Nozioni di base sulla sicurezza informatica per i manichini. Sicurezza delle informazioni per gli specialisti delle informazioni dei manichini
Internet è multiforme e pericoloso. Più opportunità ci offre, più pericoli e rischi nasconde. I furti via Internet sono ormai da tempo una realtà.
I furti avvengono da una carta o da un portafoglio elettronico. E se questo non ti è ancora successo, significa che o sei un asso nella protezione delle tue informazioni, o sei fortunato, o non usi il Web globale da abbastanza tempo.
I primi possono gestirlo da soli, ma i secondi e i terzi trarranno beneficio dall’apprendimento del nostro riassunto di consigli utili. Dopotutto, le porte in metallo non ti salvano su Internet. Qui, la tua sicurezza dipende da altri fattori e, soprattutto, dalle tue azioni in determinate situazioni.
Non dovresti avere solo un antivirus con un database aggiornato quotidianamente, ma anche una protezione contro gli spyware. Molte persone pensano che installando un antivirus si possano proteggere le informazioni e questo alla fine diventa un errore fatale.
Non fare clic su tutti i collegamenti di seguito. Soprattutto se ti sono stati inviati per posta o tramite ICQ. Anche se inviato da un destinatario affidabile. La navigazione in Internet è il modo più diffuso per catturare un virus, il che significa dare all'aggressore la possibilità di ottenere informazioni preziose. Non scaricare programmi strani e sconosciuti e tanto meno installarli.
Se si verifica una situazione strana quando fai comunque clic su un collegamento sconosciuto, disconnettiti da Internet. In questo caso i programmi di sicurezza potrebbero emettere un avviso oppure il computer potrebbe smettere di rispondere. Chiama uno specialista responsabile della sicurezza dei dati: scoprirà qual è il problema.
Se hai installato un portafoglio elettronico o qualsiasi altro programma con cui effettui pagamenti online, è ancora più necessario garantire la sicurezza del tuo computer. In caso di incompetenza, invita uno specialista che installerà e configurerà tutti i programmi necessari e i loro parametri. Dopotutto, sempre più spesso non ci alziamo dalla sedia per pagare i servizi e fare acquisti.
Durante la procedura di registrazione, non salvare mai la password. Utilizza password diverse ogni volta che ti registri da qualche parte. Le password utilizzate dovrebbero essere lunghe, preferibilmente con numeri. È meglio cambiare le password il più spesso possibile, almeno una volta al mese. Anche se scegli una parola e la digiti utilizzando lettere maiuscole e minuscole, questa sarà già un'eccellente opzione per la password.
Fai attenzione a dove inserisci la password e accedi. Spesso i truffatori creano siti Web duplicati che sono esattamente uguali all'originale: l'unica differenza potrebbe risiedere nel dominio. Ma a prima vista è difficile notarlo, soprattutto per un principiante. I truffatori utilizzano duplicati per rubare accessi e password degli utenti. Dopo aver inserito i tuoi dati, i truffatori li riconosceranno automaticamente e potranno utilizzarli per i propri scopi, ma su un sito reale.
Queste semplici verità aiuteranno sicuramente qualcuno a proteggersi online. Tranne forse gli utenti esperti e gli esperti di sicurezza informatica, perché sanno già tutto molto bene.
Commenti e recensioni
Se segui il mercato delle periferiche da gioco, sai che HyperX è un'azienda molto forte da parecchio tempo...
I nuovi PC all-in-one di Dell riceveranno una speciale webcam che scorre all'interno del case e diventa...
Molti utenti moderni si lamentano del fatto che i laptop sono diventati troppo compatti e che a volte vogliono...
Già da tempo i grandi produttori lanciano sul mercato personal computer già pronti, da...
Dal 16 al 18 agosto, vicino a Nizhny Novgorod si è tenuto il principale festival di musica elettronica Alfa Future People 2...
Sicurezza delle informazioni per i manichini
Anche 10 anni fa molte aziende che perdevano l’accesso ai propri database semplicemente chiudevano, come riportato in un rapporto dell’Università del Minnesota, che ha condotto una ricerca in questo settore. Ora, ovviamente, ci sono molti modi per ripristinare le informazioni e continuare a funzionare, tuttavia, la fuga di informazioni riservate può causare gravi perdite. Allo stesso tempo, non stiamo parlando solo di aziende, ma anche di normali utenti di Internet.
Lo sviluppo della tecnologia dell'informazione ha portato la società a un nuovo livello di sviluppo, quando molti problemi possono essere risolti utilizzando un personal computer e Internet: effettuare acquisti, prenotare hotel e semplicemente comunicare, per non parlare delle nuove opportunità per attività professionali. Ma la semplicità, la comodità e la velocità di gestione delle informazioni sono piene di pericoli: la loro disponibilità a terzi.
Più recentemente è entrato in uso il termine crimine informatico. In precedenza, una parola del genere veniva trovata solo tra gli scrittori di fantascienza, ma ora è diventata parte della realtà moderna. Stiamo parlando di hacker, o cyberbulli, che rubano dati per accedere a carte bancarie, conti su risorse speciali, ecc., hackerando personal computer utilizzando vari virus e trojan.
Come proteggersi dai criminali? La soluzione più semplice è installare un programma antivirus. Ma sfortunatamente anche questo non è sempre in grado di proteggere dall'hacking. Un’altra opzione è provare a studiare l’enorme quantità di letteratura sulla sicurezza informatica che è stata scritta oggi. È vero, gli standard e i programmi in essi presentati sono accessibili e comprensibili per la maggior parte agli specialisti in questo campo, mentre la minaccia di perdere denaro da una carta bancaria incombe su quasi tutti gli utenti di Internet.
Tuttavia, non tutto è così brutto come sembra a prima vista. Con l'aiuto del buon senso e seguendo semplici regole per lavorare su Internet, puoi aumentare notevolmente il livello di protezione dei tuoi dati dalle minacce esterne. Questa è come una preoccupazione fondamentale per la sicurezza della proprietà proteggendo l'appartamento. Puoi semplicemente installare una porta e una serratura cinese, ma puoi anche ascoltare i consigli degli specialisti coinvolti nelle attività di sicurezza. E consiglieranno sicuramente di installare serrature affidabili con chiavi non standard e di aggiornare le finestre in modo che siano difficili da aprire dall'esterno; installare sistemi di videosorveglianza e allarme; e anche stipulare un accordo con un'organizzazione che fornisce servizi di risposta rapida in caso di ingresso non autorizzato in casa. E, forse, una regola altrettanto importante, che sicuramente ti ricorderai, perché spesso ce ne dimentichiamo, è quella di non aprire le porte agli estranei e, soprattutto, di non dire a nessuno dove sono i tuoi oggetti di valore.
Tutte queste attività, ovviamente, richiedono investimenti. Tuttavia, dovrebbero essere applicati in modo completo. Non fare affidamento su te stesso: delle buone serrature proteggeranno la tua casa dai ladri. Qualsiasi meccanismo prima o poi verrà aperto. E se, ad esempio, non esiste un sistema di allarme che invii un segnale di allarme alla console di sicurezza, l'intero sistema di videosorveglianza sarà assolutamente inutile.
Dalla teoria alla pratica
Qualsiasi sistema di sicurezzaè un sistema costituito da molte linee di difesa costantemente in atto e in azione. Non è possibile calmarsi immediatamente dopo l'installazione delle misure tecniche di sicurezza: le regole di comportamento sicuro sulla rete e sul funzionamento delle apparecchiature devono essere rispettate regolarmente. Altrimenti il sistema di sicurezza diventerà inutilizzabile, lasciando solo una dannosa illusione di sicurezza.
Come prendersi cura concretamente della sicurezza delle informazioni? Diamo un'occhiata alle regole di base.
Regola zero:Non fidarti di nessuno.
Come ha affermato Andrew Grove, presidente di Intel, “Solo i paranoici sopravvivono”. Quando inserisci qualsiasi informazione riservata, devi essere sicuro al 200% che la persona di cui ti fidi abbia effettivamente il diritto di disporre di questi dati. Ad esempio, sul sito web di una banca ti potrebbero essere richieste le informazioni sul tuo passaporto per aprire un conto: questa è una procedura standard, ma un negozio online non ha assolutamente alcuna utilità per queste informazioni. Non mostreresti il tuo passaporto al venditore da cui compri le patate al mercato! Questa volta. In secondo luogo, mai, a nessuno e in nessuna circostanza non inviare la password. Tutti i sistemi di sicurezza sono progettati in modo tale che solo una persona possa conoscere la password. Se ti viene richiesto di inviare la tua password via e-mail o di comunicarla al telefono con qualsiasi pretesto, anche apparentemente plausibile, allora dovresti sapere che si tratta di un inganno al 100%.
Prima regola: Assicurati di configurare il tuo computer in modo da fornire sempre un nome utente e una password prima di iniziare a lavorare.
Il programma più importante per qualsiasi utente di computer è il sistema operativo. Ciò che memorizzerà dovrebbe essere noto solo a te, quindi imposta una password che dovrà essere inserita quando accendi il computer. La procedura è semplice, ma i vantaggi sono molteplici. Ogni volta che inserisci una combinazione di caratteri in una riga, confermi il tuo diritto di disporre di tutte le informazioni memorizzate sul computer. Elimina la situazione in cui una persona non autorizzata può ottenere accesso gratuito al tuo desktop e a tutti i file. “Chiudi a chiave” le informazioni in modo che non sembri un appartamento senza porte con un cartello “Entra se vuoi”.
Seconda regola: Non lavorare mai con un account con diritti di amministratore.
Per un computer, tutti gli utenti sono divisi in due tipi: amministratori e utenti regolari. Amministratori- questi sono quegli utenti che possono configurare il funzionamento di tutti i servizi informatici, installare e rimuovere programmi e modificare il funzionamento del sistema. Utenti abituali non hanno il diritto di modificare o installare nulla, ma possono eseguire liberamente programmi, utilizzare Internet e lavorare. Immaginiamo ora una situazione in cui un utente che utilizza un account amministratore accede al sito Web di un utente malintenzionato. I programmi dannosi possono facilmente cancellare i dati o crittografarli in modo che i criminali possano quindi truffare denaro per il recupero dei dati. Allo stesso tempo, né il sistema operativo né gli antivirus salveranno l'utente da una tale disgrazia, poiché tutto ciò che fa l '"amministratore" per il computer - e penserà che questi siano i tuoi comandi - è la legge è scomodo lavorare con l'account di un utente normale, poiché di tanto in tanto è necessario installare nuovi programmi. Ma, se ci pensi, non capita tutti i giorni di dover installare software. I vantaggi sono evidenti. Se si accede al sito Web degli aggressori con i diritti di un semplice utente, si espone il programma dannoso a una barriera protettiva che è più difficile da superare. Non può più camuffarsi rapidamente e diventa vulnerabile agli antivirus. Pertanto, ha senso togliere i diritti di amministratore per ogni evenienza. Se si presenta la necessità di ricorrere alle sue funzionalità, puoi sempre modificare temporaneamente il tuo account.
Terza regola:Le tue password dovrebbero essere lunghe, complesse e preferibilmente varie. Tutte le password devono essere modificate regolarmente.
Password- Questo è un enorme grattacapo per tutti gli specialisti della sicurezza informatica. Questo perché agli utenti non piacciono le password lunghe, perché le dimenticano o semplicemente sono troppo pigri per digitarle. Ed è bello quando esistono. Qui tutto è come in un appartamento: il modo più semplice per entrarci è prendere la chiave della serratura. Un metodo simile funziona nel campo informatico. Il modo più semplice per accedere ai dati è scegliere una password. Solo nei primi decenni dello sviluppo informatico era sufficiente una password lunga 8 caratteri. Tuttavia, con lo sviluppo della tecnologia, il metodo per enumerare tutte le combinazioni è diventato facile per calcolare tali codici. Esiste una cosa come forza della password- un indicatore del tempo durante il quale un utente malintenzionato seleziona una password utilizzando metodi di forza bruta. Si scopre che le combinazioni composte da soli otto numeri o lettere possono essere indovinate in meno di un secondo. Ecco perché, utilizzando password lunghe fino a 8 caratteri, si rischia di dare accesso in breve tempo a un malintenzionato. Tuttavia, se utilizzi sia numeri che lettere in una password breve e in registri diversi, dovrai trascorrere un paio di giorni cercando di trovarla usando la forza bruta. Questo non è più un male, ma, ovviamente, non abbastanza. Puoi ottenere una sicurezza soddisfacente della password semplicemente aumentandone la lunghezza, utilizzando una combinazione non solo di lettere e numeri, ma anche di segni ('$','%',&'','#'). Ma come creare una password lunga e complessa senza dimenticarla subito? Molto semplice. Usa passphrase. Ad esempio: "$Verde_Cactus01". Tale password non è contenuta nel dizionario (anche se ci sono parole separate "verde" e "cactus"), quindi non può essere decifrata effettuando una ricerca nel dizionario. La password risulta essere lunga più di 12 caratteri e ci vorranno più di 10-20 tentativi per indovinarla. Anche se venissero effettuate un miliardo di ricerche in un secondo, ci vorranno circa 10 11 secondi, ovvero più di mille anni, per decifrare una password del genere.
Quarta regola:Utilizza moderni antivirus a pagamento con la modalità di aggiornamento abilitata almeno due volte al giorno.
Un antivirus installato di per sé è inutile senza la possibilità di aggiornare i database antivirus. Sembrerà un cane da guardia addormentato. Sembra esserci, ma non ha senso. Quindi assicurati di garantire che i database del tuo programma antivirus vengano aggiornati regolarmente.
Quinta regola:Attiva gli aggiornamenti software automatici.
Aggiorna sempre il tuo software. Ciò è particolarmente vero per il sistema operativo e il browser Internet. Ad esempio, Microsoft abilita la modalità di aggiornamento automatico per impostazione predefinita nei suoi sistemi. Altri prodotti software devono essere configurati. A cosa serve tutto questo? Molto semplice. I programmi moderni sono molto complessi e presentano un numero enorme di errori che possono influire sulla sicurezza dei tuoi dati. I produttori, rilasciando aggiornamenti, eliminano gradualmente gli errori attraverso i quali gli aggressori potrebbero entrare nel tuo sistema.
Sesta regola:Non memorizzare le password sul tuo computer e non ricordare le password nel tuo browser Internet.
Una volta che un hacker riesce ad accedere a qualsiasi parte del tuo computer, una volta trovato il file della password, non dovrà nemmeno provare a violare il sistema di sicurezza. Perché un ladro dovrebbe sfondare una porta se ci sono le chiavi sotto lo zerbino? Conserva quindi le tue password su una chiavetta in tasca e sempre in forma crittografata.
Settima regola:Utilizzare sistemi di crittografia per i dati critici.
Dovresti sempre essere preparato al fatto che un utente malintenzionato possa ottenere l'accesso fisico al tuo computer (ad esempio, il banale furto di un laptop). Per impedirgli di utilizzare le informazioni in esso memorizzate, in primo luogo, impostare una password utente per l'accesso (vedere la prima regola) e, in secondo luogo, utilizzare un sistema di crittografia dei dati. In questo caso, l'hacker dovrà armeggiare con la tua macchina per molti, molti anni.
Ottava regola:Non utilizzare mai Internet o la posta elettronica per trasmettere informazioni riservate.
Tutte le informazioni vengono trasmesse via Internet in formato chiaro. Colludendosi con il personale tecnico dell'operatore telefonico, non sarà difficile accedere ai vostri messaggi. Proteggiti quindi utilizzando sia connessioni sicure (https), sia sistemi di crittografia dei dati e sistemi di firma digitale elettronica.
Nona regola:Installa programmi di cui conosci con certezza lo scopo o l'origine.
Tutti conoscono la storia della caduta di Troia. L'invenzione più insidiosa di quella guerra fu il cavallo di Troia. E sebbene questa invenzione abbia diverse migliaia di anni, questo metodo di conquista non ha perso la sua rilevanza. Ma la protezione contro questo è disponibile da tempo: non installare programmi sconosciuti né da soli né su suggerimento di terzi. Le principali aree di rischio sono: siti che causano sfiducia e non vi è alcuna fiducia assoluta nella legalità della risorsa, truffatori su ICQ, spammer. Ognuno di questi attori si sforza di inserire un visualizzatore "unico", uno sfondo del desktop e altre applicazioni, e insieme ad essi il codice che trasformerà il tuo computer in uno zombie obbediente.
Decima regola:Assicurarsi di seguire le istruzioni di sicurezza specifiche. Usa sempre il buon senso.
Traduzione: Olga Alifanova
Come tutto è iniziato
Non molto tempo fa, i test di sicurezza (e il loro fratello altrettanto spaventoso, i test di penetrazione) erano un bug enorme e spaventoso che veniva domato da coloro che lo capivano. Sono stati pagati molto, molto bene per questo. Poi la vita è cambiata e all'improvviso mi sono ritrovato a imbattermi in cose che sarebbero costate care al mio datore di lavoro se non le avessi colte.
All'improvviso stavo imparando di più sugli inizi dei test di sicurezza - conoscenze di cui non avrei mai pensato di aver bisogno - ed è stato estenuante, sorprendente e terrificante (in parti uguali).
Ecco come mi sono sentito:
Quando ho iniziato a saperne di più sui test di sicurezza, ho imparato che non sono così intimidatori e senza fine come pensavo. Ho iniziato a capire di cosa parlava la gente quando menzionava l'escalation di privilegi, la compromissione dei server o...
Ci sarà molto da imparare. Ma non è così difficile iniziare e, leggendo e riflettendo, potresti individuare una vulnerabilità (un pezzo di codice che qualcuno con cattive intenzioni può utilizzare per far funzionare il software in un modo che non dovrebbe) prima che il software abbia è maturato abbastanza da cadere nelle mani di costosi professionisti della sicurezza (il che significa che è più economico ripararlo - un bel bonus, davvero?) e molto prima che si diffonda nelle vaste distese del selvaggio West... ehm, World Wide Web.
Ho bisogno di saperlo, sul serio?
Molti direbbero che tutti i tester devono essere informati sui test di sicurezza web. Sapere di più a riguardo è una buona idea per chiunque trascorra del tempo online, ma penso che ci siano situazioni in cui non trarrai alcun vantaggio dall'apprendimento dei test di sicurezza web.
Potrebbe non essere necessario conoscere i testRete- sicurezza se...
- Fai parte di un grande team che include esperti di sicurezza. Questa è la loro area di competenza e, se svolgono bene il loro lavoro, collaborano con te e i tuoi sviluppatori per assicurarsi che tutto sia al giusto livello di sicurezza nella loro area. Ti aiutano anche a testare il tuo software per problemi di sicurezza.
- Testi il software che viene distribuito agli utenti e poi nessuno se ne preoccupa: non accede ai tuoi server e non tratta informazioni riservate. Un'app Sudoku offline sarebbe un buon esempio - e se a un'azienda non interessa se ottiene punteggi elevati in modo equo e/o protegge bene i suoi server - anche un casual game online potrebbe essere un esempio del genere.
- Questo è un sito Web di visualizzazione e non gestisci l'hosting.
- Non lavori affatto sul web.
Devi sapere dei test Rete-Sicurezza se...
- Il software della tua azienda memorizza qualsiasi tipo di informazione personale (questo è definito dalla legge, ma generalmente può essere utilizzato per trovare te o la tua famiglia)
Esempi: indirizzi, posta (di solito in combinazione con altre informazioni), documenti di identità rilasciati dal governo (numero di previdenza sociale, numero di patente di guida, passaporto)
- Il software della tua azienda utilizza o memorizza qualsiasi tipo di informazione di pagamento. Se memorizzi i dati della tua carta di credito, la maggior parte dei paesi prevede regole molto rigide sulla memorizzazione e l'accesso a tali dati e sanzioni molto elevate per la mancata protezione di questi dati. Se memorizzi le informazioni del conto bancario, gli standard non sono così rigidi, ma devi comunque tenere gli occhi aperti.
- La tua azienda deve rispettare la legge o le procedure relative alla sicurezza dei dati. Alcuni esempi a me noti:
Le aziende sanitarie negli Stati Uniti devono seguire una serie di leggi federali.
Qualsiasi società quotata in borsa negli Stati Uniti deve seguire le leggi federali relative agli standard. Se un'azienda non li rispetta, non può accettare pagamenti con carta di credito ed è soggetta a multe e altre sanzioni.
- La tua azienda ha requisiti di privacy per i dati che archivia.
Se ritieni di aver bisogno di saperne di più sui test di sicurezza web, forse ne hai davvero bisogno.
Da dove cominciare
Iniziare ad apprendere i test di sicurezza web è abbastanza semplice: ci sono ottimi collegamenti e strumenti là fuori e ti costerà solo tempo. Puoi fare molto usando solo un browser!
Accuratamente! Pericolo avanti!
Prima di iniziare a fare qualcosa di distruttivo, assicurati di essere assolutamente sicuro di avere il permesso di farlo. Sì, anche su un server di prova - altre persone possono usarlo per altri scopi, la tua azienda può monitorare la rete per comportamenti sospetti - e in generale, qui giocano un ruolo una serie di fattori di cui potresti non avere la minima idea. Sempre, Sempre assicurati di avere il permesso di giocare all'hacker.
Strumenti gratuiti
Tutti gli strumenti che utilizzo sono realizzati per Windows, perché lavoro in ambiente Windows. Alcuni di essi sono multipiattaforma, altri no. Sono tutti abbastanza facili da usare per un principiante che testa le acque della sicurezza alla ricerca di bug.
- Strumenti per sviluppatori del browser. A meno che non siano bloccati dalla tua azienda, la maggior parte dei browser moderni ti consente di esaminare il codice della pagina, esaminare JavaScript e visualizzare il traffico di rete tra il browser e il server. Puoi anche modificare ed eseguire JavaScript casuale al loro interno, provare a modificare il codice e ripetere le richieste di rete.
- Postino. Sebbene sia un'estensione di Chrome, Postman funziona anche come applicazione autonoma. Puoi usarlo per inviare richieste diverse ed esaminare le risposte (ecco il bello: quasi tutto nei test di sicurezza può essere fatto in moltissimi modi diversi. Sperimenta per trovare i tuoi preferiti).
- Violinista. Telerik Fiddler è attualmente il mio strumento preferito per l'esplorazione e la manipolazione delle richieste web. È multibrowser, funziona su più sistemi operativi ed è facile iniziare con i test di sicurezza.
- FerroWASP. Uno della minoranza di scanner di sicurezza gratuiti realizzati per Windows. È abbastanza facile da lavorare e di solito produce buoni risultati.
- E ancora una cosa… Ci sono molti strumenti disponibili. Ho appena iniziato a informarmi sulla sicurezza e ho iniziato a curiosare in giro.
D'ora in poi mi concentrerò su Fiddler perché penso che sia lo strumento gratuito più semplice e il più veloce per passare dal curiosare nell'interfaccia a risultati effettivamente utili.
Utilizzando Fiddler
Quando mi sono imbattuto in questa vulnerabilità enorme e potenzialmente molto costosa che ho descritto sopra, stavo semplicemente giocando con Fiddler. Meno male che l’ho trovato subito: se fosse finito sul mercato sarebbero potuti succedere grossi guai.
Impostazioni
Ho installato Fiddler con le impostazioni predefinite. Su Windows, ottieni anche un plug-in per Internet Explorer che ti consente di eseguire direttamente tramite IE (e configurarlo per monitorare solo il traffico IE è molto più semplice rispetto ad altri browser). A seconda di cosa fai, alcuni di questi plugin possono essere molto utili: ecco i miei preferiti
- SintassiVisualizzazione/Evidenziare. Fornisce l'evidenziazione della sintassi per la preparazione di script personalizzati e la visualizzazione di HTML, Javascript, CSS e XML. Rende molto meno doloroso armeggiare con il codice web evidenziando tutti i tag e le parole chiave. Sono un grande fan delle cose che rendono più facile concentrarsi su ciò che è importante, e questo è uno di questi.
- PDF- visualizzazione. Molto importante se la tua applicazione crea file PDF al volo. È possibile fare clic sulla scheda e vedere il rendering PDF. Ad esempio, se stai testando un PDF di un estratto conto per assicurarti che sia impossibile aprire l'estratto conto di un altro utente, questo strumento è tuo amico.
Articoli correlati
I migliori amuleti contro il malocchio e i danni Amuleto contro il malocchio con le mani per bambini
Come leggere correttamente il Salterio
Piatti deliziosi con salsicce
Uno scorcio di Bella. Cronaca romantica. Uno scorcio di genio. Messerer su Akhmadulina Boris Messerer scorcio della cronaca romantica di Bella
Ho sognato che stavo navigando su una barca sul fiume
Come cucinare l'entrecote di manzo in padella
Informazioni sull'azienda Corsi di lingue straniere presso l'Università statale di Mosca
Quale città e perché divenne la principale dell'antica Mesopotamia?
Perché Bukhsoft Online è migliore di un normale programma di contabilità!
Quale anno è bisestile e come calcolarlo