La sicurezza informatica
nello studio legale
Alessandro Tanasi
alessandro@tanasi
.it
http://www.tanasi.it
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
1
Introduzione
definizioni
● la sicurezza
● gli obbiettivi da difendere
●
Con sicurezza di informazioni e sistemi informativi
si intende mantenere e controllare:
segretezza: il corretto livello di confidenzialità
integrità: evitate la loro manomissione o la loro
perdita
disponibilità: risorse sempre pronte per l'uso
in alcuni casi anche:
AAA: autenticazione, autorizzazione e
registrazione
non repudiation: nonLa sicurezza
si possono
negare
le
informatica nello
studio legale
Alessandro Tanasi - [email protected]
2
La minaccia?
●
●
falsi miti
● la differenza tra hacker e cracker
●
Hacker [1] [2]: A person who enjoys exploring the
details of programmable systems and how to
stretch their capabilities
Cracker [1] [3]: is a malicious or criminal hacker
[1] http://catb.org/jargon/
[2]
http://en.wikipedia.org/wiki/Hacker
[3]
http://en.wikipedia.org/wiki/Black_ha
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
3
La minaccia concreta
truffatori e criminali
● programmi automatici e dilettanti
● attacchi professionali
●
truffe, in particolare spam e phishing
attacchi automatizzati e script kiddies (inesperti,
vandali)
virus e spyware: Although 99% of companies
use antivirus software, 82% of them were hit by
viruses [1]
abusi: 80 percent of companies reported that
employees had abused Internet privileges, such
as downloading pornography or pirated
software [1]
[1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
4
Nel dettaglio..
Alessandro Tanasi - [email protected]
la maggior parte dei danni e' causata dai
virus
● l'attacco “umano” e' raro
●
La sicurezza informatica nello studio legale
5
Strumenti a
disposizione
tecniche matematiche (crittografia)
● finanziamenti per strutture e personale
●
La matematica: la crittografia
archiviazione di dati cifrati e firma digitale
autenticazione e non ripudio
realizzazione di comunicazioni sicure su canale
insicuro
Investimenti in tecnologia (apparati di
protezione e autenticazione, aggiornamenti)
Analisi e definizione dei rischi
Personale (può essere un punto debole)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
6
Livelli di sicurezza
valutazione di un livello di sicurezza
adeguato
● la sicurezza è un processo
● la sicurezza si costruisce ogni giorno
●
Eliminazione del rischio per quanto
possibile dalla tecnologia
Che informazioni
tratto?
Comprensione del pericolo
Chi è interessato a
e sua riduzioni
con azioni proporzionali
queste informazioni?
Rispetto la Legge?
Sicurezza? Cosa?
Quale livello di
sicurezza voglio
La
sicurezza è un processo che richiede
garantire?
investimenti costanti, azioni correttive risultanti da
una scelta di compromesso tra esigenze dell'utente
e impegno richiesto, in coerenza con lo scenario,
l'identificazione
e valutazione
rischi.
Alessandro
Tanasi - [email protected]
La sicurezza dei
informatica
nello studio legale
7
Problematiche
sicurezza affrontata a vari livelli
● tutti insieme contribuiscono
● il sistema e' debole come il livello piu'
debole
●
Livelli di problemi diversi, tutti devono essere
affrontati:
Applicazione
Host
Rete interna
Sicurezza dell'host
Accesso al mondo
Sicurezza fisica
Sicurezza di rete
Comprensione del problema
Sicurezza fisica
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
8
Sicurezza Fisica
cose ovvie e semplici
● esempi di errori tipici
●
Perchè ricorrere a una complicata violazione
informatica quando quello che ci serve è
appoggiato su una scrivania?
password su postit
documenti
cestinati
documenti visibili
eccessi di fiducia
terminali accesi
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
9
Ambiente di lavoro
un minimo di sorveglianza
● controllo sul flusso dell'informazione
● essere pronti al peggio
●
controllo dell'accesso ai locali, policy di accesso
trattare nel modo dovuto i documenti (ad es. in
cartelline)
non lasciare informazioni nei rifiuti
attenzione a come vengono portati dati fuori
dall'ufficio
porre attenzione ai piccoli dettagli dei computer
(segni di scasso)
prevenzione
di
incendi,
allagamenti
ecc.
Le cose ovvie spesso vengono trascurate!
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
10
Social Engineering
Tecnico Telecom, devo fare
un controllo sulla linea
Prego, ci vuole molto?
facilitato dalla scarsa malizia
● permette la raccolta di informazioni
● semplice da mettere in atto
●
Social Engineering [1]:
ottenere informazioni
confidenziali manipolando e
ingannando le persone con
imbrogli ad arte.
le persone danno fiducia al contesto di una
conversazione
mancanza di paranoia in particolare nella routine
quotidiana
mancanza di training del personale, mancanza di
[1]
http://www.securityfocus.com/infocus/1527
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
11
Sicurezza dell'host
errori comuni dell'utente
● debolezza di sistemi operativi e applicazioni
● continua attività maligna proveniente da
internet
●
Virus Melissa: 6,7 miliardi di dollari di danni
Un sistema Windows collegato a internet senza
essere protetto dopo pochi minuti è già
compromesso
Abitudine di cliccare su “avanti” senza leggere
Configurazioni errate
Accessi non controllati
Sistemi installati e mai configurati
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
12
Il fattore umano
causa la maggior parte delle
compromissioni
● la soluzione più efficace è usare il buon
senso
●
La sicurezza di un singolo computer viene
violata in particolare a causa di errori umani.
non aprire email ingenuamente
non eseguire programmi di cui non è certa la
provenienza
utilizzo improprio del ambiente lavorativo (ad
es. p2p)
scelta di password deboli mai cambiate
Semplicemente bisogna usare del buon senso
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
13
Virus
alta virulenza
● necessita' di programmi di difesa attiva e
passiva
● i programmi di difesa devono essere
aggiornati
●
Circa 40 nuovi virus e worm vengono creati ogni
giorno
In 10 minuti un virus può infettare oltre 400000
hosts nel mondo
Virus, worm [1]: un programma che si replica
e si diffonde autonomamente
Fondamentale installare un antivirus e un
programma anti spyware che devono essere
mantenuti costantemente aggiornati (almeno
giornalmente).
[1]:
http://en.wikipedia.org/wiki/Computer_virus
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
14
Firewall
internet è una fonte di traffico maligno
● non esporre le vulnerabilità dell'host al
mondo
● ci permette di controllare il traffico dalla rete
all'host
●
Firewall [1]: strato che si interpone tra l'host (o la
rete) e il mondo esterno bloccando l'attività di rete
non voluta.
Protegge l'host dallo sfruttamento delle sue
vulnerabilità (del sistema operativo, delle
applicazioni)
Permette solo il traffico prescelto
Permette di circoscrivere servizi
Difende il perimetro
[1]:
http://en.wikipedia.org/wiki/Firewall_%28networking
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
15
Sicurezza del singolo
Host
host non aggiornati sono vulnerabili
● servizi non utilizzati sono un punto
d'ingresso in più
● essere sempre pronti alla disfatta facendo
dei backup
●
Aggiornare il sistema operativo e le applicazioni
Disabilitare i controli ActiveX di Internet Explorer
Disabilitare i servizi non necessari (ad es. MSN)
Pianificare dei backup del sistema (...e farli)
...ma il tutto deve essere bilanciato tra
sicurezza e usabilita'
Mantenere il proprio computer aggiornato,
facendo scansioni, manutenzione e backup
periodici.
Tutto
questo nonLapreviene
gli nello
errori
umani!
Alessandro Tanasi
- [email protected]
sicurezza informatica
studio legale
16
Sintomi di violazione
come accorgersi di una intrusione
● sintomi da rinoscere
●
Rallentamenti del sistema
Uso anomalo della rete (alto traffico) e suoi
rallentamenti
Comparsa di file sospetti, icone e programmi
non voluti
Malfunzionamento di programmi (in particolare
antivirus)
Tutto quello che è diverso dal normale se non
sono stati apportati cambimenti
Uso eccessivo della CPU e del HD
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
17
Disaster Recovery
i disastri accadono (prima o poi)
● non facciamoci trovare impreparati
●
E' avvenuto un incidente informatico, cosa fare?
In caso di disastro cosa fare?
Pensare alle principali
evenienze
Pianificare una risposta ad
esse
Descrivere la risposta in
Esempi:
appositi manuali con un
pianificazione
dei backup
linguaggio
semplice
pianificazione di chi chiamare in caso di
collasso del collegamento a internet
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
18
Sicurezza di rete
conoscenza dell'utilizzo che viene fatto
● definire cosa è un utilizzo normale
● riconoscimento delle anomalie
●
Per cosa viene usata la nostra banda?
Cosa può fare un malintenzionato dalla nostra
rete?
Se la nosta rete viene usate per spedire spam?
... e il phishing? ... e il p2p?
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
19
Monitoraggio di rete
monitoraggio qualitativo
● monitoraggio quantitativo
● ipotesi sul traffico alla ricerca di anomalie
●
Monitoraggio dell'utilizzo da parte del
dipendente (proxy) e eventuale blocco
automatico
Monitoraggio delle risorse (grafici utilizzo banda
ecc..)
In ambiti particolari:
Monitoraggio del contenuto del traffico
Sitemi di rilevamento delle
intrusioni (IDS)
Sistemi di prevenzione
delle intrusioni (IPS)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
20
Comunicazioni
Sicure
problema dell'intercettazione
● utilizzo della crittografia
● verificare di utilizzare un canale sicuro
●
I dati inviati in chiaro
possono essere intercettati
email
web (non
https)
chat
Utilizzo della crittografia per rendere
messaggistica
incomprensibile la comunicazione
siti web protetti (https, certificati digitali)
comunicazioni sicure (ad es. chat che
utilizzano SSL o altro)
crittografia e firma digitale nelle email
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
21
Negazione di servizio
interrompere il servizio è un danno
economico
● prevedere alcuni tipi di interruzione
● essere pronti a reagire
●
Denial of Service (DoS): attacco mirato
all'interruzione dell'erogazione di un servizio
attacco informatico
errore umano
problema tecnico
necessità di
strutture
ridondate
pezzi di ricambio
dati replicati
collegamenti ridondanti
alimentazione controllata
(UPS)
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
22
Enterprise.. o oltre..
dove la sicurezza viene messa al primo
posto
● dove tutto deve funzionare
● a cosa guardare per sognare
●
sistemi per il rilevamento delle violazione sul
singolo host (HIDS, auditing) e per
l'apprendimento (honeypots)
sistemi per il monitoraggio della rete
(monitoring,
auditing), rilevazione
e prevenzioni
sistemi di sorveglianza
e
delle
attività
ostili (NIDS, IPS)
controlli
d'accesso
aggiornamento costante
di strutture e personale
simulazioni e penetration
test periodici
professionisti
AT&T
NOC
specializzati
Alessandro
Tanasi - [email protected]
La sicurezza informatica nello studio legale
23
Software
Antivirus
Norton
AVG
Clamav
Firewall
ZoneAlarm
iptables
Anti spyware / anti trojan
Spybot
Ad-Aware
chkrootkit
Alessandro Tanasi - [email protected]
selezione di software per la protezione del
ufficio
● selezione di software per le sicurezze
avanzate
●
HIDS
Tripwire
Samhain
NIDS
Snort
Monitoraggio e scanning
nmap
nessus
ethereal
La sicurezza informatica nello studio legale
24
Conclusioni
la tecnologia aiuta ma non basta
● la tecnologia non protegge dagli errori
umani
● la conoscenza del problema è fondamentale
●
Dopo tutto questo (gran mal di testa):
la sicurezza è un processo da eseguire ogni
giorno strutturato a livelli
la tecnologia non protegge host e reti da errori
umani e in particolare dalle persone
malintenzionate
l'uso del buon senso è fondamentale
...questa è appena la punta dell'iceberg;
l'importante non è conoscere la soluzione ma
avere la consapevolezza che esisteno delle
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
25
Pubblicità Progresso
ultimamente sono stati fatti grandi passi
avanti
● ma lavorando insieme il mondo si può
migliorare ancora
●
Il panorama italiano della sicurezza informatico è
molto legato alla Legge in materia
Le problematiche tecnologiche cambiano
rapidamente
Le Leggi in materia devono essere
Voi
sarete i legislatori
del domani, rendetevi
costantemente
adeguate
conto del problema, confrontatevi con i tecnici
in modo da ottenere una visione globale da
ambo le parti del problema
...e esigete che i tecnici (tipicamente elitari) vi
aiutino dandovi risposte concrete.
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
26
Domande
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
27
Licenza
Questo documento viene rilasciato sotto
licenza Alcoolware, la quale non è altro che
una normale licenza Creative Commons
Attribute-NonCommercial-ShareALike [1] ma
con l'aggiunta che se mi incontrate dobbiamo
andare a bere qualcosa.
In sintesi è liberamente distribuibile per usi
non commerciali, copiabile e modificabile
purchè citiate l'autore e la fonte.
Se volete distribuire questo documento sul
vostro sito siete pregati per favore di
comunicarmelo in modo che possa spedirvi le
[1] http://creativecommons.org/licenses/by-ncnuove
versioni.
sa/2.0/
Alessandro Tanasi - [email protected]
La sicurezza informatica nello studio legale
28