Studi recenti in merito alla sicurezza informatica S.A.F. SCUOLA DI ALTA FORMAZIONE 1. Commissione Informatica 2. 3. I furti digitali superano quelli materiali; criminalità informatica, il nuovo business del futuro Botnet – Il futuro del cybercrimine Report Symantec giugno 2010 sulle piccole-medie imprese Sicurezza dei dati: esempi pratici dei rischi connessi con l’utilizzo dei dispositivi elettronici Dr. Paolo Luppi - [email protected] 1 Dicembre 2010 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] Indice Identità digitale e anonimato 1. Come posso utilizzare strumenti elettronici senza correre il rischio di essere ostacolato, localizzato, ascoltato, individuato? Quali strumenti usare? 2. La sicurezza del sistema (Hardening del S.O.) 3. Abilitazione delle possibilità di gestione sicura della privacy per tutti gli strumenti in uso 4. Uso di tecniche crittografiche e Vpn 5. Pulizia del sistema attraverso appositi tool – Studi recenti in merito alla sicurezza informatica – Identità digitale e anonimato: quali strumenti adottare – Pulizia del Pc – La telefonia Voip – Voip: il caso Skype – Gli smart phones – La gestione delle password 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 3 2 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 4 Pulizia del sistema Pulizia del sistema 1. 2. 3. 4. 5. 6. 7. 8. Rimuovere i file temporanei dalle corrispondenti cartelle di Windows Rimuovere le tracce delle ricerche dei file e del computer su dischi e computer connessi alla rete locale Pulire l'elenco dei documenti usati di recente Pulire l'elenco delle operazioni di Windows Pulire la cronologia file aperti/salvati Eliminare l'elenco delle password di sistema degli utenti Pulire la directory Prefetch Windows, dove Windows conserva le informazioni relative ai programmi eseguiti oppure avviati di recente Pulire le informazioni dei Browser 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 5 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] Pulizia del sistema con CCleaner (www.piriform.com) Pulizia del sistema 1. 2. 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 7 6 3. Distruggere in modo sicuro i dati nel Cestino di Windows Pulire lo spazio libero sul disco rigido da ogni traccia d'informazioni precedentemente memorizzate Eseguire la distruzione sicura dei file e delle cartelle 4. Recuperare file e cartelle 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 8 Pulizia del sistema con Eraser (eraser.heidi.ie) Pulizia del sistema con CCleaner Method Name N. of Passes Description Pseudorandom data 1 The fastest wiping scheme. Your data is overwritten with random data CSPRNG the data is indistinguishable from random noise.) British HMG IS5 (Baseline) (1 pass) 1 Your data is overwritten with zeroes. Russian GOST P50739-95 2 GOST P50739-95 wiping scheme calls for a single pass of zeroes followed by a single pass of random data British HMG IS5 (Enhanced) 3 British HMG IS5 (Enhanced) is a three pass overwriting algorithm: first pass – with zeroes, second pass – with ones and the last pass with random data. US Army AR380-19 3 AR380-19 is data wiping scheme specified and published by the U.S. Army. AR380-19 is three pass overwriting algorithm: first pass – with random data, second with a random byte and the third pass with the complement of the 2nd pass US Department of Defense DoD 5220.22-M(ECE) 7 DoD 5220.22-M(ECE) is seven pass overwriting algorithm: first, fourth and fifth pass with a random byte, its 8 right-bit shift complement and 16 right-bit shift complement; second and sixth passes with zeroes, and third and seventh pass with random data Schneier’s Algorithm 7 The Bruce Schneier algorithm has seven passes: first pass – with ones, the second pass – with zeroes and then five times with random data 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 9 Pulizia del sistema con Eraser 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 11 Recupero dati con Recuva (www.piriform.com) - 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 10 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 12 Recupero dati con Recuva (www.piriform.com) Pulizia del sistema – File di swap 1. Funzionamento della Ram in un Pc - Necessità di gestire una memoria virtuale in aiuto alla limitatezza della memoria Ram 2. Tutti i dati delle applicazioni in esecuzione prima dello spegnimento del Pc vengono scritti in chiaro su un file 3. Disabilitare la funzione attraverso gli Strumenti di amministrazione ( Criteri di protezione locale – Criteri locali – Opzioni di protezione – Arresto del sistema:Cancella il file di paging) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 13 Pulizia del sistema - Ibernazione 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 15 Pulizia del sistema 1. Ibernazione di Windows: una funzione da conoscere bene. Il file Hiberfile.sys 2. Tutti i dati delle applicazioni in esecuzione prima dello spegnimento del Pc vengono scritti in chiaro su un file 3. Disabilitare la funzione attraverso il Pannello di Controllo (Opzioni – Risparmio di Energia – Sospensione) 4. In caso contrario utilizzare la criptazione del SO (esempio: Truecrypt) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 14 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 16 Aspetti generali di Skype La telefonia Voip 1. 2. 3. 4. Voip (Voce tramite protocollo Internet) (Voice over Internet Protocol), sistema che consente una conversazione telefonica sfruttando il Web, anzichè passare attraverso la rete telefonica tradizionale Voip gateway, sono apparati Hw che consentono di interfacciare la rete tradizionale con quella Voip Centralino IP PBX, gestisce sia linee analogiche, linee digitali (ISDN) che Voip contemporaneamente SIP è un protocollo sempre più utilizzato nella telefonia Voip 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 17 Aspetti generali di Skype 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 19 Aspetti generali di Skype: funzioni x Skype è un client di comunicazione creato nel 2003 da Janus Friis e Niklas Zennstrom, ideatori di Kazaa x Il suo scopo primario è quello di consentire chiamate audio/video gratuite tra due computer connessi ad Internet indipendentemente dalla loro collocazione fisica x Sono possibili le interazioni con la rete PSTN e mobile (Skype-OUT e Skype-IN) x Skype ha sede legale in Lussemburgo e sedi tecnico/operative in Europa, Asia ed America 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] • Utilizza una tecnologia Voip proprietaria che consente la conversione della voce in pacchetti dati compatibili con la trasmissione sulla rete • E’ disponibile per: Windows, Linux, MAC-OS, iPhone, Symbian • Ha superato i 20 milioni di utenti concorrenti e gestisce quasi il 10% di tutti i minuti globali di conversazione telefonica 18 Oltre alla comunicazione vocale consente tra l’altro: • Gestione della lista dei contatti • Scambio di messaggi di testo (chat) • Condivisione di file • Videochiamate • Interazione con la rete telefonica fissa e mobile (SkypeIN e Skype Out) + SMS • Casella vocale 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 20 Architettura di Skype: Super Node Aspetti generali di Skype: il perché di un successo • Velocità: Efficienti algoritmi d’instradamento consentono bassi tempi di creazione della comunicazione • Efficienza: codec proprietari consentono una ottima qualità audio anche su linee a bassa capacità • Robustezza: l’architettura distribuita consente di tollerare milioni di utenti • Riservatezza: le tecnologie di cifratura e autenticazione forte (AES 256 bit e certificati digitali) tra i due peer rendono la comunicazione estremamente sicura 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 21 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 23 Skype: aspetti di interesse Architettura Skype: I tre livelli • Skype si definisce un costruttore di software per la comunicazione Internet e non si ritiene un operatore pubblico di telecomunicazioni perché non dispone di alcuna infrastruttura fisica • Non si ritiene soggetto alle prestazioni obbligatorie sull’intercettazione di comunicazioni che tali soggetti devono assicurare in Italia • I Login Server sono gli unici componenti centrali dell’infrastruttura di comunicazione • Contengono le username e password di tutti gli utenti • Assicurano l’unicità dei nomi eliminando le collisioni • Vengono contattati per la validazione delle credenziali 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] • Per accedere alla nuvola Skype il client deve anche connettersi ad un supernode (SN) • I SN contengono una piccola parte dell’intera lista degli utenti registrati ed assicurano l’instradamento delle chiamate • I client comunicano in genere direttamente. Quando non possono farlo, è compito dei SN realizzare le conversazioni • I SN non appartengono a Skype ed ogni computer con ip pubblico e sufficienti risorse può essere nominato supernode (anche il vostro) 22 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 24 La riservatezza non basta Deep Packet Inspection: pro • La protezione della transazione end to end è senza dubbio formidabile • Tuttavia è possibile, pur non comprendendo il significato della comunicazione, tentare di identificare il traffico Skype, al fine di localizzare le parti oppure di impedire il colloquio • Per farlo servono strumenti di DPI 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 25 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 27 Deep Packet Inspection: contro Deep Packet Inspection • La DPI è la capacità di alcuni dispositivi di rete di ispezionare, oltre all’header (Shallow Inspection) anche il payload di un pacchetto dati • Scopo della DPI è l’identificazione di protocolli, applicazioni e flussi per poi prendere decisioni 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] La DPI ha campi di applicazione fondamentali per le reti: • Apparati di rete (router e switch) • Firewall • Intrusion Detection & Prevention • Protezione del segreto industriale • Gestione della banda trasmissiva 26 Ma può anche essere usata per compiere operazioni sul traffico in transito : •Modifica •Filtro •Blocco •Redirezione •Identificazione delle parti Se usata male può quindi divenire uno strumento di censura e violazione della privacy 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 28 Deep Packet Inspection: come funziona • Le applicazioni vengono riconosciute tramite le loro “impronte digitali” • Ogni applicazione ha dei pattern unici che portano alla sua identificazione • Tali pattern vengono contenuti in una database (signature library) ed aggiornati di frequente poiché possono cambiare a seguito del rilascio di una nuova versione 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 29 Deep Packet Inspection: come funziona Metodi di analisi dei pattern: • Porta TCP/UDP • String matching • Proprietà numeriche dei pacchetti dati (numero o lunghezza) • Analisi del comportamento/statistica dei pacchetti Per minimizzare i falsi positivi/negativi vengono impiegati più metodi 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 30 Deep Packet Inspection: Skype Il traffico Skype è difficile da riconoscere: • Porte ed indirizzi ip dei SN scelti random • Pochi pattern noti e variabili con la versione • Se un flusso viene bloccato, Skype tenta altre porte ed altri protocolli In ogni caso, usando tutte le tecniche di DPI viste, è possibile rilevare una comunicazione Skype, ma solo se la si osserva dall’inizio 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 31 Skype: se la privacy non basta •Devo quindi impedire almeno l’identificazione dei parametri di rete: -indirizzo ip sorgente (il mio) -indirizzo ip destinazione (del mio interlocutore) •Se riesco anche il fatto che sto usando Skype risulta nascosto •Posso usare un Proxy oppure una VPN 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 32 Skype: alla ricerca di indizi Skype: il problema della cronologia • Nonostante la difficoltà di decifrare le informazioni inviate sul canale, l’analisi dei file prodotti da Skype può fornire indicazioni importanti • Per esempio in una postazione con Sistema Operativo Win XP in uso all’utente Pippo con account XY i file sono salvati nella cartella: C:\Documents and Settings\Pippo\Dati applicazioni\Skype\XY (rel. 3.8) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 33 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 35 Skype: alla ricerca di indizi Skype: alla ricerca di indizi I file prodotti dal client Skype offrono informazioni su: • Contatti (es. config.xml) • Chiamate (es. call123.dbb ecallmember456.dbb) • Messaggi di chat (es.chat012.dbb/*.dat) • Caselle vocali (es.voicemail012.dbb) • Profilo utente (es. profile012.dbb) • Trasferimenti di file (es. transfer012.dbb) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] Ogni file .dbb: • E’ strutturato in record suddivisi in campi • Ha un nome che ne ricorda la funzione, un numero che indica la lunghezza max del record Ogni record: • Comincia con l’header: 0x6c 0x33 0x33 0x6C (l33l) • Segue un campo di 4 byte che indica la lunghezza • Segue un numero di sequenza di 4 byte (solo per comunicazioni) visto che i record potrebbero essere suddivisi su più file • Ha altri campi di lunghezza variabile identificati da appositi codici di 2 byte (es. 0xA10x01 indica il timestamp) •Per esempio, poiché la cronologia è per default attiva, dal file 0be65ebb0346d372.dat nella cartella C\Documents and Settings\Pippo\Dati applicazioni\Skype\XY\0b si possono leggere i messaggi di chat… in chiaro •Per esempio, dal file config.xml si può ricavare la buddy list… in chiaro 34 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 36 Skype: alla ricerca d’indizi Gli Smart phones • La rel. 4.1 (l’ultima è la 4.2) elimina l’uso dei file .dbb ed introduce l̏uso dei database Sql Lite vers. 3 (.db) • Se è abilitata la cronologia, le conversazioni chat si trovano sia nei file .dat che in main.db • Main.db è ispezionabile con appositi programmi 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 1. Come sono costruiti: una componente telefonica e funzionalità di un PDA (un Pc portatile) 2. La parte PDA offre vari SO a seconda del produttore (Windows CE, Symbian OS, Android, WebOs, iPhone OS, Linux, altri minori) 3. Dati registrati. Problema gestione sicurezza 37 Skype: contromisure alla ricerca di indizi 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 39 Password - La normativa della Privacy ²Testo Unico sulla Privacy - Art. da 31 a 34 Quindi per un uso più sicuro di Skype è necessario: • Cancellare la cronologia, se presente • Non conservare la cronologia (Menu: strumenti-opzioniPrivacy) • Evitare l’auto logon (Autenticami all’avvio di Skype) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 38 ²Disciplinare Allegato B - Punti da 1 a 14 ²Trattamento di dati con strumenti elettronici –Sistema di autenticazione: individua con certezza il soggetto che accede ai dati - possibilità di ricostruire eventi (punti da 1 a 11) –Sistema di autorizzazione: stabilisce quali sono i dati cui l’incaricato può accedere, una volta accertata l’identità (punti da 12 a 14) 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 40 Password - La normativa della Privacy • • • • 1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di credenziali di autenticazione che consentano il superamento di una procedura di autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti. 2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente associato a un codice identificativo o a una parola chiave, oppure in una caratteristica biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola chiave. 4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per assicurare la segretezza della componente riservata della credenziale e la diligente custodia dei dispositivi in possesso ed uso esclusivo dell'incaricato. 5. La parola chiave è composta da almeno otto caratteri oppure, nel caso in cui lo strumento elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi. 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 41 Password - La normativa della Privacy •6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati, neppure in tempi diversi. •7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo quelle preventivamente autorizzate per soli scopi di gestione tecnica. •8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente all'incaricato l'accesso ai dati personali. •9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento elettronico durante una sessione di trattamento. •10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente l'incaricato dell'intervento effettuato. 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 42 Le sanzioni in materia di psw •Sanzioni amministrative e penali in materia di privacy •Art. 162 e 164-bis (amministrative) e 169 (penali) D.Lgs. 30.6.2003, n. 196 - Misure di sicurezza •Chiunque omette di adottare le misure minime è punito con sanzioni amministrative che variano da 10.000 a 120.000 aumentabili a da 50.000 a 300.000 e in caso di maggiore gravità fino al doppio, mentre le sanzioni penali prevedono l'arresto sino a due anni (o la sanzione amministrativa pari al quarto del massimo). •Principali reati penali in protezione del domicilio informatico •1. Art. 640-ter Codice Penale - Frode informatica •Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032. •2. Art. 615-ter e quater Codice Penale - Accesso abusivo ad un sistema informatico o telematico •Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza è punito con la reclusione fino a tre anni con codici accesso indebitamente acquisiti •3. Art. 635-bis Codice Penale - Danneggiamento di sistemi informatici •Chiunque distrugge o rende inservibili sistemi informatici o telematici è punito con la reclusione da sei mesi a tre anni 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 43 La giurisprudenza in materia di psw – Licenziamento dipendente in caso di comunicazione a terzi di Psw - Cass. 9/5 13/9/2006 n. 19554 – Rifiuto del dipendente di rivelare le Psw al datore di lavoro - Tribunale Trento 31/3/2009 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 44 Misure di sicurezza dei dati personali Creare una psw forte •Provvedimento del garante del 13 ottobre 2008 per i supporti rimovibili e dati sensibili •1. La criptazione dei dati •2. La cancellazione sicura dei dati •3. Reimpiego/Riciclo Vs. Smaltimento degli apparecchi elettronici – Parola chiave: non contiene riferimenti agevolmente riconducibili all’incaricato – Una password deve essere casuale, unica e non prevedibile – Da utilizzare set di caratteri diversi con maiuscole/minuscole /Punteggiatura/simboli presenti sulla tastiera (es: \) e non presenti (es: ©) ed anche gli spazi • – Passando da 7 a 9 selezioni le permutazioni possibili passano da 10 milioni a 1 miliardo •Prescrizioni del garante del 18 settembre 2008 per Anagrafe Tributaria – Per dati particolarmente importanti da una lunghezza standard di 15 caratteri passiamo ad almeno 30 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 45 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] Le tecniche di accesso e di difesa delle password 47 Creare una Psw forte – Tecnica consolidata di creazione: impiego di frasi – Prendiamo un modo di dire/filastrocca e storpiamola/mescoliamola/sminuzziamola/ripetiamola/aggiung iamo punteggiatura/ inseriamo errori di digitazione e frasi insensate – Ingegneria sociale Vs. Password cracking – Dictionary attack - Attacco a forza bruta - Le Rainbow tables – Attacchi on line Vs. Attacchi offline 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] • Esempio: 46 • Ros so di sera bel mondo si spara • A caval dorato non si guarda in bocca • …..a ca val do ra to----- 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 48 Le password su chiavetta USB Creare una Psw forte – – – – Utilizzo di frasi con anche ripetizioni: 1. Comprare altre 25banane 2. Pirata-Navepirata Esempi di password deboli: •Un esempio di chiavetta USB biometrica per la gestione delle Psw e molto altro • 1. Pippo - Mario - 5nov60 - Gatto Silvestro • 2. Pippo22 - Mario66 - 511601- 60Gatto5nov60 • 3. @i@@o22 - nasio66 - 5aa60a • 4. Qwerty - 12345678 - bcde2345 • 5. 9xy12:zb – Verifica forza della password 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 49 Custodia e gestione delle Psw nei sistemi 51 Le password su chiavetta USB ² Lettore di impronte digitali ² Memoria flash con dimensioni da 1 a 16 GB ² Possibilità di criptare file/cartelle in maniera sicura ² Applicazioni/dati non removibile dalla chiavetta con database sicuro ² Archiviazione e gestione sicura password ² Contact manager ² Window’s Logon ² Gestione amministrativa e remota ² Gestione email criptate ² Versione integrata con Voip ² Back up e Restore Tool – Custodia delle password: in chiaro o cifrate – Browser Explorer (Opzioni Internet - Contenuto Completamento automatico e Generale - Cronologia esplorazioni) – Firefox Mozilla (Tools - Opzioni - Sicurezza Passwords) – L’utilizzo di token o altri supporti 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 50 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 52 Le password su chiavetta USB: altre soluzioni Legislazione significativa in materia di password e sicurezza dei dati personali • • – Le chiavette USB con sistema operativo Linux – Le chiavette USB enterprise con protezioni certificate • • • • • 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 53 1. Verifica qualità della psw utilizzata 2. Verifica dove conservo le password 3. Esiste una scadenza 4. Sistema prevede il blocco per continui errori input 5. Evitare le Psw condivise 6. Cessazione attività: prevedi il blocco Psw 7. Prevedere la formazione personale in merito Psw 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 55 Bibliografia e fonti web La check-list della password • • • • • • • Testo Unico sulla Privacy http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248 Provvedimento Garante - Rifiuti di apparecchiature elettriche ed elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre 2008 http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514 Prescrizioni del Garante - Anagrafe tributaria: sicurezza e accessi - 18 settembre 2008 http://www.garanteprivacy.it/garante/doc.jsp?ID=1549548 Particolari accertamenti garante - Provvedimenti del 15.11.2007 e 13.10.08 al Tribunale Ordinario di Roma http://www.garanteprivacy.it/garante/doc.jsp?ID=1480605 http://www.garanteprivacy.it/garante/doc.jsp?ID=1565790 54 •Bibliografia: •La password perfetta - Trucchi, segreti e tecniche per creare password efficaci e sicure M. Burnett e D. Kleiman - Mondadori Informatica - 2006 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 56 Bibliografia e fonti web • Password manager: • Versione a pagamento TK8 safe • Versione freeware Password safe www.tk8.com/safe.asp Grazie per l’attenzione http://passwordsafe.sourceforge.net Paolo Luppi - [email protected] • Recupero password: • Password cracker per SO • Password cracker per applicativi www.lostpassword.com http://lastbit.com • www.ophcrack.sourceforge.net www.elcomsoft.com9 • Recupero logon di sistema www.loginrecovery.com • 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 57 Bibliografia e fonti web • Controllo password: • www.passwordmeter.com • www.microsoft.com/protect/yourself/password/checker.mspx • Chiavetta speciale: • Iron Key https://www.ironkey.com • Pulizia, recupero e cancellazione sicura file: • • Piriform (CCleaner e Recuva) www.piriform.com Eraser http://eraser.heidi.ie/ 1 Dicembre 2010 - Dr. Paolo Luppi [email protected] 58