La sicurezza informatica
nello studio legale
Alessandro Tanasi
[email protected]
http://www.tanasi.it
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
1
società dipendente dalla tecnologia
 definizione di sicurezza informatica
 gli obbiettivi dell'elaborazione dei dati

Introduzione
La dipendenza dalla tecnologia comporta problemi di
sicurezza di informazioni e dei sistemi informativi, si deve
mantenere e controllare:
Riservatezza: il corretto livello di confidenzialità
Integrità: evitate la loro manomissione o la loro perdita
Disponibilità: risorse sempre pronte per l'uso
in alcuni casi anche:
AAA: autenticazione, autorizzazione e registrazione
Non repudiation: non si possono negare le proprie azioni
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
2
le imprese non comprendono il rischio, nemmeno a
crimine commesso
 non si investe in sicurezza informatica

Chi è a rischio?
Potenzialmente può incorrere in problemi di sicurezza
informatica chiunque:
Sia connesso a internet o in generale a una rete
Legga la posta elettronica
Abbia dati importanti di cui non dispone di copia
Installi programmi
...praticamente... tutti!
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
3
falsi miti imposti dai media
 la differenza tra hacker e cracker

La minaccia?
Hacker [1] [2]: una persona che si impegna nell'affrontare
sfide intellettuali per aggirare o superare le limitazioni che
gli vengono imposte e aumentare la propria conoscenza
Cracker [1] [3]: colui che entra abusivamente in sistemi
altrui allo scopo di danneggiarli o di trarne profitto
[1] http://catb.org/jargon/
[2] http://it.wikipedia.org/wiki/Hacker
[2] http://en.wikipedia.org/wiki/Hacker
[3] http://it.wikipedia.org/wiki/Cracker
[3] http://en.wikipedia.org/wiki/Black_hat
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
4
truffatori e criminali in cerca di facili guadagni
 programmi automatici e dilettanti
 attacchi professionali

La minaccia concreta
Truffe, in particolare spam e phishing
Attacchi automatizzati e script kiddies (vandali inesperti)
Virus e spyware: il 99% delle società usa un programma
antivirus, l'82% di queste sono state colpite da virus[1]
Abusi: l'80% delle società riporta che un lavoratore ha
abusato dell'accesso a internet, ad esempio scaricando
materiale pornografico o protetto da copyright[1]
Attacchi mirati condotti da professionisti (pagati)
[1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI2003.pdf
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
5
Esempio di phishing
Caro membro di Banca Intesa,
Per i motivi di sicurezza abbiamo sospeso il vostro conto di
operazioni bancarie in linea a Banca Intesa. Dovete
confermare che non siete una vittima del furto di identità
per ristabilire il vostro conto.
Dovete scattare il collegamento qui sotto e riempire la
forma alla seguente pagina per realizzare il processo di
verifica.
http://www.bancaintesa.it/verifica_profilo/index.htm
<http://210.177.151.135/strike/pictures/intesa/index.html>
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
6
la maggior parte dei danni e' causata dai virus (blu)
 l'attacco “umano” professionale e' raro (rosso)

Nel dettaglio..
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
7
tecniche matematiche (crittografia)
 finanziamenti per strutture e personale
 formazione del personale

Strumenti
La matematica: la crittografia
archiviazione di dati cifrati e firma digitale
autenticazione e non ripudio
realizzazione di comunicazioni sicure su canale
insicuro
Investimenti in tecnologia (apparati di protezione e
autenticazione, filtri sui contenuti, aggiornamenti)
Analisi e definizione dei rischi
Personale (punto debole) e formazione
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
8
training sulle tecnologie e i mezzi
 formazione del buon senso nel personale

Formazione
La formazione dovrebbe aiutare a comprendere l'uso e lo
scopo degli strumenti informatici
Come gestire gli allegati?
Perchè alcuni siti sono pericolosi?
Chi può accedere a quali informazioni e in che modo?
La formazione aiuta il personale a prendere consapevolezza
delle problematiche e dei rischi, aumenta la produttività e
diminuisce gli incidenti informatici
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
9
valutazione di un livello di sicurezza adeguato
 la sicurezza è un processo
 la sicurezza si costruisce ogni giorno

Livelli di sicurezza
Che informazioni tratto?
Chi è interessato a queste
informazioni?
Rispetto la Legge?
Quale livello di sicurezza
voglio garantire?
Eliminazione del rischio per quanto
possibile dalla tecnologia
Comprensione del pericolo
e sua riduzioni
con azioni proporzionali
Sicurezza? Cosa?
La sicurezza è un processo che richiede investimenti costanti,
azioni correttive risultanti da una scelta di compromesso tra
esigenze dell'utente e impegno richiesto, in coerenza con lo
scenario, l'identificazione e valutazione adeguata dei rischi.
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
10
sicurezza affrontata a vari livelli
 tutti insieme contribuiscono
 il sistema e' debole quanto il suo livello più debole

Problematiche
Livelli di problemi diversi, tutti devono essere affrontati:
Applicazione
(programma)
Host (computer)
Rete interna
Accesso al mondo
Sicurezza fisica
Sicurezza dell'host
(computer)
Sicurezza di rete e
infrastrutture
Sicurezza fisica
(accesso ai locali)
Comprensione del problema
Livelli a cui il problema è
affrontato
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
11
cose ovvie e semplici
 esempi di errori tipici

Sicurezza Fisica
Perchè ricorrere a una complicata violazione informatica
quando quello che ci serve è appoggiato su una scrivania?
Password su post-it
Documenti cestinati
Documenti visibili
Eccessi di fiducia
Terminali accesi senza
utenti
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
12
un minimo di sorveglianza
 controllo sul flusso dell'informazione e sul suo
trattamento
 furti di informazione

Ambiente di lavoro
Controllo dell'accesso ai locali, policy (regole) di accesso
Trattare nel modo dovuto i documenti (ad es. in cartelline)
Non lasciare informazioni nei rifiuti
Attenzione a come vengono portati dati fuori dall'ufficio
Porre attenzione ai piccoli dettagli dei computer (segni di
scasso)
Prevenzione di incendi, allagamenti ecc.
..e molto altro..
Le cose ovvie spesso vengono trascurate perchè
date per scontate!
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
13
facilitato dalla scarsa malizia
 permette la raccolta di informazioni
 semplice da mettere in atto

Social Engineering
Sono un Tecnico Telecom, devo
fare un controllo sulla linea
Social Engineering [1]: ottenere
informazioni confidenziali
manipolando e ingannando le
persone con imbrogli ad arte
Prego, entri pure,
ci vuole molto?
Le persone danno fiducia al contesto di una conversazione
Mancanza di paranoia in particolare nella routine quotidiana
Mancanza di training del personale, mancanza di sanzioni, in
generale mancanza di buon senso
[1] http://www.securityfocus.com/infocus/1527
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
14
errori comuni dell'utente
 debolezza di sistemi operativi e applicazioni
 continua attività maligna proveniente da internet

Sicurezza dell'host
Virus Melissa: 6,7 miliardi di dollari di danni
Un sistema Windows collegato a internet senza essere
protetto dopo pochi minuti è già compromesso
Abitudine di cliccare su “avanti” senza leggere
Configurazioni errate
Accessi non controllati
Sistemi installati e mai configurati
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
15
causa la maggior parte delle violazioni
 la soluzione più efficace è usare il buon senso

Il fattore umano
La sicurezza di un singolo computer viene violata in
particolare a causa di errori umani
Non aprire email ingenuamente
Non eseguire programmi di cui non è certa la provenienza
Utilizzo improprio del ambiente lavorativo (ad es. p2p)
Scelta di password deboli mai cambiate
Installazione di programmi di cui non si conosce l'uso
Semplicemente bisogna usare del buon senso!
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
16
alta virulenza
 necessità di programmi di difesa attiva e passiva
 i programmi di difesa devono essere aggiornati

Virus
Circa 40 nuovi virus e worm vengono creati ogni giorno
In 10 minuti un virus può infettare oltre 400000 hosts
nel mondo
Spesso un virus espone i dati contenuti nel sistema
Virus, worm [1]: un programma che si replica e si
diffonde autonomamente
Contromisure: installare un antivirus e un programma anti
spyware che devono essere mantenuti costantemente
aggiornati (almeno giornalmente).
[1]: http://en.wikipedia.org/wiki/Computer_virus
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
17
perchè è importante aggiornare subito
 quanto è lungo il periodo di rischio

Gli aggiornamenti
Perchè sono importanti gli aggiornamenti? (di tutti i software)
uscita
uscita di una vulnerabilità o di
un virus, tutti sono vulnerabili
patch
rilascio e diffusione di un
aggiornamento
installazione
dell'aggiornamento da parte
dell'utente
installazione
tempo
0
periodo di rischio
tempo che può esser ridotto
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
18
internet è una fonte di traffico maligno
 non esporre le vulnerabilità dell'host al mondo
 ci permette di controllare il traffico dalla rete all'host

Firewall
Firewall [1]: strato che si interpone tra l'host (o la rete) e il
mondo esterno bloccando l'attività di rete non voluta
Protegge l'host dallo sfruttamento delle sue vulnerabilità
(del sistema operativo, delle applicazioni)
Permette solo il traffico prescelto
Permette di circoscrivere servizi
Difende il perimetro
[1]: http://en.wikipedia.org/wiki/Firewall_%28networking%29
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
19
host non aggiornati sono vulnerabili
 servizi non utilizzati sono un punto d'ingresso in più
 essere sempre pronti alla disfatta facendo dei backup

Sicurezza dell'Host
Aggiornare il sistema operativo e le applicazioni
Disabilitare i controli ActiveX di Internet Explorer
Disabilitare i servizi non necessari (ad es. MSN)
Pianificare dei backup del sistema (...e farli.. ma farli)
...ma il tutto deve essere bilanciato tra sicurezza e usabilità
Mantenere il proprio computer aggiornato, facendo
scansioni, manutenzione e backup periodici.
Tutto questo non previene gli errori umani!
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
20
come accorgersi di una intrusione
 sintomi da riconoscere

Sintomi di violazione
Rallentamenti del sistema
Uso anomalo della rete (alto traffico) e suoi rallentamenti
Comparsa di file sospetti, icone e programmi non voluti
Malfunzionamento di programmi (in particolare antivirus)
Tutto quello che è diverso dal normale se non sono stati
apportati cambiamenti
Uso eccessivo della CPU e del Hard Disk
Eventi strani nei log (registri delle attività)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
21
i disastri accadono sicuramente (prima o poi)
 non facciamoci trovare impreparati

Disaster Recovery
E' avvenuto un incidente informatico, cosa fare?
In caso di disastro cosa fare?
Pensare alle principali evenienze
Pianificare una risposta ad esse
Descrivere la risposta in appositi
manuali con un linguaggio semplice
Esempi:
Pianificazione dei backup
Pianificazione di chi chiamare in caso di collasso del
collegamento a internet
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
22
conoscenza dell'utilizzo che viene fatto
 definire cosa è un utilizzo normale
 riconoscimento delle anomalie

Sicurezza di rete
Per cosa viene usata la nostra banda?
Cosa può fare un malintenzionato dalla nostra rete?
Se la nosta rete viene usate per spedire spam?
... e il phishing? ... e il p2p?
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
23
la rete è una risorsa
 il suo utilizzo deve essere regolato

Rete
In una rete usata da più persone si deve disporre di:
AAA – Autenticazione, Autorizzazione, Registrazione
Possibilità di filtraggio
Possibilità di monitoraggio
Esempi:
Sapete chi utilizza la vostra rete Wi-Fi?
Sapete chi accede ai vostri documenti condivisi?
ladro
di dati
Alessandro Tanasi - [email protected]
amministratore
La sicurezza informatica nello studio legale
24
monitoraggio qualitativo
 monitoraggio quantitativo
 ipotesi sul traffico alla ricerca di anomalie

Monitoraggio di rete
Monitoraggio dell'utilizzo da parte del dipendente (proxy) e
eventuale blocco automatico
Monitoraggio delle risorse (grafici utilizzo banda ecc..)
Monitoraggio del contenuto del traffico
In ambiti particolari:
Sitemi di rilevamento delle
intrusioni (IDS)
Sistemi di prevenzione delle
intrusioni (IPS)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
25
problema dell'intercettazione
 utilizzo della crittografia
 verificare di utilizzare un canale sicuro

Comunicazioni Sicure
I dati inviati in chiaro possono
essere intercettati
email
web (non https)
chat
messaggistica
Utilizzo della crittografia per rendere incomprensibile la
comunicazione
Siti web protetti (https, certificati digitali)
comunicazioni sicure (ad es. chat che utilizzano SSL o
altro)
Crittografia e firma digitale nelle email
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
26
interrompere il servizio è un danno economico
 prevedere alcuni tipi di interruzione
 essere pronti a reagire

Negazione di servizio
Denial of Service (DoS): attacco mirato all'interruzione
dell'erogazione di un servizio
attacco informatico
errore umano
problema tecnico
necessità di
strutture ridondate
Pezzi di ricambio
Dati replicati
Collegamenti ridondanti
Alimentazione controllata (UPS)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
27
dove la sicurezza viene messa al primo posto
 dove tutto deve funzionare
 a cosa guardare per sognare

Enterprise.. o oltre..
Sistemi per il rilevamento delle violazione sul singolo host
(HIDS, auditing) e per l'apprendimento (honeypots)
Sistemi per il monitoraggio della rete (monitoring, auditing),
rilevazione e prevenzioni delle attività ostili (NIDS, IPS)
Sistemi di sorveglianza e
controlli d'accesso
Aggiornamento costante di
strutture e personale
Simulazioni e penetration test
periodici
Professionisti specializzati
AT&T NOC
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
28
selezione di software per la protezione del ufficio
 selezione di software per le sicurezze avanzate

Software
Antivirus
Norton
AVG
Clamav
Firewall
ZoneAlarm
iptables
Anti spyware / anti trojan
Spybot
Ad-Aware
chkrootkit
HIDS
Tripwire
Samhain
NIDS
Snort
Monitoraggio e scanning
nmap
nessus
ethereal
Su ogni computer collegato ad una rete è necessario un antivirus, un firewall,
un
anti spyware e aggiornamenti costanti come minimo per riuscire a
sopravvivere
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
29
Links
http://it.wikipedia.org/wiki/Sicurezza_informatica
http://www.sikurezza.org/
http://www.sikurezza.org/archivio.html#lex/
http://www.securityfocus.com/
http://www.cybercrimes.it/
http://www.dia.unisa.it/professori/masucci/sicurezza/index.htm
http://www.interlex.it/
http://www.garanteprivacy.it
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
30
la tecnologia aiuta ma non basta
 la tecnologia non protegge dagli errori umani
 la conoscenza del problema è fondamentale

Conclusioni
Dopo tutto questo (gran mal di testa):
La sicurezza è un processo da eseguire ogni giorno
strutturato a livelli
La tecnologia non protegge host e reti da errori umani e in
particolare dalle persone malintenzionate
L'uso del buon senso è fondamentale
...questa è appena la punta dell'iceberg; l'importante
non è conoscere la soluzione ma avere la
consapevolezza che esistono delle problematiche diverse
e un problema sicurezza informatica
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
31
ultimamente sono stati fatti grandi passi avanti
 ma lavorando insieme il mondo si può migliorare ancora

Pubblicità Progresso
Il panorama italiano della sicurezza informatico è molto
legato alla Legge in materia
Le problematiche tecnologiche cambiano rapidamente
Le Leggi in materia devono essere costantemente adeguate
Voi sarete i legislatori del domani, rendetevi conto del
problema, confrontatevi con i tecnici in modo da ottenere
una visione globale da ambo le parti del problema
...e esigete che i tecnici (tipicamente elitari) vi aiutino
dandovi risposte concrete.
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
32
Domande
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
33
Licenza
Questo documento viene rilasciato sotto licenza Alcoolware,
la quale non è altro che una normale licenza Creative
Commons Attribute-NonCommercial-ShareALike [1] ma con
l'aggiunta che se mi incontrate dobbiamo andare a bere
qualcosa.
In sintesi è liberamente distribuibile per usi non commerciali,
copiabile e modificabile purchè citiate l'autore e la fonte.
Se volete distribuire questo documento sul vostro sito siete
pregati per favore di comunicarmelo in modo che possa
spedirvi le nuove versioni.
[1] http://creativecommons.org/licenses/by-nc-sa/2.0/
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
34
Slides
Le slides di questa presentazione sono già disponibili su:
http://www.tanasi.it
Per informazioni:
[email protected]
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
35
Scarica

Document