Introduzione alla
ICT Security
Appunti per la cl. V sez. H
A cura del
prof. Ing. Mario Catalano
Cosa è la Security?
 Procedure che proteggono
Supporti elettronici o cartacei
Hardware, software e reti
 Protegge da danni, furti o modifiche
 Protegge i beni e le risorse da
Errori umani
Intrusi dall’esterno
Impiegati disonesti
Sabotaggio tecnico
www.itimedi.it
Necessità di security
 La crescita di Internet e delle applicazioni
client/server sta trasportando sempre di più gli
affari in rete. Questo comporta grosse perdite se
i dati vengono alterati o rubati.
 L’Internetworking è ottimo per la condivisione di
dati ma riduce la security.
 Occorre proteggersi da un attacco al proprio
account o network.
 Disaster recovery.
www.itimedi.it
Statistiche sugli attacchi
 Chi attacca è?
 Un impiegato in carica : 81%
 Un ex impiegato : 6%
 Esterni : 13%
 Cosa fanno?
 Furto di denaro : 44%
 Furto di informazioni : 16%
 Danno al software : 16%
 Alterazione di informazioni : 12%
 Furto di servizi : 10%
 Trasgressione : 2%
www.itimedi.it
Livelli di Security
 L’US Department of Defense
(DoD) ha definito 7 livelli di
security per i S.O. dei
computer
 I livelli sono usati per definire i
differenti livelli di protezione
per hardware, software, e per
le informazioni registrate.
 Il sistema è complementare: i
livelli più alti includono le
funzionalità dei livelli più bassi
www.itimedi.it
A
B
C
D
Livelli di Security: Classe “D”
 D1 è la più bassa
forma di sicurezza
disponibile
 Una valutazione D1
non è stata mai
assegnata perchè,
essenzialmente,
indica la completa
mancanza di security
www.itimedi.it
D
Livelli di Security: Classe “C”
 C1 è il più basso livello di
security. Il sistema ha
controllo di read/write su file
e directory e autenticazione
tramite user login.
 C2 implementa una
funzione per registrare gli
eventi security-related e
fornisce una protezione più
forte sui file chiave del
sistema, come il file delle
password.
www.itimedi.it
C
Livelli di Security: Classe “B”
 B1 supporta security multi-level,
come secret e top secret: un
utente non può modificare le
permissions su file o directory.
 B2 richiede che ogni oggetto e file
sia etichettato in accordo al suo
livello di sicurezza.
 B3 estende i livelli di security fino
al livello dell’hardware di sistema:
per esempio, i terminali possono
solo connettersi tramite cavi
affidabili e hardware di sistema
specializzato per assicurarsi che
non ci siano accessi non
autorizzati.
www.itimedi.it
B
Livelli di Security: Classe “A”
 A1 è il più alto livello di
security.
 La progettazione del
sistema deve essere
matematicamente
verificata; tutto l’hardware
e il software devono
essere stati protetti
durante la spedizione per
prevenire alterazioni.
www.itimedi.it
A
Disaster Recovery: Politica di Backup
 Creare una politica di backup.
 Ci sono 2 ragione per il backups.
Ripristino dalla cancellazione accidentale di
file.
Ripristino da disastri.
 Seguite la politica ed effettuate il backup
regolarmente.
 Verificare i backup a intervalli.
 Tenere i backups in altro luogo.
www.itimedi.it
Tipi di Attacco: Furto o modifica
 Esempio: in un ufficio aperto, trafficato c’è accesso a
risorse finanziarie via rete. Come proteggersi?
 Occorre fare un’Analisi dei rischi (Risks analysis)
 Quali sono i rischi potenziali?
 Chi vuole vedere questi dati?
 Chi vuole cambiare questi dati?
 Sono possibili attacchi dall’interno?
 Occorre creare una politica di security: Proteggere l’area
dai “passanti”.
 Avere una buona passwords e screen saver con
password.
www.itimedi.it
Tipi di attacco: PASSWORD
Utilizzando tool facilmente accessibili
(hacker tools) la vostra password può
facilmente essere scoperta e qualcuno
può usarla o usare il vostro account per
portare altri attacchi.
www.itimedi.it
Prevenire gli attacchi alla password
 Buone password (non solo lettere, ma anche
numeri e segni di interpunzione, almeno 8
caratteri, maiuscole e minuscole…)
 Cambiarle spesso
 Osservate qual e’ stato l’ultimo accesso con il
vostro account
 Controllate se ci sono nuovi file o se ne sono
stati modificati altri o se CI SONO COSE CHE
NON FARESTE SOLITAMENTE.
www.itimedi.it
Cose da NON fare per una buona
PASSWORD
 NON usate il login in ogni forma (com’è, al contrario, in
maiuscolo, raddoppiato...).
 NON usate il vostro nome, cognome, quello dei vostri
figli, moglie, fidanzata in nessuna forma.
 NON usate altre informazioni che possono essere
facilmente ottenute su voi (patente, numero telefonico...).
 NON usate una password di tutti numeri, lettere...
 NON usate parole di senso compiuto.
 NON usare password più corte di 6 caratteri.
www.itimedi.it
Per avere una “buona” Password…
Usate password con lettere
maiuscole/minuscole mischiate.
Usate password con caratteri non
alfabetici (numeri o segni di
interpunzione).
Usate password facili da ricordare, in
modo da non doverle scrivere.
www.itimedi.it
Tipi di attacco: Denial of Service
(Servizio Negato)
 Esempio: improvvisamente il vostro mail server diventa
irraggiungibile. Accade così anche ad altri servizi
Internet.
 Attacchi di questo tipo si avvantaggiano di problemi
inerenti TCP/IP, e possono causare il malfunzionamento
di alcuni servizi di rete.
 I più gravi possono mettere K.O. l’intera rete
 Un firewall può bloccare molti degli attacchi “denial of
service”
 Un router può essere usato per bloccare “a mano”
l’indirizzo IP dal quale il DoS è partito
 Attacchi “Denial of service” sono difficili da fermare.
www.itimedi.it
Tipi di attacchi: Virus (Sintomi)
Comportamenti irregolari
Cattive prestazioni
Attività strane
Perdita di file o directory
www.itimedi.it
Tipi di attacchi: Virus (essere
preparati…)
Avere un buon backup
Scansione di tutti i supporti, file, mail...
Scansione del vostro sistema
giornalmente con un buon antivirus.
www.itimedi.it
Tipi di attacco: SNIFF (“soffiare la
password”)
 Siate sicuri che i computer pubblicamente accessibili siano
protetti
 Non lasciate che gli utenti vi installino programmi
 Fate in modo che gli utenti si “firmino” per l’utilizzo
 Autenticate l’utente prima di permettergli l’utilizzo del PC
 Questo vi aiuterà a tener traccia di chi ha fatto cosa se
qualcosa dovesse accadere
 Avere una security policy vi renderà possibile prendere azioni
contro chi usa gli sniffer.
 Contattate gli utenti della lista e obbligateli a cambiare password
 Iniziate a monitorare la lista di utenti per vedere se qualcuno tenta di
accedere usando tali account
www.itimedi.it
Stabilire una Security Policy
 La prima regola della security è fondamentale:
qualunque cosa non sia esplicitamente vietata,
è autorizzata.
 Una buona security policy dovrebbe partire
negando tutti gli accessi e quindi espressamente
autorizzare quelli necessari.
 Occorre considerare gli obiettivi e la missione
del sistema da proteggere.
www.itimedi.it
Security Policy: cosa fare?
 Create una lista di beni che devono essere
protetti: Hardware, Software, Dati,
Documentazione…
 Comunicate la politica agli utenti
 Agli utenti dovrebbe essere detto qual è
l’accettabile uso della politica al momento in cui
acquisiscono il loro account.
www.itimedi.it
Security Policy: Analisi dei rischi.





Utilizzo non autorizzato
Servizi non disponibili
Furto di dati
Altro
Quali sono i rischi?
 Che tipo di dati occorre proteggere?
 Da cosa?
 Esaminare tutti i rischi e assegnare un livello di severità.
 Questo processo coinvolge decisioni a livello di costo
relativamente a quello che occorre proteggere.
www.itimedi.it
Una semplice politica di security:
Auditing
Usate i tool del sistema per controllare i
log files.
Controllare gli orari inusuali di accesso
degli utenti.
Controllare i luoghi di accessi inusuali.
Controllare i login falliti.
Controllare i messaggi di errore.
www.itimedi.it
Un ultimo consiglio:
Alla fine di tutto il processo…rivederlo!
Se non lo fate, si può essere superati dagli
ultimi metodi di “penetrazione”.
A intervalli, occorre comunque rivedere e
rivalutare i rischi.
Le cose cambiano spesso... e
velocemente!
www.itimedi.it