A cura della Dott.ssa Raffaella Lauciello Sicurezza nel PC A cura della Dott.ssa Raffaella Lauciello

Premessa Vantaggi Svantaggi/Rischi Connettersi ad altri computer all'interno di una LAN (casalinga o aziendale) per condividere un documento Navigare alla ricerca di un software da scaricare Ricevere una mail ... Sono diventate azioni comuni grazie all'utilizzo crescente del PC sia in casa che sul posto di lavoro. Vantaggi Svantaggi/Rischi

La sicurezza informatica si basa sulla difesa della privacy! Alcuni luoghi comuni… Quali prodotti devo acquistare per sentirmi veramente al sicuro? Perché dovrei occuparmi degli aspetti inerenti la sicurezza del mio sistema? Chi può essere interessato ad accedere al mio sistema? Con quale facilità è possibile irrompere in un sistema informatico? Chi mi garantisce che seguendo un certo tipo di approccio il mio sistema diventa veramente sicuro? La sicurezza informatica si basa sulla difesa della privacy!

Approccio di tipo STEP by STEP Definizione dello scenario Valutazione dei rischi Adozione di possibili azioni correttive

Decalogo della SICUREZZA Usare un buon antivirus Usare un firewall NON aprire ingenuamente allegati di posta elettronica NON eseguire ingenuamente programmi di ogni tipo Applicare sempre le più recenti patch Prestare la massima attenzione al funzionamento anomalo del sistema operativo Disabilitare Java, JavaScript ed ActiveX Disabilitare le funzionalità di scripting nei client di posta elettronica Fare un backup regolare di tutti i dati sensibili Creare un disco di boot

FIREWALL... Dispositivi software o hardware posti a protezione dei punti di interconnessione esistenti tra una rete privata interna (ad es. una Intranet) ed una rete pubblica esterna (ad. es. Internet) oppure tra due reti differenti. Principi di funzionamento del TCP/IP (Transport Control Protocol/Internet Protocol)

... FIREWALL Dal punto di vista del funzionamento interno i firewall possono essere ulteriormente distinti in due gruppi separati: Firewall a Firewall a filtraggio di pacchetti livello di circuito

Perché impiegare un firewall a difesa personale? Quando un PC accede ad Internet, diventa un nodo della rete. Il sistema connesso può esporre dei servizi di rete che hanno delle funzionalità specifiche e che rimangono in ascolto su una porta determinata. Può capitare che questi servizi nascondano delle vulnerabilità o, rendano manifesti dei difetti di configurazione tali da poter essere sfruttati per guadagnare l'accesso non autorizzato ad un sistema. Individuate queste porte è facile risalire al tipo di applicazione in esecuzione e, da qui, al genere di problemi di sicurezza che affliggono l'applicazione stessa e, di conseguenza, diventa possibile effettuare un attacco sfruttando le vulnerabilità note in modo da ottenere l'accesso al sistema. Un firewall può effettivamente garantire un livello di protezione discreto non solto contro i tentativi di sfruttare vulnerabilità più o meno note di un servizio ma anche e soprattutto contro l'attività di scansione delle porte che normalmente costituisce sempre il preludio di un attacco.

Ciò prevede una fase di studio ed implementazione. Bisogna “ISTRUIRLI” I firewall, non sono dispositivi "autonomi" nel senso che devono essere istruiti nel prendere decisioni in merito alla ammissibilità del traffico in transito attraverso delle regole ben precise definite dall'utente. Ciò prevede una fase di studio ed implementazione.

Firewall software Sono vere e proprie applicazioni ed, in quanto tali, possono essere affetti da imperfezioni con la differenza che i firewall rappresentano l'ultimo baluardo di difesa per cui se un aggressore riesce a superare questa barriera sfruttando una sua vulnerabilità specifica egli può avere pieno accesso al sistema protetto e compiere di conseguenza ogni tipo di attività. BISOGNA AGGIORNALI SCARICANDO TUTTE LE PATCH RILASCIATE DAL PRODUTTORE!

Firewall a livello di applicazione Dispositivi che "vedono" il traffico passante non come una sequenza di pacchetti ma come un flusso di dati e verificano la legittimità delle connessioni permettendo soltanto il tipo di traffico che risponde a delle funzionalità specifiche (ad es. l'accesso alla rete Internet oppure lo scambio dei messaggi di posta elettronica). Il client invia la sua richiesta di connessione ad una rete esterna al server proxy il quale, dopo aver verificato l'ammissibilità del traffico in base alle regole definite, la inoltra al sistema di destinazione. Una volta ricevuta la risposta da parte del target essa viene reinoltrata al client che di conseguenza è sempre nascosto e non instaura mai una connessione diretta con il sistema esterno. VANTAGGI/BENEFICI SVANTAGGI

Firewall software: ESEMPIO ZoneAlarm tre livelli di protezione predefiniti (Basso,Medio,Alto) flessibilità e facilità di configurazione analisi in tempo reale dei tentativi di connessione verso l'esterno produzione di file di log

ANTIVIRUS Ogni giorno nel mondo vengono creati e diffusi nuovi virus sempre più sofisticati ed in possesso di tecniche offensive evolute in grado di attaccare un sistema e renderlo instabile fino a provocarne il malfunzionamento o il blocco totale. Con l'avvento dell'era telematica i veicoli di una possibile infezione virale si sono enormemente moltiplicati ed il pericolo non è più rappresentato soltanto dai classici virus ma anche da una nuova classe di codice nocivo costituita da CAVALLI DI TROIA BLACKDOOR

Un BUON antivirus Funzionalità di base Funzionalità avanzate Il primo requisito fondamentale è rappresentato dalla presenza di un motore di scansione in grado di ricercare all'interno dei file la presenza di particolari sequenze di byte che possono essere sintomo tipico di codice nocivo Funzionalità di base Funzionalità avanzate verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di sistema durante la fase iniziale di avvio del sistema; scansione in tempo reale della memoria e dei file e degli allegati alla posta; capacità di individuazione delle altre tipologie di codice nocivo; possibilità di creare dischetti di emergenza; rilascio da parte del produttore di frequenti aggiornamenti del file delle firme; possibilità di programmare scansioni del file system ad intervalli regolari; distribuzione centralizzata degli aggiornamenti (utile soprattutto in un ambiente di rete); possibilità di effettuare gli aggiornamenti attraverso Internet; capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia; presenza di una guida esauriente che descriva le tipologie note di virus, cavalli di troia e backdoor e le loro caratteristiche principali;

Il file delle Firme Generalmente il funzionamento degli antivirus si basa sulla presenza di un motore di scansione che, operando in background, disassembla in tempo reale i vari file e ricerca all'interno degli stessi la presenza di determinate sequenze di byte che costituiscono l'impronta digitale identificativa di un virus. Pertanto, considerata la frequenza con la quale i nuovi virus vengono messi in circolazione, l'aggiornamento periodico del file delle definizioni diventa fondamentale per garantire l'individuazione e ove possibile la rimozione anche dei virus più recenti.

Software antivirus Symantec Norton AntiVirus F-Sicure AntiVirus McAfee VirusScan PC-Cillin 2000 AntiViral ToolKit Pro Panda AntiVirus

Altri strumenti e accorgimenti Registro di configurazione ULTIMO CONSIGLIO (ma non per importanza!!).... adottare comportamenti ispirati al buon senso ed alla prudenza che, spesso, sono di per sé stessi sufficienti ad evitare molti problemi. File system Processi attivi

Malicious software o Malware Si intende un qualsiasi frammento di codice di lunghezza variabile che, penetrato all'interno di un computer, si dimostra potenzialmente in grado di danneggiarlo. Dunque la caratteristica che giustifica l'appellativo di nocivo è l'attitudine a causare danni a prescindere dalla circostanza che poi questi effettivamente si verifichino. Per questo motivo in questa categoria rientrano tradizionalmente: virus, macro virus, worm, cavalli di troia.

Virus del settore di avvio Qualsiasi porzione di codice che si installa all'interno di un programma host al fine di utilizzare quest'ultimo come mezzo di propagazione. meccanismo tipo di operazioni di propagazione eseguite Virus di tipo PARASSITA Virus del settore di avvio

L'uso di tecniche evolute nei moderni virus VIRUS POLIMORFICI VIRUS CRITTOGRAFATI

Macro VIRUS ESEMPIO: Melissa Questi virus non attaccano i comuni file eseguibili ma un altro genere di file: i macro virus sono generalmente script incorporati all'interno di particolari documenti (come ad esempio un template di Microsoft Word) i quali comprendono una serie di comandi codificati in base al linguaggio specifico di una determinata applicazione. ESEMPIO: Melissa Melissa è stato scritto in VBA (Visual Basic for Application) ed opera infettando la macro Document.Open() di Microsoft Word in modo tale che qualsiasi porzione di codice racchiusa all'interno di questa routine venga automaticamente eseguita durante l'apertura di un file Word. Come se ciò non bastasse il virus è in grado di propagarsi auto inviandosi ai primi 50 indirizzi presenti nella rubrica di Microsoft Outlook sfruttando in tale modo un mezzo di diffusione straordinariamente veloce come la posta elettronica.

CARATTERISTICHE PRINCIPALI Cavalli di troia Derivano il loro nome dal celebre episodio dell'Iliade di Omero che vide i Greci sopraffare i Troiani in virtù di uno stratagemma geniale. Basa tutta la sua potenza sull'inganno in quanto è un programma che dichiara di svolgere determinate funzioni, per di più di utilità, ma che in realtà compie sul sistema dell'utente, e ad insaputa di quest'ultimo, una serie di operazioni dannose che possono essere le più svariate. CARATTERISTICHE PRINCIPALI Massima diffusione Approfittamento della fiducia dell'utente LIMITAZIONE: devono essere attivati dall'utente

(2 Novembre 1988 colpì svariati sistemi UNIX) Worm Simile a un virus con la sola differenza che un worm non si riproduce localmente ma semplicemente si propaga attraverso sistemi differenti. È definito come “frammenti di codice autonomi ed indipendenti che esistono solo in memoria consumando le risorse del sistema ed auto- propagandosi”. ESEMPIO "Morris Worm" (2 Novembre 1988 colpì svariati sistemi UNIX) Il codice era concepito in modo tale da sfruttare un buffer overflow presente nei demoni fingerd e sendmail per irrompere all'interno dei sistemi che adottavano il sistema operativo Berkeley UNIX. Infatti, dopo aver eseguito il crack degli hash delle password di autenticazione sfruttando un motore di decifratura molto veloce ed un dizionario dati presenti al suo interno, il worm eseguiva una scansione dell'intero sistema alla ricerca di informazioni relative ad altri host (file .rhost, indirizzi dei gateways ricavati dalle tabelle di instradamento, ecc...) che successivamente tentava di compromettere.

Meccanismi di PROPAGAZIONE ALLEGATO DI POSTA MACRO Un altro mezzo di diffusione del codice nocivo è rappresentato dal WEB ed in questo caso il pericolo assume principalmente la forma di programmi che vengono scaricati dagli innumerevoli archivi software esistenti in rete.

Strumenti di DIFESA Non esiste uno strumento unico di difesa contro il codice nocivo ma un complesso di misure cautelari che occorre adottare per ridurre al minimo i rischi. Educazione Consapevolezza Precauzioni adozione di atteggiamenti ispirati alla prudenza ed al buon senso impostazione delle caratteristiche di sicurezza dei browser web installazione ed aggiornamento di un antivirus installazione ed uso di prodotti complementari

VULNERABILITÀ dei software L'espressione vulnerabilità è da intendere in senso lato per indicare la presenza di errori di programmazione, difetti o anche di semplici mancanze che producono un impatto più o meno decisivo sulla sicurezza del sistema in cui essa viene eseguita. Infatti l'enorme diffusione degli strumenti informatici unita con la problematica menzionata ha determinato il prodursi di un nuovo scenario in cui il fulcro è costituito dalle informazioni che devono essere tutelate e protette a prescindere dal fatto che esse risiedano su un grande server web di carattere pubblico o sul personal computer di un individuo qualsiasi.

Il codice nascosto nei tag html Un utente Internet può inconsciamente eseguire script maligni quando naviga tra collegamenti ipertestuali di cui non conosce l'origine presenti all'interno di pagine web, di messaggi di posta elettronica oppure di newsgroup. Si tratta di una forma di attacco particolarmente subdola poiché usando una tecnica chiamata "cross-site scripting" un aggressore può, in alcune circostanze, riuscire ad incorporare all'interno di pagine web generate dinamicamente (come ad esempio quelle prodotte da un qualsiasi motore di ricerca) dei collegamenti ipertestuali contenenti script maligni opportunamente nascosti all'interno dei comuni tag html. COSA COMPORTA TUTTO CIÓ???

Ciò può comportare: l'accesso completo a qualsiasi informazione, comprese quelle di carattere confidenziale, fornite al server web; l'invio contestuale di informazioni confidenziali anche ad altre pagine o siti web; l'alterazione dell'apparenza o del normale funzionamento delle pagine web; la rivelazione di dati usati da particolari meccanismi di autenticazione dal momento che l'esecuzione dello script può precedere l'instaurazione di una connessione protetta; l'avvelenamento dei cookies in modo da rendere l'attacco di tipo persistente ; l'accesso non autorizzato da parte dell'aggressore ai dati di un server web vulnerabile posto all'interno della stessa intranet in cui si trova il client tramite la costruzione ad hoc di URL;

Vulnerabilità dei cookies Sicuramente uno dei meccanismi più delicati insiti nella navigazione in rete è rappresentato dai cookies attraverso i quali i vari siti web riescono non soltanto a personalizzare l'esperienza di navigazione dell'utente ma soprattutto a riconoscere quando egli torna a far visita alle pagine del sito. Peraltro proprio i cookie di tipo PERMANENTE, soprattutto se utilizzati per finalità di autenticazione, sono quelli che presentano le maggiori vulnerabilità poiché, essendo persistenti, un aggressore potrebbe riuscire ad acquisirne una copia ed assumere successivamente l'identità on-line di un altro individuo.

Vulnerabilità della posta elettronica Categorie di rischi Contraffazione delle intestazioni dei messaggi di posta elettronica ("email spoofing") Esecuzione di codice arbitrario attraverso i messaggi di posta Attacchi tramite gli allegati di posta elettronica.

Strumenti e tecniche di difesa La miglior difesa contro i problemi di sicurezza appena esposti è ricorrere ad un corretta configurazione delle aree di protezione di Microsoft Internet Explorer. Pannello di Controllo di Windows -> Opzioni Internet -> Sicurezza scegliere come livello predefinito Alta e usare il pulsante Personalizza livello per meglio ritoccare le impostazioni generali in modo da disattivare completamente i controlli ed i plugin ActiveX Aggiornamento della Virtual Machine Sandbox Nel caso della posta elettronica, per evitare molte delle vulnerabilità legate alla gestione dei contenuti interattivi occorre impostare l'area di sicurezza predefinita di Outlook ed Outlook Express sul livello "Area siti con restrizioni" scegliendo la voce Opzioni dal menù Strumenti e successivamente cliccando sulla scheda Sicurezza.