Procedure operative di sicurezza
di un sistema informatizzato
in un dipartimento servizi
Corso aggiornamento ASUR10
Il problema della Sicurezza
sicurezza significa impiegare un certo
insieme di meccanismi per controllare
l’accesso alle risorse
non è limitato al sistema informatico
esistono aspetti amministrativi, legali, e di
politica di accesso alle informazioni
2
00 AN
corso_sicurezza_asur10 @ www.divini.net
Gli obiettivi della sicurezza
Confidenzialità
Integrità
Disponibilità
3
00 AN
corso_sicurezza_asur10 @ www.divini.net
1° obiettivo: Confidenzialità
non vogliamo che altri abbiano accesso
alle informazioni contenute in un
sistema informatico o alle informazioni
trasmesse fra due sistemi
4
00 AN
corso_sicurezza_asur10 @ www.divini.net
2° obiettivo: integrità
non vogliamo che sia possibile modificare
informazioni, memorizzate presso un
sistema oppure spedite
5
00 AN
corso_sicurezza_asur10 @ www.divini.net
3° obiettivo: disponibilità
vogliamo garantire che il nostro sistema
sia sempre in grado di soddisfare le
richieste dei suoi utenti
6
00 AN
corso_sicurezza_asur10 @ www.divini.net
I problemi della sicurezza
Autenticazione
Autorizzazione
Protezione
7
00 AN
corso_sicurezza_asur10 @ www.divini.net
1° problema: autenticazione
si tratta di associare ad un utente la sua
identità,
ad esempio tramite password o tramite
tecniche biometriche
8
00 AN
corso_sicurezza_asur10 @ www.divini.net
2° problema: autorizzazione
Una volta associata un’identità, è
necessario identificare esattamente
quali operazioni sono concesse a quel
particolare utente, e quali no
verificare se un utente ha il diritto di
compiere un’operazione
9
00 AN
corso_sicurezza_asur10 @ www.divini.net
3° problema: protezione
Infine, bisogna mettere in pratica delle
restrizioni: ovvero, si tratta di impedire
effettivamente l’accesso alle risorse agli
utenti non autorizzati
evitare che un’operazione venga
compiuta da chi non ne ha i diritti
10
00 AN
corso_sicurezza_asur10 @ www.divini.net
Tipologie di attacco
Attacchi passivi:
attaccano un sistema al fine di leggere i
dati, senza modificarli
Attacchi attivi:
attaccano un sistema interagendo con il
sistema, modificando i dati o riducendo
la sua disponibilità
11
00 AN
corso_sicurezza_asur10 @ www.divini.net
Scelta di una politica di sicurezza
dipende da:
1. il tipo di attaccanti attesi
2. il valore delle informazioni contenute
nel sistema
3. i costi dovuti all’utilizzazione di una
politica di sicurezza
12
00 AN
corso_sicurezza_asur10 @ www.divini.net
Meccanismi di autenticazione
basati su qualcosa che l’utente "conosce"
_ una password
basati su qualcosa che l’utente "ha"
_ una carta intelligente o qualunque altro tipo
di chiave di accesso
basati su qualcosa che l’utente "è"
_ impronte digitali, timbro vocale o la lettura
della retina (biometriche)
13
00 AN
corso_sicurezza_asur10 @ www.divini.net
L’autenticazione con password
è la più utilizzata:
• maggiore semplicità
• ma esistono alcuni problemi
 scarsa cultura della sicurezza
 possibilità che la password venga
"carpita"
14
00 AN
corso_sicurezza_asur10 @ www.divini.net
Login, identificatore di accesso
un’informazione di solito un
nome_utente che serve a identificare
un utente della rete o di un servizio.
essa viene inserita, di solito insieme alla
parola chiave (password), per
garantire il riconoscimento e
l’autenticazione dell’utente da parte del
servizio della rete.
15
00 AN
corso_sicurezza_asur10 @ www.divini.net
Scarsa cultura della sicurezza
non è raro vedere password scritte su
post-it attaccati sul monitor
scelta di password banali come ad
esempio date di nascita, nomi comuni,
parole presenti nel dizionario e
combinazioni delle precedenti
esistono dei sistemi automatici che
cercano di forzare il sistema provando
ad esaurimento password banali
16
00 AN
corso_sicurezza_asur10 @ www.divini.net
scarsa cultura della sicurezza
17
00 AN
corso_sicurezza_asur10 @ www.divini.net
scarsa cultura della sicurezza
18
00 AN
corso_sicurezza_asur10 @ www.divini.net
Cultura della sicurezza
una password non banale è composta di
lettere, numeri e caratteri non
alfanumerici come i segni di
punteggiatura, senza un particolare
significato, ed è lunga almeno otto
caratteri
19
00 AN
corso_sicurezza_asur10 @ www.divini.net
Una buona password
20
00 AN
corso_sicurezza_asur10 @ www.divini.net
Problema - password "carpita"
• sbirciando da sopra la spalla di chi digita la
password
• login spoofing - presentando una
schermata identica a quella utilizzata dal
sistema operativo per richiedere la password
• sniffing di rete - registrando le password
che vengono trasmesse in chiaro attraverso
la rete - quando si inserisce una password, è
sempre necessario verificare che il canale
utilizzato sia sicuro.
21
00 AN
corso_sicurezza_asur10 @ www.divini.net
riferimenti
Spazio di lavoro e risorse
http://www.divini.net/dc/courses/ASUR10/
mariano maponi
http://www.divini.net/maponi/
[email protected]
22
00 AN
corso_sicurezza_asur10 @ www.divini.net