Workstation e PC non sono così frequentemente prede di attacchi come le reti o i server, ma poichè spesso contengono dati sensibili, come i dati relativi a carte di credito, essi possono diventare obbiettivo dei cracker.
Le workstation possono anche essere coinvolte ed usate, a insaputa dell'utente, come macchine "slave" per attacchi coordinati.
Per queste ragioni, conoscere le vulnerabilità di workstation può evitare agli utenti la reinstallazione del sistema operativo o peggio, il difficile recupero dei dati trafugati.
In questa pagina tratteremo di sicurezza a tre livelli, ognuno a parità di importanza
Sicurezza fisica
Un primo passo è quello di proteggersi dall’ accesso fisico alla postazione. Le misure da tenere in considerazione variano in funzione del rischio, ma come misura minima è consigliato attivare il blocco automatico dello schermo con richiesta password dopo alcuni minuti di inattività.
Per impedire ad utenti non autorizzati di avviare la macchina con dischi di avvio o di ottenere privilegi amministrativi in modalità single user è opportuno proteggere con password anche i componenti software che svolgono un ruolo di primaria importanza nelle primissime fasi di avvio dei dispositivi.
In caso di dati particolarmente sensibili e a rischio elevato di furto è da prendere in considerazione la completa cifratura del disco (o della partizione contenente i dati). Infine, a fronte di evitare spiacevoli inconvenienti è sempre opportuno creare delle copie di sicurezza dei dati importanti effettuando un backup periodico da conservare in un luogo sicuro.
- Non lasciare mai il computer incustodito o perlomeno legarlo con un cavo di sicurezza.
- Criptare il contenuto del disco
- da System Preferences → Security & Privacy → FileVault
- Applicare una password a livello del firmware o del BIOS
- dalla Recovery Console
- Disattivare il login automatico, proteggere ogni utente con una password e fare in modo che questa venga chiesta immediatamente
- da System Preferences → Security & Privacy → General
- Attivare le opzioni per ritrovare il dispositivo in caso di smarrimento o furto
- da System Preferences → iCloud → Find My Mac
- Attivare l’utente “guest” ; sebbene possa sembrare controintuitivo, questo stratagemma aiuta a ritrovare il dispositivo in caso di furto o smarrimento.
- da System Preferences → Users & Groups → Guest User
- da System Preferences → Users & Groups → Guest User
- Fare regolarmente una copia di sicurezza del disco o perlomeno dei propri dati
- utilizzando ad esempio Time Machine da System Preferences → Time Machine
- Registrare il numero seriale del dispositivo.
Sicurezza del sistema
Le password inadeguate (ovvero password che possono essere scoperta da un programma o una persona in un breve lasso di tempo) sono uno dei modi più semplici per agevolare ad un attaccante l'accesso al sistema. È indispensabile usare delle password robuste ed eliminare eventuali account utente inutilizzati. Si deve evitare di entrare nel sistema come root e possibilmente non attivare affatto l'utente root; nel caso sia necessario, evitare comunque di navigare sul web, di scaricare posta e di usare programmi che interagiscono con la rete.
- Mantenere il sistema operativo sempre aggiornato
- da System Preferences → Software Update → Automatically keep my Mac up to date
- Abilitare il firewall
- da System Preferences → Security & Privacy → Firewall
- Creare un utente non amministratore ed usare abitualmente questo, lasciando l'amministratore solo per i cambi di configurazione e installazione
- da System Preferences → Users & Groups → Add a user account
- Installare un antivirus ed effettuare periodiche scansioni del disco
- La maggior parte dei virus non può agire su MacOS, tuttavia è doveroso installare un antivirus in molte realtà dove si scambiano file con utenti Windows. È disponibile il pacchetto antivirus open source ClamAV, altri si possono trovare sull’Apple App Store.
- La maggior parte dei virus non può agire su Linux, tuttavia è doveroso installare un antivirus in molte realtà dove si scambiano file con utenti Windows. Nelle principali distribuzioni Linux è disponibile il pacchetto antivirus open source ClamAV. Sono reperibili in rete gratuitamente e per uso personale anche altri antivirus commerciali come Comodo e Sophos. Per verificare la presenza di rootkit (un tipo di malware realizzato per ottenere l'accesso ad un computer) sono disponibili programmi come ChkrootKit e RootKit Hunter.
- Verificare che cosa si sta condividendo
- da System Preferences → Sharing
Sicurezza del software e nell’uso di Internet
La manutenzione del software è molto importante per la sicurezza del sistema. E' una buona pratica installare soltanto i pacchetti dei programmi usati, dato che ogni pezzo di codice potrebbe potenzialmente, contenere delle vulnerabilità. Gli aggiornamenti di sicurezza vanno installati appena possibile. Per non correre il rischio di avere un sistema vulnerabile, si consiglia di attivarne l'installazione automatica. In ogni caso, bisogna evitare di usare distribuzioni per le quali sia scaduto il supporto di sicurezza.
- Verificare ed in caso modificare le impostazioni sulla privacy, cioè quali applicazioni hanno accesso ai propri contatti, alla geolocalizzazione, all’integrazione con i social network o alle caratteristiche di accessibilità
- da System Preferences → Security & Privacy → Privacy e disabilitare l’invio di alcuni dati ad Apple tramite Spotlight (da System Preferences → Spotlight → Allow Spotlight Suggestions in Look up) o Safari (da Safari → Preferences → Search → Include Safari Suggestions).
- Abilitare l’uso solo di applicazioni scaricate dagli store ufficiali o da sviluppatori identificati
- da System Preferences → Security & Privacy → General
- Quando possibile attivare l’autenticazione a due fattori sia per l’accesso a siti web che per l’uso di applicazioni con dati sensibili o riservati.
- Verificare periodicamente quali sono i programmi installati e disinstallare quelli non usati.
- utilizzando ad esempio lo strumento AppCleaner.
- Verificare periodicamente quali applicazioni o processi partono automaticamente all’avvio del dispositivo e disabilitare quelli inutili
- utilizzando ad esempio lo strumento KnockKnock.
inserire due righe per i videoterminalisti?