Sicurezza Informatica
Prof. Stefano Bistarelli
[email protected]
http://www.sci.unich.it/~bista/
Contact

Prof. Stefano Bistarelli





Office …
Phone: …
E-mail: [email protected]
Web: http://www.sci.unich.it/~bista/
Office Hours:
 Monday, Tuesday: after the lesson
 By appointments
Prof. Stefano Bistarelli - Sicurezza
Informatica
2
Course Material

Textbook



Introduction to Computer Security, Matt Bishop,
 Errata URL: http://nob.cs.ucdavis.edu/~bishop/
Computer Security: Art and Science, Matt Bishop – is
fine too
Website:

http://www.sci.unich.it/~bista/didattica/sic
urezza-pg/
Prof. Stefano Bistarelli - Sicurezza
Informatica
3
Class schedule



Monday 15-17 (aula I2)
Tuesday 9-11 (aula A0)
Additional…

Monday 14-15 and 17-18
Prof. Stefano Bistarelli - Sicurezza
Informatica
4
Avviso

Lunedì 17 e martedì 18 marzo lezione
sospesa

Recupero



lunedi’ 31 marzo (orario 14-15 e 17-18)
lunedi’ 7 aprile (orario 14-15 e 17-18)
Lunedì 14 e martedi 15 aprile lezione sospesa

Recupero


lunedi’ 21 aprile (orario 14-15 e 17-18)
lunedi’ 28 aprile (orario 14-15 e 17-18)
Prof. Stefano Bistarelli - Sicurezza
Informatica
5
Grading


Seminario 30 minuti su articolo scientifico +
Esame orale su materiale corso (seguire
seminari obbligatorio)
Forse



seminari aggiuntivi su argomenti di interesse
specifico per I candidati
progetti di laboratorio specifici in collaborazione
con sistemisti di dipartimento
Homework/Quiz/Paper review
Prof. Stefano Bistarelli - Sicurezza
Informatica
6
… suggerimenti per buona
riuscita del corso …


… votazione …
… cosa farete da grandi? …

Vincoli, sicurezza,



Bioinformatica?
Economics?
QoS?
Prof. Stefano Bistarelli - Sicurezza
Informatica
7
Questions

Collect your emails/contacts!
--- Sicurezza Informatica --- Prof.
Stefano Bistarelli
8
Course Outline

Introduction (chap1)



Security Basics
General overview and definitions


Confidentiality (Bell-LaPadula)
Integrity (Biba, Clark-Wilson)
Hibrid (Chines-Wall, Originator/role based Access
control)


Cenni su DES/RSA/funzioni Hash
Cenni su PEM, IPsec
Security authenitication protocols





Needham-Schroeder
Denning-Sacco
WideMuthFrog
…
Identity management (bind identity to public
key)

X509, digital signature, authentication, PKI

bind identity to principal

Principals as file, users, group, certificate






Authenication: Key, Identity and Principal
management (chap 8-11, 13)

Information assurance

Policies (chap 4-7)



Intrusion Detection and Response





Security Mechanisms
Auditing Systems
Risk analysis
System verification
Attack Classification and Vulnerability Analysis
Detection, Containment and
Response/Recovery
Legal, Ethical, Social Issues
Evaluation, Certification Standards
Miscellaneous Issues





Malicious code, Mobile code
Digital Rights Management, Forensics
Watermarking,
E/M-commerce security, Multidomain Security
Identity/Trust Management
Passwords, tokens, biometrics, …
Systems Design principles (chap 12)
Prof. Stefano Bistarelli - Sicurezza
Informatica
9
Sicurezza …


Ma cosa è la sicurezza?
Quando un sistema è sicuro?
Prof. Stefano Bistarelli - Sicurezza
Informatica
10
Sicurezza non è






Crittografia
Firewall
Antivirus
Password
Smartcard
…
Prof. Stefano Bistarelli - Sicurezza
Informatica
11
Sicurezza non è crittografia

Crittografia scienza esatta come branca
della matematica


Impossibile violare RSA in tempo
polinomiale
Sicurezza scienza inesatta perché
basata su persone e macchine

Acquisto on-line insicuro
Prof. Stefano Bistarelli - Sicurezza
Informatica
12
Sicurezza non è password





La password più diffusa è amore
Attacchi dizionario
Come scegliere una buona password
Come ricordare una buona password
Usare una password per sempre?
Prof. Stefano Bistarelli - Sicurezza
Informatica
13
Sicurezza non è firewall
Prof. Stefano Bistarelli - Sicurezza
Informatica
14
Sicurezza non è firewall
Prof. Stefano Bistarelli - Sicurezza
Informatica
15
Sicurezza
Non prodotto ma processo
Anello più debole di una catena
Proprietà multilivello
1.
2.
3.

4.
5.
Livelli di sicurezza
Concetto mai assoluto – contesto?
Sicurezza da che cosa?
Prof. Stefano Bistarelli - Sicurezza
Informatica
16
Minacce nuove – automazione

Microfurti diventano una fortuna


Violazioni quasi senza tracce


Limare 1/1000€ da ogni transazione VISA
Il mio PC ha fatto improvvisamente reboot
Privatezza a rischio

Hanno telefonato: sanno che sono iperteso
Prof. Stefano Bistarelli - Sicurezza
Informatica
17
Minacce nuove – distanza

Non esiste distanza


Ci preoccupano tutti i criminali del mondo


Internet non ha confini naturali
Adolescente inglese viola sistema italiano
Leggi versus confini nazionali


Denunce contro… Internet
Mecca: trovarsi in uno stato americano con
scarsa cyberlaw e mancanza di estradizione
Prof. Stefano Bistarelli - Sicurezza
Informatica
18
Minacce nuove – tecniche diffuse

Rapidità di propagazione delle tecnologie



Hacker pubblica lo script del proprio attacco
Scaricato crack slovacco per texteditor
Diventare hacker spesso non richiede abilità


Scaricato script per attacco di negazione del
servizio (DoS)
Trovato su Internet parte del codice rubato di
Win2K e verificato che…
Prof. Stefano Bistarelli - Sicurezza
Informatica
19
Come proteggersi?

Physical security


Operational/Procedural security


…
System Security


Policy di sicurezza
Personnel Security


Accesso fisico di utenti alle macchine
Acl, log, …
Network Security

Firewall, IDS,Prof.
buon
routing e filtri
Stefano Bistarelli - Sicurezza
Informatica
20
Come proteggersi?

Physical security


Operational/Procedural security


…
System Security


Policy di sicurezza
Personnel Security


Accesso fisico di utenti alle macchine
Acl, log, …
Network Security

Firewall, IDS,Prof.
buon
routing e filtri
Stefano Bistarelli - Sicurezza
Informatica
21
Piano di Sicurezza

Risk Avoidance (evitare rischi)


Deterrence (deterrenza)


Firewall
Detection (detection)


Pubblicizzare strumenti di difesa e di punizione
Prevention (prevenzione)


Necessitiamo di una connessione Internet permanente?
IDS
Reaction


Recovery
Tribunale
Prof. Stefano Bistarelli - Sicurezza
Informatica
22
Soluzioni contro gli attacchi
informatici




Buona pianificazione della rete con hardware
adeguato (router, switch ecc.) insieme alla divisione
della rete in aree a livello di sicurezza variabile.
Controllo dell’integrità delle applicazioni (bugs free) e
verifica della correttezza delle configurazioni.
Utilizzo di software che controllino e limitino il traffico
di rete dall’esterno verso l’interno e viceversa (es.
firewall, router screening ecc.)
Utilizzo di applicazioni che integrino algoritmi di
crittografia in grado di codificare i dati prima della loro
trasmissione in rete (es. PGP, SSH, SSL ecc.)
Prof. Stefano Bistarelli - Sicurezza
Informatica
23
I conti con la realtà
Babbo, prato secco e
buche di talpa
dappertutto: il mio
campo di baseball va
ricostruito!!
Ricostruito??
Figliolo, tu non sai
di cosa stai
parlando!!
Prof. Stefano Bistarelli - Sicurezza
Informatica
24
Stato dell’arte in Sicurezza

La sicurezza
1.
2.
3.
4.
5.
Richiederebbe spesso il ridisegno, il che non è sempre possibile!
E’ una proprietà di vari livelli architetturali
[OS, rete, ...]
Non è un semplice predicato booleano
[!!!!!!!!!!!!!!!!!!!!!!!!!!!!]
E’ costosa nel senso di risorse computazionali, gestione,
mentalità, utilizzo
Rimane un campo aperto anche per i colossi dell’Informatica
Prof. Stefano Bistarelli - Sicurezza
Informatica
25
Definizione di Sicurezza
Informatica

Sicurezza:


Assenza di rischio o pericolo
Sicurezza Informatica

Prevenzione o protezione contro,

Accesso, distruzione o alterazione di
risorse/informazioni da parte di utenti non
autorizzati
Prof. Stefano Bistarelli - Sicurezza
Informatica
26
Scarica
  1. No category

Diapositiva 1 - Dipartimento di Matematica e Informatica