lunedì, febbraio 04, 2008

sicurezza IT




Molto spesso mi fanno delle domande idiote:

come faccio a rendere migliore il mio computer di casa?
la mia risposta è sovente un consiglio banale: leggetevi bene tutti i manuali di istruzione e fate un corso.

In genere replicano sul fatto che possiedono l' antivirus di marca tale, il programma di sicurezza marca tal altro e via dicendo.


come fare per ottenere un sistema sicuro in un'azienda?
dal momento che l'utente medio degli uffici è un completo ignorante di informatica, consiglio un corso almeno sull'uso del sistema operativo.

In genere mi guardano come se avessi detto che la mamma era donna di facili costumi. Dopo l'iniziale stordimento iniziano a raccontare come preferirebbero avere un'antivirus più potente ( forse la qualità di quest'ultimo si misura in kilowatt ?) una qualche tecnologia che descrivono usando frasi tipo queste: "un sistema che non lasci passare i pirati facedo un bloccaggio selettivo","un vaccino potente che cancelli disturbi e faccia passare solo il segnale buono" o "qualcosa che blocchi gli hacker (pecche' mai?) potenti con cancelli robusti...".


Posso tranquillamente affermare che all'interno degli uffici, aziende, case e pubblica amministrazione si consegna in mano ad un utilizzatore uno strumento di cui non conosce assolutamente nulla.

Non ho mai visto dare ad un operaio una semplicissimo tornio di precisione a controllo numerico senza aver controllato che prima sappia cosa stia facendo

Eppure ci sono delle persone che utilizzano il computer 8 h al giorno per 300 giorni all'anno senza aver mai aperto il manuale istruzione.

Tutto sommato c'è da meravigliarsi che non gli esploda in faccia!!!!

I personal computer non sono macchine difficilissime da usarsi ma comunque necessitano di un minimo di apprendistato. Se un impiegato non è in grado neanche di conoscere l'uso del control-c e control-V un datore di lavoro è semplicemente imbecille a lasciargli in mano una tastiera.
Invece questa è prassi normale, da questa i bizzarra nascono le conseguenze che non sono lievi.

Innanzitutto l'arroganza, quando fa notare che è inutile aprire un programma molto pesante per fare in mezz'ora quello che potresti fare 10 min ti guardano e ti dicono:
"ma io sono un esperto di Excel lo conosco molto bene e preferisco usare quello! "
tu li guardi e gli chiedi se veramente conosco molto bene tutto il programma è invariabilmente ti fa notare che nel loro programma preferito lo conoscono a menadito.. in genere sparo la seguente:"cavolo che bravo, non ho mai avuto tempo di imparare ad utilizzare vba, potresti farmene una panoramica?" In genere un grosso punto di domanda appare nelle pupille ebeti.

La seconda cosa è che i dati in queste aziende sono spesso errati. Più di una volta ho visto contabili che facevano la scoperta dei collegamenti fra tabelle dimenticandosi però che se i dati sono importati dinamicamente se variano una tabella ne variano i risultati in un'altra. Alla fine si riducono a buttare via le giornate a capire perché non tornano i conti. Dopodiché utilizzano solo tabelle statiche non linkate. € 500 di programma per fare poco più del quattro operazioni.

La terza cosa è pensare che qualunque cosa e si facciano sono protetti da divinità mistiche dal nome di firewall, antivirus e qualche altra parolaccia che hanno sentito dire. È notevole la quantità di operazioni pericolose che vanno compiere pensando che siano cosa normale semplicemente perché fanno la medesima cosa sia i colleghi, sia gli amici a casa. Quando fa notare che non è proprio il massimo mandare un file con contenuti sconosciuti a un emerito sconosciuto di guardano come se tu avessi appena finito di raccontare dell'esistenza di babbo Natale.

il risultato: dati corrotti o/e copiati in mezzo all'oceano di internet.


In un Rapporto anche Symantec ci spiega come i fattori di rischio risiedano da un lato nei sistemi utilizzati e dall'altro in partnership azzardate che coinvolgono la gestionedei dati dei clienti.

Tradotto in italiano: finiscono i tuoi dati in un ufficio dove non sanno che differenza c'è tra un computer e una banana, magari sei così imbecille da mandargli parte della contabilità su un foglio di calcolo Excel e pretendi che tuoi dati non finiscano in Giappone?

Symantec ci spiega come a rendere il quadro ancora più rischioso è la crescita nei dispositivi portatili e mobili.

Tradotto in italiano: alle scimmie di prima che non leggono il manuale istruzione tu fornisci un portatile; il giorno dopo ci saranno su 3000 canzonette, 16 film porno 14 virus e tre drive flash usb. Pretendere che rimanga qualcosa dei tuoi dati, che la contabilita' non sia stata cancellata in favore di un video della figlia o che non finiscano in Amazzonia le tue fatture e' forse un po'troppo.


Symantec ci spiega come che a far alzare il livello dell'allarme il fatto che delle molte aziende ha dichiarato di voler proteggere i propri dati ma di non riuscire a farlo veramente.

Tradotto in italiano: se devono lavorare con cui dati dobbiamo dargli l'accesso ma se diamo l' accesso alle scimmie queste devastano i dati.

Secondo Symantec il problema più che nelle tecnologie impiegate è nell'inadeguata formazione del personale.

Cazzo, vuoi vedere che anche quei polli che producono uno dei peggiori antivirus riescono ad arrivare a ciò che informatici dicono da almeno 25 anni?



"Se pensate che basti la tecnologia per risolvere i vostri problemi di sicurezza, non capite quali sono i problemi e non conoscete la tecnologia" - Bruce Schneier, Secrets and Lies: Digital Security in a Networked World (John Wiley & Sons).

Alcuni sepiterni acronimi.
# RTFD - "Read The Fucking Documentation" (leggi la fottuta documentazione).
# RTFI - "Read The Fucking Instructions" (leggi le fottute istruzioni).
# RTDM - "Read The Damn/Darn Manual" (leggi il dannato manuale).
# RYFM - "Read Your Fucking Manual" (leggi il tuo fottuto manuale).
# RTFM - "Read The Fucking Manual" (leggi il fottuto manuale).

Solo dopo schiscia il tasto ON

1 commento:

Anonimello ha detto...

Alcune volte penso di essere un alieno quando, per qualsiasi cosa nuova che acquisto, voglio leggere il manuale prima dell'utilizzo; p.es. due anni fa, in occasione dell'acquisto dell'auto nuova, ho chiesto al concessionario se mi poteva dare una copia del manuale che lo avrei letto nel periodo di attesa dell'auto (circa 3 mesi), al che si è guardato attorno per vedere dove avessi parcheggiato l'astronave... E comunque nulla da fare, non avevano delle copie in più da distribuire, su internet non si trova e mi ha anche detto che se ne volessi una seconda copia occorre ordinarla e pagarla
In ogni caso le ultime "tendenze" sono di evitarlo del tutto il manuale o, nel caso del sw, a volte di fornirlo ma della versione precedente oppure tradotto con Google passando dal tedesco-portoghese-svedese-aramaico-italiano :( E sto parlando di sw professionale (di cui non esistono sostituti), non di stupidi giochini gratuiti...