La sicurezza dei sistemi informatici Introduzione alla Sicurezza Giuseppe Guerrasio “HACKER: A person who.

Slides:



Advertisements
Presentazioni simili
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
Advertisements

La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
Corso gratuito di Linux. Linux User Group Mantova
Dario Alliata StudenteRelatore Claudio Rolandi Corso di laureaModulo Anno accademico Ingegneria GestionaleProgetto di diploma - M settembre.
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Gestione delle configurazioni Configuration management (CM) E` un processo che controlla le modifiche fatte a un sistema e gestisce le diverse versioni.
La sicurezza dei sistemi informatici Sistemi di Autenticazione e Directory Giuseppe Guerrasio “Sapere dove.
Agenda Chi è Farobit Fondamenti di sicurezza informatica: vulnerabilità, protezione e integrità fisica hardware, protezione e integrità logico-funzionale.
Informatica e processi aziendali
User Group Riccardo Righi Analista Titulus e titulus organi.
Smart HMS: Smart Health Management System
Sistemi e Applicazioni per l’Amministrazione Digitale
NAT, Firewall, Proxy Processi applicativi.
(Codice identificativo progetto: PON03PE_00159_1)
I CITTADINI EUROPEI E LA PROPRIETÀ INTELLETTUALE
La comunicazione scritta
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
CARATTERISTICHE DI UN DATACENTER
Sicurezza e protezione
Rielaborato da Atzeni et al., Basi di dati, Mc-Graw Hill
Applicazione web basata su web service e web socket
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Real-time 3D reconstruction using multiple depth cameras
DIRIGERE L’INNOVAZIONE
Meccanismi di caricamento e aggiornamento dei dati
Basi di Dati: Introduzione
I PERMESSI IN LINUX.
Giordano Scuderi Unico SRL Catania
Organizzazione fisica
System Security I vari sistemi di sicurezza che possiamo applicare ai nostri siti che gestiamo su internet.
INFN-AAI Autenticazione e Autorizzazione
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
analizzatore di protocollo
Recupero polizze assicurative
Corso di Ingegneria del Web A A Domenico Rosaci 1
Smart City.
REGOLAMENTO PER L’ACCESSO, L’UTILIZZO E LA PROTEZIONE DELLE RISORSE INFORMATICHE Centro Servizi Informatici Università degli Studi di Bari Aldo Moro.
Posta Elettronica Certificata
COME PROTEGGERSI Ing. Massimiliano Zuffi
Concetti introduttivi
Questa presentazione può essere utilizzata come traccia per una discussione con gli spettatori, durante la quale potranno essere assegnate delle attività.
© 2007 SEI-Società Editrice Internazionale, Apogeo
Commercialisti & Revisori
Firewalling.
REGOLAMENTO PER L’ACCESSO E L’UTILIZZO DEL SERVIZIO DI POSTA ELETTRONICA DI ATENEO DELL’UNIVERSITA’ DI BARI Centro Servizi Informatici Università degli.
Le reti informatiche di Roberto Minotti 17/01/2019.
STRUMENTI PER LA GESTIONE DELLA FATTURAZIONE ELETTRONICA FATTURE-GO
Le reti informatiche di Roberto Minotti 15/02/2019.
Il nuovo concetto Leitner
FOCUS FATTURAZIONE ELETTRONICA
Il giornalista del futuro
INFN-AAI Autenticazione e Autorizzazione
Italsoft srl Guida allo Sportello Italsoft srl
Lezione N° 6 L’organizzazione
IT SECURITY Controllo di accesso
IT SECURITY Sicurezza in rete
Parti interne del computer
LE PROCEDURE DI EMERGENZA
Unico 2009 – Esempi per la crisi
Introduzione ai DBMS I Sistemi di Gestione di Basi di Dati sono strumenti software evoluti per la gestione di grandi masse di dati residenti su memoria.
Software : i diritti “patrimoniali ” d’autore
CLOUD.
Workshop della Commissione Calcolo e Reti dell'I.N.F.N.
Transcript della presentazione:

La sicurezza dei sistemi informatici Introduzione alla Sicurezza Giuseppe Guerrasio “HACKER: A person who enjoys learning the details of programming systems and how to stretch their capabilities, as opposed to most users who prefer to learn only the minimum necessary.“

La sicurezza dei sistemi informatici ● Introduzione alla Sicurezza ● Firewall ● Malware ● Crittografia ● Sistemi di Autenticazione e Directory ● Penetration Testing e Sniffing ● Intrusion Detection System ● Sistemi operativi e File system ● Protocolli di Rete Sicuri ● Analisi Forense Presentazione del Corso

Introduzione alla Sicurezza Cos'è la sicurezza informatica? ● E' quel ramo branca dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. ● I principali aspetti di protezione del dato sono: la confidenzialità; L'integrità; la disponibilità.

Introduzione alla Sicurezza Protezione La protezione consiste nel prevenire, attraverso opportuni controlli a tempo di esecuzione, che vengano eseguite operazioni illegittime sugli oggetti di un sistema. I meccanismi di protezione vengono usati per due scopi distinti: ● come prevenzione dagli errori dovuti ai guasti, e in questo caso si parla di tolleranza ai guasti; ● come salvaguardia da condotte maliziose, per garantire principalmente la confidenzialità, l'integrità e la disponibilità delle informazioni, e in questo caso si parla di sicurezza informatica. Per le finalità della sicurezza informatica sono fondamentali sia le tecniche usate per la tolleranza ai guasti, sia tecniche aggiuntive come la crittografia e l'autenticazione.

Introduzione alla Sicurezza Confidenzialità La protezione dei dati e delle informazioni scambiate tra un mittente e uno o più destinatari nei confronti di terze parti. Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato. In un sistema che garantisce la confidenzialità, una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario, non è in grado di ricavarne alcun contenuto informativo intelligibile. N.B. Non esistono meccanismi di protezione sicuri in assoluto!!!

Introduzione alla Sicurezza Integrità (dei dati) La protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali oppure effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni. Insito nel concetto di integrità vi è la possibilità di verificare con assoluta certezza se un dato o una informazione sono rimasti integri, ossia inalterati nel loro contenuto, durante la loro trasmissione e/o la loro memorizzazione. In un sistema che garantisce l'integrità, l'azione di una una terza parte di modifica del contenuto delle informazioni scambiate tra mittente e destinatario, viene quindi rilevata.

Introduzione alla Sicurezza Disponibilità La disponibilità misura l'attitudine di un’entità ad essere in grado di svolgere una funzione richiesta in determinate condizioni ad un dato istante, o durante un dato intervallo di tempo, supponendo che siano assicurati i mezzi esterni eventualmente necessari. Rappresenta la quantità di tempo che un sistema rimane online rispetto al tempo totale.

Introduzione alla Sicurezza Tipi di Sicurezza ● Sicurezza Passiva Si intendono le tecniche e gli strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata. Il concetto di sicurezza passiva pertanto è molto generale: ad esempio, per l'accesso a locali protetti, l'utilizzo di porte di accesso blindate, congiuntamente all'impiego di sistemi di identificazione personale, sono da considerarsi componenti di sicurezza passiva. N.B. Noi non ci occuperemo di questa parte!!!

Introduzione alla Sicurezza Tipi di Sicurezza ● Sicurezza attiva Si intendono le tecniche e gli strumenti mediante i quali le informazioni ed i dati di natura riservata sono resi intrinsecamente sicuri, proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi (confidenzialità), sia dalla possibilità che un utente non autorizzato possa modificarli (integrità).

Introduzione alla Sicurezza Tecniche di Attacco Le possibili tecniche di attacco sono molteplici, perciò è necessario usare contemporaneamente diverse tecniche difensive per proteggere un sistema informatico, realizzando più barriere fra l'attaccante e l'obiettivo. Solitamente l'obiettivo dell'attaccante non è rappresentato dai sistemi informatici in sé, quanto piuttosto dai dati in essi contenuti, quindi la sicurezza informatica deve preoccuparsi di impedire l'accesso ad utenti non autorizzati, ma anche a soggetti con autorizzazione limitata a certe operazioni, per evitare che i dati appartenenti al sistema informatico vengano copiati, modificati o cancellati. Le violazioni possono essere molteplici: vi possono essere tentativi non autorizzati di accesso a zone riservate, furto di identità digitale o di file riservati, utilizzo di risorse che l'utente non dovrebbe potere utilizzare ecc. La sicurezza informatica si occupa anche di prevenire eventuali Denial of service (DoS), cioè I DoS sono attacchi sferrati al sistema con l'obiettivo di rendere non utilizzabili alcune risorse in modo da danneggiare gli utenti del sistema.

Introduzione alla Sicurezza Tipi di Attacco ● Exploit ● Buffer overflow ● Shellcode ● Cracking ● Backdoor ● Port scanning ● Sniffing ● Man In The Middle ● Keylogging ● Spoofing ● Trojan ● Virus informatici ● DOS ● Ingegneria sociale ● CMD Tramite Browser ● Privilege Escalation

Introduzione alla Sicurezza Utenti, Gruppi e Permessi E' un concetto molto diffuso, dapprima solo nei sistemi operativi *Nix, oggi su quasi la totalità dei sistemi che supportano la multiutenza. E' possibile definire ad ogni singolo utente o ad un gruppo di determinati utenti dei particolari “privilegi” di ciò che possono fare nel sistema o nell'applicazione specifica. Tramite questo sistema è inoltre possibile tenere traccia delle attività dei singolo utenti.

Introduzione alla Sicurezza Utenti, Gruppi e Permessi Esempio *Astratto*: Una ditta che assembla computer ha i settori Fatturazione, Amministrazione, Preventivi, Assemblaggio, Direzione. ● Il gruppo preventivi può controllare la merce disponibile in magazzino, fare preventivi ai clienti. Emettere ordini per il gruppo Assemblaggio. ● Il gruppo Assemblaggio può solo vedere gli ordini che arrivano dal gruppo Preventivi. ● Il gruppo Fatturazione può solo emettere fatture per gli ordini completati dal gruppo Assemblaggio ● Il gruppo Amministrazione può soltanto controllare i pagamenti per le fatture emesse dal gruppo Fatturazione ● Il gruppo Direzione può controllare tutte le attività fatte dai suddetti gruppo. In ogni gruppo potranno esserci anche utenti appartenenti ad altri gruppi, inoltre un singolo utente potrà avere mansioni che un altro utente non ha. Un determinato utente potrà avere in un determinato momento particolari permessi, ad esempio durante le ferie verrà nominato momentaneamente un responsabile. Infine ci sarà un utente, ad esempio il titolare, che avrà accesso a tutte le risorse aziendali (SuperUtente).

Introduzione alla Sicurezza Ingegneria Sociale Lo studio del comportamento individuale di una persona al fine di carpire informazioni. Viene utilizzata quando il sistema è sicuro e quindi è necessaria una via alternativa. Sfrutta l'uomo come falla di sistema.

Introduzione alla Sicurezza Organismi Diversi organismi (molti ma non tutti indipendenti) si occupano di tenere delle Basi di Dati relative ad insicurezze note, rendendo disponibili anche i metodi di risoluzione. ● BugTraq SecurityFocus: Il più longevo organismo di diffusione di informazioni sulla sicurezza informatica. [ ● Packet Storm: Organismo indipendente, aggiornamenti giornalieri. [ ● MilwOrm: Il più grande DB del mondo relativo agli exploit. [ ● SANS: Istituto di ricerca e supervisione sui problemi di sicurezza. [

Introduzione alla Sicurezza Q & A Grazie per l'attenzione.