La sicurezza informatica è un argomento abbastanza vasto che comprende ambienti diversi dell'informatica. Il problema di base è: come mantenere segreti i propri dati ed impedire che vengano manipolati (o cancellati)?
Si può parlare della sicurezza su più livelli: la sicurezza fisica, ad esempio, si ha quando fisicamente altre persone non possono accedere ai vostri dati, ovvero nessuno si sieda al vostro posto in ufficio o a casa e faccia come vuolea casa sua. E' per questo che hanno inventato le serrature, i badge elettronici, i rilevatori di impronte digitali e scanner oculari. Un semplice rilevatore di impronte digitali ce l'ho anche sulla pennetta USB! Giusto un consiglio: in ufficio - ma a voler essere sospettosi anche degli amici a cena, pure a casa - non attaccate post-it con scritto "PASSWORD: xyzqw".

La sicurezza logica si ha invece parlando di credenziali di accesso, di politica di gestione delle password. In poche parole, ognuno deve vedere le cose sue, e possibilmente tenere ordinate ed aggiornate le password.

La sicurezza sulle comunicazioni è infine quella più ampia, che comprende buona parte di quello che dirò sotto. Quando un messaggio viaggia sulla rete ne passa di tutti i colori prima di arrivare a destinazione, che sia un messaggio di skype (o un sms), un allegato ad un'email, un file su eMule o questa pagina web.

Il primo punto di "accesso" ad informazioni riservate è fisico: la trasmissione dei dati avviene prevalentemente in cavi collegati a vari tipi di macchinari (dai nomi quali router, hub, gateway, modem, switch...) che instradano la comunicazione tra sorgente e destinazione, per cui accedere ad uno di questi, o direttamente al cavo, permette di essere spettatore dei dati che transitano.
Un esempio generalmente allarmante, a buon ragione, è quello di un ufficio. Siccome è inutile passare 10 lunghi cavi dal modem ai 10 computer che si trovano nella stanza in fondo al corridoio, spesso si ricorre ad apparecchi che dividono il traffico di rete e si posizionano più vicini ai computer: all'apparecchio arriva un solo cavo, e dall'apparecchio ne escono 10. Buon risparmio di cavi e di muratori. Macchinari che fanno questo ne esistono diversi: il primo, quello "pericoloso" - se avete qualche malintenzionato in ufficio ovviamente - è l'HUB. Il difetto degli HUB è che ogni singolo pacchetto di rete che compone la comunicazione, viene inviato dal pc - attraverso la sua scheda di rete - sul cavo e dall'HUB  tutti i computer, e che le risposte ai messaggi vengono inviate dall'hub su tutti i cavi, aspettando che sia ogni singolo computer a prendere il messaggio che riguarda lui e non altri.... insomma, avete ben capito che se il pc viene istruito per leggere "tutto" è possibile vedere tutti i messaggi che girano in quella stanza. E quindi sapere su che siti sta navigando, magari pure che password ha messo per entrare...
L'apparecchio più sicuro che fa lo stesso lavoro è lo switch, che sa a chi deve inviare il messaggio, evitando di mandarlo a tutti.

A livello delle applicazioni (programmi) la sicurezza è delicata. Immaginate un software gestionale di un medico nel quale sono salvati i dati dei pazienti (riservatissssssimi). Come minimo questo software dovrà chiedermi all'accesso un password. Ma se il medico si allontana? Resta l'applicazione aperta con tutti i dati? Si potrebbe fare come fanno i sistemi operativi, che dopo un certo periodo di inattività "mandano lo screensaver" e ritornando in attività richiedono nuovamente la password. Tutto sta quindi a vedere quanto tempo avrebbe una persona per avvicinarsi ai dati... E se invece l'applicazione non proteggesse davvero i dati? Se i dati che mostra al suo interno sono salvati chiaramente su un file che posso prendere e copiare senza passare dal programma? Anche senza password posso avere quello che mi serve! Oppure se ha qualche difetto, o per qualunque altro motivo fosse possibile entrare aggirando la richiesta di password,??
Volete un'altro esempio inquietante? Windows, penso tutte le versioni "home" prima di vista. Di sicuro WinXP Home. Esiste un utente con tutti i privilegi che si chiama "Administrator". E visto che non lo avete mai visto all'interno del computer, non avete impostato per questo utente nessuna password. Questo significa che, andando a specificare di voler fare login come "Administrator" basta non digitare nessuna password per fare i propri comodi sul pc di vostro cugino. Ovviamente se volete aiutare la zia Matilde che ha perso la sua password a recuperare le foto dei nipotini, potete fare così, oltre a poterle cambiare poi la password.
Un'altro esempio? In tempi ormai passati spesso si impostava una password al BIOS (un programma scritto sulla scheda madre che "gira" prima di windows). Senza quella password non si poteva fare nulla col pc. ma anche li c'era un rimedio: la memoria del bios dipende da una batteria - che normalmente dura un bel po' di anni - che basta rimuovere, togliere la spina, magari aspettare qualche secondo, e via, niente più password!

I software maligni (e pure un po' stronzi)
Chi non ha mai avuto a che fare con un virus? Ci siamo passati tutti, almeno una volta. I virus sono dei programmini che sfruttano i bug di alcune applicazioni per entrare nel sistema, ed un buon numero di accortezze per restarvici. Ricordo che una volta i virus entravano, stupravano, e se ne andavano lasciando il deserto. Oggi invece i virus tendono a restare, nascondersi e cercare di propagarsi ancora ed ancora. Si dovrebbe distinguere tra virus e worm, dove i worm sono più inclini a questo comportamento, ma ormai vedo che non ci bada più nessuno. Sono invece da notare i cavalli di troia (trojan horse) che, una volta installati sulla macchina garantiscono un accesso alla stessa dall'esterno. Immaginate un muratore che entra in banca e senza che nessuno lo veda apre una nuova porta su un muro e la nasconde dietro ad una libreria. Di notte poi... Da notare che questa porta il più delle volte non ha una chiave, per cui chiunque può entrare. Ovviamente chiunque giri di notte alla ricerca di porte aperte sui lati delle banche.
Ci sono poi gli spyware, che invece di aprire la porta mettono "microfoni" e "telecamere nascoste" nella vostra "banca". Quando digitate una password o qualunque altra informazioni utile lui la legge e la invia ad un server - spesso hackerato a sua volta - dove vengono salvati i dati.

Ma come fa un virus ad entrare nel pc? Come dicevo prima può sfruttare vari tipi di bug dei software. Un tipo comune di bug è il buffer overflow che - senza entrare troppo nel merito - manda in confusione un'applicazione inviandogli dei dati che non si aspetta di dover gestire, ed ottiene un accesso al computer. Un'altro modo è quello di legare il software maligno ad un'altro. In pratica viene costruito un unico programma che fa due cose: aziona il virus ed aziona il programma che vi aspettavate di trovare (dannato strip-poker gratuito!). Ai vostri occhi avete eseguito solo quello che vedete, ma prima o poi vi accorgerete della fregatura. In ogni caso il mezzo preferito per la trasmissione di virus è la posta elettronica: appena il virus è sul vostro pc si scrocchia le mani e si invia a tutti i vostri amici. Può usare il vostro nome (è facile che godiate ancora di una minima credibilità con i vostri contatti nonostante frequentiate questo sito) o usare come mittente un altro vostro contatto, in modo da incasinare tutto e rendere difficile l'individuazione dell'utente infetto. In casi di invio tramite posta il virus cerca di farsi eseguire volontariamente dall'utente, fingendo di essere qualcosa di interessante, o se può sfrutta un bug del programma (client) e si esegue da solo.
Una volta installato poi rende la vostra macchina un untore di prima categoria: ogni pennetta che viene inserita, ogni cd masterizzato, ogni file scambiato può contenere copia del bastardo, per non parlare dei computer collegati in rete locale etc.

Con lo spoofing il malintenzionato finge, simula di essere qualcosa che non è. Con questa tecnica si può ad esempio, una volta intromessi in una comunicazione tra due utenti, fingere di essere una delle due estremità: immaginiamo A che parla con B e X in mezzo, ovvero
A---X---B
Se A manda a B un bel messaggino con scritto "ti amo tanto", quando arriva ad X, geloso, lo prende e ne manda uno a B fingendo che provenga da A con scritto "ho un'altro"...
Sempre spoofing viene chiamata la tecnica di nascondere url in altri url, ad esempio nei phishing, ovvero le email che fingono di essere della tua banca ma che invece dti portano su un sito copia dove ti chiedono di accedere mettendo i tuoi dati di accesso. Questa tecnica viene dall'abitudine di vedere due tipi di url, quelli come questo e quelli come questo: http://www.lankelot.eu. Ma che succede se un'url è fatto così - http://www.sitofinto.it/? Si crede istintivamente che quello che vediamo sia il vero indirizzo, invece non è così. Basta passare con il mouse sul collegamento e vedere nella barra di stato (in basso a sinistra) a cosa corrisponde quel collegamento. Una tecnica più raffinata ancora prevedeva - ma dovrebbe essere stata risolta con una patch di internet explorer - di far anche vedere l'url finto passandoci sopra (senza considerare che nelle email non sempre si vede l'url reale).

Quando si parla di sicurezza informatica, il termine DoS non è il caro, vecchio "Disk operating system", ma un ben più preoccupante "Denial of Service".
Si tratta quasi sempre di attacchi a server, che sono delle macchine dotate in un certo modo e che offrono dei servizi come il web, la posta etc. Il DoS è quindi il bombardamento di un servizio in modo che smetta di funzionare, aprendo ad esempio qualche migliaio di connessioni a caselle di posta senza chiuderle: il server tiene una piccola parte di memoria per ciascuna, e la somma è letale. Ad un certo punto il server smette di rispondere perchè ha talmente tante cose da gestire che non riesce più a fare nulla.

Per evitare alcuni degli attacchi appena descritti esistono i firewall, che possono essere software, integrati o dedicati. I firewall software (come quello incluso in windows, o ZoneAlarm) svolgono la loro funzione all'interno del computer da proteggere o di quelli a questo collegati. E' una soluzione economica, spesso gratuita, ma può essere bypassato se vengono sfruttati bug del sistema operativo. I firewall integrati li si trovano spesso nei router, quindi stanno li a controllare che tutti i servizi gestiti dal router siano protetti. Sui router è però possibile collegarsi in remoto dando le giuste credenziali, e questo è un punto debole. I firewall dedicati sono costose apparecchiature che svolgono quella sola funzione. Non è possibile collegarsi dall'esterno ma solo fisicamente.

In ogni manuale di hacking (impossibile insegnare a fare l'hacker, ma si trovano vari trucchi e metodi) si parla di social engineering. Si tratta della possibilità di ottenere informazioni... chiedendole. Immaginate un cliente un po' rimbecillito, ed una sua email al suo fornitore di hosting "senta, scusi, ho perso di nuovo la password... me la potrebbe rimandare?" ovviamente falsificando l'indirizzo email ed il mittente. Anche al telefono, "salve, sono la segretaria del dottor Pippo, mi ha detto di contattarvi per avere la password di accesso alla posta, la dovreste mandare a lui a questo indirizzo: pippo@tiscali.it" (e magari il dottor pippo non aveva una casella "@tiscali.it", che invece si è registrato l'hacker).

Nelle comunicazioni su Internet tutti i dati viaggiano "in chiaro", ma esiste un modo per comunicare in modo sicuro, ovvero tramite il famoso SSL (secure socket layer). L'avrete visto su alcuni siti al momento di fare login o pagando con carta di credito su una banca. E' un modo per criptare e decriptare a livello di protocollo (non di applicazione) il messaggio. Un'applicazione può quindi comunicare in chiaro usando SSL senza doversi preoccupare di nulla, perchè sarà il protocollo di comunicazione a rendere sicuri i messaggi. In questo modo si realizzano anche le VPN, Virtual Private Network, che astraggono a livello di Internet il concetto di LAN (rete locale, quella negli uffici per capirci). Il dipendente da casa si collega in modo sicuro ad un server che lo fa sentire come se fosse fisicamente dentro l'ufficio, anzi questa LAN virtuale. Dovreste provare prima o poi l'ebbrezza, mentre state a casa, di vedere tra le risorse di rete la stampante dell'ufficio e mandare in stampa qualcosa...

INTERMEZZO: un po' di chiarezza sui cookie.
Ogni tanto sento dire in giro (da inesperti) che "qualcuno gli ha detto di stare attento ai cookie, perchè possono spiarmi"...
I cookie sono dei file di testo, ed il loro contenuto è inviato dallo stesso (ed unico) sito che li può leggere. Quindi è come se io vi attacco un bigliettino sulla maglietta con il vostro nome perchè non me li ricordo, così quando vi vedo vi riconosco. PUNTO. L'affermazione più vicina alla realtà è "perchè con i cookie possono sapere cosa sto facendo". Il sito su cui state navigando sa già chi siete (in termini astratti, non sa nome e cognome nè indirizzo), altrimenti non potrebbe darvi la possibilità di fare login e navigare da loggati. Nel cookie normalmente viene messo solo un identificativo (il bigliettino sulla maglietta) mentre le altre informazioni vengono tenute sul server associate a quello stesso identificativo. PUNTO.
In verità esiste un modo per far si che un sito abbia delle informazioni che non gli competono direttamente, e la cosa avviene così:
- il sito A che sto navigando chiede al sito X di mandarmi un cookie. A comunica poi a X alcune informazioni che sono di sua competenza (le mie preferenze sui libri, ad esempio).
- un bel giorno capito anche sul sito B, che anche lui è in combutta con X. X dice a B “hey, questo utente l’ho già visto su A, a lui piacciono i libri gialli”, così che B sappia da subito che a me piacciono i libri gialli anche se è la prima volta che ci capito.

Torniamo ora all'argomento principe della sicurezza informatica, la crittografia.
La crittografia a chiave simmetrica si realizza mediante algoritmi che attraverso una chiave codificano un testo, e con la stessa chiave si ottiene nuovamente il testo originario da quello criptato. Se devo mandare un messaggio a Pippo lo cripto con la chiave segreta, lo invio, e quando Pippo lo riceve con la stessa chiave segreta lo decifra. Se qualcuno intercetta il messaggio non può leggerlo se non sa la chiave. Già, ma come facciamo io e Pippo a metterci d'accordo? In un modo o nell'altro gliela devo comunicare, ed un po' tutti i sistemi potrebbero non essere totalmente sicuri o pratici (telefono non troppo sicuro, bisbiglio all'orecchio poco pratico). Allora siamo da capo a dodici...
La versione avanzata è la crittografia a chiave asimmetrica, dove il messaggio è codificato con una chiave (chiave pubblica) e decifrato con una chiave diversa (chiave privata). Se devo mandare un messaggio a pippo, lo codifico con la SUA chiave pubblica, e lui lo legge con la sua chiave privata. Non ci siamo scambiati nulla di importante perchè conoscere la chiave pubblica permette solo di codificare il messaggio e non di decifrarlo!
A voler essere rompiscatole c'è ancora un punto debole, ovvero: se la chiave pubblica non è quella giusta? Se magari è stata fornita dall'hacker? Codifico il messaggio, lo invio... e l'hacker lo intercetta e lo decodifica, poi lo ricodifica con la giusta chiave e lo inoltra di nuovo al destinatario. Fregati un'altra volta!
A quest'ultimo problema si pone rimedio con le Certification Authority (CA), che sono dei soggetti terzi che gestiscono in modo sicuro (perchè si è verificata la loro identità, prima di tutto) lo scambio delle chiavi.

Quindi abbiamo la soluzione a tutto? Codifichiamo tutti i messaggi in questo modo? No. Non tutto, perchè questo sistema è molto lento nella decodifica, quindi in molte applicazioni si fa così: si usa una chiave simmetrica (veloce) da usare una tantum che viene comunicata criptata da chiave asimmetrica. Sicurezza e velocità. Buono, buono.

Quindi d'ora in poi, quando mi arriva un messaggio ben crittografato, sono tranquillo che mi è stato inviato dal giusto mittente. No!! Non state attenti!! Fin'ora abbiamo fatto solo in modo che il messaggio non venga intercettato!
La soluzione è la firma digitale.
Funziona così: il messaggio viene passato attraverso un certo algoritmo che ne calcola un valore. La funzione md5 ad esempio genera una stringa di 32 caratteri a partire da qualsiasi testo. E' possibile, ma non lo è praticamente, ottenere da due testi lo stesso codice proprio perchè più corto, ma la proprietà degli algoritmi usati consente di escludere queste ipotesi con buona probabilità. Immaginate l'esempio del codice fiscale: dalle informazioni "nome, cognome, data di nascita, sesso, luogo di nascita" di ottiene sempre una cosa lunga uguale. Sono rari i casi in cui due codici fiscali calcolati sono uguali, ma può accadere. Quindi se qualcuno dovesse cambiare il messaggio questo valore non corrisponderebbe più: abbiamo quindi aggiunto un'informazione utile alla fine del messaggio. Ci aggiungiamo anche i nostri riferimenti, e questa parte però la dobbiamo proteggere di nuovo in modo che SOLO NOI possiamo averla creata. Questo si fa sempre con la chiave pubblica e privata, perchè posso -  meraviglie della matematica - criptare questa parte stavolta utilizzando la chiave privata, e decifrarlo con la chiave pubblica. Se poi metto la firma all'interno del messaggio stesso sono ancora più sicuro: Ricapitolando:
- Il messaggio è criptato in modo che solo l'utente B lo possa decifrare. La firma contiene le informazioni che servono per indicare il mittente e l'integrità del messaggio, e vengono criptate con la chiave privata di A.
- Chi lo riceve decripta il messaggio con la sua chiave privata (solo lui può farlo) e decripta la firma con la chiave pubblica di A (e solo A può averlo creato in quel modo). Se tutto corrisponde, siamo a  posto.
- Chi lo intercetta? Non ha la chiave privata di B e non può decifrare il messaggio.
- Chi si spaccia per il mittente? Non ha la chiave privata di A e non può mettere la giusta firma
EVVIVA!!

Riferimenti
http://www.securityfocus.com/
http://it.wikipedia.org/wiki/Sicurezza_informatica
http://it.wikipedia.org/wiki/Virus_(informatica)
http://it.wikipedia.org/wiki/Trojan
http://it.wikipedia.org/wiki/Crittografia
http://it.wikipedia.org/wiki/Spoofing