#144 – Il PC aziendale

#144 – Il PC aziendale

 
Play/Pause Episode
00:00 / 15:08
Rewind 30 Seconds
1X

Posso usare il PC aziendale per farmi un o’ di fatti miei e tenere al sicuro i miei dati?

No.

Ma nella puntata vi spiego come fare senza impazzire.

Pillole di Bit (https://www.pilloledib.it) è un podcast indipendente realizzato da Francesco Tucci, se vuoi contribuire alla realizzazione puoi usare Paypal, Satispay, il vecchio IBAN (contattami per chiedermelo) oppure i BitCoin (vedi QR code nella barra laterale del sito)
Se vuoi metterti con contatto con me puoi scegliere tra diverse piattaforme:
Telegram (un gruppo dove discutere degli argomenti del podcast)
Twitter del podcast e Twitter personale (il social che amo di più)
La mail (se mi vuoi scrivere in modo diretto e vuoi avere più spazio per il tuo messaggio, puoi anche scrivere crittografato usando la mia chiave pubblica PGP)

Rispondo sempre

Se ti serve della consulenza tecnica, puoi avere tutte le informazioni alla mia pagina professionale

Se questo podcast ti piace, parlane con un amico e faglielo ascoltare!

Realizzo anche un altro podcast, sui videogiochi, facili, economici e affrontabili, si chiama Pillole di Videogiochi

Ciao a tutti e bentornati all’ascolto di Pillole di Bit, questa è la puntata 144 e io sono, come sempre, Francesco.

Nel gruppo telegram, al quale se non siete iscritti vi consiglio di iscrivervi, si parla di tecnologia a tutto tondo, qualcuno ha chiesto “come faccio a installare una VPN sul mio PC aziendale per potermi fare un po’ di fatti miei senza che mi controllino?” 
La domanda ha suscitato in me l’ira funesta dell’amministratore di sistema, però, in effetti, in azienda è raro che vengano spiegate alcune cose agli utenti riguardo al controllo che si fa sui dispositivi aziendali.

Quindi prima di dire “sul PC aziendale ci fai solo le cose aziendali”, vorrei farvi capire perché questa affermazione, che sembra cattivissima, è l’unica reale e praticabile.

Il PC aziendale, come ogni cosa aziendale, è di proprietà dell’azienda, sotto il diretto controllo dell’azienda e si usa solo per gli scopi dell’azienda, esattamente come un qualunque altro dispositivo dell’azienda.
Ho detto “azienda” un numero sufficiente di volte?
Dubito che a qualcuno venga in mente di usare un tornio in fabbrica per farsi i propri pezzi di ferro, piuttosto che si faccia centinaia di fotocopie con la fotocopiatrice aziendale. O al massimo, prima di farlo, chiede l’autorizzazione.
Per il PC è la stessa cosa, con una difficoltà aggiuntiva: fare la cosa sbagliata con il PC mette a rischio l’intera rete aziendale, con rischi elevatissimi di costi e perdita di fatturato.
Forse non avete idea di quanto costi un cryptolocker che, per via di un PC, arriva e blocca l’operatività di decine di server.
Per ridurre i rischi, gli amministratori di sistema, il famigerato Ufficio It o, in generale, quelli del computer, mettono in opera alcuni sistemi che dovrebbero mitigare i problemi.

Ogni PC è inizialmente protetto dalla password di accesso. Questo impedisce a chi non ha la password di accedere e garantisce che ogni cosa fatta su quel PC con un determinato utente è stata fatta da quell’utente. Questo vale anche in caso di danni. Per questo motivo la password aziendale non va data a nessuno, mai, un po’ come le mutande o lo spazzolino. Se a un certo punto compare la necessità di dover dare la propria password a terzi per un lavoro, ne parlate con il responsabile dicendo chiaramente “la legge mi vieta di condividere la mia password, quindi dobbiamo trovare un modo alternativo”. Evitate quindi di applicare con una etichetta la password al portatile o al monitor del PC.

La seconda protezione che viene normalmente utilizzata è che l’utente assegnato non è amministratore del PC, questo impedisce all’utente di fare modifiche di sistema, ma gli permette di lavorare. Quindi no, non potete installare un programma in autonomia come non potete aggiungere un dispositivo esterno o fare modifiche sulla rete.
Questo non perché gli amministratori di sistema sono brutti e cattivi, ma perché se ogni utente potesse mettere le proprie cose sui PC aziendali, le ore passate a ripristinare i sistemi operativi diventerebbero un costo inaccettabile. In più, se non siete amministratori del PC è più difficile che il click sbagliato possa creare problemi all’operatività del PC o della rete.
Ricordo sempre che chi lavora al PC è una persona produttiva che deve rispettare mansioni, attività e scadenze, se fa danni al macchinario che usa, genera un danno all’azienda che lo sta pagando per lavorare e ottenere un risultato.

Il PC di solito ha a bordo anche un software che un tempo era chiamato antivirus, adesso fa talmente tante roba che si chiama endpoint protection. Questo software controlla che non ci siano infezioni nel PC, blocca il download di codice dannoso, in molti casi riesce anche a capire un tentativo di cryptolocker e chiude il processo che sta facendo troppi accessi al disco.
L’amministratore di rete ha un bellissimo pannello dove vede tutti i PC in che stato sono e se ci sono problemi, può agire da remoto per avviare rimozione di software malevolo e altre cose simili.

Passiamo adesso alla rete aziendale, dove ci sono tutti i PC, le stampanti e i server. Ok anche un milione di altri dispositivi, ma per oggi non ci interessano.
L’azienda, come detto, deve poter lavorare e lo deve fare al sicuro. Per questo ogni accesso a servizi aziendali, normalmente è controllato, registrato e soprattutto filtrato. Se sei dell’ufficio acquisti è difficile che tu possa accedere ai dati dell’ufficio Marketing, a esempio.

Passiamo ora alla connessione ad Internet. Lo dico subito senza troppi giri di parole: la connessione è genericamente filtrata e controllata, per una serie di buoni motivi.
I sistemi che filtrano la navigazione lo fanno essenzialmente per due motivi.
Il primo, il più importante, è che un buon filtro blocca l’accesso a siti o a traffico, ma ne parliamo dopo, che possono creare problemi operativi al PC.
Faccio un esempio pratico: se vado a cercare i crack per poter usare Photoshop gratis, tutti questi siti sono pieni di banner e pubblicità molto invasive, devono pur mantenersi, spesso le pubblicità su questi siti sono veicolo di infezioni, malware e altre brutte cose. Se il sistema di protezione aziendale ti impedisce di accedere non puoi scaricare roba pericolosa neanche per errore.
Il secondo tipo di filtro, che a mio parere è completamente inutile, è quello che impedisce agli utenti di farsi i fatti propri su internet, quindi blocca social network, e-commerce, videogiochi e simili.
Tutta roba alla quale si può accedere dal proprio smartphone, quindi se un dipendente vuole perdere tempo, incurante dei blocchi, lo fa sul proprio dispositivo.
Il sistema di protezione fa anche un’altra cosa fondamentale per la sicurezza del PC e della rete, si chiama deep packet inspection, o semplicemente DPI, che non è da confondere con Dispositivi di Protezione Individuale.
Questa cosa prende ogni singolo pacchetto di dati che passa nella rete, da e per Internet e lo analizza, identificando il protocollo e l’effettivo contenuto. Se è roba non permessa, ad esempio si accorge che è un pacchetto torrent, o pericolosa, ad esempio stai scaricando una macro malevola, blocca il transito dei dati.
Se il traffico è criptato tra il PC e il server, questa cosa diventa molto più difficile. Può vedere che il pacchetto è uno scambio di dati tra un sito https e il PC, ma essendo in https, non può controllare dentro.
Quindi che si fa? Si gioca con i certificati. Il sistema installa un certificato, che chiameremo “certificato aziendale”, sul PC e dice al PC “questo certificato è attendibile”.
Quando il PC accede a un sito in https, questo sito ha un suo certificato, che chiameremo “certificato del sito”.
Come fa il sistema a controllare il traffico che passa tra il PC e il sito?
Quando avviene la connessione il sistema si prende il certificato del sito e rilascia al PC il certificato di sistema, quindi il traffico crittografato viene decodificato sul dispositivo di sicurezza, controllato, ricodificato con il certificato di sistema e inviato al PC.
Alla fine, a livello pratico, è un attacco da man in the middle, ma non c’è di cui preoccuparsi, nessuno può vedere il traffico che passa, questo è in chiaro solo sul dispositivo per essere controllato in cerca di software malevolo. 
Oltre a questo, il dispositivo di sicurezza fa sicuramente un log della navigazione, quindi chi va dove e quando, ma se lo tiene per sé. Dovesse esserci la necessità, solo il responsabile del trattamento dei dati su richiesta della Direzione per giustificato motivo o delle forze dell’ordine, può andare a cercare puntualmente se un utente è andato su un certo sito o su più siti, magari commettendo un illecito.

Ma dopo tutte queste parole, in effetti, non ho risposto alla domanda inziale, posso farmi un po’ di fatti miei sul PC aziendale senza rischiare?
Di nuovo, no, è meglio di no.
Non perché l’azienda curiosa vuole vedere il tuo utente e la tua password della banca per rubarti i soldi o del tuo account di facebook per fare un furto di identità, per un’altra serie di motivi. Li elenco per comodità
Potresti, inavvertitamente, scaricare un virus che infetta la rete, poi, log alla mano, devi giustificare perché eri su quel sito o stavi scaricando quella roba.
Mettere dati personali su PC aziendali fa sì che tu perda la proprietà dei tuoi dati e il loro controllo, se finiscono nel backup aziendale, lì resteranno per sempre e qualcuno potrebbe vederli. Oppure, una volta trovati, potrebbero essere cancellati senza preavviso. In alcuni casi potrebbero essere usati contro di te in una disputa contro l’azienda.
Potresti dare in mano all’azienda il modo di discriminarti, in base a quel che si trova sul PC, nei log di navigazione o nella cache del browser. La legge lo vieta espressamente, ma perché rischiare andando sul sito di incontri omosessuali o su uno che parla di infezioni da HIV o sul sito del partito opposto al tuo capo.
Ricorda che se qualcuno passa dietro di te può vedere con un colpo d’occhio su che sito sei, anche senza avere accesso ai log.

Una cosa di fondamentale importanza è che l’azienda deve obbligatoriamente fornirti un documento, comunemente detto policy, dove ti spiega tutto quello che viene fatto con i dispositivi aziendali, cosa è permesso e cosa no. Alcune aziende lasciano un po’ di libertà all’utente e gli permettono di fare cose non aziendali, quindi potete andare a guardare le notizie o a controllare la vostra posta, facendo attenzione a dove scaricate gli allegati.

Adesso passiamo alla parte pratica. Sono in azienda, devo fare alcune cose per me, ma lo voglio fare rispettando le regole aziendali e voglio anche essere sicuro che i miei dati non vadano in giro. Come posso fare?

La cosa assolutamente sicura e inattaccabile è quella di avere un piccolo portatile, magari comprato usato, da tirare fuori al momento giusto, collegato in tethering tramite lo smartphone a Internet e usare quello. E’ completamente isolato dalla rete aziendale, non utilizza nessuna risorsa aziendale e siete a posto.

A un costo un po’ più basso potete comprarvi un Raspberry Pi, lo configurate a casa e in ufficio lo attaccate al PC, tastiera e mouse aziendali. Connessione a Internet sempre tramite lo smartphone personale in tethering, occhio che non vi facciano storie a scollegare e ricollegare i cavi da PC aziendali.

A un costo ancora più basso, ma è bene chiedere prima, si può fare una chiavetta USB avviabile da mettere nel PC, si spegna il PC, lo si avvia dalla chiavetta e si usa il sistema operativo dentro la chiavetta stessa, la connessione ad internet dovrà essere fatta comunque con il cellulare e il cavo di rete aziendale dovrà essere staccato. Il sistema operativo nella chiavetta sarà un Linux, fate in modo che non monti il disco del PC aziendale e lavori solo su chiavetta.

Se invece vi permettono di usare il PC aziendale per le vostre cose personali, ricordando che la navigazione è filtrata e registrata, potete fare in modo di non lasciare traccia delle vostre attività sul PC aziendale.
Prendete una chiavetta USB, ci mettete sopra la versione portable di VeraCrypt, create un file crittografato, sempre sulla chiavetta, di qualche GB con una password robusta, all’interno del file crittografato, una volta montato nel sistema operativo, ci mettete i programmi e i dati che vi servono, per i dettagli, tra qualche minuto nel tip vi passo il link di una cosa molto interessante.

Per concludere, la regola, come detto in apertura, è che sul PC aziendale ci fate le cose aziendali e basta. Lo fate per la sicurezza dell’azienda, per la sicurezza del vostro posto di lavoro e la sicurezza dei vostri dati. 

I contatti – 2
Tutte le informazioni per contattarmi o partecipare al gruppo degli ascoltatori Telegram del podcast le trovate sul sito www.pilloledib.it (col punto prima dell’it).
Nel gruppo telegram si chiacchiera di argomenti tecnici, ogni tanto ci si aiuta e spesso, dalle domande, ho tirato fuori delle puntate interessanti.
Le note di questa puntata sono al link diretto www.pilloledib.it/podcast/144   

Realizzare e distribuire un podcast, al quale tutti possono accedere gratuitamente, ha dei costi.
L’attrezzatura, il software, il dominio, il servizio di streaming e così via.
Se vi va di partecipare alla realizzazione in modo prettamente economico, sul sito trovate i link per i vari metodi di pagamento, che sono Paypal, Satispay e Patreon, se donate più di 5€, compilate anche il form con i vostri dati e vi spedisco gli adesivi a casa.
Un altro modo per partecipare è diffondere questo podcast, quindi dite ai vostri amici che lo ascoltate e invitateli a farlo anche loro, magari scopriranno il mondo dei podcast e se innamoreranno!

Grazie ai donatori di questa settimana!

Vi ricordo che se avete bisogno di consulenza tecnica per il vostro PC, la rete a casa o nell’ufficio, sviluppare un software, risolvere quel problema sul raspberry o realizzare un sito, potete chiedermi offerta per la consulenza al link www.iltucci.com/consulenza 
 
Il tip

Il link che vi lascio oggi è una specie di uovo di Colombo per le attività fatte su PC altrui sul quale non volete lasciare traccia. Parlo di roba per Windows
Step 1: scaricate la versione portable di VeraCrypt dall’apposito link che vi lascio nelle nome come al solito.
Lo mettete sulla chiavetta e da lì lo eseguite.
Seguite la procedura per creare un volume crittografato all’interno di un file che salverete sulla chiavetta USB. Scegliete una password robusta e fate in modo di non dimenticarla, se no, non potrete accedere mai più al disco crittografato. La creazione non è istantanea.
Sempre con il programma VeraCrypt potete aprire il file crittografato in modo che compaia come disco aggiuntivo sul PC
Adesso andate sul sito portableapps.com, il link lo trovate sempre nelle note e scaricate il programma.
Lo mettete nel file crittografato e ecco che avete una collezione sterminata di software che funziona dalla chiavetta USB senza lasciare alcuna traccia sul PC alla quale l’avete collegata.
Passerete almeno una serata a decidere quali delle 400 app vi interessa usare. Se avete una chiavetta abbastanza grande, diciamo almeno 64GB, potete installarle tutte.
Ricordatevi, di tanto in tanto, di farvi copia del file crittografato da qualche parte, perché non ci si deve mai fidare della durata delle chiavette USB

Bene è proprio tutto, non mi resta che salutarvi e darvi appuntamento alla prossima puntata.

Ciao!