IT SECURITY
Concetti di Sicurezza
03.07.2015
Minacce ai dati
Dati – elementi che, se coordinati in modo
opportuno, possono costituire
un’informazione (nome,cognome,codice
ficale …..)
 Informazione – Un’insieme di dati
raggruppati in tutto o in parte.
Informazione -> Dati elaborati

Per crimine informatico s’intende
qualsiasi attività che, attraverso
l’utilizzo di mezzi hardware o
software, tende a recare danno a uno
stato, ente, istituzione, una società,
un privato cittadino.
Il crimine informatico viene attuato
attraverso:
 Duplicazione non autorizzata di
programmi proprietari.
 Accesso non autorizzato alle banche dati,
ai contenuti di un disco.
 L’intercettazione dei dati in transito in una
linea di trasmissione.
 La contraffazione e il furto di identità.
 Le frodi elettroniche in genere.
Il pishing e il pharming, cioè il
tentativo di carpire i dati sensibili
di un individuo, utilizzando in
maniera fraudolenta il nome, il
logo o il sito di un ente o di una
società
Il termine hacking indica tutte le
attività, lecite o non lecite, tese a
neutralizzare le difese
informatiche di banche di dati, reti
di dati, sistemi operativi,
computer.
Hacker
Hacking etico s’intende un esperto di
reti informatiche che opera in maniera
indipendente per rendere pubblici i
difetti di un SO o di una rete sociale,
difetti che potrebbero mettere in
pericolo la sicurezza degli utenti e la
riservatezza dei dati
Hacking etico – figura professionale di
un tecnico di un’azienda.
I termini cracker e cracking indicano, a
differenza degli hacker coloro che
utilizzano la conoscenza informatica per
trarne profitto.
I cracker impegnano conoscenza e tempo
per:
 Aggirare
le difese di SO e di programmi per
rivenderne copie pirata;
 Decifrare illegalmente una trasmissione dati
per carpire dati sensibili (dati angrafici, dati
finanziari)
 Entrare
abusivamente nel contenuto di un
disco o di una banca dati per copiare,
modificare, distruggere dati, allo scopo di
trarne profitto
 Praticare il pishing (utilizzo loghi e siti che
simulano quelli reali) per far digitare alla
persona i propri dati personali (conto corrente,
password) ed utilizzarli per estorcere denaro.
 Scoprire i difetti di una rete sociale, come ad
esempio Facebook, per introdursi
abusivamente, allo scopo di modificare i profili
di un determinato partecipante o per postare
falsi commenti
Le aziende pongono grande attenzione
alla sicurezza dei dati.
Alcune minacce alla sicurezza dei dati
sono prevedibili:
1.
2.
3.
4.
5.
Furto dei dati
Contagio da malware (software dannoso non
voluto presente nella rete )
Blackout improvvisi
Guasti hardware
Errori del personale
Contro ciascuno di questi rischi, il
responsabile della sicurezza prevede dei
piani per:
1. Controllo degli accessi al centro di
calcolo
2. Installazione di apparecchiature
firewall
3. Installazione gruppi di continuità
4. Programma di manutenzione tecnica
adeguata (intervento in max 4 ore)
5. Corsi di formazione per il personale
addetto
Ci sono altre minacce definiti di forza
maggiore (incendio,
inondazione,guerra/terrorismo,Terremoto)
Il responsabile aziendale attua un piano
speciale Disaster Recovery Plan*.
L’azienda deve quindi poter disporre di una
copia dei dati aziendali aggiornati, in modo
da poter riprendere in breve tempo la
propria attività*
Altre minacce possono essere rappresentate da:
1. Il personale interno – l’accesso al centro di
calcolo personale strettamente qualificato e
indispensabile
2. I fornitori di servizi – attraverso le extranet
tentano di violare la intranet. A questo scopo
ci sono le apparecchiature firewall
(programmate e contenente software specifici)
3. I visitatori – vengono registrati all’ingresso
dell’azienda ed accompagnati da persone di
riferimento
Valore delle informazioni
Dati sensibili – account e password
Il furto di identità è sicuramente uno
dei maggiori rischi della sicurezza
 cambiare periodicamente account
e password
Poiché tutti i dati in un’azienda non hanno
la stessa importanza e la loro protezione
ha un costo, vengono adottate differenti
livelli di protezione.
Lo strumento principale per la protezione
dei dati consiste nell’accesso ai dati
esclusivamente ad utenti abilitati attraverso
account + password





Le misure di base relative alla sicurezza dei
dati sono quindi:
Autenticazione (account + password) per
accedere al pc
Account + password per collegare i pc alla
rete aziendale
Password associata a file riservati che si
trovano su disco
Cifrature di file riservati che si trovano su
disco
Cifratura di dati sensibili che vengono
trasmessi
Il controllo dell’uso dei dati personali è illustrato in
Italia dalla legge 196 del 30/06/2003 – Testo
unico sulla privacy* (European Data Protection
Directive)
Punti essenziali della legge sono:
 Nessuno
può raccogliere dati personali altrui
 L’ente o la società deve nominare un responsabile che
garantisca l’applicazione della legge
 I soggetti interessati possono informarsi sul
trattamento o l’eventuale richiesta di cancellazione dei
propri dati
 I dati personali devono essere cancellati quando non
sono più utii
Sicurezza personale
Poiché i SO, software commerciali e reti
sociali sono sempre più specializzate
contro le intrusioni fraudolente, i cracker
ricorrono a tecniche particolari denominate
ingegneria sociale, che riguardano più il
comportamento interpersonale. Puntano a
individui deboli (bambini ed anziani)
Fanno parte delle tecniche di ingegneria
sociale:





Trashing. Raccolta illecita di informazioni da
ricevute postali o bancarie contenuti nei
cassonetti dei rifiuti.
Fishing. Furto di identità attuato attraverso i
programmi di posta elettronica.
Chiamate telefoniche. Simulano una banca o
un istituto che richiedono password, numeri
di
carte e di CC.
Shoulder Surfing. ( Fare Surf alle spalle )
“Sbirciare” oltre la spalla il
video/scrivania
Pretexting. Utilizzare riferimenti esistenti per
convincere la vittima a fornire informazioni
personali e
riservate
Furto d’identità - Azione illegale, ha lo
scopo di estorcere denaro o altri vantaggi
Es. Clonazione della carta o della banda
magnetica delle carte di credito
(Skimming)
Skimming indica anche un metodo di
indagine occulta che consiste nello
scorrere un testo o un’insieme di dati a
gran velocità, alla ricerca di una singola
parola.
Sicurezza dei file
Le macro sono dei segmenti di programma
scritto con un linguaggio particolare ideato
da Microsoft VBA (Visual Basic
Applications)
La loro caratteristica è di rendere ripetitive
le operazioni che contengono.
Il linguaggio VBA consente comandi che
sono distruttivi per i file registrati sul disco
e per lo stesso sistema operativo (DOS e
Windows).
Un file di questo tipo, prodotto con
Microsoft Office e contenente macro
distruttiva, può essere istallato perché
contenuto come allegato ad un messaggio
di posta elettronica.
I SO prevedono la possibilità di impedire
l’esecuzione automatica delle macro
contenute nei programmi di Office.
Disattivazione macro:
 Senza
notifica
 Con notifica
 Tranne quelle con firma digitale
La procedura per disattivare le macro con
word è:
File>Opzioni>Centro Protezione>Impostazione
Centro protezione>Disattiva tutte le macro senza
notifica.
Crittografia
Crittografia a chiavi simmetriche;
Esiste un’unica chiave per crittografare e
decrittografare
 Crittografia a chiavi asimmetriche;
Esiste una coppia di chiavi corrispondenti:
una pubblica e una privata.

A volte è opportuno utilizzare una
password anche per proteggere
documenti, fogli elettronici e file compressi
Esercizio_1: Provare ad impostare una
password di sola lettura a un file Word
Esercizio_2: attivare / disattivare macro in
word
Scarica

IT SECURITY 1