziona un messaggio infetto in cui il mittente è appunto il vostro conoscente e il destinatario è ciascuno degli indirizzi presenti nella rubrica, e quindi arriva anche a voi. In questo modo, il messaggio contenente il virus vi arriva da una fonte apparentemente affidabile, e questo tende a farvi superare il naturale dubbio che avreste verso un allegato proveniente da uno sconosciuto; così aprite l'allegato, infettandovi e perpetuando l'infezione.

Una ulteriore variante popolarissima di questa tecnica virale è usare come falso mittente un indirizzo a caso tratto dalla rubrica della vittima. Per esempio, l'utente tizio@tin.it viene infettato: la sua rubrica contiene (fra i tanti) gli indirizzi di caio@libero.it e sempronio@yahoo.com. Il virus confeziona un e-mail contenente come allegato una copia di se stesso, indicando come mittente non il vero mittente, come nel caso precedente, ma un mittente falso pescato dalla rubrica: in questo esempio, si spaccia per un allegato proveniente non da tizio, ma da caio, e diretto a sempronio.

Questo crea una confusione pazzesca che facilita la diffusione del virus: mentre nella tecnica precedente è facile risalire all'origine dell'infezione e avvisare l'untore, perché il mittente indicato nel messaggio virale è autentico, in questa tecnica il mittente infetto è irrintracciabile. Sempronio riceve un e-mail infetto che sembra provenire da caio, ma in realtà proviene da tizio. Di conseguenza sempronio pensa che sia caio l'infetto, ma in realtà l'infetto è tizio, che continua a restare infetto dato che nessuno lo avvisa del problema. In compenso, tutti avvisano erroneamente caio che è infetto, generando un ulteriore traffico di messaggi inutili e confusionari.

E' facile perdere i propri dati. Il disco rigido che li contiene si può scassare, una cliccata distratta li può cancellare, un virus può devastarli, un crash di Windows può renderli irrecuperabili, uno sbalzo di tensione può fulminarvi il computer, un ladro può rubarvi il PC portatile. Eccetera.

Fate dunque il backup (copia di sicurezza) dei vostri dati. Copiateli su un CD (che è immune ai campi magnetici, a differenza del disco rigido), copiateli a un altro disco rigido situato altrove (in un altro computer, per esempio), copiateli su un portachiavi USB, insomma fate quello che volete, ma fate il backup.

Fatelo spesso. L'esatto significato di "spesso" varia da persona a persona e da situazione a situazione. Il criterio fondamentale è questo: quante ore (o giorni) di lavoro al computer sareste disposti a rifare? La cadenza dei backup deve essere più ravvicinata di quel periodo di perdita sopportabile.

Fatelo SEMPRE. E' facile adagiarsi e cominciare a pensare "tanto oggi cosa vuoi che succeda" e smettere di fare il backup regolarmente. Ed è proprio allora che la sfiga (che notoriamente ci vede benissimo) vi colpirà. Io ne so qualcosa; i backup quotidiani di tutti i miei dati mi hanno salvato in tante occasioni da disastri sia a livello professionale (perdita di lavoro) sia a livello personale (diari, dati, foto, appunti, filmati che altrimenti avrei perso per sempre).

E collaudatelo! Può capitare che ci sia un errore di scrittura o di procedura per cui il backup sembra essere stato creato regolarmente ma in realtà è inservibile. Provate ogni tanto a ripristinare qualche file di prova.

Dal punto di vista della sicurezza informatica, il backup è l'estrema linea di difesa. Il suo scopo è intervenire quando ogni altra precauzione ha fallito e l'aggressore ha compromesso il vostro computer. Se avete un backup, potete ripristinare la situazione a com'era prima dell'attacco. Se non l'avete, siete in braghe di tela.

La posta in formato HTML (quella che consente grassetti, corsivi e altri effetti speciali) può veicolare contenuti pericolosi (virus, worm eccetera) che possono essere eseguiti automaticamente,senza che sia necessario aprire allegati. La posta HTML è una delle tecniche preferite dagli autori di virus. La posta HTML è male.

L'e-mail di testo semplice è invece assolutamente sicura.

Rinunciare a qualche effetto tipografico è un sacrificio modesto compensato da un enorme aumento della sicurezza. La vostra posta assumerà un aspetto più spartano, ma ne vale la pena. Comunque anche nell'e-mail di testo semplice è possibile "simulare" il grassetto e il corsivo usando espedienti: ad esempio, si può **evidenziare** una parola oppure __sottolinearla__.

Praticamente tutti i programmi di posta possono essere impostati in modo che inviino l'e-mail come testo semplice. Fatelo. Le istruzioni sono nel relativo manuale.

Questi nomi vi sono forse poco familiari: semplificando, identificano linguaggi di programmazione, nati per scopi non pericolosi, che però gli aggressori informatici hanno imparato a manipolare a fini vandalistici. Questi linguaggi consentono di annidare veri e propri microprogrammi all'interno di e-mail e pagine Web. Ovviamente un aggressore può usarli per creare microprogrammi ostili che danneggiano il vostro computer.

Il guaio è che nell'impostazione normale di Windows questi microprogrammi vengono eseguiti automaticamente. Per cui basta visualizzare un e-mail o una pagina Web ostili contenenti questi microprogrammi per infettarsi o essere attaccati, ad esempio obbligandovi a visitare un determinato sito o depositando programmi-spia nel vostro PC.

Imparate pertanto a disattivare l'esecuzione automatica di questi linguaggi. La procedura esatta dipende dal software che usate.

Grazie alla poca furbizia di molti realizzatori di pagine Web, questa disattivazione comporta che alcuni siti non funzionano più. Il rimedio è semplice: riattivate l'esecuzione soltanto sui siti di cui vi fidate e tenetela disattivata quando visitate siti di cui non vi fidate. Meglio ancora, disattivatela e tenetela disattivata, riattivandola solo se assolutamente necessario (ossia se la pagina del sito fidato non funziona se non riattivate l'esecuzione di questi linguaggi).

Se dovete distribuire documenti in forma elettronica, usate invece il testo semplice (.txt), l'HTML o il formato Acrobat (PDF). Rispetto a Word, questi formati hanno il vantaggio di non includere automaticamente i vostri dati personali, vale a dire (per ammissione della stessa Microsoft) "il vostro nome, le vostre iniziali, il nome della vostra società o organizzazione, il nome del vostro computer, il nome del server di rete o del disco rigido sul quale avete salvato il documento, altre proprietà del file e informazioni riepilogative, porzioni non visibili di oggetti OLE embedded, i nomi degli autori precedenti, le revisioni e le versioni del documento, informazioni sul modello, testo nascosto e commenti". Questo può condurre a figuracce spettacolari, come ben sa il primo ministro inglese Tony Blair (http://www.apogeonline.com/webzine/2003/07/30/01/200307300101).

Trovate maggiori ragguagli sull'entità del problema presso http://www.attivissimo.net/security/word_documents/word_documents.htm.

I documenti Word sono da considerare pericolosi anche perché possono veicolare i cosiddetti macrovirus, ossia piccoli programmi annidati all'interno del documento Word che vengono eseguite automaticamente appena si apre il documento. Le recenti versioni di Word non eseguono più automaticamente le macro, ma è possibile indurre Word a eseguirle lo stesso (http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-035.asp) a meno che l'utente installi una patch di correzione.

Un altro motivo per cui conviene usare un formato diverso da Word per distribuire documenti è che se usate Word potete comunicare soltanto con gli utenti Windows (e, in misura limitata, con quelli Mac). Gli utenti di altri sistemi operativi sono tagliati fuori. Se volete essere sicuri che il vostro interlocutore possa leggere il documento elettronico che gli inviate, usate i formati che vi consiglio. Per il formato Acrobat, il programma di lettura è disponibile gratuitamente per quasi tutti i sistemi operativi recenti.

Generare documenti in formato Acrobat (PDF) è facilissimo: basta acquistare un programma apposito, come l'originale di Adobe o l'assai più economico Pdf995 (http://www.pdf995.com), oppure usare uno dei tanti servizi di conversione online (reperibili digitando "convert to pdf" in Google). In alternativa, potete usare la suite gratuita OpenOffice.org, la cui versione 1.1 include un'opzione che consente appunto di salvare i documenti in formato PDF.

Molti utenti hanno l'abitudine di installare programmi "per prova". Non fatelo. Più cose installate nel vostro computer, più vi esponete al rischio di cambiarne o appesantirne il funzionamento.

Un programma installato "per prova" può decidere arbitrariamente di diventare quello che parte quando fate doppio clic su un file, anche se voi ne usavate un altro e vorreste continuare a farlo. Riportare il computer al funzionamento originale è un'impresa.

Alcuni programmi, inoltre, si installano in modo da partire automaticamente a ogni avvio, rallentando enormemente i tempi di avvio del computer e occupandone inutilmente la memoria. Questo a sua volta rallenta il funzionamento generale del PC.

Per quanto riguarda il software pirata, viene naturalmente distribuito senza alcuna garanzia di integrità. Nel caso migliore, può mancarne un pezzo, per cui il software non funziona o fa danni ai vostri dati. Nel caso peggiore, il software piratato può contenere virus o altri programmi-spia (i cosiddetti trojan horse o "cavalli di Troia") che vengono installati a vostra insaputa e permettono a un aggressore di avere pieno accesso al vostro computer. E' una situazione assai più frequente di quel che potreste pensare.

Va da sé, inoltre, che il software pirata non prevede assistenza tecnica. Per cui se non funziona o non sapete come ottenere un certo risultato, vi dovete arrangiare.

Soprattutto nel caso di Windows, le versioni piratate di solito non consentono di scaricare i frequenti e indispensabili aggiornamenti di sicurezza (patch). Senza queste patch, il vostro Windows è un colabrodo.

A parte queste considerazioni pratiche, piratare il software è illegale e le pene sono pesanti. Esiste moltissimo software legalmente copiabile e distribuibile (c'è addirittura Linux, un sistema operativo completo che sostituisce Windows), per cui non avete alcuna vera scusa che giustifichi la pirateria software.

La Rete è piena di falsi allarmi riguardanti virus inesistenti, che gli utenti ingenui diffondono ad amici e colleghi credendo di aiutarli. In realtà questi allarmi non servono a nulla, se non a generare insicurezza e traffico inutile di messaggi.

Il modo migliore per distinguere un vero allarme da uno falso è vedere se include un rimando a un sito di un produttore di antivirus. Se il rimando è autentico e descrive quanto indicato nell'allarme, allora l'allarme è autentico. Altrimenti, anche se ve lo manda il vostro migliore amico, è meglio diffidare e cancellare senza diffondere ulteriormente.

E' facilissimo creare un e-mail che contiene un link ingannevole, che sembra rimandare a un sito regolare ma invece vi porta da tutt'altra parte, ossia a un sito visivamente identico a quello autentico ma in realtà gestito da truffatori. Questo sistema viene usato per commettere frodi, ad esempio rubando password o codici di carta di credito. Una delle più diffuse tecniche per creare link ingannevoli è spiegata presso http://www.attivissimo.net/security/fakesites/fakesites.htm.

La truffa più frequente funziona in questo modo: ricevete un e-mail che sembra provenire dal servizio clienti di qualche banca, società o provider (Paypal.com, per esempio), che vi avvisa di un "controllo a campione" o di un "problema di verifica dei dati" e vi chiede di visitare il suo sito usando il link cortesemente fornito nell'e-mail. Il link è visivamente a posto (inizia con il nome del sito), ma è in realtà truccato in modo da mascherare il fatto che cliccandovi sopra non si va al sito dell'azienda autentica, ma a un sito falso che usa la medesima grafica e nel quale vi viene chiesto di immettere i vostri dati, password compresa. Se lo fate, regalate al truffatore i vostri codici di accesso, con tutte le ovvie e spiacevoli conseguenze del caso.

Come faccio a sapere se queste regole funzionano?

Sarà anche bello bardarsi con tutte queste tecniche di difesa, ma come si fa poi a verificare che funzionano davvero? Se non potete metterle alla prova, non vi rendete conto del fatto che sono così preziose e vi stanno silenziosamente difendendo.

Per verificare l'integrità del vostro firewall, potete ricorrere ai test non distruttivi offerti da siti come Grc.com (in particolare le pagine ShieldsUp! e LeakTest) oppure HackerCheck di Trend Micro, o anche ai miei piccoli test nel Browser Challenge. I dettagli di come procedere saranno pubblicati in un libro e sul mio sito se questo Dodecalogo striminzito riscuote successo.

Per verificare l'efficacia del vostro antivirus, potete usare i "falsi virus" messi a disposizione dalle principali società antivirali. Si tratta di file innocui che però contengono parti di codice presenti nei più diffusi virus ma rese inoffensive. Scaricando questi file, o ricevendoli come allegati, il vostro antivirus deve riconoscerli come virus.

Verificare l'efficacia delle patch di Windows è più difficile: il metodo da usare varia a seconda del problema risolto dalla patch. Spesso Microsoft non spiega esattamente qual è il problema risolto dalla patch e quindi è impossibile creare le specifiche condizioni in cui la patch deve agire. Ci sono vari siti dedicati alla sicurezza che offrono test per questa o quella patch (ad esempio GRC.com offre un test per la patch DCOM), ma le patch sono troppo numerose perché io riesca ad elencare qui ogni singolo test disponibile. Non vi resta che sperare che la patch funzioni come dichiarato. Purtroppo non sempre è così.

Grazie a Silver, riccardo, emenotti, stefano, matteoelst, filippo.sim**e, placerenza e ai tanti altri lettori che hanno reso migliore questo documento snidando i miei errori e i passaggi poco chiari.