La sicurezza informatica nello studio legale Alessandro Tanasi alessandro@tanasi .it http://www.tanasi.it Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 1 Introduzione definizioni ● la sicurezza ● gli obbiettivi da difendere ● Con sicurezza di informazioni e sistemi informativi si intende mantenere e controllare: segretezza: il corretto livello di confidenzialità integrità: evitate la loro manomissione o la loro perdita disponibilità: risorse sempre pronte per l'uso in alcuni casi anche: AAA: autenticazione, autorizzazione e registrazione non repudiation: nonLa sicurezza si possono negare le informatica nello studio legale Alessandro Tanasi - [email protected] 2 La minaccia? ● ● falsi miti ● la differenza tra hacker e cracker ● Hacker [1] [2]: A person who enjoys exploring the details of programmable systems and how to stretch their capabilities Cracker [1] [3]: is a malicious or criminal hacker [1] http://catb.org/jargon/ [2] http://en.wikipedia.org/wiki/Hacker [3] http://en.wikipedia.org/wiki/Black_ha Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 3 La minaccia concreta truffatori e criminali ● programmi automatici e dilettanti ● attacchi professionali ● truffe, in particolare spam e phishing attacchi automatizzati e script kiddies (inesperti, vandali) virus e spyware: Although 99% of companies use antivirus software, 82% of them were hit by viruses [1] abusi: 80 percent of companies reported that employees had abused Internet privileges, such as downloading pornography or pirated software [1] [1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 4 Nel dettaglio.. Alessandro Tanasi - [email protected] la maggior parte dei danni e' causata dai virus ● l'attacco “umano” e' raro ● La sicurezza informatica nello studio legale 5 Strumenti a disposizione tecniche matematiche (crittografia) ● finanziamenti per strutture e personale ● La matematica: la crittografia archiviazione di dati cifrati e firma digitale autenticazione e non ripudio realizzazione di comunicazioni sicure su canale insicuro Investimenti in tecnologia (apparati di protezione e autenticazione, aggiornamenti) Analisi e definizione dei rischi Personale (può essere un punto debole) Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 6 Livelli di sicurezza valutazione di un livello di sicurezza adeguato ● la sicurezza è un processo ● la sicurezza si costruisce ogni giorno ● Eliminazione del rischio per quanto possibile dalla tecnologia Che informazioni tratto? Comprensione del pericolo Chi è interessato a e sua riduzioni con azioni proporzionali queste informazioni? Rispetto la Legge? Sicurezza? Cosa? Quale livello di sicurezza voglio La sicurezza è un processo che richiede garantire? investimenti costanti, azioni correttive risultanti da una scelta di compromesso tra esigenze dell'utente e impegno richiesto, in coerenza con lo scenario, l'identificazione e valutazione rischi. Alessandro Tanasi - [email protected] La sicurezza dei informatica nello studio legale 7 Problematiche sicurezza affrontata a vari livelli ● tutti insieme contribuiscono ● il sistema e' debole come il livello piu' debole ● Livelli di problemi diversi, tutti devono essere affrontati: Applicazione Host Rete interna Sicurezza dell'host Accesso al mondo Sicurezza fisica Sicurezza di rete Comprensione del problema Sicurezza fisica Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 8 Sicurezza Fisica cose ovvie e semplici ● esempi di errori tipici ● Perchè ricorrere a una complicata violazione informatica quando quello che ci serve è appoggiato su una scrivania? password su postit documenti cestinati documenti visibili eccessi di fiducia terminali accesi Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 9 Ambiente di lavoro un minimo di sorveglianza ● controllo sul flusso dell'informazione ● essere pronti al peggio ● controllo dell'accesso ai locali, policy di accesso trattare nel modo dovuto i documenti (ad es. in cartelline) non lasciare informazioni nei rifiuti attenzione a come vengono portati dati fuori dall'ufficio porre attenzione ai piccoli dettagli dei computer (segni di scasso) prevenzione di incendi, allagamenti ecc. Le cose ovvie spesso vengono trascurate! Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 10 Social Engineering Tecnico Telecom, devo fare un controllo sulla linea Prego, ci vuole molto? facilitato dalla scarsa malizia ● permette la raccolta di informazioni ● semplice da mettere in atto ● Social Engineering [1]: ottenere informazioni confidenziali manipolando e ingannando le persone con imbrogli ad arte. le persone danno fiducia al contesto di una conversazione mancanza di paranoia in particolare nella routine quotidiana mancanza di training del personale, mancanza di [1] http://www.securityfocus.com/infocus/1527 Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 11 Sicurezza dell'host errori comuni dell'utente ● debolezza di sistemi operativi e applicazioni ● continua attività maligna proveniente da internet ● Virus Melissa: 6,7 miliardi di dollari di danni Un sistema Windows collegato a internet senza essere protetto dopo pochi minuti è già compromesso Abitudine di cliccare su “avanti” senza leggere Configurazioni errate Accessi non controllati Sistemi installati e mai configurati Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 12 Il fattore umano causa la maggior parte delle compromissioni ● la soluzione più efficace è usare il buon senso ● La sicurezza di un singolo computer viene violata in particolare a causa di errori umani. non aprire email ingenuamente non eseguire programmi di cui non è certa la provenienza utilizzo improprio del ambiente lavorativo (ad es. p2p) scelta di password deboli mai cambiate Semplicemente bisogna usare del buon senso Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 13 Virus alta virulenza ● necessita' di programmi di difesa attiva e passiva ● i programmi di difesa devono essere aggiornati ● Circa 40 nuovi virus e worm vengono creati ogni giorno In 10 minuti un virus può infettare oltre 400000 hosts nel mondo Virus, worm [1]: un programma che si replica e si diffonde autonomamente Fondamentale installare un antivirus e un programma anti spyware che devono essere mantenuti costantemente aggiornati (almeno giornalmente). [1]: http://en.wikipedia.org/wiki/Computer_virus Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 14 Firewall internet è una fonte di traffico maligno ● non esporre le vulnerabilità dell'host al mondo ● ci permette di controllare il traffico dalla rete all'host ● Firewall [1]: strato che si interpone tra l'host (o la rete) e il mondo esterno bloccando l'attività di rete non voluta. Protegge l'host dallo sfruttamento delle sue vulnerabilità (del sistema operativo, delle applicazioni) Permette solo il traffico prescelto Permette di circoscrivere servizi Difende il perimetro [1]: http://en.wikipedia.org/wiki/Firewall_%28networking Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 15 Sicurezza del singolo Host host non aggiornati sono vulnerabili ● servizi non utilizzati sono un punto d'ingresso in più ● essere sempre pronti alla disfatta facendo dei backup ● Aggiornare il sistema operativo e le applicazioni Disabilitare i controli ActiveX di Internet Explorer Disabilitare i servizi non necessari (ad es. MSN) Pianificare dei backup del sistema (...e farli) ...ma il tutto deve essere bilanciato tra sicurezza e usabilita' Mantenere il proprio computer aggiornato, facendo scansioni, manutenzione e backup periodici. Tutto questo nonLapreviene gli nello errori umani! Alessandro Tanasi - [email protected] sicurezza informatica studio legale 16 Sintomi di violazione come accorgersi di una intrusione ● sintomi da rinoscere ● Rallentamenti del sistema Uso anomalo della rete (alto traffico) e suoi rallentamenti Comparsa di file sospetti, icone e programmi non voluti Malfunzionamento di programmi (in particolare antivirus) Tutto quello che è diverso dal normale se non sono stati apportati cambimenti Uso eccessivo della CPU e del HD Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 17 Disaster Recovery i disastri accadono (prima o poi) ● non facciamoci trovare impreparati ● E' avvenuto un incidente informatico, cosa fare? In caso di disastro cosa fare? Pensare alle principali evenienze Pianificare una risposta ad esse Descrivere la risposta in Esempi: appositi manuali con un pianificazione dei backup linguaggio semplice pianificazione di chi chiamare in caso di collasso del collegamento a internet Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 18 Sicurezza di rete conoscenza dell'utilizzo che viene fatto ● definire cosa è un utilizzo normale ● riconoscimento delle anomalie ● Per cosa viene usata la nostra banda? Cosa può fare un malintenzionato dalla nostra rete? Se la nosta rete viene usate per spedire spam? ... e il phishing? ... e il p2p? Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 19 Monitoraggio di rete monitoraggio qualitativo ● monitoraggio quantitativo ● ipotesi sul traffico alla ricerca di anomalie ● Monitoraggio dell'utilizzo da parte del dipendente (proxy) e eventuale blocco automatico Monitoraggio delle risorse (grafici utilizzo banda ecc..) In ambiti particolari: Monitoraggio del contenuto del traffico Sitemi di rilevamento delle intrusioni (IDS) Sistemi di prevenzione delle intrusioni (IPS) Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 20 Comunicazioni Sicure problema dell'intercettazione ● utilizzo della crittografia ● verificare di utilizzare un canale sicuro ● I dati inviati in chiaro possono essere intercettati email web (non https) chat Utilizzo della crittografia per rendere messaggistica incomprensibile la comunicazione siti web protetti (https, certificati digitali) comunicazioni sicure (ad es. chat che utilizzano SSL o altro) crittografia e firma digitale nelle email Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 21 Negazione di servizio interrompere il servizio è un danno economico ● prevedere alcuni tipi di interruzione ● essere pronti a reagire ● Denial of Service (DoS): attacco mirato all'interruzione dell'erogazione di un servizio attacco informatico errore umano problema tecnico necessità di strutture ridondate pezzi di ricambio dati replicati collegamenti ridondanti alimentazione controllata (UPS) Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 22 Enterprise.. o oltre.. dove la sicurezza viene messa al primo posto ● dove tutto deve funzionare ● a cosa guardare per sognare ● sistemi per il rilevamento delle violazione sul singolo host (HIDS, auditing) e per l'apprendimento (honeypots) sistemi per il monitoraggio della rete (monitoring, auditing), rilevazione e prevenzioni sistemi di sorveglianza e delle attività ostili (NIDS, IPS) controlli d'accesso aggiornamento costante di strutture e personale simulazioni e penetration test periodici professionisti AT&T NOC specializzati Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 23 Software Antivirus Norton AVG Clamav Firewall ZoneAlarm iptables Anti spyware / anti trojan Spybot Ad-Aware chkrootkit Alessandro Tanasi - [email protected] selezione di software per la protezione del ufficio ● selezione di software per le sicurezze avanzate ● HIDS Tripwire Samhain NIDS Snort Monitoraggio e scanning nmap nessus ethereal La sicurezza informatica nello studio legale 24 Conclusioni la tecnologia aiuta ma non basta ● la tecnologia non protegge dagli errori umani ● la conoscenza del problema è fondamentale ● Dopo tutto questo (gran mal di testa): la sicurezza è un processo da eseguire ogni giorno strutturato a livelli la tecnologia non protegge host e reti da errori umani e in particolare dalle persone malintenzionate l'uso del buon senso è fondamentale ...questa è appena la punta dell'iceberg; l'importante non è conoscere la soluzione ma avere la consapevolezza che esisteno delle Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 25 Pubblicità Progresso ultimamente sono stati fatti grandi passi avanti ● ma lavorando insieme il mondo si può migliorare ancora ● Il panorama italiano della sicurezza informatico è molto legato alla Legge in materia Le problematiche tecnologiche cambiano rapidamente Le Leggi in materia devono essere Voi sarete i legislatori del domani, rendetevi costantemente adeguate conto del problema, confrontatevi con i tecnici in modo da ottenere una visione globale da ambo le parti del problema ...e esigete che i tecnici (tipicamente elitari) vi aiutino dandovi risposte concrete. Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 26 Domande Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 27 Licenza Questo documento viene rilasciato sotto licenza Alcoolware, la quale non è altro che una normale licenza Creative Commons Attribute-NonCommercial-ShareALike [1] ma con l'aggiunta che se mi incontrate dobbiamo andare a bere qualcosa. In sintesi è liberamente distribuibile per usi non commerciali, copiabile e modificabile purchè citiate l'autore e la fonte. Se volete distribuire questo documento sul vostro sito siete pregati per favore di comunicarmelo in modo che possa spedirvi le [1] http://creativecommons.org/licenses/by-ncnuove versioni. sa/2.0/ Alessandro Tanasi - [email protected] La sicurezza informatica nello studio legale 28