Sicurezza informatica
CAPITOLO 6
La sicurezza assoluta non esiste
Sicurezza dei sistemi informativi
Minacce:
✓
✓
✓
✓
errori e incidenti
calamità naturali
rivolte e atti di terrorismo
crimini computerizzati
Responsabili:
Dipendenti
Utenti esterni
Hacker, cracker
(black hat hacker)
✓
✓
✓
1
Crimini computerizzati: Malware
Malware:
malicious + software
qualsiasi software creato
con lo scopo di causare
danni al computer su cui
viene eseguito.
•
•
•
Virus
Worm
…
Diffusione di un virus informatico
Crimini computerizzati: attacchi
SPYWARE
✓ Sniffing
✓ Spoofing
FRODI
✓ Phishing
Crimini computerizzati: attacchi
NEGAZIONE DI SERVIZIO
✓
Distributed
Denial of Service
(DDoS)
✓
Frodi, violazione dei
dati, malware
2
Information Security
•
•
•
•
•
•
I primi 10 virus/malware più diffusi sono responsabili di quasi il
27% delle infezioni complessivamente segnalate
Mutazione: ultimamente le componenti principali dei virus sono
andate modificandosi rendendo difficile il lavoro degli antivirus.
Provenienza geografica malware: la Cina è in testa con quasi un
terzo di quella mondiale.
I cybercriminali stanno studiando i social network come veicolo
per ottenere informazioni sensibili e diffondere attacchi.
La popolarita’ degli smartphone sta portando sempre più
cybercriminali a concentrarsi sui sistemi mobile
Il cloud computing e le nuove minacce: “entro il 2015 le
aziende opereranno in un mondo fatto di cloud, virtualizzazione e
mobile computing, convergente sull’IT” (Symantec).
M. De Agostini, 2010
Social media attacks
Minacce generiche
Minacce in ambito
business
•Malware
•Danni all'immagine ed alla
•Applicazioni di terze parti
reputazione
non trusted
•Perdita di dati
•Spam (in combinazione con riservati/proprietà
malware)
intellettuale
•Phishing
•Danni a terze parti
•Furto di identità
•Frodi
•Danni alla privacy
•Minore produttività dei
•Diffamazione
collaboratori
•Stalking
Mobile attacks
✓
App market
✓
Phishing (frodi)
✓
Spyware
✓
Virus
✓
….
3
Gestione della sicurezza
Modalità:
1.
Identificazione e controllo accessi
2.
Riservatezza
3.
Integrità dei dati e dei sistemi
10
1 - Identificazione e controllo accessi
Quale obiettivo?
Modalità:
✓ Elementi in possesso dell’utente
✓ Informazioni in possesso dell’utente
✓ Caratteristiche dell’utente
✓ Firewall
11
CAPTCHA
•
•
Completely Automated
Public Turing test to
tell Computers and
Humans Apart
I BOT
(programmi
automatici)
4
2. Riservatezza
Quale obiettivo?
Modalità:
✓ Crittografia
✓ Trasmissione di dati sensibili
✓ Algoritmi, software, protocolli (SSL, https)
Crittografia
Processo di trasformazione dei dati attraverso algoritmi matematici
che rendono i dati illeggibili a chi non disponga di una chiave di
decriptazione
Esempio di crittografia
tradizionale:
Sistemi di crittografia
•
Simmetrici (chiave privata)
•
Asimmetrici (chiave pubblica)
• dal modello a chiave asimmetrica alla
firma digitale
5
Sistemi simmetrici
(crittografia a chiave privata)
Mittente A
Messaggio trasmesso
Documento
Doc
Doc
Destinatario B
cripta
decripta
Chiave privata di A
Chiave privata A
Limiti?
1. …
2. …
Numero di chiavi necessarie nei
diversi sistemi di crittografia
privata
pubblica
6
Sistemi asimmetrici
(crittografia a chiave pubblica)
Mittente A
Messaggio trasmesso
Documento
Doc
Doc
Destinatario B
decripta
cripta
Chiave pubblica di B
•
Chiave privata di B
SSL utilizza la crittografia a chiave
pubblica per garantire la sicurezza
dei dati trasmessi su una rete di
tipo TCP/IP, implementando il
protocollo HTTPS (Secure HTTP)
per il trasferimento di dati riservati
in un collegamento web based
•
Tutti i dati trasferiti tra il client e
il server vengono cifrati
•
SSL garantisce ai due attori,
collegati per mezzo di una
connessione punto-punto, che i
dati trasferiti, indipendentemente
dalla loro natura, non potranno
essere acquisiti illecitamente né
modificati, durante il tragitto, da
entità non autorizzate
SSL
(Secure Socket Layer)
Dal modello a chiave pubblica alla firma digitale
Mittente A
Messaggio trasmesso
Cripta
Chiave pubblica di B
Chiave privata di A
Doc
Documento
Doc
Destinatario B
Decripta
Chiave privata di B
Chiave pubblica di A
7
22
Firma digitale
•
È una firma elettronica che garantisce con sicurezza
l'identificazione di chi firma e la sua volontà di firmare
Evoluzione del sistema a chiave pubblica
Permette RISERVATEZZA + AUTENTICITA’
•
Utilizzo obbligatorio nella Pubblica Amministrazione
•
•
(DLgs 7/03/2005, n.82 - Codice
dell'amministrazione digitale)
3. Integrità dei dati e dei sistemi
Quale obiettivo?
Policy di sicurezza presenti in ogni organizzazione
Procedure di sicurezza
✓ Sicurezza fisica
✓ Backup e Piano di recupero
✓ Audit
8