Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

E-GOVERNMENT IN FORTE CRESCITA IN ITALIA
11 Settembre 2008 ore 9.00 Sala Consiliare Municipio di San Donato Milanese Via Cesare Battisti, 2 Carte dei servizi sociali nel nuovo welfare: una giornata.
Analisi e progettazione
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
A cura del PROGETTO QUALITA Ministero dellIstruzione, dellUniversità e della Ricerca Ufficio Scolastico Regionale per la Campania Direzione Generale VERSO.
Corso aggiornamento ASUR10
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Problem solving Metodologia di lavoro.
Le tecnologie informatiche per l'azienda
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
Ospedale Pistoia ASL 3 Pistoia
Studio Legale Baldacci Esempio strutturato di SICUREZZA ORGANIZZATIVA Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni.
SOFIA Facoltà di Ingegneria Università degli Studi di Udine SOFIA.
Introduzione all’analisi forense: metodologie e strumenti
DIFFICOLTA’ DEL LINGUAGGIO
Creazione di sale telematiche presso le maggiori biblioteche della provincia Il progetto di istituire presso le,maggiori biblioteche della Provincia di.
Progetto Certificazione GDL: POLO di Calimera Forum del PROGETTO DI DECERTIFICAZIONE DEL SISTEMA Agenzia di Assistenza Tecnica agli Enti Locali.
L’uso dei database in azienda
La valutazione di impatto netto: alcune riflessioni a margine Gruppo Nazionale Placement Roma, 27 Febbraio 2013.
Copyright SDA Bocconi 2005 Titolo della presentazione 1 Tecnologie digitali: nuova frontiera…….. o vecchio problema Severino Meregalli – SDA Bocconi Confindustria.
Area: la gestione dei progetti complessi
S ILVIO S ALZA - Università di Roma La Sapienza – Aspetti tecnologici della conservazione permanente C ONVEGNO DocArea – Bologna 20 aprile Aspetti.
Roma Giancarlo Galardi
CISI – Centro Interstrutture di Servizi Informatici e Telematici Progettazione e realizzazione di un sistema FaD dAteneo CISI – Centro Interstrutture di.
Struttura dei sistemi operativi (panoramica)
Control and Risk Self Assessment – CRSA. Il caso Telecom.
Unalternativa a Microsoft Office OpenOffice Author Kristian Reale Rev by Kristian Reale Liberamente distribuibile secondo i termini della licenza.
GLI STRUMENTI PER LA DIAGNOSTICA Marco Mariani Università degli Studi di Bologna Roma, 23 giugno 2005.
Controllo di Gestione negli Enti Pubblici
COMUNICAZIONE PUBBLICA La comunicazione interna 5° lezione 10 ottobre 2008 Anno Accademico 2008/2009.
La comunicazione interna 4° e 5° lezione 1 ottobre 2009 Anno Accademico 2009/2010.
COMUNICAZIONE PUBBLICA Le figure professionali 3° lezione 3 ottobre 2008 Anno Accademico 2008/2009.
Considerazioni finali 30° lezione 27 novembre 2009 Anno Accademico 2009/2010.
BRIDGE-3K Verso il futuro La migrazione dai sistemi HP3000. Un ponte verso il futuro conservando la cultura e le risorse aziendali. NOVITA 2007.
10 punti fondamentali su Windows originale Note legali Le informazioni fornite in questo documento rappresentano l'opinione di Microsoft Corporation sui.
Sistemi educativi locali per la sostenibilità Limpegno della Provincia di Roma con la Rete dei L.E.A Tivoli, 13 novembre 2012.
DAGLI ARCHIVI AI DATABASE
Concetti di base sul Software dei PC Unitre Anno
Certificazioni del personale e certificazioni dei sistemi di gestione della sicurezza delle informazioni Limportanza di una corretta impostazione delle.
Silvia Baldo Alessandro Ghigi 24 gennaio 2003 INFORMAZIONE ED ORIENTAMENTO SULLIMMIGRAZIONE LA CARTA DEI SERVIZI.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Lo sviluppo del progetto informatico
Certificazioni di Sicurezza Informatica”
Traccia dei temi Commissione Interministeriale sui contenuti digitali nellera di Internet.
Indicazioni per il coinvolgimento dei cittadini: le Raccomandazioni generali e operative Alessandro Bazzoni 14/16 Novembre 2011.
20 maggio 2005 CODICE IN MATERIA DI PROTEZIONE DEI DATI PERSONALI (d.lgs. 30 giugno 2003, n. 196)
Alla fine degli anni quaranta nasceva il mito del cervello elettronico, e tutte le attività connesse allutilizzo del computer venivano indicate tramite.
Prof. Antonio Martano ITIS “Pacinotti” Taranto
Nuove norme in materia di disturbi specifici di apprendimento
Universita’ degli Studi Roma Tre
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
DIPARTIMENTO DI INFORMATICA
Finalità generale della scuola: sviluppo armonico e integrale della persona all’interno dei principi della Costituzione italiana e della tradizione culturale.
FORMaZIONE nella P UBBLICA A MMINISTRAZIONE tappe evolutive di un sistema di governo del processo formativo 26 marzo 2014 Palazzo Isimbardi - Milano Area.
A cura di Daniela Nieri e Vincenzo Tedesco in preparazione della visita on site relativa al PEF (Procedura External Feedback) del 22 dicembre 2011 Sintesi.
Realizzato da: Bosco Maria Angela La Sicurezza informatica.
TECNOLOGIE E DISABILITÀ Prof.ssa Floriana Falcinelli.
Dirigente Scolastico Lombardia
Dott. Giorgio Martiny Direttore Generale ASL4 Chiavarese Regione Liguria ForumPa 2004 Roma, 12/05/2004.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Storo 30 ottobre 2006 – Pierluigi Roberti Problemi legati al software e possibili soluzioni ReadyServices sas Pierluigi Roberti.
UNITA’ 02 Malware.
Sicurezza e attacchi informatici
Acceptable Use Policy (AUP) La Rete Italiana dell'Università e della Ricerca, denominata comunemente "Rete GARR", si fonda su progetti di collaborazione.
Cloud SIA V anno.
ECDL European Computer Driving Licence
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Le basi di dati.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi di Roma La Sapienza Genova, 22 Febbraio 2005

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio LA SICUREZZA

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La Sicurezza nei sistemi informativi La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo. La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire lerogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e laccesso ai servizi, dallaltra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso. Possiamo indicare quale crimine scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Sicurezza: consapevolezza e formazione La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi delle politiche della Sicurezza Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà. Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini. Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano. Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dellICT. Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio I costi dei crimini informatici

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio SOLUZIONI E PRIVACY

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Quali soluzioni, quale privacy Ancora oggi, molte delle organizzazioni sia pubbliche che private sono convinte che linstallazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato. Altre organizzazioni sono maggiormente informate ed hanno una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ma il timore di un sistema che possa monitorare tutto quello che accade in rete filtrando ed analizzzando tutti i dati in transito, genera il timore di veder controllato il proprio lavoro o addirittura violata la privacy. E dunque necessario individuare soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo le norme vigenti.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio TEMI DELLA SICUREZZA

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Gli argomenti della sicurezza Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali. Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti: 1.Riservatezza; 2.Autenticazione/non disconoscimento; 3.Integrità dei dati; 4.Alta affidabilità del servizio erogato. Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, introduzione ai beni informatici Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, è bene soffermarci per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere lo scopo prefissatoci.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, principali beni dei sistemi informatici Parlando di sistemi informatici, a volte si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie: 1) Hardware: l'apparecchiatura; 2) Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni; 3) Dati: le informazioni gestite dai programmi; A questi, che rappresentano i beni principali, si devono aggiungere: 4) Supporti memorizzazionepossono contenere il software ed i dati; 5) Retipermettono l'interconnessione dei vari sistemi consentendo quindi lo scambio di informazioni; 6) Accessila possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione. 7) Individui chiavepensate, per esempio, a quanto tempo e quante risorse economiche occorrono per preparare adeguatamente un valido amministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Cosa stiamo proteggendo, rappresentazione grafica Hardware Software Dati Supporti di memorizzazione Supporti di memorizzazione Reti Accessi Individui chiave (operatori e sistemisti) Individui chiave (operatori e sistemisti)

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi della sicurezza informatica La sicurezza informatica ha, come obiettivo principale, quello di: garantire, riducendo i rischi, un adeguato grado di protezione dei beni, mediante lattuazione di un progetto di sicurezza globale che, partendo dalla definizione di una politica di sicurezza, tenga conto di tutti gli aspetti del problema e pervenga ad un livello di protezione, organizzativo ed informatico, che possa essere monitorato nel tempo. Per raggiungere quello che è l'obiettivo principale, occorre garantire che il bene mantenga inalterate nel tempo queste proprietà: Sicurezza/riservatezza (Confidentiality); Integrità (Integrity); Disponibilità (Availability).

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Obiettivi della sicurezza informatica DisponibilitàIntegrità Sicurezza I beni sono sempre accessibili agli utenti autorizzati I beni sono accessibili solo agli utenti autorizzati I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo consentito

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Definizione di rischio e di sicurezza Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio. Tutte quelle circostanze potenziali che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio. La sicurezza totale infatti è unastrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Rischi per un sistema informatico Rischi per un sistema informatico Vediamo adesso schematicamente quali sono i rischi relativi ad un sistema informatico. I colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sullutenza dei servizi e sulla privacy. INTERRUZIONE INTERCETTAMENTO MODIFICA CONTRAFFAZIONE Hardware Software Dati Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene. Unentità (un programma, un sistema informatico) non autorizzata ottiene laccesso ad un bene e lo manomette Unentità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti allinterno del sistema informativo.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 1 In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo. Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 2 Quando si parla di vulnerabilità, la prima cosa che viene in mente è, chiaramente, il difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Possiamo dire sicuramente che, anche con un software perfettamente realizzato, perfettamente progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, introduzione 3 Da quanto detto discende la definizione di vulnerabilità. La frase "può essere sfruttata", naturalmente presuppone che vi sia la volontà esplicita di violare qualche cosa, in senso generale a violare la politica di sicurezza, che indica che cosa si può e che cosa non si può fare allinterno di un sistema informativo. Una vulnerabilità è quindi tale se ci permette di fare qualche cosa che altrimenti non dovremmo poter fare. Da questo deriva che il problema è quindi da inquadrare in senso generale piuttosto che limitatamente ai difetti nel software. Infatti, prendendo in esame i principali componenti di un sistema informatico, possiamo facilmente associarvi una serie di vulnerabilità:

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, lo standard CVE Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza. Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per: 1.fornire un "linguaggio comune" per la definizione formale del problema; 2.facilitare la condivisione dei dati tra: Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); Strumenti di verifica (Assessment); Archivi di vulnerabilità; Ricercatori; Gruppi per la gestione degli incidenti. 3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili. Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita - 1 Un altro concetto fondamentale parlando di vulnerabilità è rappresentato dal ciclo di vita. Cosa vuol dire ciclo di vita di una vulnerabilità? Prendiamo per esempio un sistema informativo con una sua vulnerabilità, non è nota, ma esiste perchè il sistema è stato progettato in modo imperfetto. I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due:

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione. In pratica, la vulnerabilità verrà comunicata a chi è in grado di correggerla, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi. Cosa importante è che la vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch), ma quando quest'ultima sarà installata su un sistema. Questo è un problema che si è visto moltissimo soprattutto in questi ultimi anni, perchè molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, ciclo di vita la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla. Questa è una situazione spiacevole perchè potenzialmente questa vulnerabilità potrebbe continuare ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla, fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata. E' stata la diffusione indiscriminata di informazioni circa le vulnerabilità che ha permesso di definire un vero e proprio ciclo di vita delle stesse, comprendente una finestra di esposizione variabile in base alla logica perseguita.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, processi - 1 Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione. Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica: n la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; n viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; n il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) n si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; n la casa produttrice del software corregge il problema; n viene applicata la correzione.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, processi - 2 Nella realtà, si assiste di solito ad una serie di processi simili a quello evidenziato, che, a volte, interessano aspetti diversi dello stesso software. Da qui i ben noti problemi di aggiornamento, legati all'applicazione dell'ultima correzione disponibile, che impegnano il responsabile alla sicurezza di un sistema.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Vulnerabilità, metodi di difesa Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001). Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che "la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001).

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Principali controlli I principali controlli a nostra disposizione sono: Crittografia Controlli software Controlli hardware Politiche di sicurezza Controlli fisici Dati inintellegibili contro: Intercettamento Modifica Contraffazione Dispositivi crittografici: Hardware Smartcard Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare. Controlli interni al programma Controlli del sistema operativo Controlli in fase di sviluppo Creazione di regole Formazione Amministrazione

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Efficacia dei controlli Affinche i controlli siano efficaci bisogna considerare:

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio SOLUZIONI

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio La sicurezza dei sistemi informativi Quadro sintetico problema- rischio - soluzione

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Professionalità della sicurezza La professionalità della sicurezza si costruisce sempre sulla base di esperienze concrete e di soluzioni e metodologie ampiamente diffuse. In questo ambito la proposta formativa nel campo delle tecnologie open assume un ruolo decisamente rilevante. Nella composizione interculturale della figura professionale, devono essere forniti gli elementi necessari per comprendere le differenze che esistono tra il software libero ed il software proprietario per ciò che concerne la sicurezza. Devono essere comprese inoltre le metodologie "open rese disponibili dal mercato, frutto della collaborazione di esperti del settore, frutto della collaborazione in rete, che come vedremo è fondamentale per una visione operativa della sicurezza.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Professionalità della sicurezza La professionalità nel settore ICT ed in modo particolare per la sicurezza si costruisce attraverso percorsi specifici ed attraverso ladozione di metodologie didattiche adeguate ai temi oggetto della formazione. Un ruolo strategico può essere giocato dalla FAD, dalla formazione a distanza, per definire uno standard di livello nazionale ed europeo e per fornire strumenti adeguati a tutti i discenti. Questo tipo di formazione è inoltre adeguata alla dinamicità della sicurezza, che è in continua evoluzione. I contenuti didattici, estesi ai discenti universitari ed ai professionisti, possono garantire una cultura della sicurezza informatica necessaria ad una società moderna che ruota attorno alla dematerializzazione dei documenti.

Prof. Daniele Pulcini - Università degli Studi di Roma La Sapienza - Genova 22 Febbraio Bibliografia Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - Common Vulnerabilities and Exposures - ICAT Metabase (CVE Vulnerability Search Engine) - CERT/CC (originariamente Computer Emergency Response Team) Riferimenti AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997; Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998; Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997; Statistiche delle vulnerabilità del software su SecurityFocus.com - Common Vulnerabilities and Exposures - ICAT Metabase (CVE Vulnerability Search Engine) - CERT/CC (originariamente Computer Emergency Response Team)