IT SECURITY
Uso sicuro del Web
Navigazione in rete
L’attività di spionaggio informatico è
particolarmente orientata sui siti attraverso
i quali si effettuano attività commerciali o
finanziarie.
Il cracker ha come obiettivo principale il
furto di identità
Il cracker cerca di ottenere illegalmente:
 Credenziali dell’utente (account +
password);
 Numero della carta di credito;
 PIN della carta di credito;
 Ente di emissione della carta di credito;
 Numero di conto corrente.
Per mettersi al riparo dai cracker bisogna
sempre accertarsi che il sito sia “sicuro”,
cercando di riconoscere i siti che
esibiscono il certificato digitale controllabile
direttamente in linea, oltre al simbolo del
lucchetto chiuso, accanto all’indirizzo della
pagina il protocollo, con protocollo https
La maggior parte dei siti web utilizza il
protocollo http che consente un accesso
rapido, senza che debba essere attivata
alcuna procedura per ottenere il
collegamento.
I siti che possono trattare dai “sensibili”
adottano invece il protocollo https (http
Sicuro) che associa al protocollo HTTP la
crittografia a chiavi asimmetriche dei dati
trasferiti.
Https – Siti di orgine finanziaria o
assicurativa, commercio online, cliniche
mediche, programmi di posta elettronica e
browser web che trattano dati sensibili…..
 Sulla
barra degli indirizzi deve apparire il
simbolo di un lucchetto chiuso;
 Sulla barra degli indirizzi deve apparire il
protocollo https;
 Deve essere possibile la verifica del certificato
del sito, cliccando due volte sul simbolo del
lucchetto chiuso.
Es. Verificare la presenza del protocollo https in un sito
bancario
Pharming il malintenzionato tenta di
impossessarsi dell’identità della vittima:
nome, indirizzo ecc. indirizzandola verso
un sito pirata, clone di un sito realmente
operante. Quindi il cracker fa uno studio
dell’azienda e del suo sito per simularne
un altro quanto più possibile simile
all’originale
Phishing – riguarda il rapporto del
cracker con la vittima “da prendere
all’amo”.
I siti web che praticano attività finanziarie o
commerciali, come pure i siti web che
distribuiscono il software, attestano la loro
identità attraverso un certificato digitale.
Il certificato digitale è basato sulla
crittografia a chiavi asimmetriche, ed è
costituito da un pacchetto di informazioni
firmato da un’autorità riconosciuta.
Il pacchetto deve contenere:
 Generalità di un sito web o di un computer
o di un’organizzazione, ai quali il certificato
si riferisce;
 Chiave pubblica del titolare del certificato;
 Periodo di validità attestato dall’autorità
riconosciuta.
Se si clicca due volte sul lucchetto, parte la
procedura di convalida del certificato
digitale.
Viene automaticamente inviato all’indirizzo
del sito un testo crittografato con la chiave
pubblica riportata nel certificato e, se il sito
è quello reale, esso deve poter rispondere
con l’uso della corrispondente chiave
privata, generando accanto al simbolo del
lucchetto, il messaggio: Sito sicuro o Sito
verificato
Es. Verificare il certificato di un sito
Convalidare il certificato di un sito commerciale
Uno dei maggiori rischi per la sicurezza
delle reti aziendali (VPN), deriva dagli
accessi effettuati dai dipendenti che
lavorano fuori sede, tipicamente i venditori
e i tecnici d’assistenza.
Ogni volta che effettuano un login, mettono
un estraneo in condizione di apprendere la
maniera di entrare abusivamente nella rete
aziendale
Per evitare questo rischio, è stato inventato
il metodo della one time password che vuol
dire password per una sola volta.
Le tecniche di realizzazione sono varie, la
più usata si basa sulla richiesta di accesso,
da parte del computer o del cellulare
chiamante, verificandone le credenziali e
inviando poi una password utilizzabile una
volta soltanto. Il codice di accesso viene
generato da un complesso algoritmo,
ovviamente segreto.
Particolare attenzione deve essere posta al
completamento automatico, che potrebbe
facilitare il compito della solita “spia
informatica” che si aggira tra le scrivanie.
L’attivazione del completamento automatico
della password può essere attivato solo su PC
domestico.
L’attivazione e disattivazione vanno eseguite
sul browser Internet utilizzato.
La disattivazione del completamento
automatico non comporta automaticamente la
cancellazione dei dati conservati in
precedenza.
Es. Disattivare il completamento automatico dal browser
In alcune pagine web, può accadere che il
sito visitato invii dei cookie, ossia un file
che si deposita nel disco del calcolatore
dal quale è partita la richiesta di
visualizzazione. Quando si ritorna a
visitare lo stesso sito, il cookie passa un
insieme di dati che identificano il computer
ed una serie di dati di tipo statistico
commerciale.
I cookie sono usati particolarmente dalle
aziende che praticano il commercio online.
attraverso il sistema dei cookie, è possibile
costruire il “profilo” degli utenti della rete e, di
conseguenza, offrire agli utenti pubblicità
“mirata”.
I browser offrono la possibilità di bloccare tutti
o in parte i cookie.
Alcuni cookie devono essere
necessariamente installati se il sito con il
quale si vuole dialogare (es.istituto bancario)
lo richiede.
Es. Bloccare tutti i cookie -Consentire solo cookie di un sito-Bloccare
cookie di un sito
Quando si lavoro con il computer di un
amico, di un collega o di un fornitore, al
termine dell’attività svolta nel posto di
lavoro occasionale, occorro ricordarsi di
non lasciare tracce di alcun tipo.
ES. Cancellare con il browser, tutti i dati di
navigazione di un computer
ES. Con il browser cancellare la cronologia e i file
temporanei
Se in casa c’è un bambino, sarebbe bene
permetterne l’utilizzo soltanto con un
genitore.
Esistono rischi in 5 grandi aree di attività:
 Durata
dell’uso quotidiano del computer;
 Siti visitati nel web;
 Messaggi di posta elettronica;
 Chat line;
 Reti sociali (Facebook e altre).
Esistono programmi che possono impedire
il funzionamento delle applicazioni
specifiche o addirittura dello stesso
computer, al di fuori degli orari decisi dal
genitore, per ciascun giorno della
settimana.
Software di controllo sono installati anche
sui server web di alcune aziende,uffici
pubblici dotati di PC a disposizione del
pubblico (controllo dei contenuti)
ES. Controllo genitoriale del PC (Parental control)
Reti sociali
Bisogna porre particolare attenzione nella
divulgazione dei propri dati, immagini,
riflessioni, perché una volta messi in
rete, questi elementi possono essere
diffusi e di nuovo fatti circolare per
anni, anche se sono stati immediatamente
cancellati sul sito originale.
Quando si utilizza una rete sociale si possono
avere due obiettivi:
1.
facilitare il lavoro di gruppo;
Per facilitare e rendere più produttivo il
lavoro ci si registra con il proprio nome e
cognome, badando di non fornire più
informazioni di quelle richieste.
2.
giocare/passare del tempo.
Sarebbe bene non fornire mai indicazioni
che possano far risalire alla propria
identità, ma utilizzare un nickname (nome
di fantasia)
Le reti sociali mettono a disposizione dei loro
utenti una serie di restrizioni nella diffusione di
notizie e delle immagini (es.Facebook)
Nella pagina impostazione della privacy e
strumenti:
 Chi







può vedere le mie cose?
Pubblica (Senza alcuna restrizione)
Amici, tranne conoscenti
Solo io
Personalizzata
Amici più stretti
Familiari
Altre liste
 Chi
può contattarmi
 Chi può cercarmi
Come in tutti gli ambiti umani, “la Rete” è
popolata da persone valide e personaggi
poco raccomandabili. Specie le donne e i
minori devono frequentare la Rete con
discrezione ed interrompere i rapporti
“virtuali” al primo sospetto di poca
limpidezza.
Atteggiamenti persecutori:
 Cyber bullismo: alcuni individui, forti del
fatto che non possono essere facilmente
individuati, si divertono a perseguitare altre
persone attraverso email, sms, post su reti
sociali
 Adescamento: Mezzo attraverso il quale
un frequentatore poco serio induce una
persona psicologicamente debole ad
accettare un incontro fisico
Falsa identità: alcuni individui ne
costruiscono una, fingendo di essere una
donna o un coetaneo per attirare ad un
incontro fisico la propria vittima.
 Informazioni, link, messaggi fraudolenti

Phishing (prendere qualcuno all’amo come un
pesce)
 Pharming (utilizzare in maniera illegale log, sito e
immagine di un’azienda)

Scarica

IT SECURITY 4