La protezione quotidiana del computer, sia questo postazione di lavoro oppure semplicemente l’attrezzo con il quale ci si scambia qualche email e si consultano le ricette per casa, è argomento critico per tutti gli utenti Windows. O meglio … lo è per tutti gli utenti di un personal computer. Ma se da un lato gli utilizzatori di sistemi basati su Linux o Unix dispongono di conoscenze piuttosto complete ( non importa se a causa del fatto che ci sono costretti o per il modo in cui bisogna affrontare i problemi ), la maggioranza degli utenti Windows approcciano l’utilizzo del loro computer in un modo meno consapevole. Lungi da me il voler affermare che tutti gli utenti Windows, o almeno la maggioranza degli utenti, siano tutti degli stupidi: non è quasi mai colpa loro. Il martellante marketing cui sono costantemente sottoposti ha radicato in costoro la percezione del personal computer come di una macchina molto semplice da usare, che fa’ un po’ tutto da sola e che non richiede particolari conoscenze tecniche per poter essere sfruttata a dovere.
Secondo la mia modesta opinione le cose non stanno proprio così: il personal computer è diventato un connubio di hardware e software molto sofisticato eppure a bassissimo livello di specializzazione. Mi spiego : ci si aspetta da una lavastoviglie che la semplice pressione di un tasto avvii e porti a termine un ciclo completo di lavaggio. La lavastoviglie è una macchina molto specializzata. Al contrario il personal computer non gode di questa specializzazione : può eseguire una miriade di operazioni differenti, ma a differenza della lavastoviglie ha bisogno che il proprio utente lavori in continua sinergia con le applicazioni, e quindi con consapevolezza, per poter portare a termine con successo le operazioni che vengono richieste. Basti pensare all’invio delle email : si potrebbe pensare che sia sufficiente la prima, macchinosa, configurazione del proprio client di posta preferito per poter inviare le email sempre nello stesso modo. Eppure, mentre la lavastoviglie funziona sempre allo stesso modo in qualsiasi stanza della nostra abitazione o in quella di chiunque altro, il client di posta elettronica, specialmente se si utilizza un laptop, potrebbe richiedere configurazioni molto diverse a seconda dell’ambiente nel quale ci troviamo (sono nella rete di casa ? in quella dell’azienda ? quale è il server SMTP per questa connessione ? accedendo ad un hot-spot wi-fi che parametri devo inserire per poter navigare ? come mai da fuori azienda non vedo la web-mail ? ecc.)
Generalmente si tratta di domande a cui l’utente non sa rispondere perchè l’enfasi della pubblicità di questo o quel software esalta sempre le comodità d’uso e mai le mille piccole difficoltà che si possono incontrare quotidianamente. Accade allora che l’utente di software commerciale, allettato dalle mille promesse fatte dal produttore del programma che ha appena acquistato, si rivolga, anche con toni molto scortesi, ai centri di supporto pretendendo spiegazioni su come si configura questo o quello, sul perchè si debba cambiare questa o quella impostazione … fino a quando si arriva alla solita domanda : “ma perchè l’avete fatto così complicato ? non basta cliccare su INVIA perchè il messaggio venga spedito via internet ?”
Il numero e la qualità delle domande porta alla inevitabile conclusione che la maggior parte degli utenti non sa come funziona la posta elettronica: per meglio dire … la loro percezione di posta elettronica si ferma alla fisicità di Outlook, Thunderbird, Eudora ecc. Tutto quello che avviene dietro le quinte non è di alcun interesse e, pertanto, non ne viene approfondita la conoscenza. Cosa dire allora ad un utente che si lamenta del fatto che la sua casella email riceve email spammatorie … originate dal suo stesso indirizzo ? Come posso spiegargli di guardare negli header del messaggio per capire da quali server di relay intermedi è passato quel messaggio ? Sarebbe impossibile dargli un’informazione completa senza invitarlo ad un seminario sulle regole RFC del protocollo SMTP. Ma la sua obiezione, evidente, naturale e giustificata sarebbe : “cosa è SMTP ? cosa è RFC ?”
E’ questo forse il peggior nemico degli utenti che utilizzano software proprietario e commerciale : non viene loro insegnato a porsi delle domande.
Cosa succede allora quando si affronta il tema della sicurezza ? Come ci si può aspettare che un utente completamente digiuno di nozioni sul TCP/IP sappia saggiamente gestire regole di accesso mirate, su una delle 65k porte, differenziando tra TCP e UDP ? Con quali strumenti può discriminare tra una richiesta di risoluzione DNS ed un ping ICMP ? Ovviamente questo non può. Tuttavia il marketing gli ha insegnato che la presenza di un firewall a bordo del personal computer è uno strato di protezione imprescindibile per affrancarsi dai rischi delle moderne infezioni. E indubbiamente lo è. Ma l’azione commerciale non spiega che comprare una cassaforte e poi lasciarla aperta è assolutamente inutile.
Anche se i moderni personal firewall tempestano l’utente con domande del tipo “svchost.exe ha richiesto di effettuare una connessione con l’indirizzo ip xxx.xxx.xxx.xxx sulla porta 80“, cosa ci si aspetta che risponda l’utente ? Risponderanno sempre “SI CONSENTI (e salva la regola così non mi rompi più le scatole)” perchè se non lo fanno scoprono che qualcosa comincia a non funzionare come dovrebbe nel loro computer, perchè non hanno gli strumenti per differenziare tra servizi/applicazioni legittimi e illegittimi, perchè non hanno il colpo d’occhio per distinguere tra svchost.exe e svhost.exe (o altre assonanze che i virus-writers sono sempre attenti nel ricercare). Ed alla fine ci si ritrova con un Personal Firewall che permette comunicazioni di praticamente qualsiasi natura perdendo completamente il proprio scopo di “filtro”: e tanto vale smontarlo definitivamente.
Nei casi migliori, di fronte a tali domande, si fermano e chiedono al servizio di assistenza cosa devono fare: ma non si rendono conto che è impossibile per qualsiasi help-desk conoscere in dettaglio la configurazione e l’impianto software di tutti i pc su cui è installato il tal prodotto. E da qui nasce l’ulteriore frustrazione di doversi sorbire estenuanti sessioni con il tecnico di turno che ti chiede di verificare questo, provare quello, far girare quel diagnostico ecc.
La sicurezza informatica passa, inevitabilmente, dalla conoscenza dell’ambito in cui si opera. Ma se questa conoscenza è assente lo è parimenti la sicurezza.