Professional Documents
Culture Documents
"$
&-"4*$63&;;"
70-
Introduzione! 3
Lo spam! 5
Difendersi dallo spam! 9
Il phishing! 17
A proposito di virus! 28
Usa il firewall! 33
Navigare sicuri con Safari! 36
Tieni aggiornato il sistema operativo! 40
Se ti è piaciuto questo ebook...! 44
Introduzione
La sicurezza del Mac è una faccenda che non ha a che fare granché con il
sistema operativo in sé: piuttosto con le cattive abitudini dellʼutente, con la
sua condotta irresponsabile.
A ben vedere, i guai di Windows provengono, oltre che per una debolezza
intrinseca, ramificata e profonda di quel sistema operativo, anche da una ben
precisa serie di errori commessi dallʼutente.
Se costui (o costei), prestasse attenzione a quello che fa, a cosa clicca, su
quali siti Web plana, a cosa scarica, e via discorrendo, molti guai si
potrebbero evitare.
No, non sto affermando che Mac OS X e Windows sono di fatto identici dal
punto di vista della sicurezza. Il punto è che i sistemi operativi di Redmond,
hanno così tante incongruenze, debolezze, falle, che in mano a una persona
inesperta o poco avvezza alla tecnologia, garantiscono faville.
Mac OS X viceversa, pur non essendo perfetto (ma cosa lo è a questo
mondo?), “alza lʼasticella”, se si può dire così, ricorrendo a unʼimmagine
dellʼatletica leggera.
I suoi fondamenti Unix, la filosofia che ne è alla base (che possiamo
riassumere in: “accendilo, usalo, e soprattutto non ti infarcire di bubbole la
testa”), rendono difficile (non impossibile, certo), a un utente inesperto,
ficcarsi in guai coi fiocchi.
Questa guida (in realtà suddivisa in due parti), offre allʼutente Mac consigli e
strategie per difendersi dal phishing e dallo spam; su come attivare il firewall;
in quale maniera evitare di trasformare il proprio Mac in un portatore sano di
virus. Del modo in cui possiamo rendere la navigazione Web con Safari, più
sicura.
Lʼaltra guida, come questa gratuita, si occuperà di spiegare rendere sicure le
proprie comunicazioni via mail, o chat; di proteggere le password, o di
criptare i file “sensibili”, ma non solo!
Ti avviso solo di questo. Lungo lʼebook troverai del testo sottolineato: si tratta
di link che cliccati, lanceranno il tuo browser Web per leggere
documentazione esterna, o per avere informazioni su prodotti in qualche
modo collegati agli argomenti trattati.
Buona lettura!
Spesso si crede (a torto), che lo spam sia solo una seccatura, e che per
arginarlo basti ignorarlo.
Questo è esatto: ma in realtà non è così semplice.
Ricordati che ormai sotto il nome di “spam”, si annida il phishing, e qui non si
tratta più di seccatura, bensì di truffe. Lo scopo di una tale tecnica è rubare
informazioni sensibili (tutte quelle che si ascrivono alla privacy), o peggio
ancora, il numero di carta di credito, per prosciugarci dei nostri fondi bancari.
Ma visto che lo spam è così diffuso, iniziamo da questo, fornendo delle dritte
per non essere una sua facile esca.
La posta spazzatura ha una serie di caratteristiche che è bene ribadire,
anche se possono sembrare ovvie. Soprattutto, occorre tenere presente che
siamo alle prese con un settore in continua evoluzione. Fare spam, è un
mestiere, e dal momento che rende, e che le possibilità di essere puniti sono
minime, chi vi si dedica cerca in ogni modo di migliorarsi.
• Nellʼoggetto e nel corpo del messaggio sono presenti brevi frasi o parole
di uso comune. Il motivo?
Se sono uno spammer e inserisco termini come “Cialis “ o “Viagra” nellʼe-
mail, i filtri dei programmi di posta elettronica lo classificheranno per quello
che è: spam. Viceversa se uso qualcosa come “Oil prices” oppure
“Assistenza computer” probabilmente riuscirò ad aggirare quei filtri.
• Niente firma.
Le aziende che inviano comunicati ai propri clienti, inseriscono in fondo al
messaggio e-mail un blocco di testo comunemente conosciuto col nome di
“firma”. Eʼ composta dal nome e cognome di chi ha redatto lʼe-mail, con
tanto di incarico ricoperto, indirizzo e-mail e contatti anche telefonici per
raggiungerlo. Benché in alcuni (rari) casi lo spammer inserisca una firma in
calce allʼe-mail (in genere fasulla), nei messaggi spam essa non appare
mai.
• Niente disclaimer.
Con questo termine si intende un breve testo in fondo allʼe-mail (a volte
dopo la firma), con cui lʼazienda invita il destinatario a mantenere il riserbo
su quanto viene a conoscenza tramite il messaggio. Si tratta di una sorta di
contratto, in cui si impegna chi riceve lʼe-mail a non divulgare a terzi le
informazioni ricevute, e chiede a chi per errore lʼha ricevuto di liberarsene e
contattare lʼazienda stessa. In questo caso, lo spam ovviamente non
prevede nulla di tutto questo. Può accadere che qualcosa del genere appaia
anche in un messaggio spam; ma è raro.
Se non è già presente nella barra degli strumenti, puoi aggiungerla premendo
nella barra dei menu la voce “Vista>Personalizza la barra strumenti”.
Oppure evidenzia il messaggio spam, e spostati nella barra dei menu, ma
scegli questa volta la voce “Vista>Messaggio>Intestazioni lunghe”.
Premendo il pulsante, comparirà qualcosa di diverso.
Ci sono una serie di semplici regole per ostacolare lo spam; però nulla è
perfetto. Come già scritto, gli spammers migliorano le loro tecniche; se
imparerai a far tue queste indicazioni, sono certo che ne trarrai giovamento.
Adesso vediamo nel dettaglio come dovrai agire.
Buona parte dei messaggi spam presentano in basso un link che dice
“Unsubscribe”. Sembrano offrire la possibilità di essere eliminati dalla lista
dello spammers, ma così non è. Non cliccarlo per nessuna ragione al mondo.
Se lo farai, dimostrerai allo spammer che il tuo indirizzo e-mail è attivo, e
allora riceverai una montagna di spam inimmaginabile. Piuttosto, segnala al
programma di posta elettronica che si tratta di spam, e cestinalo.
Va meglio invece con il buon, vecchio Yahoo!. Qui si possono creare gli
alias che si desiderano, in poche semplici mosse. Naturalmente prima, è
necessario iscriversi al servizio, e solo dopo potremo procedere.
Mai sentito parlare del “Web Bug"? Forse no, e allora vediamo di che cosa
si tratta, e per quale motivo dovresti intervenire sulle preferenze di Mail.
Nel messaggio si afferma che un grave problema del sito ha (per esempio),
portato alla cancellazione dei dati relativi alla carta di credito dellʼutente. Ma
le scuse possono essere le più diverse.
Per questo motivo, lʼutente viene invitato a recarsi al più presto sul sito (di cui
si fornisce il link in calce al messaggio), per provvedere allʼinserimento sia di
password e di user ID (necessari per accedere al proprio conto online), sia
degli estremi della propria carta di credito.
A prima vista, lʼe-mail appare genuina: ogni particolare fa ritenere che si tratti
di un messaggio proveniente o dalla nostra banca, o dalle Poste Italiane.
In realtà qualcosa che genera dei dubbi appare nel testo: lì sovente
sono presenti degli errori, o delle espressioni strampalate. Eppure molte
persone non ci badano affatto, e allarmati dal tono della corrispondenza,
cliccano sul link presente nellʼe-mail.
Si collegano a un sito Web che appare autentico: logo, testo, layout sono
proprio delle Poste Italiane (oppure della nostra banca).
Anche qui ci si trova con errori nel testo; ma non ci si preoccupa troppo, e si
digita il codice della propria carta di credito nello spazio apposito, infine si
clicca il pulsante per confermare lʼavvenuto inserimento...
Tutto a posto? Macché, ci si è appena ficcati in un guaio mica da ridere.
Quello che ho appena illustrato è quanto di solito accade. Sfuggire a questa
tecnica di raggiro, il phishing, è quanto di più banale possa esserci.
Occorrono due qualità: il buonsenso e lo spirito di osservazione.
Nessuna banca, istituto di credito, o sito come eBay, né tanto meno quello
delle Poste Italiane, affida alla posta elettronica il compito di comunicare ai
clienti i propri guai. Non perché non siano in grado di usarla: ma perché è più
rapido telefonare. Poiché la maggior parte di noi non è a casa davanti al
computer, ma è al lavoro, e con sé ha di certo il cellulare. Di cui la banca
possiede spesso il numero; e se non ha quello del telefonino, possiede quello
del telefono di casa.
Altro motivo per cui non usano lʼe-mail? Perché sanno bene che esiste il
phishing! No, non è una battuta.
Una delle conseguenze nefaste di questo fenomeno, è di aver indotto molte
realtà a non rivolgersi affatto alla posta elettronica per comunicazioni che
riguardano la sicurezza. Eʼ troppo vulnerabile, e non solo.
Molti utenti sono a conoscenza dellʼesistenza del phishing, e non
presterebbero attenzione a un messaggio che li avvisasse di qualche guaio
con carta di credito, o transazioni.
Qui cʼè un link da cliccare (quello azzurro) per accedere al proprio account e
aggiornare gli estremi dei pagamenti (vale a dire: fornire le coordinate
bancarie). Se invece di cliccare passi il cursore sul link presente allʼinterno
del messaggio, avrai una sorpresa: lʼindirizzo (quello in giallo, esatto!), è un
poʼ diverso da quello che sembra. Quel .cn dovrebbe metterti sullʼavviso: chi
scrive ha registrato un dominio in Cina. Qui Google non cʼentra nulla...
La cosa migliore da fare se ricevi unʼemail che avvisa della perdita di dati,
informazioni, o chiede verifiche di password, o il numero di carta di credito
perché la transazione, a sentir loro, è andata a monte, agisci in questo modo,
e solo in questo modo.
• Apri il tuo navigatore Web (Safari, Camino, Chrome, Opera o Firefox che
sia);
• digita a mano (lo riscrivo: a mano), lʼurl della tua banca (o delle Poste, o di
eBay: insomma, quello del mittente dellʼe-mail che domanda gli estremi
della carta di credito), premi invio e visita il sito.
• Non cliccare mai i link presenti allʼinterno dellʼe-mail ricevuta
Di questo sito delle Poste Italiane, lʼunica parte che sembra funzionare a
dovere, guarda caso, è quella che riguarda lʼinserimento di dati sensibili. Vale
a dire gli estremi della carta di credito.
Esiste un altro elemento, fondamentale, per capire la “qualità” della pagina
Web che visitiamo, se essa è incaricata di raccogliere le nostre informazioni
più importanti (come il numero della carta di credito).
Sto parlando del lucchetto.
https://
invece di
http://
La “s” sta per “secure”, cioè la connessione è blindata. Lucchetto e “s”
sono lʼaccoppiata vincente, quella in grado di garantirti tranquillità e
sicurezza. Lʼassenza di entrambe (o di una sola), deve indurti a usare la
massima prudenza; meglio ancora, ad abbandonare a gambe levate quel
sito.
Fai attenzione anche a questo piccolo particolare: nelle e-mail di phishing
spesso si scrive che la connessione è sicura, e per convincere il destinatario
si inserisce un indirizzo di questo genere:
https://www.miabancasicura.com.
Impara a essere attento nei confronti di qualunque e-mail che chieda gli
estremi della carta di credito, oppure informazioni strettamente personali. Nel
caso che ho portato ad esempio, per smascherare lʼinganno è sufficiente
gettare unʼocchiata al resto della pagina. Alcuni link sono ciechi (quindi non
portano da nessuna parte). Inoltre non è protetta, benché si chieda di inserire
dei dati sensibili: è assente nellʼindirizzo http la “s” a segnalare che la pagina
è sicura. E non è neppure presente il famoso lucchetto.
Uno dei servizi più efficaci contro il phishing è usare gli OpenDNS
A noi interessa la versione base; per prima cosa occorre creare un account.
Una volta espletata questa operazione, non ci resta che seguire le istruzioni
che appariranno nella pagina seguente. Occorre intervenire sia sul router,
che poi sulle Preferenze di Sistema>Network di Mac OS X, e poi digitare gli
OpenDNS:
208.67.222.222
208.67.220.220
Sono identici sia per il router, che per il Mac. Lʼutilità di questa alternativa
gratuita è evidente. Non importa quale browser usi per navigare: gli
OpenDNS offrono una protezione aggiornata contro il phishing, grazie anche
allʼaiuto di una vasta comunità di utenti che collabora nella segnalazione dei
siti fraudolenti.
A proposito di virus
Per ribadire alcuni concetti che per alcuni suoneranno ovvi. Per esempio: i
virus per PC non girano su Mac; si tratta di due architetture differenti, anche
se utilizzano i medesimi processori Intel. Quindi se per ipotesi i virus che
affliggono Windows venissero convertiti, e scagliati su Mac, non accadrebbe
niente. Questo perché sfruttano falle e particolarità dei sistemi operativi di
Microsoft; Mac OS X è invece ben diverso da quelli. Bisognerebbe riscriverne
di adatti alla nostra piattaforma (ma sino a oggi, agosto 2010, lo riscrivo, non
cʼè niente).
Perché Office 2011 per Mac (disponibile entro la fine dellʼanno), riporterà le
macro, e quindi potenzialmente pure il rischio che siano dei vettori di
programmi maligni.
Probabilmente, Microsoft ricorrerà a una funzione capace di avvisare lʼutente
Mac segnalando la macro, e chiedendogli di verificare la “bontà” del mittente.
Un poʼ come accadeva con la versione 2004.
Cʼè unʼaltra ragione per cui esiste questo capitolo: se ricorri a programmi
di virtualizzazione (VirtualBox, Parallels Desktop, eccetera), o a Boot Camp,
di fatto è come se fossi esposto agli stessi rischi di un comune PC.
Anche in questo caso, il Mac non corre alcun pericolo, per il motivo che ho
già spiegato: è unʼarchitettura differente.
Non dimentichiamo che Mac OS X fornisce una serie di piccoli aiuti per
proteggersi dai files che scarichiamo in modo indiscriminato da Internet.
Questa schermata per esempio:
Appare sempre, anche se è possibile spuntare lʼopzione per fare in modo che
non compaia più. Si tratta di un avviso di una certa utilità, perché impone
allʼutente di prestare attenzione a quanto combina. Una specie di quarantena
che Apple ha creato già da Mac OS X 10.5, e di cui parla in questa pagina
Web.
Piccolo episodio che risale a parecchi mesi fa: quando un buon numero di
utenti Mac scaricò delle copie (piratate), di iWork attraverso un circuito peer
to peer. Dentro a esse, cʼera un programma maligno, e tutti hanno gridato
alla “debolezza” di Mac OS X, e di conseguenza, allʼinutilità di questa
soluzione.
Ma se ci fosse stato installato un antivirus poco aggiornato (o se si fosse
trattato di un virus nuovo di zecca), quale sarebbe stato lʼesito?
Probabilmente lo stesso, esatto. Se lʼutente non capisce che deve
comportarsi in maniera virtuosa, non esiste protezione o antivirus che
tenga: sarà infettato, e basta.
Il browser Web Safari, ha dalla sua una serie di piccole funzioni che se usate
con intelligenza, possono essere utili per navigare in sicurezza.
Sarebbe bene, tanto per iniziare, aprire le Preferenze dellʼapplicazione e
spostarsi nel pannello “Sicurezza”.
Non credo che occorra spendere troppe parole: mi sembra tutto evidente. Qui
sono racchiuse una serie di opzioni che se da una parte garantiscono una
navigazione più “amichevole” (per esempio, bloccando le noiose finestre pop-
up), dallʼaltro si può (si deve), scegliere che il browser ci avvisi se stiamo per
planare su un sito fraudolento. O se inviamo un modulo a un sito non sicuro.
Lʼopzione “Altri moduli”, tiene traccia delle informazioni inserite nelle pagine
Web consultate. Anche in questo caso: mantienila spuntata soltanto se sei
lʼunico utilizzatore del tuo Mac.
Si tratta della “navigazione privata”, unʼopzione per girare sul Web senza
lasciare troppe tracce. Attenzione però, perché qualcosa resta sempre, e
infatti il browser Web ce lo fa notare, quando stiamo per attivare questa
opzione. Per esempio i cookie continuano a essere salvati, e quindi da essi si
può risalire a dove si è stati, anche se è attivata la navigazione privata.
Esiste anche un altro mezzo per proteggere il Mac, e non costa nulla
neppure questo. Consiste nel tenere aggiornato il sistema operativo,
scaricando per esempio eventuali aggiornamenti sicurezza che Apple rilascia.
Come ho già spiegato in passato, buona parte dei problemi della sicurezza
su Windows sono generati dai comportamenti dellʼutente troppo disinvolti, e
dai limiti di quel sistema operativo. Evidenti, numerosi, spesso gravi.
Sia chiaro: Snow Leopard ha delle pecche, e Apple dovrebbe per esempio
essere più trasparente quando rilascia qualcosa che rafforza la sicurezza del
sistema operativo. Parlandone, ad esempio, invece di tacere.
Se davvero vuole entrare nel settore delle imprese, deve dialogare, esporsi
un poco di più, invece che comportarsi come unʼagenzia segreta. Chi è
responsabile della sicurezza di un parco macchine Mac, deve sapere nel
dettaglio su cosa gli ingegneri di Cupertino sono intervenuti, invece che
leggere: