© 2007 SEI-Società Editrice Internazionale, Apogeo

Slides:



Advertisements
Presentazioni simili
© 2007 SEI-Società Editrice Internazionale, Apogeo
Advertisements

Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © The McGraw-Hill Companies srl “Le sfide dell’era.
Sicurezza informatica
UNITA’ 02 Malware.
I dispositivi di rete. La Scheda Di Rete La scheda di rete, o LAN adapter è un circuito stampato che collega il cavo per il collegamento internet al PC.
Università degli Studi di Perugia, LS in Informatica Seminario per il corso di Sicurezza Informatica (Prof. S. Bistarelli) Valentina Franzoni I nuovi paradigmi.
Giuditta Cantoni, 4 E S.I.A I DATABASE. Definizione databese In informatica, il termine database, banca dati o base di dati (a volte abbreviato con il.
Fondamenti di Informatica - D. Talia - UNICAL 1 Fondamenti di Informatica FONDAMENTI DI INFORMATICA Domenico Talia
Introduzione alla Sicurezza Informatica ISIS ”C. Facchinetti” - Castellanza ( VA) 7 Maggio 2012.
1 14 marzo 2006 sommaruga andrea Fondazione Ordine Ingegneri di Milano VPN: Reti Private Virtuali VPN: RETI PRIVATE VIRTUALI LE POSSIBILITA' DI ACCESSO.
Fondazione dell' Ordine degli Ingegneri della Provincia di Milano Fernando Fernandez - 14 Marzo 2006 VPN: Reti Private Virtuali VPN RETI PRIVATE VIRTUALI:
LinuxDay 2009, Trento Navigare e usare la posta elettronica con consapevolezza Gianluca Ciccarelli, LinuxTrent
Window Mobile Antivirus Perché abbiamo bisogno di antivirus per Windows Mobile?
Linux Day 2006 – Giornata nazionale dedicata al Software Libero e GNU/ Linux – Trusted Computing: Ecco il tuo Futuro Antonio Angelotti.
Informativa sull’adempimento degli obblighi di e-cohesion di cui all’art. 122, comma 3 del reg. (UE) 1303/2013 Programma Competitività regionale 2007/13.
Bortolin Giovanni, Ortolan Moreno, Valeri Luca.  servizio Internet fruibile tramite Web o applicazioni mobili  facilita la gestione dei rapporti sociali.
Firma digitale Tecnologie Normativa Utilizzo e Organizzazione Emanuele Tonelli Marzo 2005.
Virtual Private Networks
Archivi in Digitale: Firma Digitale
Sistemi e Applicazioni per l’Amministrazione Digitale
La storia del Telefax Ricerca di Boattini Viola Anno Scolastico
Aggiornamento del 29 Settembre 2011
Database Accesso Utenti diversi Programmi diversi Modelli di database
NAT, Firewall, Proxy Processi applicativi.
Vulnerability Assessment
Formazione DS e DSGA Ambito 3 Rendicontazione sociale, Open Data Amministrazione digitale Sicurezza dei dati e Privacy Accessibilità del sito e dei documenti.
La comunicazione scritta
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Sicurezza e protezione
CRITTOGRAFIA Per crittografia si intende la protezione delle informazioni mediante l'utilizzo di codici e cifre. La crittografia è un componente fondamentale.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
Tutela della privacy e atti scolastici
Sicurezza informatica
System Security I vari sistemi di sicurezza che possiamo applicare ai nostri siti che gestiamo su internet.
INFN-AAI Autenticazione e Autorizzazione
* Il Sistema Operativo GNU/Linux * Sistema Operativo e Applicazioni
Sono stati sperimentati software in grado di rilevare se sono stati compromessi determinati componenti di un sistema operativo.
Sistema di Autenticazione unica (Single-Sign-On) (azione #8)
analizzatore di protocollo
Recupero polizze assicurative
Corso di Ingegneria del Web A A Domenico Rosaci 1
MODULO 1 – Computer essentials
Le comunicazioni in codice
Le comunicazioni in codice
Introduzione alle basi di dati
Predisposizione e presentazione della domanda di nullaosta
Dedicato alla corretta gestione della Posta Elettonica Certificata
INTERNET «IL MONDO DI OGGI»
Programmare.
Posta Elettronica Certificata
COME PROTEGGERSI Ing. Massimiliano Zuffi
Concetti introduttivi
© 2007 SEI-Società Editrice Internazionale, Apogeo
Commercialisti & Revisori
Firewalling.
© 2007 SEI-Società Editrice Internazionale, Apogeo
Le reti informatiche di Roberto Minotti 17/01/2019.
Le reti informatiche di Roberto Minotti 15/02/2019.
Il giornalista del futuro
INFN-AAI Autenticazione e Autorizzazione
Total Protect Servizio di cyber security.
IT SECURITY Malware.
Predisposizione e presentazione della domanda di nullaosta
IT SECURITY Controllo di accesso
IT SECURITY Sicurezza in rete
IT SECURITY Concetti di Sicurezza
CLOUD.
Transcript della presentazione:

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità E2 Sicurezza e privacy © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Obiettivi Conoscere il concetto di crittografia e i principali algoritmi di crittazione Apprendere il concetto di firma digitale Conoscere le leggi sulla privacy Conoscere i concetti di base sulla sicurezza dei sistemi Conoscere i tipi di minacce che possono provenire dal mondo esterno Conoscere la differenza tra minacce sui dati e basate sull’infrastruttura Conoscere alcuni strumenti per la sicurezza, come i firewall © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Crittografia Un aspetto fondamentale della sicurezza è la capacità di comunicare i dati in modo nascosto, per evitare che malintenzionati siano in grado di decodificarli. La crittografia consente di trasformare un testo in chiaro in uno illeggibile da terze parti e viceversa. La crittazione è il processo che prevede in input le informazioni (clear text) e una stringa corta (chiave) per produrre informazioni senza significato (cipher text) per una terza parte sprovvista della chiave. La decrittazione è il processo inverso. © 2007 SEI-Società Editrice Internazionale, Apogeo

Crittografia: la storia La crittografia ha origini molto antiche Cifrari monoalfabetici: Giulio Cesare utilizzava un sistema di crittografia basato su una semplice sostituzione di lettere (una lettera del testo in chiaro veniva sostituita con quella presente tre posizioni dopo). Per esempio, la lettera A era sostituita dalla D, la B dalla E e così via. CODICE DI CESARE veniva crittato in FRGLFH GL FHVDUH Si definisce Codice di Cesare un qualsiasi codice basato su questo meccanismo di sostituzione, indipendentemente dal numero di spostamenti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Crittografia: la terminologia Crittografia basata su password. La PBE (Password Based Encryption) deriva la chiave di crittografia da una password. Cifratore. È il componente software che si occupa di eseguire la crittazione e la decrittazione, seguendo uno specifico algoritmo. Riconoscimento di chiavi (key agreement). È un protocollo che consente a due o più parti di accordarsi per l’utilizzo di chiavi di crittografia senza la necessità di scambiare informazioni segrete e sensibili. MAC (Message Authentication Code). Consente di verificare l’integrità delle informazioni trasmesse in rete o contenute su un media non sicuro utilizzando una chiave segreta. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Firma digitale La firma digitale consente di certificare la provenienza di un documento È un modo per avere la certezza che un determinato messaggio o documento sia stato inviato da una specifica persona. Il sistema si basa su una crittazione a chiavi asimmetriche, dove ogni utente dispone di due chiavi, quella pubblica e quella privata. La chiave pubblica è tale in quanto non viene mantenuta segreta, ma anzi “pubblicata” dall’utente. La chiave privata, invece, non deve assolutamente essere divulgata, ed è lo strumento utilizzato dall’utente per firmare il documento o messaggio da spedire. © 2007 SEI-Società Editrice Internazionale, Apogeo

Uso della firma digitale Mittente: Attraverso un algoritmo di hash crea un’impronta digitale del documento (digest), una stringa di dimensione fissa che riassume le informazioni presenti nel documento. Il digest viene crittato utilizzando la chiave privata. La firma viene allegata al documento. Destinatario: Decodifica la firma del documento utilizzando la chiave pubblica del mittente. Crea un nuovo digest sul documento in chiaro. Se i due digest sono identici, significa che il documento è autentico. © 2007 SEI-Società Editrice Internazionale, Apogeo

Firma digitale e firma autografa Secondo l’ordinamento giuridico italiano, la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a tutti gli effetti alla firma autografa su carta. La qualifica della firma avviene attraverso un ente certificatore che si occupa di mantenerne un registro di chiavi pubbliche. Un esempio di ente certificatore sono le Poste Italiane. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Leggi sulla privacy La legge n. 675 dell’8 gennaio 1997 è relativa al trattamento dei dati personali e alla privacy. L’intento è quello di disciplinare l’utilizzo dei dati personali che aziende e organizzazioni raccolgono. Lo scopo è quello di evitare l’utilizzo improprio o non autorizzato di queste informazioni, per esempio per ricerche di mercato o proposte commerciali. È previsto che l’interessato dia esplicito consenso all’azienda di mantenere i suoi dati, con la possibilità di consentire o meno l’utilizzo dei dati a fini diversi, come quelli pubblicitari. Il rispetto di questa legge è affidato a un organismo statale chiamato Garante della Privacy. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Hacker Gli hacker vengono normalmente identificati con “criminali informatici”. Negli anni Sessanta gli hacker erano in realtà esperti di computer che raggiungevano obiettivi insperati grazie alla loro originalità e creatività. Persone con la passione dell’informatica e dei computer che consideravano prioritaria l’apertura di questi nuovi ritrovati della tecnica a tutti, indistintamente. Un hacking era una soluzione geniale a un problema ostico. L’hacker era un intelligente e acuto appassionato di tecnologie. Il termine ha quindi in origine un’accezione ben diversa da quella comunemente in uso. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Tipi di minacce Ingegneria sociale. Attacchi non tanto diretti ai sistemi informatici, quanto alle persone. Sono inganni perpetrati per profitto, o anche solo per scherzo. Es.: phishing (password fishing) per “rubare” la password di un utente. Sostituzione di persona. L’hacker si impadronisce delle credenziali di un utente, per entrare nel sistema con le mentite spoglie di un altro utente (furto di “identità”). Exploit. Sfruttamento di una vulnerabilità di un programma, sistema operativo o dispositivo di rete, al fine di ottenere dati riservati. Transitive trust. Acquisire il controllo di un server o di un’intera rete sfruttando l’accesso a una singola stazione di lavoro. Minacce basate sui dati. Troiani, virus e altri software malevoli. DoS (Denial of Dervice). Rendere inoperativo un determinato sistema. Es.: si bombarda di richieste un server web, in modo da saturare le sue capacità di risposta; il server non sarà più in grado di rispondere neanche alle richieste dei normali utenti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Virus Un virus cerca di installarsi nel sistema dell’utente e di diffondersi direttamente verso altri file nel sistema. L’elemento attivo di un virus può causare danni di vario tipo, da semplici scherzi ad azioni distruttive. I virus per diffondersi si basano sull’apporto dell’utente. Se i file infetti non sono trasferiti, tramite dischetti o posta elettronica, l’infezione non procede. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Worm Un verme (worm) è molto simile a un virus, con la differenza fondamentale che il verme cerca di propagarsi senza l’apporto dell’utente. Il worm affida la propria diffusione solo a comunicazioni di rete iniziate in modo autonomo, per esempio utilizzando a supporto la posta elettronica. L’azione tipica intrapresa da questi fastidiosi programmi è quella di eseguire una scansione di altri computer per intercettare specifiche vulnerabilità. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Trojan I troiani (trojan)derivano il proprio nome dal Cavallo di Troia della mitologia greca. Sono software che possono apparire normali, in realtà nascondono pezzi di codice come virus o spyware. I cavalli di troia possono nascondersi in tutti i tipi di software, dai giochi agli screen saver, oppure in software commerciali craccati. Possono avere diversi scopi, come la realizzazione di una backdoor sul sistema ospite. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati Spyware – Scanner - Sniffer Uno Spyware si installa sul computer dell’ignaro utente fornendo un accesso in rete ai malintenzionati. Sono chiamati anche back door (porta sul retro), e possono garantire un numero maggiore di accessi rispetto a quelli del normale utente. Quando un computer è infettato da spyware ed è connesso in rete i malintenzionati possono spiare il contenuto dell’hard disk e addirittura eseguire operazioni sul computer. Uno Scanner è un software progettato per recuperare informazioni da computer accessibili via Internet sulla tipologia e versione del software che è in esecuzione sul computer stesso. Ci sono una varietà di scanner diversi: alcuni semplicemente controllano la presenza di una macchina, altri verificano quali porte sono aperte, altri si accertano della presenza di vulnerabilità in particolari servizi, oppure dell’esistenza di spyware. Uno Sniffer è un programma che cattura le password e altre informazioni. Gli analizzatori di rete(sniffer ethernet) sono programmi che possono vedere all’interno del traffico in transito su una rete. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sull’infrastruttura Buffer overrun Viene fornito al software un input più lungo di quanto previsto. È sfruttato per passare comandi al computer remoto quali, per esempio, di lettura del file di password del computer o di apertura di una determinata porta. Heap overflows. È molto simile al buffer overrun, ma non si applica ai buffer per i dati di input quanto alle zone di memoria utilizzate dall’applicazione. In entrambe le tecniche lo scopo è quello di inserire piccoli programmi assembler (shellcode) che eseguono una shell (come /bin/sh su Unix o command.com su DOS e Windows) nella memoria del computer e di fare in modo che vengano eseguiti dal computer sotto attacco. © 2007 SEI-Società Editrice Internazionale, Apogeo

Strumenti per la sicurezza - antivirus L’antivirus è un componente software che cerca ed elimina virus, troiani, vermi e altro software maligno da un computer o una rete di computer. © 2007 SEI-Società Editrice Internazionale, Apogeo

Strumenti per la sicurezza - firewall I firewall (“muro tagliafuoco”) sono dispositivi hardware/software di difesa del perimetro di una rete di computer. La loro funzione è quella di isolare la rete interna da quella esterna, generalmente rappresentata da Internet. Filtrano la comunicazione tra rete esterna e interna, per limitare la comunicazione solo a messaggi che non rappresentino un rischio di sicurezza. I pacchetti di rete in transito sono monitorati, controllati e verificati per individuare messaggi potenzialmente maligni, o tentativi di connessione da parte di computer o sottoreti non autorizzate, oppure su porte non consentite. Possono essere di due tipi: completamente software. hardware/software. Sono in pratica computer su cui è in esecuzione un software di firewall, completamente dedicati allo scopo. Altre funzionalità dei firewall sono: funzionalità di routing, che consente di interfacciare due reti diverse, come Internet e la rete locale; filtro sui contenuti, come quelli necessari a limitare la visione di materiale per adulti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Riferimenti - Wikipedia Cracker http://it.wikipedia.org/wiki/Cracker Kevin Mitnick http://it.wikipedia.org/wiki/Kevin_Mitnick Virus http://it.wikipedia.org/wiki/Virus_%28informatica%29 Trojan http://it.wikipedia.org/wiki/Trojan Worm http://it.wikipedia.org/wiki/Worm Denial of service http://it.wikipedia.org/wiki/Denial_of_service Dialer http://it.wikipedia.org/wiki/Dialer Spyware http://it.wikipedia.org/wiki/Spyware © 2007 SEI-Società Editrice Internazionale, Apogeo

Argomenti – lezioni (10 minuti) Virus – (tipologie) Hacker e Cracker Crittografia a chiave pubblica Crittografia (storia) Posta Elettronica Certificata Wireless (HW e SW) (espansione rete ITIS) Configurazione rete ITIS Firewall (protezione rete ITIS) Denial of Service Antivirus Protezione e furto di identità (rete ITIS) Crimini informatici (storia) © 2007 SEI-Società Editrice Internazionale, Apogeo