Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio LA SICUREZZA
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La Sicurezza nei sistemi informativi La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo. La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Sicurezza: consapevolezza e formazione La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi delle politiche della Sicurezza Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio I costi dei crimini informatici
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio SOLUZIONI E PRIVACY
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Quali soluzioni, quale privacy Ancora oggi, molte delle organizzazioni sia pubbliche che private sono convinte che linstallazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato. Altre organizzazioni sono maggiormente informate ed hanno una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ma il timore di un sistema che possa monitorare tutto quello che accade in rete filtrando ed analizzzando tutti i dati in transito, genera il timore di veder controllato il proprio lavoro o addirittura violata la privacy. E dunque necessario individuare soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo le norme vigenti.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio TEMI DELLA SICUREZZA
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Gli argomenti della sicurezza Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali. Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, introduzione ai beni informatici Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, è bene soffermarci per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere lo scopo prefissatoci.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, principali beni dei sistemi informatici Parlando di sistemi informatici, a volte si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie: 1) Hardware: l'apparecchiatura; 2) Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni; 3) Dati: le informazioni gestite dai programmi; A questi, che rappresentano i beni principali, si devono aggiungere: 4) Supporti memorizzazionepossono contenere il software ed i dati; 5) Retipermettono l'interconnessione dei vari sistemi consentendo quindi lo scambio di informazioni; 6) Accessila possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione. 7) Individui chiavepensate, per esempio, a quanto tempo e quante risorse economiche occorrono per preparare adeguatamente un valido amministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, rappresentazione grafica Hardware Software Dati Supporti di memorizzazione Supporti di memorizzazione Reti Accessi Individui chiave (operatori e sistemisti) Individui chiave (operatori e sistemisti)
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi della sicurezza informatica La sicurezza informatica ha, come obiettivo principale, quello di: garantire, riducendo i rischi, un adeguato grado di protezione dei beni, mediante lattuazione di un progetto di sicurezza globale che, partendo dalla definizione di una politica di sicurezza, tenga conto di tutti gli aspetti del problema e pervenga ad un livello di protezione, organizzativo ed informatico, che possa essere monitorato nel tempo. Per raggiungere quello che è l'obiettivo principale, occorre garantire che il bene mantenga inalterate nel tempo queste proprietà: Sicurezza/riservatezza (Confidentiality); Integrità (Integrity); Disponibilità (Availability).
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi della sicurezza informatica DisponibilitàIntegrità Sicurezza I beni sono sempre accessibili agli utenti autorizzati I beni sono accessibili solo agli utenti autorizzati I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo consentito
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Definizione di rischio e di sicurezza Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio. Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Rischi per un sistema informatico Rischi per un sistema informatico Vediamo adesso schematicamente quali sono i rischi relativi ad un sistema informatico. I colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sullutenza dei servizi e sulla privacy. INTERRUZIONE INTERCETTAMENTO MODIFICA CONTRAFFAZIONE Hardware Software Dati Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene. Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene e lo manomette Unentità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti allinterno del sistema informativo.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 1 In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo. Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 2 Quando si parla di vulnerabilità, la prima cosa che viene in mente è, chiaramente, il difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Possiamo dire sicuramente che, anche con un software perfettamente realizzato, perfettamente progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 3 Da quanto detto discende la definizione di vulnerabilità. La frase "può essere sfruttata", naturalmente presuppone che vi sia la volontà esplicita di violare qualche cosa, in senso generale a violare la politica di sicurezza, che indica che cosa si può e che cosa non si può fare allinterno di un sistema informativo. Una vulnerabilità è quindi tale se ci permette di fare qualche cosa che altrimenti non dovremmo poter fare. Da questo deriva che il problema è quindi da inquadrare in senso generale piuttosto che limitatamente ai difetti nel software. Infatti, prendendo in esame i principali componenti di un sistema informatico, possiamo facilmente associarvi una serie di vulnerabilità:
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, lo standard CVE Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza. Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita - 1 Un altro concetto fondamentale parlando di vulnerabilità è rappresentato dal ciclo di vita. Cosa vuol dire ciclo di vita di una vulnerabilità? Prendiamo per esempio un sistema informativo con una sua vulnerabilità, non è nota, ma esiste perchè il sistema è stato progettato in modo imperfetto. I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due:
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione. In pratica, la vulnerabilità verrà comunicata a chi è in grado di correggerla, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi. Cosa importante è che la vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch), ma quando quest'ultima sarà installata su un sistema. Questo è un problema che si è visto moltissimo soprattutto in questi ultimi anni, perchè molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla. Questa è una situazione spiacevole perchè potenzialmente questa vulnerabilità potrebbe continuare ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla, fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata. E' stata la diffusione indiscriminata di informazioni circa le vulnerabilità che ha permesso di definire un vero e proprio ciclo di vita delle stesse, comprendente una finestra di esposizione variabile in base alla logica perseguita.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, processi - 1 Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione. Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, processi - 2 Nella realtà, si assiste di solito ad una serie di processi simili a quello evidenziato, che, a volte, interessano aspetti diversi dello stesso software. Da qui i ben noti problemi di aggiornamento, legati all'applicazione dell'ultima correzione disponibile, che impegnano il responsabile alla sicurezza di un sistema.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, metodi di difesa Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001). Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001).
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Principali controlli I principali controlli a nostra disposizione sono: Crittografia Controlli software Controlli hardware Politiche di sicurezza Controlli fisici Dati inintellegibili contro: Intercettamento Modifica Contraffazione Dispositivi crittografici: Hardware Smartcard Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare. Controlli interni al programma Controlli del sistema operativo Controlli in fase di sviluppo Creazione di regole Formazione Amministrazione
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Efficacia dei controlli Affinche i controlli siano efficaci bisogna considerare:
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio SOLUZIONI
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La sicurezza dei sistemi informativi Quadro sintetico problema- rischio - soluzione
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Professionalità della sicurezza La professionalità della sicurezza si costruisce sempre sulla base di esperienze concrete e di soluzioni e metodologie ampiamente diffuse. In questo ambito la proposta formativa nel campo delle tecnologie open assume un ruolo decisamente rilevante. Nella composizione interculturale della figura professionale, devono essere forniti gli elementi necessari per comprendere le differenze che esistono tra il software libero ed il software proprietario per ciò che concerne la sicurezza. Devono essere comprese inoltre le metodologie "open rese disponibili dal mercato, frutto della collaborazione di esperti del settore, frutto della collaborazione in rete, che come vedremo è fondamentale per una visione operativa della sicurezza.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Professionalità della sicurezza La professionalità nel settore ICT ed in modo particolare per la sicurezza si costruisce attraverso percorsi specifici ed attraverso ladozione di metodologie didattiche adeguate ai temi oggetto della formazione. Un ruolo strategico può essere giocato dalla FAD, dalla formazione a distanza, per definire uno standard di livello nazionale ed europeo e per fornire strumenti adeguati a tutti i discenti. Questo tipo di formazione è inoltre adeguata alla dinamicità della sicurezza, che è in continua evoluzione. I contenuti didattici, estesi ai discenti universitari ed ai professionisti, possono garantire una cultura della sicurezza informatica necessaria ad una società moderna che ruota attorno alla dematerializzazione dei documenti.
Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Bibliografia Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - Common Vulnerabilities and Exposures - ICAT Metabase (CVE Vulnerability Search Engine) - CERT/CC (originariamente Computer Emergency Response Team) Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - Common Vulnerabilities and Exposures - ICAT Metabase (CVE Vulnerability Search Engine) - CERT/CC (originariamente Computer Emergency Response Team)