Studi recenti in merito alla sicurezza
informatica
S.A.F.
SCUOLA DI ALTA FORMAZIONE
1.
Commissione Informatica
2.
3.
I furti digitali superano quelli materiali; criminalità
informatica, il nuovo business del futuro
Botnet – Il futuro del cybercrimine
Report Symantec giugno 2010 sulle piccole-medie imprese
Sicurezza dei dati: esempi pratici dei
rischi connessi con l’utilizzo dei
dispositivi elettronici
Dr. Paolo Luppi - [email protected]
1 Dicembre 2010
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
Indice
Identità digitale e anonimato
1. Come posso utilizzare strumenti elettronici senza
correre il rischio di essere ostacolato, localizzato,
ascoltato, individuato? Quali strumenti usare?
2. La sicurezza del sistema (Hardening del S.O.)
3. Abilitazione delle possibilità di gestione sicura della
privacy per tutti gli strumenti in uso
4. Uso di tecniche crittografiche e Vpn
5. Pulizia del sistema attraverso appositi tool
– Studi recenti in merito alla sicurezza informatica
– Identità digitale e anonimato: quali strumenti
adottare
– Pulizia del Pc
– La telefonia Voip
– Voip: il caso Skype
– Gli smart phones
– La gestione delle password
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
3
2
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
4
Pulizia del sistema
Pulizia del sistema
1.
2.
3.
4.
5.
6.
7.
8.
Rimuovere i file temporanei dalle corrispondenti cartelle di
Windows
Rimuovere le tracce delle ricerche dei file e del computer su
dischi e computer connessi alla rete locale
Pulire l'elenco dei documenti usati di recente
Pulire l'elenco delle operazioni di Windows
Pulire la cronologia file aperti/salvati
Eliminare l'elenco delle password di sistema degli utenti
Pulire la directory Prefetch Windows, dove Windows
conserva le informazioni relative ai programmi eseguiti
oppure avviati di recente
Pulire le informazioni dei Browser
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
5
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
Pulizia del sistema
con CCleaner (www.piriform.com)
Pulizia del sistema
1.
2.
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
7
6
3.
Distruggere in modo sicuro i dati nel Cestino di Windows
Pulire lo spazio libero sul disco rigido da ogni traccia
d'informazioni precedentemente memorizzate
Eseguire la distruzione sicura dei file e delle cartelle
4.
Recuperare file e cartelle
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
8
Pulizia del sistema
con Eraser (eraser.heidi.ie)
Pulizia del sistema con CCleaner
Method Name
N. of Passes
Description
Pseudorandom data
1
The fastest wiping scheme. Your data is overwritten with random data CSPRNG the
data is indistinguishable from random noise.)
British HMG IS5 (Baseline) (1
pass)
1
Your data is overwritten with zeroes.
Russian GOST P50739-95
2
GOST P50739-95 wiping scheme calls for a single pass of zeroes followed by a
single pass of random data
British HMG IS5 (Enhanced)
3
British HMG IS5 (Enhanced) is a three pass overwriting algorithm: first pass – with
zeroes, second pass – with ones and the last pass with random data.
US Army AR380-19
3
AR380-19 is data wiping scheme specified and published by the U.S. Army.
AR380-19 is three pass overwriting algorithm: first pass – with random data, second
with a random byte and the third pass with the complement of the 2nd pass
US Department of Defense DoD
5220.22-M(ECE)
7
DoD 5220.22-M(ECE) is seven pass overwriting algorithm: first, fourth and fifth
pass with a random byte, its 8 right-bit shift complement and 16 right-bit shift
complement; second and sixth passes with zeroes, and third and seventh pass with
random data
Schneier’s Algorithm
7
The Bruce Schneier algorithm has seven passes: first pass – with ones, the second
pass – with zeroes and then five times with random data
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
9
Pulizia del sistema
con Eraser
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
11
Recupero dati con Recuva
(www.piriform.com)
-
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
10
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
12
Recupero dati con Recuva
(www.piriform.com)
Pulizia del sistema – File di swap
1. Funzionamento della Ram in un Pc - Necessità di
gestire una memoria virtuale in aiuto alla
limitatezza della memoria Ram
2. Tutti i dati delle applicazioni in esecuzione prima
dello spegnimento del Pc vengono scritti in chiaro
su un file
3. Disabilitare la funzione attraverso gli Strumenti di
amministrazione ( Criteri di protezione locale –
Criteri locali – Opzioni di protezione – Arresto del
sistema:Cancella il file di paging)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
13
Pulizia del sistema - Ibernazione
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
15
Pulizia del sistema
1. Ibernazione di Windows: una funzione da
conoscere bene. Il file Hiberfile.sys
2. Tutti i dati delle applicazioni in esecuzione prima
dello spegnimento del Pc vengono scritti in chiaro
su un file
3. Disabilitare la funzione attraverso il Pannello di
Controllo (Opzioni – Risparmio di Energia –
Sospensione)
4. In caso contrario utilizzare la criptazione del SO
(esempio: Truecrypt)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
14
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
16
Aspetti generali di Skype
La telefonia Voip
1.
2.
3.
4.
Voip (Voce tramite protocollo Internet) (Voice over Internet
Protocol), sistema che consente una conversazione telefonica
sfruttando il Web, anzichè passare attraverso la rete
telefonica tradizionale
Voip gateway, sono apparati Hw che consentono di
interfacciare la rete tradizionale con quella Voip
Centralino IP PBX, gestisce sia linee analogiche, linee digitali
(ISDN) che Voip contemporaneamente
SIP è un protocollo sempre più utilizzato nella telefonia Voip
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
17
Aspetti generali di Skype
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
19
Aspetti generali di Skype: funzioni
x Skype è un client di comunicazione creato nel 2003 da
Janus Friis e Niklas Zennstrom, ideatori di Kazaa
x Il suo scopo primario è quello di consentire chiamate
audio/video gratuite tra due computer connessi ad
Internet indipendentemente dalla loro collocazione fisica
x Sono possibili le interazioni con la rete PSTN e mobile
(Skype-OUT e Skype-IN)
x Skype ha sede legale in Lussemburgo e sedi
tecnico/operative in Europa, Asia ed America
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
• Utilizza una tecnologia Voip proprietaria che consente
la conversione della voce in pacchetti dati compatibili
con la trasmissione sulla rete
• E’ disponibile per: Windows, Linux, MAC-OS, iPhone,
Symbian
• Ha superato i 20 milioni di utenti concorrenti e gestisce
quasi il 10% di tutti i minuti globali di conversazione
telefonica
18
Oltre alla comunicazione vocale consente tra l’altro:
• Gestione della lista dei contatti
• Scambio di messaggi di testo (chat)
• Condivisione di file
• Videochiamate
• Interazione con la rete telefonica fissa e mobile (SkypeIN e Skype Out) + SMS
• Casella vocale
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
20
Architettura di Skype: Super Node
Aspetti generali di Skype:
il perché di un successo
• Velocità: Efficienti algoritmi d’instradamento consentono
bassi tempi di creazione della comunicazione
• Efficienza: codec proprietari consentono una ottima
qualità audio anche su linee a bassa capacità
• Robustezza: l’architettura distribuita consente di
tollerare milioni di utenti
• Riservatezza: le tecnologie di cifratura e autenticazione
forte (AES 256 bit e certificati digitali) tra i due peer
rendono la comunicazione estremamente sicura
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
21
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
23
Skype: aspetti di interesse
Architettura Skype: I tre livelli
• Skype si definisce un costruttore di software per la
comunicazione Internet e non si ritiene un operatore
pubblico di telecomunicazioni perché non dispone di
alcuna infrastruttura fisica
• Non si ritiene soggetto alle prestazioni obbligatorie
sull’intercettazione di comunicazioni che tali soggetti
devono assicurare in Italia
• I Login Server sono gli unici componenti centrali
dell’infrastruttura di comunicazione
• Contengono le username e password di tutti gli utenti
• Assicurano l’unicità dei nomi eliminando le collisioni
• Vengono contattati per la validazione delle credenziali
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
• Per accedere alla nuvola Skype il client deve anche
connettersi ad un supernode (SN)
• I SN contengono una piccola parte dell’intera lista degli
utenti registrati ed assicurano l’instradamento delle
chiamate
• I client comunicano in genere direttamente. Quando non
possono farlo, è compito dei SN realizzare le
conversazioni
• I SN non appartengono a Skype ed ogni computer con
ip pubblico e sufficienti risorse può essere nominato
supernode (anche il vostro)
22
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
24
La riservatezza non basta
Deep Packet Inspection: pro
• La protezione della transazione end to end è senza
dubbio formidabile
• Tuttavia è possibile, pur non comprendendo il significato
della comunicazione, tentare di identificare il traffico
Skype, al fine di localizzare le parti oppure di impedire il
colloquio
• Per farlo servono strumenti di DPI
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
25
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
27
Deep Packet Inspection: contro
Deep Packet Inspection
• La DPI è la capacità di alcuni dispositivi di rete di
ispezionare, oltre all’header (Shallow Inspection) anche
il payload di un pacchetto dati
• Scopo della DPI è l’identificazione di protocolli,
applicazioni e flussi per poi prendere decisioni
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
La DPI ha campi di applicazione fondamentali per le reti:
• Apparati di rete (router e switch)
• Firewall
• Intrusion Detection & Prevention
• Protezione del segreto industriale
• Gestione della banda trasmissiva
26
Ma può anche essere usata per compiere operazioni sul
traffico in transito :
•Modifica
•Filtro
•Blocco
•Redirezione
•Identificazione delle parti
Se usata male può quindi divenire uno strumento di
censura e violazione della privacy
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
28
Deep Packet Inspection: come funziona
• Le applicazioni vengono riconosciute tramite le loro
“impronte digitali”
• Ogni applicazione ha dei pattern unici che portano alla
sua identificazione
• Tali pattern vengono contenuti in una database
(signature library) ed aggiornati di frequente poiché
possono cambiare a seguito del rilascio di una nuova
versione
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
29
Deep Packet Inspection: come funziona
Metodi di analisi dei pattern:
• Porta TCP/UDP
• String matching
• Proprietà numeriche dei pacchetti dati (numero o
lunghezza)
• Analisi del comportamento/statistica dei pacchetti
Per minimizzare i falsi positivi/negativi vengono impiegati
più metodi
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
30
Deep Packet Inspection: Skype
Il traffico Skype è difficile da riconoscere:
• Porte ed indirizzi ip dei SN scelti random
• Pochi pattern noti e variabili con la versione
• Se un flusso viene bloccato, Skype tenta altre porte ed
altri protocolli
In ogni caso, usando tutte le tecniche di DPI viste, è
possibile rilevare una comunicazione Skype, ma solo se
la si osserva dall’inizio
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
31
Skype: se la privacy non basta
•Devo quindi impedire almeno l’identificazione dei
parametri di rete:
-indirizzo ip sorgente (il mio)
-indirizzo ip destinazione (del mio interlocutore)
•Se riesco anche il fatto che sto usando Skype risulta
nascosto
•Posso usare un Proxy oppure una VPN
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
32
Skype: alla ricerca di indizi
Skype: il problema della cronologia
• Nonostante la difficoltà di decifrare le informazioni
inviate sul canale, l’analisi dei file prodotti da Skype può
fornire indicazioni importanti
• Per esempio in una postazione con Sistema Operativo
Win XP in uso all’utente Pippo con account XY i file
sono salvati nella cartella: C:\Documents and
Settings\Pippo\Dati applicazioni\Skype\XY (rel. 3.8)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
33
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
35
Skype: alla ricerca di indizi
Skype: alla ricerca di indizi
I file prodotti dal client Skype offrono informazioni su:
• Contatti (es. config.xml)
• Chiamate (es. call123.dbb ecallmember456.dbb)
• Messaggi di chat (es.chat012.dbb/*.dat)
• Caselle vocali (es.voicemail012.dbb)
• Profilo utente (es. profile012.dbb)
• Trasferimenti di file (es. transfer012.dbb)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
Ogni file .dbb:
• E’ strutturato in record suddivisi in campi
• Ha un nome che ne ricorda la funzione, un numero che
indica la lunghezza max del record
Ogni record:
• Comincia con l’header: 0x6c 0x33 0x33 0x6C (l33l)
• Segue un campo di 4 byte che indica la lunghezza
• Segue un numero di sequenza di 4 byte (solo per
comunicazioni) visto che i record potrebbero essere
suddivisi su più file
• Ha altri campi di lunghezza variabile identificati da appositi
codici di 2 byte (es. 0xA10x01 indica il timestamp)
•Per esempio, poiché la cronologia è per default attiva,
dal file 0be65ebb0346d372.dat nella cartella
C\Documents and Settings\Pippo\Dati
applicazioni\Skype\XY\0b si possono leggere i messaggi
di chat… in chiaro
•Per esempio, dal file config.xml si può ricavare la buddy
list… in chiaro
34
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
36
Skype: alla ricerca d’indizi
Gli Smart phones
• La rel. 4.1 (l’ultima è la 4.2) elimina l’uso dei file .dbb
ed introduce l̏uso dei database Sql Lite vers. 3 (.db)
• Se è abilitata la cronologia, le conversazioni chat si
trovano sia nei file .dat che in main.db
• Main.db è ispezionabile con appositi programmi
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
1. Come sono costruiti: una componente telefonica e
funzionalità di un PDA (un Pc portatile)
2. La parte PDA offre vari SO a seconda del produttore
(Windows CE, Symbian OS, Android, WebOs,
iPhone OS, Linux, altri minori)
3. Dati registrati. Problema gestione sicurezza
37
Skype: contromisure alla ricerca di indizi
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
39
Password - La normativa della Privacy
²Testo Unico sulla Privacy - Art. da 31 a 34
Quindi per un uso più sicuro di Skype è necessario:
• Cancellare la cronologia, se presente
• Non conservare la cronologia (Menu: strumenti-opzioniPrivacy)
• Evitare l’auto logon (Autenticami all’avvio di Skype)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
38
²Disciplinare Allegato B - Punti da 1 a 14
²Trattamento di dati con strumenti elettronici
–Sistema di autenticazione: individua con certezza
il soggetto che accede ai dati - possibilità di
ricostruire eventi (punti da 1 a 11)
–Sistema di autorizzazione: stabilisce quali sono i
dati cui l’incaricato può accedere, una volta
accertata l’identità (punti da 12 a 14)
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
40
Password - La normativa della Privacy
•
•
•
•
1. Il trattamento di dati personali con strumenti elettronici è consentito agli incaricati dotati di
credenziali di autenticazione che consentano il superamento di una procedura di
autenticazione relativa a uno specifico trattamento o a un insieme di trattamenti.
2. Le credenziali di autenticazione consistono in un codice per l'identificazione dell'incaricato
associato a una parola chiave riservata conosciuta solamente dal medesimo oppure in un
dispositivo di autenticazione in possesso e uso esclusivo dell'incaricato, eventualmente
associato a un codice identificativo o a una parola chiave, oppure in una caratteristica
biometrica dell'incaricato, eventualmente associata a un codice identificativo o a una parola
chiave.
4. Con le istruzioni impartite agli incaricati è prescritto di adottare le necessarie cautele per
assicurare la segretezza della componente riservata della credenziale e la diligente custodia
dei dispositivi in possesso ed uso esclusivo dell'incaricato.
5. La parola chiave è composta da almeno otto caratteri oppure, nel caso in cui lo strumento
elettronico non lo permetta, da un numero di caratteri pari al massimo consentito; essa non
contiene riferimenti agevolmente riconducibili all'incaricato ed è modificata da quest'ultimo al
primo utilizzo e, successivamente, almeno ogni sei mesi. In caso di trattamento di dati
sensibili e di dati giudiziari la parola chiave è modificata almeno ogni tre mesi.
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
41
Password - La normativa della Privacy
•6. Il codice per l'identificazione, laddove utilizzato, non può essere assegnato ad altri incaricati,
neppure in tempi diversi.
•7. Le credenziali di autenticazione non utilizzate da almeno sei mesi sono disattivate, salvo
quelle preventivamente autorizzate per soli scopi di gestione tecnica.
•8. Le credenziali sono disattivate anche in caso di perdita della qualità che consente
all'incaricato l'accesso ai dati personali.
•9. Sono impartite istruzioni agli incaricati per non lasciare incustodito e accessibile lo strumento
elettronico durante una sessione di trattamento.
•10. Quando l'accesso ai dati e agli strumenti elettronici è consentito esclusivamente mediante
uso della componente riservata della credenziale per l'autenticazione, sono impartite idonee e
preventive disposizioni scritte volte a individuare chiaramente le modalità con le quali il titolare
può assicurare la disponibilità di dati o strumenti elettronici in caso di prolungata assenza o
impedimento dell'incaricato che renda indispensabile e indifferibile intervenire per esclusive
necessità di operatività e di sicurezza del sistema. In tal caso la custodia delle copie delle
credenziali è organizzata garantendo la relativa segretezza e individuando preventivamente per
iscritto i soggetti incaricati della loro custodia, i quali devono informare tempestivamente
l'incaricato dell'intervento effettuato.
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
42
Le sanzioni in materia di psw
•Sanzioni amministrative e penali in materia di privacy
•Art. 162 e 164-bis (amministrative) e 169 (penali) D.Lgs. 30.6.2003, n. 196 - Misure di sicurezza
•Chiunque omette di adottare le misure minime è punito con sanzioni amministrative che variano da 10.000 a
120.000 aumentabili a da 50.000 a 300.000 e in caso di maggiore gravità fino al doppio, mentre le sanzioni
penali prevedono l'arresto sino a due anni (o la sanzione amministrativa pari al quarto del massimo).
•Principali reati penali in protezione del domicilio informatico
•1. Art. 640-ter Codice Penale - Frode informatica
•Chiunque, alterando in qualsiasi modo il funzionamento di un sistema informatico o telematico o intervenendo
senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o
telematico o ad esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la
reclusione da sei mesi a tre anni e con la multa da euro 51 a euro 1.032.
•2. Art. 615-ter e quater Codice Penale - Accesso abusivo ad un sistema informatico o telematico
•Chiunque abusivamente si introduce in un sistema informatico o telematico protetto da misure di sicurezza è
punito con la reclusione fino a tre anni con codici accesso indebitamente acquisiti
•3. Art. 635-bis Codice Penale - Danneggiamento di sistemi informatici
•Chiunque distrugge o rende inservibili sistemi informatici o telematici è punito con la reclusione da sei mesi a
tre anni
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
43
La giurisprudenza in materia di psw
– Licenziamento dipendente in caso di
comunicazione a terzi di Psw - Cass. 9/5 13/9/2006 n. 19554
– Rifiuto del dipendente di rivelare le Psw al
datore di lavoro - Tribunale Trento 31/3/2009
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
44
Misure di sicurezza dei dati personali
Creare una psw forte
•Provvedimento del garante del 13 ottobre 2008
per i supporti rimovibili e dati sensibili
•1. La criptazione dei dati
•2. La cancellazione sicura dei dati
•3. Reimpiego/Riciclo Vs. Smaltimento degli
apparecchi elettronici
– Parola chiave: non contiene riferimenti agevolmente
riconducibili all’incaricato
– Una password deve essere casuale, unica e non prevedibile
– Da utilizzare set di caratteri diversi con maiuscole/minuscole
/Punteggiatura/simboli presenti sulla tastiera (es: \) e non
presenti (es: ©) ed anche gli spazi
•
– Passando da 7 a 9 selezioni le permutazioni possibili passano
da 10 milioni a 1 miliardo
•Prescrizioni del garante del 18 settembre 2008
per Anagrafe Tributaria
– Per dati particolarmente importanti da una lunghezza
standard di 15 caratteri passiamo ad almeno 30
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
45
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
Le tecniche di accesso e di difesa
delle password
47
Creare una Psw forte
– Tecnica consolidata di creazione: impiego di frasi
– Prendiamo un modo di dire/filastrocca e
storpiamola/mescoliamola/sminuzziamola/ripetiamola/aggiung
iamo punteggiatura/ inseriamo errori di digitazione e frasi
insensate
– Ingegneria sociale Vs. Password cracking
– Dictionary attack - Attacco a forza bruta - Le
Rainbow tables
– Attacchi on line Vs. Attacchi offline
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
• Esempio:
46
•
Ros so di sera bel mondo si spara
•
A caval dorato non si guarda in bocca
•
…..a ca val do ra to-----
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
48
Le password su chiavetta USB
Creare una Psw forte
–
–
–
–
Utilizzo di frasi con anche ripetizioni:
1. Comprare altre 25banane
2. Pirata-Navepirata
Esempi di password deboli:
•Un esempio di chiavetta USB biometrica per la
gestione delle Psw e molto altro
• 1. Pippo - Mario - 5nov60 - Gatto Silvestro
• 2. Pippo22 - Mario66 - 511601- 60Gatto5nov60
• 3. @i@@o22 - nasio66 - 5aa60a
• 4. Qwerty - 12345678 - bcde2345
• 5. 9xy12:zb
– Verifica forza della password
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
49
Custodia e gestione delle Psw nei
sistemi
51
Le password su chiavetta USB
² Lettore di impronte digitali
² Memoria flash con dimensioni da 1 a 16 GB
² Possibilità di criptare file/cartelle in maniera sicura
² Applicazioni/dati non removibile dalla chiavetta con database
sicuro
² Archiviazione e gestione sicura password
² Contact manager
² Window’s Logon
² Gestione amministrativa e remota
² Gestione email criptate
² Versione integrata con Voip
² Back up e Restore Tool
– Custodia delle password: in chiaro o cifrate
– Browser Explorer (Opzioni Internet - Contenuto Completamento automatico e Generale - Cronologia
esplorazioni)
– Firefox Mozilla (Tools - Opzioni - Sicurezza Passwords)
– L’utilizzo di token o altri supporti
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
50
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
52
Le password su chiavetta USB:
altre soluzioni
Legislazione significativa in materia di
password e sicurezza dei dati personali
•
•
– Le chiavette USB con sistema operativo Linux
– Le chiavette USB enterprise con protezioni
certificate
•
•
•
•
•
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
53
1. Verifica qualità della psw utilizzata
2. Verifica dove conservo le password
3. Esiste una scadenza
4. Sistema prevede il blocco per continui errori input
5. Evitare le Psw condivise
6. Cessazione attività: prevedi il blocco Psw
7. Prevedere la formazione personale in merito Psw
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
55
Bibliografia e fonti web
La check-list della password
•
•
•
•
•
•
•
Testo Unico sulla Privacy http://www.garanteprivacy.it/garante/doc.jsp?ID=1311248
Provvedimento Garante - Rifiuti di apparecchiature elettriche ed
elettroniche (Raae) e misure di sicurezza dei dati personali - 13 ottobre
2008
http://www.garanteprivacy.it/garante/doc.jsp?ID=1571514
Prescrizioni del Garante - Anagrafe tributaria: sicurezza e accessi - 18
settembre 2008
http://www.garanteprivacy.it/garante/doc.jsp?ID=1549548
Particolari accertamenti garante - Provvedimenti del 15.11.2007 e
13.10.08 al Tribunale Ordinario di Roma http://www.garanteprivacy.it/garante/doc.jsp?ID=1480605 http://www.garanteprivacy.it/garante/doc.jsp?ID=1565790
54
•Bibliografia:
•La password perfetta - Trucchi, segreti e
tecniche per creare password efficaci e sicure M. Burnett e D. Kleiman - Mondadori
Informatica - 2006
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
56
Bibliografia e fonti web
• Password manager:
•
Versione a pagamento
TK8 safe
•
Versione freeware
Password safe
www.tk8.com/safe.asp
Grazie per l’attenzione
http://passwordsafe.sourceforge.net
Paolo Luppi - [email protected]
• Recupero password:
•
Password cracker per SO
•
Password cracker per applicativi www.lostpassword.com http://lastbit.com
•
www.ophcrack.sourceforge.net
www.elcomsoft.com9
•
Recupero logon di sistema
www.loginrecovery.com
•
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
57
Bibliografia e fonti web
• Controllo password:
• www.passwordmeter.com
• www.microsoft.com/protect/yourself/password/checker.mspx
• Chiavetta speciale:
•
Iron Key
https://www.ironkey.com
• Pulizia, recupero e cancellazione
sicura file:
•
•
Piriform (CCleaner e Recuva) www.piriform.com
Eraser http://eraser.heidi.ie/
1 Dicembre 2010 - Dr. Paolo Luppi [email protected]
58