© 2007 SEI-Società Editrice Internazionale, Apogeo

Slides:



Advertisements
Presentazioni simili
La sicurezza dei sistemi informatici
Advertisements

Unità E2 Sicurezza e privacy.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità A1 Introduzione a Java.
Unità D1 Architetture di rete.
Modulo 7 – Firma elettronica
Virus Informatici.
Configuring Network Access
Corso aggiornamento ASUR10
INTERNET: RISCHI E PERICOLI
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
LA SICUREZZA INFORMATICA
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
La sicurezza nel mondo Social Network dei
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Per crittografia si intende la protezione
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
ECDL Mod. 1 1 I virus sono particolari programmi che hanno effetti negativi sul sistema informatico. Il loro scopo è: Infettare il programma senza alterarne.
FACOLTA DI ECONOMIA Corso di laurea in Operatore giuridico di impresa Corso di abilità informatiche Docente: dott. Nicola Lettieri Parte 7 - Sicurezza.
SICUREZZA INFORMATICA
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
I VIRUS Buttà Cristina 2^ beat ISIS G. Meroni anno scolastico 2007/2008.
SERVER DI POSTA ELETTRONICA INTRANET
MODULO 01 Unità didattica 05
Le reti di calcolatori ©Apogeo 2004.
Sicurezza aziendale informatica. Protezione Regolamenti – Normative - Informazione Spear phishing (una pagina esplicativa qui)qui.
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
SICUREZZA del PC Ricordiamoci che : La memoria centrale (RAM) è temporanea e perde tutte le informazioni se viene a mancare la corrente: per evitare di.
PERSONE E TECNOLOGIE.
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
1 Storia di Internet Internet non è un’invenzione degli anni ’90….. Nata dagli studi di un’agenzia detta ARPA (Advanced Research Projects Agency) Internet.
Tecnologie dell'informazione e della comunicazione - Stacey S. Sawyer, Brian K. Williams Copyright © The McGraw-Hill Companies srl “Le sfide dell’era.
UNIVERSITÀ DEGLI STUDI DI PAVIA Anno accademico 2009/2010 Sicurezza e frodi informatiche in Internet: la Firma Digitale come garanzia di autenticità e.
Sicurezza informatica
Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:
27 marzo 2008 Dott. Ernesto Batteta.  Le minacce nello scambio dei documenti  Crittografia  Firma digitale.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
UNITA’ 04 Uso Sicuro del Web.
Sicurezza IT Giorgio Porcu. CONCETTI DI SICUREZZA S EZIONE 1 2.
UNITA’ 02 Malware.
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
Informatica Lezione 10 Psicologia dello sviluppo e dell'educazione (laurea magistrale) Anno accademico:
IT SECURITY Malware.
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
Cloud SIA V anno.
SICUREZZA E PROTEZIONE DATI Sicurezza nei sistemi informatici significa non permettere la violazione o la lettura dei dati memorizzati in un computer.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS
Prof. Paolo Antonucci.  Cookie: piccolo file di testo che restituisce al web server informazioni sulla macchina alla quale inviare la pagina web  Web.
Comunicazione, telecomunicazione e pericoli Dalle comunicazioni alle telecomunicazioni e i pericoli legati all’utilizzo di Internet.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
SICUREZZA DEI SISTEMI INFORMATICI ATTACCHI AI SISTEMI INFORMATICI PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA ED ELETTRONICA.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
Virus informatici Samuele Mazzoli 1B 2014/2015. indice I virus informatici Come fare per proteggersi Come si classificano Componenti dei virus Chi crea.
Sicurezza dei Sistemi Informatici L.S. in Ingegneria Informatica Docente: Prof. Giuseppe Mastronardi CRITTOGRAFIA E CRITTOANALISI ATTACCHI AI SISTEMI DI.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
LA SICUREZZA INFORMATICA MATTEO BUDASSI 1°B MATTEO BUDASSI 1°B ANNO SCOLASTICO 2014/2015.
© 2007 SEI-Società Editrice Internazionale, Apogeo
Transcript della presentazione:

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità E2 Sicurezza e privacy © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Obiettivi Conoscere il concetto di crittografia e i principali algoritmi di crittazione Apprendere il concetto di firma digitale Conoscere le leggi sulla privacy Conoscere i concetti di base sulla sicurezza dei sistemi Conoscere i tipi di minacce che possono provenire dal mondo esterno Conoscere la differenza tra minacce sui dati e basate sull’infrastruttura Conoscere alcuni strumenti per la sicurezza, come i firewall © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Crittografia Un aspetto fondamentale della sicurezza è la capacità di comunicare i dati in modo nascosto, per evitare che malintenzionati siano in grado di decodificarli. La crittografia consente di trasformare un testo in chiaro in uno illeggibile da terze parti e viceversa. La crittazione è il processo che prevede in input le informazioni (clear text) e una stringa corta (chiave) per produrre informazioni senza significato (cipher text) per una terza parte sprovvista della chiave. La decrittazione è il processo inverso. © 2007 SEI-Società Editrice Internazionale, Apogeo

Crittografia: la storia La crittografia ha origini molto antiche Cifrari monoalfabetici: Giulio Cesare utilizzava un sistema di crittografia basato su una semplice sostituzione di lettere (una lettera del testo in chiaro veniva sostituita con quella presente tre posizioni dopo). Per esempio, la lettera A era sostituita dalla D, la B dalla E e così via. CODICE DI CESARE veniva crittato in FRGLFH GL FHVDUH Si definisce Codice di Cesare un qualsiasi codice basato su questo meccanismo di sostituzione, indipendentemente dal numero di spostamenti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Crittografia: la terminologia Crittografia basata su password. La PBE (Password Based Encryption) deriva la chiave di crittografia da una password. Cifratore. È il componente software che si occupa di eseguire la crittazione e la decrittazione, seguendo uno specifico algoritmo. Riconoscimento di chiavi (key agreement). È un protocollo che consente a due o più parti di accordarsi per l’utilizzo di chiavi di crittografia senza la necessità di scambiare informazioni segrete e sensibili. MAC (Message Authentication Code). Consente di verificare l’integrità delle informazioni trasmesse in rete o contenute su un media non sicuro utilizzando una chiave segreta. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Firma digitale La firma digitale consente di certificare la provenienza di un documento È un modo per avere la certezza che un determinato messaggio o documento sia stato inviato da una specifica persona. Il sistema si basa su una crittazione a chiavi asimmetriche, dove ogni utente dispone di due chiavi, quella pubblica e quella privata. La chiave pubblica è tale in quanto non viene mantenuta segreta, ma anzi “pubblicata” dall’utente. La chiave privata, invece, non deve assolutamente essere divulgata, ed è lo strumento utilizzato dall’utente per firmare il documento o messaggio da spedire. © 2007 SEI-Società Editrice Internazionale, Apogeo

Uso della firma digitale Mittente: Attraverso un algoritmo di hash crea un’impronta digitale del documento (digest), una stringa di dimensione fissa che riassume le informazioni presenti nel documento. Il digest viene crittato utilizzando la chiave privata. La firma viene allegata al documento. Destinatario: Decodifica la firma del documento utilizzando la chiave pubblica del mittente. Crea un nuovo digest sul documento in chiaro. Se i due digest sono identici, significa che il documento è autentico. © 2007 SEI-Società Editrice Internazionale, Apogeo

Firma digitale e firma autografa Secondo l’ordinamento giuridico italiano, la firma digitale a crittografia asimmetrica è riconosciuta ed equiparata a tutti gli effetti alla firma autografa su carta. La qualifica della firma avviene attraverso un ente certificatore che si occupa di mantenerne un registro di chiavi pubbliche. Un esempio di ente certificatore sono le Poste Italiane. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Leggi sulla privacy La legge n. 675 dell’8 gennaio 1997 è relativa al trattamento dei dati personali e alla privacy. L’intento è quello di disciplinare l’utilizzo dei dati personali che aziende e organizzazioni raccolgono. Lo scopo è quello di evitare l’utilizzo improprio o non autorizzato di queste informazioni, per esempio per ricerche di mercato o proposte commerciali. È previsto che l’interessato dia esplicito consenso all’azienda di mantenere i suoi dati, con la possibilità di consentire o meno l’utilizzo dei dati a fini diversi, come quelli pubblicitari. Il rispetto di questa legge è affidato a un organismo statale chiamato Garante della Privacy. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Hacker Gli hacker vengono normalmente identificati con “criminali informatici”. Negli anni Sessanta gli hacker erano in realtà esperti di computer che raggiungevano obiettivi insperati grazie alla loro originalità e creatività. Persone con la passione dell’informatica e dei computer che consideravano prioritaria l’apertura di questi nuovi ritrovati della tecnica a tutti, indistintamente. Un hacking era una soluzione geniale a un problema ostico. L’hacker era un intelligente e acuto appassionato di tecnologie. Il termine ha quindi in origine un’accezione ben diversa da quella comunemente in uso. © 2007 SEI-Società Editrice Internazionale, Apogeo

© 2007 SEI-Società Editrice Internazionale, Apogeo Tipi di minacce Ingegneria sociale. Attacchi non tanto diretti ai sistemi informatici, quanto alle persone. Sono inganni perpetrati per profitto, o anche solo per scherzo. Es.: phishing (password fishing) per “rubare” la password di un utente. Sostituzione di persona. L’hacker si impadronisce delle credenziali di un utente, per entrare nel sistema con le mentite spoglie di un altro utente (furto di “identità”). Exploit. Sfruttamento di una vulnerabilità di un programma, sistema operativo o dispositivo di rete, al fine di ottenere dati riservati. Transitive trust. Acquisire il controllo di un server o di un’intera rete sfruttando l’accesso a una singola stazione di lavoro. Minacce basate sui dati. Troiani, virus e altri software malevoli. DoS (Denial of Dervice). Rendere inoperativo un determinato sistema. Es.: si bombarda di richieste un server web, in modo da saturare le sue capacità di risposta; il server non sarà più in grado di rispondere neanche alle richieste dei normali utenti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Virus Un virus cerca di installarsi nel sistema dell’utente e di diffondersi direttamente verso altri file nel sistema. L’elemento attivo di un virus può causare danni di vario tipo, da semplici scherzi ad azioni distruttive. I virus per diffondersi si basano sull’apporto dell’utente. Se i file infetti non sono trasferiti, tramite dischetti o posta elettronica, l’infezione non procede. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Worm Un verme (worm) è molto simile a un virus, con la differenza fondamentale che il verme cerca di propagarsi senza l’apporto dell’utente. Il worm affida la propria diffusione solo a comunicazioni di rete iniziate in modo autonomo, per esempio utilizzando a supporto la posta elettronica. L’azione tipica intrapresa da questi fastidiosi programmi è quella di eseguire una scansione di altri computer per intercettare specifiche vulnerabilità. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati - Trojan I troiani (trojan)derivano il proprio nome dal Cavallo di Troia della mitologia greca. Sono software che possono apparire normali, in realtà nascondono pezzi di codice come virus o spyware. I cavalli di troia possono nascondersi in tutti i tipi di software, dai giochi agli screen saver, oppure in software commerciali craccati. Possono avere diversi scopi, come la realizzazione di una backdoor sul sistema ospite. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sui dati Spyware – Scanner - Sniffer Uno Spyware si installa sul computer dell’ignaro utente fornendo un accesso in rete ai malintenzionati. Sono chiamati anche back door (porta sul retro), e possono garantire un numero maggiore di accessi rispetto a quelli del normale utente. Quando un computer è infettato da spyware ed è connesso in rete i malintenzionati possono spiare il contenuto dell’hard disk e addirittura eseguire operazioni sul computer. Uno Scanner è un software progettato per recuperare informazioni da computer accessibili via Internet sulla tipologia e versione del software che è in esecuzione sul computer stesso. Ci sono una varietà di scanner diversi: alcuni semplicemente controllano la presenza di una macchina, altri verificano quali porte sono aperte, altri si accertano della presenza di vulnerabilità in particolari servizi, oppure dell’esistenza di spyware. Uno Sniffer è un programma che cattura le password e altre informazioni. Gli analizzatori di rete(sniffer ethernet) sono programmi che possono vedere all’interno del traffico in transito su una rete. © 2007 SEI-Società Editrice Internazionale, Apogeo

Minacce basate sull’infrastruttura Buffer overrun Viene fornito al software un input più lungo di quanto previsto. È sfruttato per passare comandi al computer remoto quali, per esempio, di lettura del file di password del computer o di apertura di una determinata porta. Heap overflows. È molto simile al buffer overrun, ma non si applica ai buffer per i dati di input quanto alle zone di memoria utilizzate dall’applicazione. In entrambe le tecniche lo scopo è quello di inserire piccoli programmi assembler (shellcode) che eseguono una shell (come /bin/sh su Unix o command.com su DOS e Windows) nella memoria del computer e di fare in modo che vengano eseguiti dal computer sotto attacco. © 2007 SEI-Società Editrice Internazionale, Apogeo

Strumenti per la sicurezza - antivirus L’antivirus è un componente software che cerca ed elimina virus, troiani, vermi e altro software maligno da un computer o una rete di computer. © 2007 SEI-Società Editrice Internazionale, Apogeo

Strumenti per la sicurezza - firewall I firewall (“muro tagliafuoco”) sono dispositivi hardware/software di difesa del perimetro di una rete di computer. La loro funzione è quella di isolare la rete interna da quella esterna, generalmente rappresentata da Internet. Filtrano la comunicazione tra rete esterna e interna, per limitare la comunicazione solo a messaggi che non rappresentino un rischio di sicurezza. I pacchetti di rete in transito sono monitorati, controllati e verificati per individuare messaggi potenzialmente maligni, o tentativi di connessione da parte di computer o sottoreti non autorizzate, oppure su porte non consentite. Possono essere di due tipi: completamente software. hardware/software. Sono in pratica computer su cui è in esecuzione un software di firewall, completamente dedicati allo scopo. Altre funzionalità dei firewall sono: funzionalità di routing, che consente di interfacciare due reti diverse, come Internet e la rete locale; filtro sui contenuti, come quelli necessari a limitare la visione di materiale per adulti. © 2007 SEI-Società Editrice Internazionale, Apogeo

Riferimenti - Wikipedia Cracker http://it.wikipedia.org/wiki/Cracker Kevin Mitnick http://it.wikipedia.org/wiki/Kevin_Mitnick Virus http://it.wikipedia.org/wiki/Virus_%28informatica%29 Trojan http://it.wikipedia.org/wiki/Trojan Worm http://it.wikipedia.org/wiki/Worm Denial of service http://it.wikipedia.org/wiki/Denial_of_service Dialer http://it.wikipedia.org/wiki/Dialer Spyware http://it.wikipedia.org/wiki/Spyware © 2007 SEI-Società Editrice Internazionale, Apogeo

Argomenti – lezioni (10 minuti) Virus – (tipologie) Hacker e Cracker Crittografia a chiave pubblica Crittografia (storia) Posta Elettronica Certificata Wireless (HW e SW) (espansione rete ITIS) Configurazione rete ITIS Firewall (protezione rete ITIS) Denial of Service Antivirus Protezione e furto di identità (rete ITIS) Crimini informatici (storia) © 2007 SEI-Società Editrice Internazionale, Apogeo