primo fascicolo - Formazione e Sicurezza

Università degli Studi
di Padova
Facoltà di Medicina e Chirurgia
Corso di Laurea Triennale in
Tecniche della Prevenzione
negli Ambienti e nei Luoghi di Lavoro
(LT - TPALL)
Percorso Straordinario
Informatica
A.A. 2007-2008
Mario A. Bonamin
email del corso: [email protected]
1
Università degli Studi di Padova - Facoltà di Medicina e Chirurgia
Laurea triennale in Tecniche della Prevenzione
nell’Ambiente e nei Luoghi di Lavoro
Percorso Straordinario – A.A. 2007-2008
Corso Integrato: Statistica, Informatica
Insegnamento: Informatica
Docente: Mario Antonio dr Bonamin
Obiettivi formativi generali: la professione di Tecnico della Prevenzione richiede un ventaglio di
competenze informatiche di base indispensabili alla conduzione delle quotidiane attività
caratteristiche sia di tipo amministrativo che operativo.
Obiettivi didattici specifici: alla fine del corso di Informatica lo studente deve essere in gradi di:
- Descrivere i concetti di base attinenti la raccolta, l’elaborazione, l’archiviazione, la
comunicazione, la presentazione e la gestione in sicurezza delle informazioni in ambito
informatico.
- Utilizzare i principali software applicativi e di utilità di interesse per la professione.
- Utilizzare Internet come mezzo per la condivisione delle informazioni e come strumento per
la ricerca.
Programma
- Le competenze informatiche per la raccolta, l’elaborazione, e la diffusione dei dati.
- Strumenti di comunicazione in rete e posta elettronica
- Sicurezza informatica attiva e passiva.
- Elaborazione di testi
- Presentazioni di documenti in formato elettronico
- Elementi del linguaggio HTML
- Il foglio elettronico per l’elaborazione e l’archiviazione dei dati.
Tipologia della prova
d’esame:
Materiale didattico:
Testi di riferimento:
Testi consigliati:
Prove scritta finale.
Fotocopie sui principali argomenti trattati a lezione.
CalvoM. et al. – Internet 2004 – Manuale per l’uso della rete, Laterza 2003
Renzoni N. et al. – Informatica di Base. Apogeo 2004
Baccalini F. (a cura di) – ECDL La guida McGraw-Hill alla Patente Europea
del Computer. McGraw-hill 2004.
Data: gennaio 2008
2
Universita' degli Studi di Padova
Facolta' di Medicina e Chirurgia
Corso di Laurea in Tecniche della Prevenzione
lez(01)
Comunicazione in rete
La posta elettronica
Lo strumento principale di comunicazione in rete, e lo strumento che ha determinato la
nascita di internet, e’ senza dubbio la posta elettronica o email, la quale permette una
comunicazione asincrona, uno a uno, in rete attraverso l’invio e la ricezione di messaggi.
Possiamo suddividere gli strumenti di comunicazione per tipologia (uno a uno, uno a molti,
molti a molti), oppure in base alla modalità di accesso:
- Modalità sincrona, quando il mittente ed il destinatario devono essere attivi, collegati,
presenti nel medesimo istante. Un esempio è la comunicazione telefonica, in cui se alla
chiamata non fa seguito la risposta, il trasferimento del messaggio non avviene. Modalità
sincrone sono la comunicazione personale, il collegamento radio, la comunicazione
radiotelevisiva, messaggi (chat) in rete, ….
- Modalità asincrona, quando l’invio del messaggio e la sua lettura avvengono in momenti
distinti, come la posta elettronica, i newsgroup, il fax, gli sms, il quotidiano, la posta
ordinaria, . . .
Il concetto di messaggio, inteso come unione di una testata, o header, con le informazioni
necessarie alla veicolazione dello stesso, e corpo, o body, con le informazioni che devono essere
comunicate, nasce molto prima di internet, ed era molto diffuso ad esempio nelle comunicazioni
militari.
Figura 1 – Interfaccia grafica di Outlook Express
3
Il 13 agosto del 1982 viene definita la RFC (Request For Comment) 822 dal titolo
“STANDARD FOR THE FORMAT OF ARPA INTERNET TEXT MESSAGES”, la quale formula
delle regole che permettono l’interscambio di messaggi testuali attraverso la rete.
Successiva a questa è la RFC 2822 dell’aprile 2001, dovuta alla Qualcomm Incorporated, la
quale ridefinisce ed ampia lo standard per l’invio di email che è tuttora universalmente accettato.
Figura 2 – Redazione di un messaggio in Outlook Express
L’intestazione (header) raccoglie un insieme di informazioni di servizio che permettono
l’invio del messaggio, e tengono traccia dei passaggi durante il percorso dal mittente al destinatario.
Ogni voce è costituita da una riga di testo, con un nome identificativo seguito dal carattere ‘:‘
e dal corrispondente valore.
Le principali voci definite direttamente dal mittente sono:
•
•
•
•
•
Subject: (Oggetto:), contiene una breve descrizione del contenuto del messaggio, ed è
importante compilarla almeno per due motivi
o È buona educazione indicare al destinatario l’argomento del messaggio.
o I messaggi senza indicazione nel campo Oggetto vengono sovente eliminati dai
programmi automatici che intercettano la posta indesiderata.
From: (Da:), indirizzo email del mittente, inserito quasi sempre automaticamente.
To: (A:), indirizzo email del destinatario
CC: (Carbon Copy, Copia Carbone:), indirizzi email dei destinatari in copia
conoscenza.
BCC: (Blind o Blank Carbon Copy, Copia Carbone Nascosta), indirizzi email dei
destinatari in copia carbone nascosta. Questi ricevono il messaggio, ma il loro
indirizzo non compare nella intestazione che ricevono gli altri destinatari.
Quando gli indirizzi email da inserire sono più di uno, questi vanno separati tra di loro da una
virgola ed uno spazio, oppure da un punto e virgola ed uno spazio.
Lo standard per il formato dei messaggi email non contempla l’uso dei caratteri speciali,
ovvero accetta solo caratteri ASCII tra 33 e 126, i caratteri di semplice testo, escludendo ad esempio
i caratteri accentati della lingua italiana.
4
La possibilità di introdurre codice html all’interno del messaggio ha permesso di superare
questi limiti, introducendo però come contropartita problemi di compatibilità e di sicurezza:
-
-
compatibilità: un messaggio che contiene solo testo non formattato è leggibile
corretttamente su qualsiasi terminale. Una email che contiene lettere accentate diventa
quasi illeggibile se inviata all’estero.
sicurezza: il codice html può incorporare a sua volta codice in vari linguaggi, ed è uno
degli strumenti più utilizzati per la diffusione di virus, spyware, ecc…
Il software per gestire ed organizzare i messaggi di posta elettronica si è evoluto notevolmente
nel tempo, e dai primi programmi con interfaccia a carattere si è passati agli attuali applicativi con
funzionalità anche molto complesse.
Il programma maggiormente diffuso è sicuramente Outlook Express (vedi Fig.1 e 2), il quale
si presenta con indubbie qualità di potenza e facilità d’uso.
Contemporaneamente questo determina anche la sua più grande debolezza, facendolo
diventare il bersaglio privilegiato degli attacchi di sicurezza attuati attraverso email.
Figura 3 – Redazione di un messaggio in Eudora
In alternativa al software Microsoft, proprio con una forte attenzione alla sicurezza, è
possibile ricorrere all’uso di programmi alternativi, come Eudora, Thunderbird, Pegaso Mail, ed
altri ancora.
Eudora (vedi Fig. 3) è stato di recente reso disponibile liberamente anche nella versione
professional, ed è noto per la completezza delle funzioni disponibili e per la possibilità di gestire un
elevato numero di caselle di posta, sia pop3 che imap.
Nella rappresentazione della Fig.4, si può notare il percorso che il singolo messaggio di posta
elettronica segue a partire dal momento dell’invio da parte del mittente, sino alla sua lettura da parte
del destinatario.
La rappresentazione vista ha diverse varianti, a seconda che la connessione con il server sia
temporanea o continuativa, che ci si trovi in una rete locale o in internet, e a seconda del software
“Mail User Agent” utilizzato.
5
To: [email protected]
From: [email protected]
Invio la presente email per
comunicare….
MUA di Alice
Server dei nomi di dominio
smtp
dns
ns.hotspot.com
dns
smtp.hotspot.com
Rete Internet
Server di posta MTA
Server di posta MTA
mailbox.yahoo.it
pop3.yahoo.it
smtp
pop3
To: [email protected]
From: [email protected]
Invio la presente email per
comunicare….
MUA di cltpall
Figura 4 – Il percorso seguito da un messaggio di posta elettronica dal momento dell’invio da
parte del mittente e sino alla sua lettura da parte del destinatario.
6
Si è visto di recente una notevole diffusione dell’accesso alla posta elettronica attraverso il
browser web (Firefox, Internet Explorer, Opera, ecc.). Lo schema indicato rimane il medesimo, ed i
protocolli utilizzati sono gli stessi. Al sistema viene aggiunta una applicazione web lato server che
svolge il ruolo del Mail User Agent (MUA).
Il vantaggio della posta via web presenta interessanti aspetti positivi, a scapito di qualche
vincolo aggiuntivo:
- Aspetti positivi
o Non vi è alcun bisogno di configurare gli indirizzi dei server di posta.
o L’onere per la gestione della sicurezza ricade tutta sul server.
o E’ possibile accedere alla propria posta da qualsiasi postazione web.
- Aspetti negativi
o E’ necessario essere collegati alla rete anche quando si stà scrivendo il messaggio.
o Vi sono dei limiti sulla quantità di spazio occupato.
o Non si possono gestire contemporaneamente più caselle di posta elettronica.
o Ogni fornitore di servizio ha interfacce, regole, navigazione proprie, tutte diverse
tra loro.
o Si perdono le caratteristiche di gestione avanzata presente nei programmi
tradizionali.
7
Sicurezza ICT
Sicurezza Informatica
La sicurezza ICT (Information Computer Technology) fa riferimento ad un
insieme di tecniche e di comportamenti atti a salvaguardare l'integrità dei dati, il
regolare funzionamento degli strumenti utilizzati e la privacy attinenti le informazioni
che transitano nel sistema informativo nei confronti di eventi accidentali, di interventi
esterni dolosi o di malfunzionamenti del sistema.
L'ampia diffusione che l'attività in rete ha avuto negli ultimi anni ha portato con
sé, oltre ad evidenti vantaggi di interazione e di allargamento della conoscenza, anche
alcuni aspetti indesiderati legati alla sicurezza informatica.
I fenomeni associati alla sicurezza sono molteplici, ed ognuno di questi
fenomeni si presenta con diverse sfaccettature, osservabili da punti di vista diversi,
tali che anche se molti aspetti hanno connotazioni negative, e come tali sono di
interesse per lo sviluppo di strumenti di difesa, altri hanno anche implicazioni
positive, promuovendo buone regole di programmazione e di comportamento,
permettendo di elevare la qualità generale dei sistemi informativi e delle applicazioni
connesse.
La casistica è così ampia e diversificata che non esiste allo stato attuale delle
cose un trattamento uniforme dei problemi connessi.
Né si può sperare di poter un giorno arrivare ad avere una soluzione esaustiva
del rischio connesso all'operatività sia online sia offline, vista la velocità con cui si
evolvono questi fenomeni, anche se sembra eccessivo il detto: “l'unico computer
completamente sicuro è un computer spento”.
Una ulteriore considerazione da tenere presente è che le insidie più pericolose
per i sistemi informativi non passano attraverso strumenti tecnici, ma attraverso gli
atteggiamenti ed i comportamenti delle persone che operano nel settore: esiste una
vera e propria scuola di pensiero che prende il nome di “social engenieering” e che
propone in internet manuali sul come raccogliere informazioni utili ad una successiva
intrusione in un sistema informatico.
Per questi tipi di attacco non esiste tecnica di difesa che possa resistere. Se
l'attacco viene condotto conoscendo già le informazioni per accedere al sistema, per
quanto sofisticata sia la difesa, questa sarà perfettamente inutile.
8
Sicurezza attiva e sicurezza passiva.
Si definisce sicurezza attiva l'insieme di strumenti e di tecniche implementate
nel sistema che contrastano i tentativi di intrusione e di modifica provenienti
dall'esterno, o di perdite di dati causati dal malfunzionamento del sistema. Un
esempio di sicurezza attivo è l'uso di un antivirus aggiornato, o di un alimentatore
UPS (Uninterruptible Power Supply o gruppo di continuità) che permetta di
salvaguardare i dati in caso di caduta di tensione di linea.
Per contrapposizione la difesa passiva si definisce come l'insieme di metodi e
di atteggiamenti atti a limitare il problema riducendo i comportamenti a rischio. L'uso
di password adeguate, il sospetto su materiale che proviene da fonte non conosciuta,
il salvataggio frequente del lavoro che si stà svolgendo sono atteggiamenti che
possiamo tenere qualunque sia il sistema su cui stiamo operando.
Sicurezza Informatica
•
•
Virus Informatico – programma software autonomo che ha l'obiettivo di
causare danni o azioni di disturbo. La prerogativa principale di un virus è la
autoreplicazione e autodiffusione (da cui il nome) attraverso supporti hardware
come dischetti o attraverso la rete. Per ogni nuovo virus che appare, subito si
presentano diverse varianti o 'ceppi' che cercano, attraverso piccole variazioni
del codice, di mascherarsi e sfuggire agli antivirus. Attualmente si contano
decine se non centinaia di migliaia di tipi diversi di virus, tra forme base e
varianti connesse. Ve ne sono di due tipi:
•
Virus non distruttivi, che si limitano a visualizzare un messaggio o che
rallentano il computer, ma non provocano la distruzione di informazioni.
•
Virus più pericolosi, che danneggiano il sistema informatico. In ogni caso
un virus informatico può danneggiare sino alla completa distruzione
l'ambiente software, ma non può allo stato attuale, creare danni fisici
all'hardware.
Macrovirus – sono in tutto e per tutto dei virus che si propagano attraverso
l'utilizzo di macro utilizzate nei più importanti pacchetti software per creare
semplici applicazioni.
I pricipali strumenti di diffusione di questi macrovirus sono Word, Excel,
Outlook, tutti applicativi Microsoft.
La loro diffusione è stata ed è tuttora agevolata soprattutto da due fattori:
•
la carente o inesistente sicurezza degli applicativi indicati
•
la loro grande diffusione, che li rende maggiormente appetibili per chi crea
questi macrovirus.
9
•
Worm – virus informatico capace di replicare sé stesso e di diffondersi non
solo da un file all'altro, ma anche da un computer all'altro attraverso la rete.
La sua capacità di replicarsi all'infinito porta ad occupare tutte le risosrse del
sistema rendendolo inutilizzabile.
•
Attacchi Denial of Service (DoS) – sommergono letteralmente un sito web o
altro tipo di server con un numero eccessivo di richieste di servizio al punto di
rallentare enormemente il computer o di provocarne l'arresto.
•
Attacchi Denial of Service distribuiti (DDoS) - è una variante del metodo
precedente che, per essere più efficaci nell'attacco, fa partire le richieste da una
moltitudine di client sparsi in rete.
Negli attacchi più sofisticati, i computer che inviano le richieste sono sfruttati
in modo fraudolento, senza che i relativi utenti siano a conoscenza di quanto
stà accadendo.
•
Finti Virus – sono frequenti anche le forme di inganno che, basandosi sulla
carenza di conoscenze di molti utenti, o sulla paura di essere vittime di un
attacco, suggeriscono azioni che portano come risultato alle stesse conseguenze
prodette da unvero e prorpio virus.
Il metodo, che ricompare ad ondate in forme sempre diverse ed originali,
utilizza tecniche di Social Engenieering piu' che tecniche informatiche vere e
proprie. Ad esempio:
•
email che suggeriscono di inoltrare il messaggio immediatamente a tutti gli
utenti conosciuti
•
descrive le terribili conseguenze di una azione non tempestiva.
•
chiede di cancellare un file di sistema dal proprio disco fisso, rendendo
velocemente inutilizzabile il computer.
•
Spoofing – contraffazione dell'indirizzo del mittente di una email in modo che
il messaggio sembri provenire da un utente noto o autorizzato, mentre in realtà
non è così.
•
Phishing – termine non traducibile che vuole significare “ricerca fatta un po' a
caso”, storpiatura di fishing, pescare qualcuno che abbocca all’amo.
Tecnica di ingegneria sociale orientata alla richiesta di dati riservati simulando
in vario modo la legittimità del richiedente mediante l'utilizzo di messaggi di
posta elettronica fasulli opportunamente creati per apparire autentici.
Molto utilizzata da chi cerca di ottenere:
•
•
codici bancari di servinzi di banking online
•
codici di carte di credito
•
codici di vario tipo utilizzabili a fini fraudolenti
Trojan Horse – cavallo di Troia, software che si nasconde all'interno di un
10
programma, solitamente un allegato o un download fingendosi una
applicazione legittima, mentre in realtà esegue azioni nocive.
•
Key Logger o Key Trapper – programma installato fraudolentamente su un
computer che registra ogni comando dato dall'utente e ogni tasto premuto sulla
tastiera.
•
Spyware – strumenti di raccolta non autorizzata di informazioni finalizzata
all'Advertising, pubblicità, che nella sua accezione negativa diventa
ingombrante, ossessiva e che degrada l'operatività del computer.
La vendita di indirizzi email validi ha portato alla nascita di un mercato di
proporzioni planetarie, e i metodi di raccolta di questi indirizzi diventano ogni
giorno più aggressivi ed invadenti.
La tutela della authority per la privacy non può nulla per azioni che
provengono da paesi stranieri e lontani.
•
Spam – associata alla pubblicità vi è il fenomeno della posta indesiderata,
spesso ingannevole, oscena o con chiaro sapore di truffa.
Il fenomeno si è talmente diffuso che una casella di posta viene velocemente
saturata se non viene controllata frequentemente, portando al blocco del
servizio.
Per avere una idea del fenomeno si pensi che esiste un vero e proprio mercato
in cui si vendono, ad esempio, un milione di contatti email al prezzo di 10-20
dollari.
Se i contatti sono certificati, il prezzo sale molto.
Il fenomeno si basa essenzialmente sulla creduloneria e sulla curiosità della
gente: su un milione di persone contattate vi sarà senzaltro 1 o 2 o 10 o più che
aderiranno, bontà loro, alla proposta.
•
Reindirizzamento – è una tecnica che trasferisce la connessione verso una
pagina diversa da quella a cui ci si vuole collegare, modificando l'indirizzo url
che viene inserito nel browser.
Lo scopo và dal semplice incremento della raccolta pubblicitaria per pagine
visitate da molti utenti, alla vera e propria truffa spacciandosi per siti diversi da
quello che si è.
•
Dialer – software che disconnette la connessione internet in corso su linea
PSTN (Public Switched Telephon Network – linea telefonica commutata), e
ripete la connessione impostando un numero telefonico tra quelli dei servizi a
pagamento, solitamente con tariffe estremamente elevate.
L'azienda telefonica fornitrice è corresponsabile per colpa oggettiva, avendo
essa un interesse nella quota parte di fatturato maturato da chi ha preso in
affitto il numero su cui transita la truffa.
•
Exploit – sono tecniche di intrusione che vengono solitamente proposte e rese
pubbliche da chi scopre delle vulnerabilità nel software o nell'hardware in
11
circolazione.
Permettono di accedere ad un sistema, o di acquisire privilegi non autorizzati
attraverso problemi e difetti di progettazione antecedentemente non noti.
Solitamente il produttore interviene con una Patch (pezza), o con un cosiddetto
Service Pack, o aggiornamento di servizio.
Esiste in rete una regola di comportameno non scritta per cui chi scopre il Bug
(Cimice, termine gergale per difetto) comunica quanto trovato al produttore, e
fissa un tempo regionevole prima di diffondere in rete il problema.
La regola rimane di sovente inosservata sia da una parte che dall'altra. Gli
exploit hanno numerosi riferimenti in rete, ad es. www.frsirt.com/exploits.
Un esempio di tecnica di exploits famosa e ben nota è la “Sql injection”, la
quale permette di ottenere il controllo di un sistema di basi di dati inserendo al
posto di userid e di password del codice opportunamente formattato.
Benchè la tecnica sia nota da molto tempo, ancora sono attivi server sql che
non sono stati aggiornati, e continuamente nascono nuovi exploits specifici per
applicazioni basate su questi server.
I Protagonisti
•
Hacker – persone che hanno elevate competenze ed abilità, interessate più a
capire e comprendere il funzionamento di un sistema software o hardware, che
non a provocare danni.
•
Cracker – simile a hacker, ma con accezione negativa, di persona che sfrutta le
proprie conoscenze per ottenere accessi non autorizzati al fine di lucro proprio
o di danno altrui.
•
Hacktvist – hacker che sfrutta le proprie conoscenze per intrusioni a scopi
ideologici o politici
•
Cyber terroristi – operano per finalità distruttive di informazioni o di sistemi.
•
Lamer – hacker che, per carenza di maturità o di inserimento sociale, sfruttano
le conoscenze proprie e altrui per fare delle vere e proprie scorribande in rete.
•
Script Kiddies – persone con limitate conoscenze tecnologiche che effettuano
intrusioni seguendo alla lettera Exploit creati da altri.
Sicurezza ed integrità delle informazioni
Per ogni ente o azienda i dati ed i documenti memorizzati nel sistema
informativo costituiscono un patrimonio fondamentale ed insostituibile non solo per
garantire l'operatività ed il servizio, ma anche per la sopravvivenza stessa del
soggetto.
12
Anche le norme per la certificazione della qualità contemplano la salvaguardia
del patrimonio informativo
Norma UNI EN ISO 9001:2000, punto 4.2.4:
... deve essere predisposta una procedura documentata per stabilire le modalità
necessarie per l'identificazione, archiviazione, protezione, reperibilità, durata di
conservazione .... delle registrazioni.
Nell'ambito di un sistema di gestione ICT è necessario definire dei criteri di
gestione della sicurezza dei dati, dei documenti e delle registrazioni.
Le cause possibili di una anomalia con perdita dei dati sono molteplici
•
guasto hardware
•
accessi non autorizzati dalla rete
•
utilizzo non appropriato del sistema (errore umano)
Le soluzioni
Mirroring dischi – disponibilità di doppia unità disco su cui vengono registrati i dati.
In caso di guasto di uno, è possibile recuperare i dati dall'altro. E' una sorta
di backup in linea.
Si usa la tecnica RAID (Redundant Array of Independent/Inexpensive
Disk) nelle sue specifiche 1,2,5,10 a seconda se il mirroring (spechio –
copia carbone) si ha internamente ad un solo disco sino a copie su sistemi
diversi con correzione di errore.
Gruppo di continuità – In caso di mancanza di corrente di rete, consente di mantenere
l'alimentazione del sistema informatico per il tempo sufficiente per far
chiudere correttamente le applicazioni ed i file di dati senza perdite.
Firewall – dispositivo hardware o software che, opportunamente programmato,
consente di proteggere il sistema da intrusioni di utenti o applicazioni non
desiderate.
L'approccio per una connessione di rete sicura non è blocchiamo i servizi e
gli accessi pericolosi e lasciamo passare gli altri, bensì l'opposto, lasciamo
transitare solo lo stretto necessario e blocchiamo tutto il resto.
Autorizzazioni – Accesso solo a certe applicazioni o a certi files, secondo appositi
profili definiti a priori.
I maggiori danni ai sistemi informativi, ovvero i più frequenti, provengono
più da coloro che hanno regolare accesso al sistema che non da accessi
fraudolenti.
A tutti noi è capitato di cancellare, per errore, dei dati importanti.
13
Gli schemi di autorizzazioni permettono di delimitare le aree di intervento
degli accessi a quello che è strettamente necessario.
Password – è lo strumento principe della difesa dei dati e dei sistemi informativi.
Ricerche in questo senso hanno dimostrato quanto elevati siano i casi di
password insufficenti allo scopo, come password mancanti, uguali al codice
di accesso (User ID), semplici nomi di conoscenti, amici, congiunti, data di
nascita, ecc.. ecc..
Una buona regola è quella di avere password di minimo 8 caratteri, con
maiuscole e minuscole, cifre e numeri, ed almeno un carattere speciale.
Software Antivirus – software appositamente sviluppato per analizzare i files di dati e
di sistema del computer ed individuare ed eliminare le 'presenze sospette'.
Sovente il software non riesce a ricostruire il file originale a partire dal file
'infettato' dal virus. In questo caso, generalmente, il file viene conservato in
un apposito spazio di quarantena.
Le prospettive che si presentano sono:
•
l’attesa di un aggiornamento dell'antivirus che riesca a recuperare
quanto perso
•
l’eliminazione del file infetto dopo che, trascorso un congruo periodo
di giorni, questo non sia più stato richiesto dal sistema
•
il recupero manuale dei dati contenuti nel file da parte di personale
qualificato e preparato allo scopo
Crittografia – tecnica che consente la visibilità dell'informazione solo al destinatario.
Uitlizza algoritmi matematici di cifratura e decifratura noti solo agli
interessati.
La crittografia non è sempre strumento agevole, e per questo si utilizza in
genere solo quando si è in presenza di casi che ne valgano la pena.
L'esperienza ha inoltre sinora dimostrato che qualunque algoritmo di
codifica può essere superato, è solo una questione di tempo; quello che è
possibile fare è solo rendere la decodifica dei dati molto difficile e
dispendiosa.
Backup-Restore – copie di sicurezza dei dati critici
•
supporti di backup – restore: nastri, CD, dischi
•
conservazione dei supporti in luoghi distinti dal luogo dove risiede il
computer, ed in ambienti adeguati, come armadi ignifughi.
•
identificazione certa dei supporti, con indicazione della data e del
contenuto
•
responsabilità della gestione delle copie chiaramente individuata
•
istruzioni scritte delle procedure di salvataggio e di ripristino
14
•
frequenze e rotazione di salvataggio adeguate alla criticità dei dati
trattati
Regole di comportamento quotidiane
Difesa attiva
•
Installare a mantenere aggiornato almeno settimanalmente un software di
antivirus
•
utilizzare uno strumento che blocchi gli spyware
•
Installare un sistema firewall di rete o, in alternativa, uno individuale per il
singolo computer
•
utilizzare le funzioni antispam nei software per la posta elettronica
•
utilizzo della crittografia nelle connessioni e nello scambio di email
Difesa passiva
•
Non divulgare inutilmente i dati personali, soprattutto nei collegamenti con
controparti non note, o poco affidabili, tutela della privacy.
•
Mantenere l'anonimato per quanto possibile, ed utilizzare nickname, o nomi di
fantasia, se non espressamente richiesto il contrario; anonimato come
strumento di sicurezza.
•
Utilizzare password sicure, non banali. Non mantenere le stesse password per
lunghi periodi di tempo.
•
Utilizzare software aggiornati con patch di sicurezza. Evitare i software che
hanno problemi noti.
•
Bloccare l'esecuzione automatica delle macro di Office Microsoft.
•
Utilizzare software alternativi al posto di Internet Explorer e Outlook Express
che, per la loro grande diffusione, sono diventati bersaglio preferito di attacchi
di vario tipo.
•
Non aprire indiscriminatamente gli allegati email. Cancellare senza remore i
messaggi ed i relativi allegati che sono di dubbia provenienza. Messaggi che
usano un linguaggio strano, con grossolani errori grammaticali sono
solitamente frutto di traduttori automatici utilizzati nei sistemi di invio massivo
di email e solo per questo motivo sono assai poco affidabili.
•
Per le truffe informatiche non si possono che dare, infine, che consigli di
carattere personale, basati sul buonsenso. Molte truffe che compaiono ora
attraverso la posta elettronica, sono riedizioni di vecchi metodi tradizionali,
riadattati alle nuove tecnologie. Ma mentre prima erano limitate dal costo
perlomeno della busta e del francobollo, ora possono raggiungere grandi
quantità di utenti finali a costi estremamente bassi.
15
Università degli Studi di Padova [Arial12G] [Æ Formato – Carattere - …]
Facoltà di Medicina e Chirurgia [Arial10N]
Corso di Laurea in Tecniche della Prevenzione
Alla cortese attenzione [All. 9cm SxÆForm. Par.]
Docente del corso di Informatica
CL Tecniche della Prevenzione
[email protected]
Padova, gennaio 2008
[All.0cm Dx.Æ Formato – Paragrafo][TimesNewRoman12N Æ Formato - Carattere]
Oggetto: presentazione. [All. 0cm Sx]
[Ind 1 cm prima riga] La presente per confermare la mia adesione al corso di Informatica –
Laurea triennale in Tecniche della Prevenzione nell’Ambiente e nei Luoghi di Lavoro. Riporto nel
seguito le informazioni richieste:
-
Nome [Elenco puntato]
Cognome
Email
Provincia di residenza
Dati facoltativi
o Peso
o Altezza
nome [ÆFormato – Carattere – Corsivo]
cognome
email
provincia
peso
altezza
Colgo l’occasione per porgere distinti saluti.
[All 9 cm Sx 0cm prima linea]
Nome e Cognome
_______________
[Note: formato pagina Æ File – Imposta Pagina
- formato A4 verticale
- margini: superiore 3 cm, inferiore 2,5 cm, sinistro 2 cm, destro 2 cm.]
[Tra parentesi quadre vengono indicate le formattazioni usate, da non riportare nel documento]
16
Titolo della Nota, Articolo, Relazione Strutturata
Cognome Nome
Facoltà di Medicina e Chirurgia
Università degli studi di Padova
[email protected]
Sommario. La presente nota si propone come strumento di esempio nella presentazione di un
rapporto scritto(max 12 righe).
Keywords: Rapporto, Nota, Report, Articolo, Relazione strutturata, Paper.
1.
Introduction
Il primo paragrafo si inserisce senza indentazione.
I paragrafi successivi vanno indentati o rientrati solo nella prima riga, mentre nelle righe
successive vanno giustificati …
2.
Second Section
First sentence (without headline)
Following sentences (with headline)
3.
Following Paragraphs
First sentence (without headline)
Following sentences (with headline)
Table 1. Table heading – upon the table (the population to which the table contents refer have to be
defined in full: contents, time and space references)
Corso di Laurea in Tecniche della Prevenzione
Cognome
Nome
Email
1
2
3
4
5
6
7
8
9
10
11
12
13
14
17
Una formula matematica, generata con Equation Editor
y = a ⋅ x 2 + b ⋅ x + c, x, y ∈(−∞,+∞)
per a ⋅ x 2 + b ⋅ x + c = 0 si ha
x1, 2 =
− b ± b2 − 4 ⋅ a ⋅ c
2⋅a
Figure 1. Graph heading – upon the figure (the population to which the table contents refer have to
be defined in full: contents, time and space references)
References
AUTHOR(S) (year) Volume title, Editor, Town.
AUTHOR(S) (year) Paper title, Journal, No.: pages-pages.
AUTHOR(S) (year) Paper title. In: EDITOR(S) (eds) Volume title, Editor, Town: pages-pages.
18