Sicurezza dei Dati
Re.Ca.S.I. - 2011
1
Obiettivi del corso
- fornire una panoramica sulle norme legislative connesse
all’informatica, trattando gli argomenti di maggiore attualità
- esporre il significato di politica di sicurezza in un sistema
informativo, descrivendo le problematiche legate alla sicurezza nel
mondo informativo e illustrandone le possibili insidie ed i rischi.
- descrivere i principi fondamentali della sicurezza ed i concetti di
base sulle tecnologie per la sicurezza dei sistemi informatici e delle
reti
- sensibilizzare gli utenti dei sistemi informativi verso le
problematiche connesse alla corretta gestione degli strumenti
informatici
2
Programma
Lezione 1
•
•
•
•
Definizione di dato
Cenni sulla Privacy
Definizione di sicurezza
Definizione di minacce
Lezione 4
• Le minacce dalla rete
• Servizi di rete
• Social Network
Lezione 2
• La persona: prima minaccia
• Concetto di Hacker
• Social Engineering
Lezione 5
• Le minacce software
• Tipologie di virus
• Software “sicuri”
Lezione 3
• Le minacce Hardware
• Protezione fisica dei dati
Lezione 6
• Laboratorio pratico
• Test finale
3
Lezione 1
Definizione informatica di “Dato”
Il termine indica un valore che può essere elaborato e/o
trasformato da un automa o meglio da un elaboratore
elettronico. Il dato rappresenta l'oggetto specifico su cui
interviene l'esecutore dell'algoritmo. Le memorie di massa
consentono di salvare i dati in modo permanente. Il processo
di registrazione dei dati in una memoria si chiama
memorizzazione o archiviazione. I dati possono essere
conservati in file o nei database. ( fonte Wikipedia)
Lezione 1
Chi si occupa/preoccupa dei dati?
D.Lgs. 30 giugno 2003, n. 196
"Codice in materia di protezione dei dati personali“
http://www.garanteprivacy.it
Lezione 1
Principi fondamentali
il diritto alla protezione: viene affermato il principio per cui chiunque ha
diritto alla tutela dei dati personali che lo riguardano;
le finalità: il Codice garantisce che il trattamento di dati si svolga nel rispetto
dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato,
assicurando un elevato livello di protezione, nel rispetto dei principi di
semplificazione, armonizzazione ed efficacia delle modalità previste per il loro
esercizio;
la necessità del trattamento dei dati: viene sancito che i sistemi informativi e
i programmi informatici devono essere configurati riducendo al minimo
l’utilizzo di dati personali ed identificativi, escludendone addirittura il
trattamento laddove sia possibile l’utilizzo di dati anonimi o che permettano
l’identificazione solo in caso di necessità.
Lezione 1
Definizioni principali e soggetti interessati
Trattamento: è tale, secondo la norma, qualunque operazione o complesso di
operazioni, svolte con o senza l’ausilio di mezzi elettronici o comunque automatizzati,
concernenti la raccolta, la registrazione,l’organizzazione, la conservazione,
l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto,l’utilizzo,
l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la
distruzione di dati, anche se non registrati in una banca di dati;
Dati: possono essere “personali” (qualunque informazione relativa a persona fisica,
giuridica, ente o associazione, identificati o identificabili anche indirettamente,
compresi i numeri di identificazione personale), “identificativi” (sono i dati personali
che consentono l’identificazione diretta dell’interessato,
“sensibili” (quelli idonei a rivelare l’origine etnica e razziale, le convinzioni religiose,
politiche, filosofiche,l’appartenenza a partiti e sindacati, nonché quelli idonei a
rivelare lo stato di salute e la vita sessuale), e infine “giudiziari” (i dati personali in
materia di casellario giudiziale, di anagrafe delle sanzioni dipendenti da reato e in
genere le questioni attinenti alla giustizia civile e penale)
Garante: è l’autorità istituita per il controllo e la tutela della privacy, ed opera
in piena autonomia e con indipendenza di giudizio e di valutazione.
Lezione 1
il titolare del trattamento, che è sempre indispensabile, è il soggetto su cui gravano tutti i
principali obblighi previsti dalla normativa, tra cui gli obblighi relativi alla notificazione, se
necessaria, al rilascio dell’informativa, alla richiesta del consenso, alla richiesta di
autorizzazione preventiva al Garante per i dati sensibili, all’adozione delle misure di
sicurezza. Solitamente si identifica nel titolare dell’azienda;
il responsabile del trattamento, ovvero il soggetto preposto dal titolare al trattamento dei
dati personali. Può o meno esistere nell’ambito dell’azienda, e più grande è la dimensione
della stessa, maggiore sarà la necessità di nominare uno o più responsabili. Il responsabile,
se esiste, deve procedere al trattamento dei dati personali attenendosi alle istruzioni
impartite per iscritto dal titolare. La nomina, sebbene sia facoltativa, risulta in realtà
opportuna, se non necessaria, sotto il profilo organizzativo, costituendo tra l’altro
presupposto per la corretta applicazione delle misure minime di sicurezza, come meglio
evidenziato in seguito;
gli incaricati del trattamento, che sono i soggetti che elaborano i dati personali
cui hanno accesso, attenendosi alle istruzioni del titolare o del responsabile,
sotto la loro diretta autorità.
Lezione 1
Informativa
L’informativa costituisce un elemento imprescindibile della tutela della privacy, nel senso
che è sempre dovuta. Essa può anche essere fornita verbalmente, ma ciò comporta evidenti
svantaggi al momento di dover eventualmente provare il corretto comportamento del
titolare. Costui, tramite l’informativa, fornirà all’interessato le finalità e le modalità del
trattamento, il fatto che il conferimento dei dati sia obbligatorio o facoltativo, le
conseguenze del mancato conferimento, i soggetti cui i dati potranno essere comunicati o
che possono venire a conoscenza in qualità di responsabili o incaricati, i diritti riconosciuti
all’interessato,
l’identificazione del titolare e, se nominato, del responsabile del trattamento.
Si sottolinea che l’informativa è sempre dovuta, anche quando non è necessario il consenso
espresso dell’interessato. Ciò avviene quando, per esempio, il titolare:
tratta dati non sensibili per adempiere ad obblighi contrattuali;
tratta dati non sensibili su specifiche richieste del cliente;
tratta dati provenienti da pubblici registri, elenchi, atti o documenti conoscibili da chiunque.
Consenso
Nel caso invece di trattamento di dati sensibili, il titolare deve sempre ottenere
il consenso preventivo dell’interessato, oltre che l’autorizzazione del Garante,
salvo particolari casi di esclusione disciplinati dalla norma.
Lezione 1
Misure minime di sicurezza
Le misure minime di sicurezza, si ricorda, riguardano tanto i trattamenti effettuati con mezzi elettronici
tanto quelli non elettronici. La logica di fondo della norma, per quanto attiene alla sicurezza, è quella
secondo cui i dati personali devono essere custoditi e controllati in modo da ridurre ad un ragionevole
margine il rischio di sottrazione o perdita degli stessi, nonché di accessi non autorizzati da parte di terzi,
evitando inoltre il trattamento di dati non consentito e non conforme. Per fare ciò, quando il
trattamento è effettuato con mezzi elettronici, è richiesto un sistema di autenticazione informatica: in
pratica ciascun incaricato deve essere dotato di “credenziali di autenticazione” che consentano il
superamento di una procedura di autenticazione attraverso l’identificazione dell’incaricato medesimo.
Le credenziali possono consistere in strumenti quali smart card o dispositivi biometrici, ma molto più
comunemente consisteranno in codici identificativi associati a password.
Altre misure di sicurezza riguardano:
- la necessità di impartire adeguate istruzioni sull’utilizzo degli strumenti informatici, a cura del titolare o
del responsabile, che hanno anche l’obbligo di controllare e gestire le credenziali di autenticazione;
- l’adozione di strumenti anti-virus, da aggiornare almeno semestralmente;
- l’effettuazione degli aggiornamenti dei programmi, per prevenire la vulnerabilità degli strumenti
elettronici e correggerne i difetti, da effettuarsi almeno annualmente
(semestralmente per i trattamenti di dati sensibili);
- la necessità di effettuare il salvataggio dei dati almeno settimanalmente,
impartendo le relative istruzioni organizzative e tecniche;
- l’obbligo di redigere il “documento programmatico sulla sicurezza”
annualmente se si trattano dati sensibili o giudiziari
Lezione 1
Gestione delle password
Composizione: la password deve essere composta da almeno otto caratteri, non
contenenti riferimenti agevolmente riconducibili all’incaricato (per esempio il suo
nome, cognome, ecc.)
Modifica: Al primo utilizzo l’incaricato deve modificare la password, e
successivamente almeno ogni sei mesi. Se il trattamento riguarda dati sensibili la
password deve essere modificata almeno ogni tre mesi.
Custodia e riservatezza: L’incaricato deve adottare le necessarie cautele per
assicurare la segretezza della password, e la diligente custodia della stessa (come
degli eventuali dispositivi) in suo possesso e a suo uso esclusivo
Lezione 1
In ambito prettamente informatico...
Lezione 1
Rendere un sistema informativo sicuro non significa solo attuare
un insieme di contromisure specifiche (di carattere tecnologico ed
organizzativo) che neutralizzi tutti gli attacchi ipotizzabili per quel
sistema; significa anche collocare ciascuna contromisura in una
politica organica di sicurezza che tenga conto dei vincoli (tecnici,
logistici,amministrativi, politici) imposti dalla struttura in cui il
sistema
informativo
opera,
e
che
contromisura in un quadro complessivo.
giustifichi
ciascuna
Lezione 1
Definizione di Sicurezza
Con il termine “sicurezza”, nell’ambito dei sistemi
informativi, si intende l’insieme delle misure (di carattere
organizzativo e tecnologico) tese ad assicurare a ciascun
utente
autorizzato (e a nessun altro) tutti e soli i servizi previsti per
quell’utente, nei tempi e nelle modalità previste. Più
formalmente, secondo la definizione ISO, la sicurezza è
l’insieme delle misure atte a garantire la disponibilità, la
integrità e la riservatezza delle informazioni gestite.
Lezione 1
Disponibilità controllata delle informazioni
Il sistema deve rendere disponibili a ciascun utente abilitato le informazioni alle
quali ha diritto di accedere, nei tempi e nei modi previsti.
Nei sistemi informatici, i requisiti di disponibilità sono legati anche a quelli di
prestazione e di robustezza. La disponibilità di una informazione ad un utente,
infatti,deve essere assicurata in modo ininterrotto durante tutto il periodo di
tempo previsto(continuità del servizio).
Il raggiungimento dell’obiettivo disponibilità dipende quindi da fattori critici come
la robustezza del software di base e di quello applicativo, l’affidabilità delle
apparecchiature e degli ambienti in cui sono collocati, l’esperienza e l’affidabilità
degli amministratori del sistema. Non è in generale buona norma assumere che le
contromisure adottate in un sistema informatico siano sufficienti a scongiurare
qualsiasi attacco. Rientra quindi fra gli obiettivi
di una politica di sicurezza quello di garantire il rientro in
funzione in tempo utile del sistema informatico, a seguito di
eventi negativi anche gravi (disaster recovery).
Lezione 1
Integrità delle informazioni
Il sistema deve impedire la alterazione diretta o indiretta delle
informazioni, sia da parte di utenti e processi non autorizzati, che a
seguito di eventi accidentali. Anche la perdita di dati (per esempio
a seguito di cancellazione o danneggiamento), viene considerata
come alterazione.
Lezione 1
Riservatezza delle informazioni
Il sistema deve impedire a chiunque di ottenere o dedurre,
direttamente
o
indirettamente,
informazioni
che
non
è
autorizzato a conoscere. Vale la pena di osservare che, in
determinati contesti, il fatto stesso che una informazione sia
protetta, o che esista una comunicazione in atto fra due utenti
o processi, può essere sufficiente per dedurre informazioni
riservate.
Lezione 1
Approccio al Problema
Occorre partire dal presupposto che, a dispetto delle misure attuate, un evento
indesiderato possa comunque violare i requisiti di disponibilità, integrità e
riservatezza,attraverso meccanismi non previsti. Proteggere i requisiti di sicurezza
di un sistema significa quindi, in termini realistici:
· ridurre ad un valore accettabile la probabilità che vengano violati
· individuare tempestivamente quando ed in quale parte del sistema questo
accade
· limitare i danni e ripristinare i requisiti violati nel minor tempo possibile
Lezione 2
Chi minaccia la sicurezza???
Software
Rete
Hardware
Persone/utenti
Lezione 2
Persone
Ogni individuo che mantiene una condotta antigiuridica
disonesta o non autorizzata concernente l’elaborazione
automatica e/o la trasmissione dei dati...
...commette un reato informatico!
Lezione 2
...più precisamente:
L’individuazione dei caratteri propri e peculiari dei reati informatici ha
rappresentato (e per certi versi ancora rappresenta) una operazione di notevole
difficoltà essenzialmente per due ordini di ragioni. Anzitutto, per la varietà delle
condotte riconducibili a tale tipologia di reati nel cui ambito il computer può
rivestire tanto il ruolo di strumento per la realizzazione della condotta criminosa
quanto quello di oggetto su cui l’azione illecita viene a ricadere3. In secondo luogo,
le difficoltà sono strettamente connesse alla rapida evoluzione tecnologica che
caratterizza l’intero settore e che rende altrettanto mutevoli e sfuggenti le attività
illecite.
Nonostante tali difficoltà, dei reati informatici sono state apprestate diverse
definizioni. E così è stato affermato che costituisce reato informatico “ogni
condotta antigiuridica disonesta o non autorizzata concernente l’elaborazione
automatica e/o la trasmissione dei dati”. Ancora, i reati informatici
sono stati descritti come “qualsiasi atto o fatto contrario alle
norme penali nel quale il computer viene coinvolto come oggetto
del fatto, come strumento o come simbolo”.
Lezione 2
Chi commette il crimine?
• Hacker/Cracker
• Colleghi, amici, dipendenti scontenti,semplici
individui….insospettabili!
Lezione 2
Hacker
Un hacker è una persona che si impegna nell'affrontare
sfide intellettuali per aggirare o superare creativamente le
limitazioni che gli vengono imposte, non limitatamente ai
suoi ambiti d'interesse ma in tutti gli aspetti della sua vita.
Esiste un luogo comune, usato soprattutto dai mass
media per cui il termine hacker viene associato ai
criminali informatici, la cui definizione corretta è, invece,
"cracker".
Lezione 2
Collega o Hacker???
Un collega scontento delle limitazioni imposte
dal sistema si sforzerà a diventare un hacker per
bypassare i sistemi di protezione.
Molto spesso gli amministratori di sistema si
preoccupano di limitare gli attacchi hacker
esterni sottovalutando gli attacchi
provenienti dall’interno!
Lezione 2
Persone - Social Eengineering
Nel campo della sicurezza delle informazioni per ingegneria sociale
(dall'inglese social engineering) si intende lo studio del comportamento
individuale di una persona al fine di carpire informazioni.
Un ingegnere sociale (social engineer) per definirsi tale deve saper fingere, sapere
ingannare
gli
altri,
in
una
parola
saper
mentire.
Un social engineer è molto bravo a nascondere la propria identità, fingendosi
un'altra persona: in tal modo egli riesce a ricavare informazioni che non potrebbe
mai ottenere con la sua identità reale. Nel caso sia un cracker, può ricavare
informazioni attinenti ad un sistema informatico. Il social engineering è quindi una
tecnica per ricavare informazioni molto usata dagli hacker esperti e dalle spie, e
dato che comporta (nell'ultima fase dell'attacco) il rapporto più diretto con la
vittima, questa tecnica è una delle più importanti per carpire informazioni. In molti
casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla
vittima ignara.
Lezione 2
Persone - Social Eengineering
Il social engineer comincia con il raccogliere informazioni sulla
vittima per poi arrivare all'attacco vero e proprio. Durante la prima
fase (che può richiedere anche alcune settimane di analisi),
l'ingegnere cercherà di ricavare tutte le informazioni di cui necessita
sul suo bersaglio: e-mail, recapiti telefonici, ecc. Superata questa
fase, detta footprinting, l'ingegnere passerà alla fase successiva, cioè
quella che gli permetterà di verificare se le informazioni che ha
ricavato sono più o meno attendibili.
Lezione 3
Problematiche Hardware
Dal punto di vista della sicurezza, non è importante distinguere fra le risorse che
costituiscono il sistema (i.e. le sue componenti) e le risorse delle quali ha bisogno
per funzionare: si tratta in ogni caso di risorse "critiche" e quindi da proteggere.
E’ importante osservare infine come il corretto funzionamento di una risorsa
possa dipendere da quello di altre. Questo aspetto, che nella sezione
metodologica viene definito come "dipendenza funzionale fra risorse" è alla
base dei fenomeni di propagazione dei guasti, e va tenuto in conto nel valutare i
danni che un determinato attacco è in grado di apportare.
Lezione 3
Problematiche Hardware
minacce intenzionali, e.g.:
furto di componenti, dispositivi, sistemi
sabotaggio del funzionamento, fino alla distruzione
sostituzione o aggiunta di componenti o dispositivi
intercettazione del flusso di informazione
sovraccarico di traffico…diniego di servizio
minacce non intenzionali, e.g.:
alterazione di condizioni operative ambientali
(temperatura, umidità, alimentazione elettrica, etc.)
commistione con materiali dannosi
(polvere, fumi, bevande, olio, etc.)
usura dei materiali
intrusione di roditori
errori tecnici, uso di strumenti impropri
Lezione 3
Problematiche Hardware
Ed ancora….
• Rottura dischi fissi
• Assenza di corrente elettrica
• Surriscaldamento locali
• Malfunzionamento linea trasmissione dati
Lezione 3
Problematiche Hardware
Contromisure???
• Backup
• Ups
• Linee ridondanti
• Hardware ridondante
• Climatizzazione locali
• Sicurezza dei locali
Lezione 3
PH- Backup
Un documento realizzato o elaborato attraverso
un sistema informatico ha un valore superiore al
sistema di archiviazione sul quale e’ stato
salvato.
Lezione 3
PH- Backup
Il lavoro di anni verrà vanificato dopo un
eventuale rottura/malfunzionamento di un
dispositivo di memoria di massa.
Lezione 3
PH- Backup
Memorie di massa :
• Hard Disk
• Floppy Disk
• Cd-Rom – DVD-Rom
• USB Disk
• Nastri magnetici
Lezione 3
PH- Backup
Ogni supporto utilizzato puo’ essere soggetto a
malfunzionamento
compromettendo
il
funzionamento e quindi il recupero dei dati su
esso salvati.
Lezione 3
PH- Backup
Backup o Sincronizzazione o Ridondanza??
Lezione 3
PH- Backup
Backup
In informatica con il termine Backup, copia di sicurezza o
copia di riserva si indica la conservazione di materiale atta
a prevenire la perdita totale dei dati archiviati nella
memoria di massa dei computer siano essi stazione di
lavoro o server.
Le modalità più diffuse sono:
•Backup differenziale
•Backup incrementale
Lezione 3
PH- Backup
Sincronizzazione:
Si intende una particolare procedura di backup il singolo dato viene
copiato/aggiornato in due o più supporti di massa.
La sincronizzazione aggiorna anche eventuali
“errori”compromettendo quindi
Sia la copia principale che quella “sincronizzata”
Lezione 3
PH- Backup
Ridondanza (raid)
acronimo di Redundant Array of Independent Disks, in italiano
insieme ridondante di dischi indipendenti, è un sistema
informatico che usa un gruppo di dischi rigidi per condividere o
replicare le informazioni. I benefici del RAID sono di aumentare
l'integrità dei dati, la tolleranza ai guasti e le prestazioni, rispetto
all'uso di un disco singolo. Nella sua implementazione originaria
(nella quale l'acronimo era l'abbreviazione di Redundant Array of
Inexpensive Disks, insieme ridondante di dischi economici), il
fattore chiave era l'abilità di combinare parecchi dischi a basso
costo ed obsoleti per rendere il sistema complessivamente
migliore di un disco di ultima generazione per capacità, affidabilità
e velocità.
Lezione 3
PH- Backup
Raid 1
Il sistema RAID 1 crea una copia
esatta (mirror) di tutti i dati su
due o più dischi. È utile nei casi
in cui la ridondanza è più
importante che usare tutti i
dischi alla loro massima capacità:
infatti il sistema può avere una
capacità massima pari a quella
del disco più piccolo.
Lezione 3
UPS - Uninterruptible Power Supply
E’ un'apparecchiatura utilizzata per
mantenere
costantemente
alimentati elettricamente in corrente
alternata apparecchi elettrici. Si rivela
necessario laddove le apparecchiature
elettriche non possono in nessun caso
rimanere senza corrente (ad esempio in
luoghi pubblici come ospedali, centrali
ecc..) evitando di creare un disservizio più
o meno grave. È utilissimo soprattutto nei
paesi dove si producono frequenti e
sistematici black-out.
Lezione 3
UPS - Uninterruptible Power Supply
Oltre ad evitare il “fermo macchina” un UPS
previene il danneggiamento dei dati dovuto
ad un’improvvisa mancanza di corrente.
• Danneggiamento dischi
• Interruzione lettura/scrittura file
• Danneggiamento parti elettroniche
Lezione 3
Linee dati Ridondanti
La continuità di un “servizio” e’ garantita anche
dalla presenza di piu’ linee dati da utilizzare in
caso di malfunzionamento della linea
principale.
• xDSL + ADSL
• ADSL + ISDN
Lezione 3
Hardware Ridondante
• Come per i supporti di archiviazione si puo’
pensare di Ridondare anche altro tipo di
hardware o l’intero Server. Tale configurazione
prende il nome di “High Availability” (HA)
Lezione 3
Climatizzazione dei locali
Gli sbalzi di temperatura ed il calore sono nemici
delle apparecchiature elettroniche. Pertanto per
garantire un’alta efficienza dei sistemi e’
necessario climatizzare gli ambianti in cui sono
localizzate le nostre apparecchiature
informatiche.
Generalmente si consiglia di mantenere
una temperatura di circa 21°C.
Lezione 3
Sicurezza dei locali
Ogni area adibita a “CED” (centro elaborazione
dati) deve essere tenuta sotto stretta
sorveglianza e tutti gli accessi devono essere
muniti di sistemi di autenticazione per
monitorare gli accessi di personale strettamente
autorizzato. Per compromettere il
funzionamento di un intero CED basta
“abbassare” un semplice interruttore.
Lezione 3
Disaster Recovery
si intende l'insieme di misure tecnologiche e
organizzative atte a ripristinare sistemi, dati e
infrastrutture necessarie all'erogazione di servizi
di business a fronte di gravi emergenze. Si stima che la
maggior parte delle grandi imprese spendano fra il 2%
ed il 4% del proprio budget IT nella pianificazione della
gestione dei disaster recovery, allo scopo di evitare
perdite maggiori nel caso che l'attività
non possa continuare a seguito della perdita
di dati ed infrastrutture IT.
Lezione 3
Disaster Recovery
Cosa NON fare :
• Tentare di recuperare i dati con metodiche
amatoriali
• Spegnere e riaccendere piu volte il sistema
• Rivolgersi a tecnici improvvisati
• Cercare il centro di recupero dati più
economico
Lezione 3
Disaster Recovery
Cosa Fare:
• Arrestare i server/postazioni non funzionanti
• Contattare tecnici specializzati
Lezione 4
Connettività
Un pc sicuro è un pc non connesso a una rete
Lezione 4
Connettività
Un computer/server connesso ad una rete
privata (intranet) o ad una rete pubblica
(internet) sfrutta le risorse messe a disposizione
ma al tempo stesso diventa bersaglio per
eventuali attacchi informatici.
Lezione 4
Connettività
Le minacce possono essere rappresentate da:
• Risorse condivise (directory)
• Servizi condivisi (mail, web, ftp…)
• Utilizzo World Wide Web
• Utilizzo Posta elettronica
• Social Network
• Infrastruttura informatica
Lezione 4
Connettività
Directory Condivise:
possono essere poste nel vostro pc o nei serve
dei vostri uffici. Servono come “contenitore
condiviso” tra più utenti per i file. Qualora non
fossero configurate a dovere qualsiasi utente
potrebbe cancellare o compromettere
il loro contenuto.
Contromisure : Policy Restrittive
Lezione 4
Connettività
Servizi (mail,ftp,web…):
Vengono offerti generalmente da server.
Qualora fossero configurati in modo errato o
malfunzionanti potrebbero costituire un punto
d’accesso di un hacker malintenzionato.
Contromisure: Software Aggiornati,
configurazioni ad hoc.
Lezione 4
Connettività
World Wide Web:
L’utente medio associa internet al web. I servizi
forniti dai portali (e-commerce,home banking..)
possono nascondere molte “trappole
informatiche”.
Contromisure : impostazioni browser,
antispyware, uso cosciente dei servizi.
Lezione 4
Connettività
Posta Elettronica:
Spam,Phishing,Allegati e Macro rappresentano
le maggiori problematiche presenti al momento.
E’ inoltre molto facile camuffare la propria
identità attraverso indirizzi di posta fasulli o email costruite ad hoc.
Contromisure:
Antispam,antiphishing,buonsenso.
Lezione 4
Connettività
Social Network:
Qualsiasi informazione inserita su un Social
Network diventa di possesso del Social Network
stesso. Foto, informazioni, avvenimenti, possono
scomparire in qualsiasi momento.
Contromisure: Buonsenso e cautela
Lezione 4
Infrastruttura Informatica
…tutto cio’ che e’ stato detto in precedenza ha
valore solo ed esclusivamente se utilizziamo
una rete ADEGUATAMENTE STRUTTURATA
Lezione 4
Infrastruttura Informatica
Esempio Rete
Lezione 4
Infrastruttura Informatica
Router : dispositivo di rete che si occupa
di instradare pacchetti informativi tra due o più
sottoreti limitrofe grazie a rispettive interfacce
Firewall : è un componente passivo di difesa
perimetrale che può anche svolgere
funzioni di collegamento tra due o più
tronconi di rete.
Lezione 4
Infrastruttura informatica
Proxy Server :
è un programma che si interpone tra un client ed
un server facendo da tramite o interfaccia tra i
due host ovvero inoltrando le richieste e le risposte
dall'uno all'altro. Il client si collega al proxy invece che
al server, e gli invia delle richieste. Il proxy a sua volta si
collega al server e inoltra la richiesta
del client, riceve la risposta e
la inoltra al client.
Lezione 4
Ulteriori Minacce
•
•
•
•
•
•
Penne USB (virus)
Internet Key
Floppy disk
Modem 56k
Connessioni wi-fi
Proxy server pirata
Lezione 5
Software
• Software Malevoli
– Spyware
– Ad-aware
– KeyLogger
– Virus
– Trojan
– Back Orifice
• Software Installati senza competenze
Lezione 5
Trojan horse
software che oltre ad avere delle funzionalità
"lecite", utili per indurre l'utente ad utilizzarli,
contengono istruzioni dannose che vengono
eseguite all'insaputa dell'utilizzatore. Non
possiedono funzioni di auto-replicazione, quindi
per diffondersi devono essere consapevolmente
inviati alla vittima.
Il nome deriva dal famoso cavallo di Troia
Lezione 5
Back Orifice
• Il software è spesso utilizzato come trojan
horse, grazie ad una sua particolare
caratteristica: questo software si installa e
agisce sul computer da amministratore senza
chiedere conferma e in modalità del tutto
silenziosa
Lezione 5
Virus
sono parti di codice che si diffondono
copiandosi all'interno di altri programmi, o in
una particolare sezione del disco fisso, in modo
da essere eseguiti ogni volta che il file infetto
viene aperto. Si trasmettono da un computer a
un altro tramite lo spostamento di file infetti ad
opera degli utenti.
Lezione 5
Spyware
software che vengono usati per raccogliere
informazioni dal sistema su cui sono installati e
per trasmetterle ad un destinatario interessato.
Le informazioni carpite possono andare dalle
abitudini di navigazione fino alle password e
alle chiavi crittografiche di un utente.
Lezione 5
Ad-Aware
programmi software che presentano all'utente
messaggi pubblicitari durante l'uso, a fronte di
un prezzo ridotto o nullo. Possono causare
danni quali rallentamenti del pc e rischi per la
privacy in quanto comunicano le abitudini di
navigazione ad un server remoto.
Lezione 5
Keylogger
I Keylogger sono dei programmi in grado di
registrare tutto ciò che un utente digita su una
tastiera o col copia e incolla rendendo così
possibile il furto di password o di dati che
potrebbero interessare qualcun altro. La
differenza con gli Adware sta nel fatto che il
computer non si accorge della presenza del
keylogger e il programma non causa
rallentamento del pc, passando così totalmente
inosservato.
Lezione 5
Software installati
Sono poche le software house che rilasciano
software gratuito “sicuro”. Diffidate da chi
promette “ottimi risultati” a “costo zero”. Molti
software gratuiti nascondono ad-aware o
programmi malevoli che spinano il nostro lavoro
o rubano risorse preziose al sistema.
FINE
70