L’emergenza sanitaria causata dal COVID-19 ha costretto famiglie, imprese ed enti pubblici a trasformare molte attività nella modalità a distanza.

Pier Luca Montessoro, Università di Udine

Tuttavia, lo smartworking e la didattica online richiedono organizzazione, infrastrutture e strumenti che non possono essere improvvisati. Nonostante lo sforzo fatto sia stato eccezionale e abbia consentito in molti casi il mantenimento di livelli adeguati di servizio, sono emersi problemi soprattutto presso le famiglie alle quali è stato spesso delegato il compito di dotarsi di dispositivi digitali e connessioni di rete sufficienti da permettere ai genitori di proseguire le attività lavorative da remoto e ai figli di seguire le lezioni e svolgere i compiti loro assegnati. In molti casi non è disponibile un computer per ciascuno e così ci si alterna nell’utilizzo del medesimo dispositivo. Dal punto di vista della sicurezza questo rappresenta una criticità anche perché il dispositivo condiviso è poi normalmente utilizzato per attività di svago o ludiche. Per minimizzare i rischi che ne derivano è necessario in primo luogo comprendere che i sistemi operativi sono dotati di strategie di protezione dei sistemi stessi e dei dati degli utenti e poi adottare opportune modalità di configurazione e utilizzo dei sistemi condivisi, senza le quali tali strategie rimangono del tutto inefficaci.

Tralasciando le ben note raccomandazioni relative a mantenere aggiornati i programmi e i sistemi operativi e a dotarsi di software di protezione (antivirus, antimalware, firewall, ecc.), ci concentreremo sull’aspetto cardine dell’utilizzo sicuro di personal computer condivisi, che consiste nella definizione di account differenti per i diversi utenti. Questo aspetto è purtroppo spesso trascurato ed è causa di molti incidenti in termini di cybersecurity.

I sistemi operativi moderni interagiscono con l’hardware per controllare in modo rigoroso ciò che i programmi fanno. In estrema sintesi, i programmi non possono accedere direttamente ai componenti fisici del computer (per esempio al disco che memorizza dati e programmi), ma devono effettuare una richiesta di accesso al sistema operativo. L’accesso viene concesso se i privilegi con cui è configurato l’account corrispondono a quelli richiesti per accedere alla risorsa. Per esempio, un file contenente dati che devono essere condivisi può essere accessibile in scrittura per l’utente che ne è responsabile, mentre può essere accessibile in sola lettura (senza possibilità quindi di modificarlo o cancellarlo) per gli altri utenti. Nel normale uso domestico possibilità di controllo così dettagliato sono superflue, ma il principio su cui si basano, seppur declinato nella più rigida configurazione di default, resta fondamentale: un utente non ha accesso ai file di un altro utente. Perché questo è importante? La risposta è semplice: le varie forme di malware agiscono pressoché sempre creando nuovi file o modificandone di esistenti. Se un utente è isolato dagli altri, gli effetti di un evento avverso interesseranno soltanto i dati di tale utente. Per esempio, un virus inavvertitamente scaricato da un ragazzo giocando online non intaccherà i file dell’attività lavorativa dei genitori.

Va ricordato, tuttavia, che questo livello di protezione è efficace soltanto se gli account sono “limitati”, ovvero etichettati come normali utenti e non amministratori. Infatti, gli utenti amministratori hanno, tra i loro privilegi, la possibilità di accedere e modificare qualsiasi file dell’intero sistema, inclusi quelli di tutti gli utenti e quelli del sistema operativo stesso. Ecco quindi che un malware che agisce all’interno di un account amministratore ha effetti devastanti e può danneggiare o distruggere irrimediabilmente tutti i dati e l’intero sistema operativo. A questo richiama il titolo: “condividere un computer … con se stessi”. Anche nel caso di un computer davvero personale, cioè utilizzato da un’unica persona, è necessario che esistano almeno due account: l’amministratore, per la gestione del sistema, operazioni di manutenzione e configurazione, installazione di programmi, ecc., e un account utente (limitato) per le normali attività. In questo modo, durante il normale utilizzo quotidiano del computer, eventuali malware non potranno intaccare il sistema operativo. Inoltre, le operazioni di ripristino (per esempio recuperando dati dai backup) saranno estremamente più semplici e rapide.

Naturalmente tutto ciò non può prescindere da un’attenta politica nell’uso delle password. L’utilizzo di un’unica password, per esempio, rende queste protezioni inefficaci perché i moderni sistemi operativi consentono di effettuare molte delle operazioni riservate alla modalità amministratore anche ai normali utenti, previo inserimento del corretto username e password. Così, se la password di amministratore è nota anche agli utenti poco consapevoli o addirittura sprezzanti dei rischi (tipicamente gli adolescenti), è possibile che vengano autorizzate installazioni a livello di sistema operativo di programmi che celano malware, con effetti devastanti.

I dettagli tecnici per la gestione degli account variano a seconda dei sistemi operativi, dei dispositivi e cambiano nel tempo, ma i principi fondamentali restano invariati. L’utente amministratore, anche detto root in ambienti Unix/Linux, o SYSTEM(internamente a Windows) è sempre presente ed è il primo utente creato all’atto dell’installazione del sistema operativo. Per questo è importante porre attenzione alla configurazione del proprio computer. Se non si procede con la creazione degli ulteriori account limitati (anche detti di tipo user) da assegnare agli altri utilizzatori, si lavorerà sempre come amministratore esponendo tutto il sistema ai rischi di cui sopra.

Infine ricordiamo che quanto detto vale anche per tutti i numerosi account che al giorno d’oggi dobbiamo gestire: posta elettronica (spesso più di uno), social network e servizi online di ogni tipo. È fondamentale che gli account utilizzati per lavoro siano rigorosamente distinti da quelli utilizzati in ambito domestico ed è bene che ciascuno membro della famiglia possieda e utilizzi un suo account personale. È importante considerare il fatto che spesso è possibile registrarsi e autenticarsi su molti siti e servizi utilizzando le credenziali già presenti in altri ambienti (per esempio gli account di Google o di Facebook). Se le credenziali originali non sono quelle della persona che effettua la registrazione si espone l’account originale a utilizzi indesiderati che possono anche portare a un furto di identità.

Concludendo, condividere è utile, sostenibile, talvolta piacevole e spesso necessario, ma nell’ambito della cybersecurity può essere anche molto pericoloso. Quindi: prudenza e consapevolezza. Sempre.