Sicurezza  »  Articoli  »  Suggerimenti di protezione 

Vi sono applicazioni che, più di altre, devono essere considerate a rischio per la possibilità di trasmettere infezioni o codice dannoso al nostro PC. In cima alla lista troviamo i browser per la navigazione internet, i client di posta elettronica, i programmi di chat, instant messager e tutti i software che fanno da interfaccia tra i contenuti presenti sul web e i file memorizzati localmente. Perdere il controllo su ciò che viene scaricato dalla rete significa perdere potenzialmente il controllo dell'intero sistema.

Programmi antivirus dotati di protezione in tempo reale dovrebbero, in teoria, bloccare l'eventuale codice dannoso nel momento stesso in cui questo viene salvato sul nostro hard disk. In realtà, il proliferare di trojan e browser hijacker anche su sistemi dotati di antivirus aggiornati, testimonia in modo preoccupante come queste misure, da sole, non siano sufficienti. Cosa fare allora per difendersi? Possibile che non esista una soluzione efficace per non restare vittima dell'ennesima vulnerabilità del nostro browser o di un click un po' troppo avventato sul tasto del mouse?

Una delle regole più importanti della sicurezza informatica stabilisce che è sempre necessario configurare in modo restrittivo il sistema al fine di ridurre il più possibile l'impatto di azioni potenzialmente distruttive. Ciò significa che nel normale uso di un computer bisognerebbe impedire all'utente, e a tutti i programmi che egli usa, di accedere ad aree di sistema critiche che, se compromesse, renderebbero la macchina vulnerabile.

Purtroppo nel mondo Windows questa pratica non è molto seguita. La maggior parte degli utenti casalinghi, e non solo, lavora abitualmente usando un account di tipo amministrativo. Certamente questo dà il vantaggio di un accesso immediato a tutte le opzioni di configurazione del PC, ma consente anche a virus, worm e trojan di causare enormi danni direttamente al cuore del sistema operativo. La maggior parte di questi, infatti, è realmente pericolosa solo se eseguita come amministratore.

Un account limitato

Usare un account limitato per il lavoro quotidiano sarebbe la pratica consigliabile. Per i saltuari compiti amministrativi è sempre possibile cambiare utenza per elevare i propri privilegi oppure usare la comoda funzione Esegui come per lanciare un programma con credenziali alternative (si accede alla funzione attraverso un click col tasto destro del mouse sull'icona dell'eseguibile). A chi usa abitualmente il prompt dei comandi invece si suggerisce l'uso del comando RunAs.

Nella pratica le cose possono essere ben diverse. Abitudini dure a cambiare o applicazioni mal programmate, che non funzionano correttamente in un ambiente ristretto, costringono spesso l'utente ad usare un account col massimo grado di privilegio. Come fare in questi casi a ridurre il potenziale impatto dannoso delle applicazioni critiche? La buona notizia è che possibile forzarne l'esecuzione in un contesto limitato anche se l'ambiente circostante è quello amministrativo. In questo modo creiamo una gabbia attorno all'applicazione restringendo il campo a tutte le operazioni che essa può intraprendere. Questo vale anche per l'eventuale codice dannoso che essa dovesse a nostra insaputa scaricare ed eseguire.

Bisogna precisare comunque che questa strategia non è efficace quanto l'utilizzo di un account limitato. Malware sofisticato può ancora cercare di attuare una scalata di privilegi ed eseguire il suo codice privo di limiti. Questo metodo inoltre non mette al riparo da codice deliberatamente eseguito dall'utente: lanciare manualmente un programma scaricato dalla rete o allegato ad una email significa eseguirlo nel contesto di protezione dell'utente amministratore e non in quello limitato del programma che si è usato per scaricarlo. 

Altri articoli

Altre guide

Altre newsletter