SICUREZZA DIGITALE Progettare, realizzare e gestire un sistema informatico sicuro Regole per tutti coloro che, responsabili aziendali o Enti, sono chiamati.

Slides:



Advertisements
Presentazioni simili
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Advertisements

Il FURTO D’IDENTITÀ Dijana Kryezi IV A SIA.
La sicurezza dei sistemi informatici
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Informatica e Telecomunicazioni
PREVENIRE: FARE O DIRE QUALCOSA IN ANTICIPO AL PREVEDIBILE ORDINE DI SUCCESSIONE PREVENZIONE: AZIONE DIRETTA A IMPEDIRE IL VERIFICARSI O IL DIFFONDERSI.
00 AN 1 Firewall Protezione tramite firewall.
Corso aggiornamento ASUR10
Firenze - 27 Aprile 2002 Salone de'Dugento Palazzo Vecchio E-privacy, riservatezza e diritti individuali in rete: difendersi dal Grande Fratello nel terzo.
Gestione dei laboratori Come rendere sicura la navigazione internet e l'uso della rete Lorenzo Nazario.
UN MONDO CHE CAMBIA Lo sviluppo tecnologico ha modificato profondamente il modo di lavorare se da un lato ha reso necessaria lintroduzione di nuove figure.
LE RETI INFORMATICHE. LE RETI LOCALI La lan (Local Area Network) è costituita da un insieme di nodi, solitamente usata in un edificio solo o in edifici.
Responsabile: Ing. Daniele Bocci CORSO INTEGRATO DI INFORMATICA Master in Management Infermieristico.
Per crittografia si intende la protezione
La Sicurezza nella Rete Unitaria della Pubblica Amministrazione
La tutela dei dati personali
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
Univ. Studi di Roma FORO ITALICO Prof. Stefano Razzicchia 1 UNIVERSITA STUDI DI ROMA FORO ITALICO Corso di Laurea Triennale INFORMATICA Lez. 6.
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.
SICUREZZA INFORMATICA
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
INTRODUZIONE l sistema operativo è il primo software che lutente utilizza quando accende il computer; 1)Viene caricato nella memoria RAM con loperazione.
Ottobre 2006 – Pag. 1
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Modulo 1 – la sicurezza dei dati e la privacy u.d. 7 (syllabus – 1.7.2)
Modulo 1 – Diritto dautore e aspetti giuridici u.d. 8 (syllabus – 1.8.2)
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
Il modello di riferimento OSI
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione.
L’architettura a strati
Indice Tematico Cos’è Internet Chi esegue gli attacchi e perché? Attacchi Tecniche di difesa Sicurezza nei pagamenti.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Nemesi Creazione e pubblicazione di una rivista online tramite l’utilizzo di Java Message Service.
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
LA SICUREZZA INFORMATICA
InternetInternet Sede: Salvo D’acquisto 2010/2011 Docente: Vito Monno.
INFN & sicurezza: aspetti legali Roberto Cecchini Paestum, 11 Giugno 2003.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
Sicurezza delle comunicazioni1 Introduzione Consistente sviluppo delle applicazioni telematiche dovuto a: –Evoluzione tecnologica delle trasmissioni –potenze.
Prof. ing. Paolo Bidello AA 2005/2006 Laboratorio Informatico Promemoria degli argomenti: Reti locali (LAN)
UNITA’ 04 Uso Sicuro del Web.
Gestione Sicura dei Dati
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
Acceptable Use Policy (AUP) La Rete Italiana dell'Università e della Ricerca, denominata comunemente "Rete GARR", si fonda su progetti di collaborazione.
Cloud SIA V anno.
SICUREZZA E PROTEZIONE DATI Sicurezza nei sistemi informatici significa non permettere la violazione o la lettura dei dati memorizzati in un computer.
La firma digitale. Che cosa é la firma digitale? La firma digitale è una informazione aggiunta ad un documento informatico al fine di garantirne integrità.
I FIREWALL. COSA SONO I FIREWALL? LAN MONDO ESTERNO UN FIREWALL E’ UN SISTEMA CHE SUPPORTA UNA POLITICA DI CONTROLLO DEGLI ACCESSI FRA DUE RETI (POLITICHE.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Le basi di dati.
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
1 Il livello transport. Concetti fondamentali - Canale logico e canale fisico 2 Quando un segnale deve essere trasmesso, viene inviato su un Canale, cioè.
L'ICT Le tecnologie dell'informazione e della comunicazione, in acronimo TIC (in inglese Information and Communications Technology, in acronimo ICT), sono.
Sicurezza nei sistemi aziendali. La complessità dei sistemi informatici, la sempre maggiore integrazione tra elementi eterogenei, la crescita dell’accessibilità.
Eprogram SIA V anno. La sicurezza informatica Sicurezza Con la diffusione dei computer e della rete Internet, il problema della sicurezza nei sistemi.
Referenti ICT1 Progetto di Formazione-Intervento® per i Referenti ICT Le linee di Piano.
Diritto e Internet Matteo Sacchi Classe 1°B Anno scolastico 2014/2015.
LA SICUREZZA INFORMATICA BERRETTA LORENZO 1B CAT A.S 2014/2015.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

SICUREZZA DIGITALE Progettare, realizzare e gestire un sistema informatico sicuro Regole per tutti coloro che, responsabili aziendali o Enti, sono chiamati ad occuparsi della sicurezza in campo ICT e non solo riferite al tecnico specialista ma anche a tutti coloro che devono compiere scelte di tipo manageriali per la sicurezza e affidabilità dei sistemi informativi.

Si pone molta attenzione non solo alla sicurezza ICT, ai pericoli e le vulnerabilità dei sistemi informatici ed alle possibili contromisure ma anche agli aspetti organizzativi e la necessità di essere conformi alle normative in vigore.

l'uso delle moderne tecnologie informatiche, che sempre più facilitano l'uso delle banche dati, e l'avvento di Internet, con i suoi servizi a basso costo, hanno facilitato la trasformazione dei sistemi informativi aziendali da sistemi "chiusi" ad "aperti" con conseguente sviluppo delle reti di informazione che hanno favorito, così, l'incremento del volume, della natura e del carattere sensibile delle informazioni scambiate.

Definito il "pericolo" come "condizione o circostanza che può produrre un danno" e la "sicurezza" coma "la probabilità che, in condizioni prestabilite e in un tempo determinato, non si verifichi l'evento", discendono altri concetti quali la "minaccia", la "vulnerabilità" e il "rischio".

Laddove la minaccia rappresenta il potenziale pericolo e sfrutta i punti deboli del sistema, la vulnerabilità coincide con i punti deboli indicati, mentre il rischio esprime la potenzialità di un evento dannoso di provocare un danno.

NORMATIVA norma ISO/IEC 17799:2000 che recepisce la norma inglese BS7799-1:2000 sulla sicurezza informatica.

la questione della sicurezza informatica non è solo un problema di tipo tecnico ma anche di business: il manager deve essere capace di stimare il costo complessivo delle misure di sicurezza ritenute idonee ed il costo della non sicurezza.

SICUREZZA FISICA Le misure di sicurezza fisica di tipo preventivo La sicurezza perimetrale e il controllo degli accessi fisici Climatizzazione dei locali e rilevatori di fumo, di gas e di umidità I sistemi per garantire la continuità elettrica La sicurezza fisica dei dispositivi ICT

LA SICUREZZA LOGICA Misure di prevenzione Identificazione, autenticazione e controllo degli accessi Lidentificazione di un interlocutore Autenticazione Autorizzazioni e controllo degli accessi

ESISTE QUINDI UNA POLITICA, UNA PROGETTAZIONE, UNATTUAZIONE DELLA SICUREZZA INFORMATICA LA GESTIONE DELLA SICUREZZA ICT STRUMENTI, METODICHE E STANDARD PER LA GESTIONE DEI SISTEMI DI SICUREZZA ICT Livelli di servizio e loro gestione LORGANIZZAZIONE, I RUOLI E LE PROCEDURE PER LA SICUREZZA ICT Le procedure per la sicurezza ICT

Politica di sicurezza La Sicurezza informaticaSicurezza informatica consiste in una raccolta di procedure, atte a rendere e a garantire il rispetto delle Quattro I: sc.3

1- Identità autentica: ogni utente deve avere un'identità firmata e garantita con gli adeguati metodi di autenticazione: sicurezza sia per la semplice navigazione web sia per stipulare contratti online;

2- In-link perpetuo: è la disponibilità dei dati, nessun tipo di inconveniente tecnico deve interferire con le basi di dati. Tutto deve essere scongiurato con le giuste misure preventive, dal blackout elettrico all'hackeraggio indiscriminato.

3- Integrità: i dati non devono essere manipolati o trasformati per nessun motivo senza l'autorizzazione di chi li ha generati. La base di dati deve conservare il tutto senza degenerazioni di sorta.

4- Io, non voi!: la riservatezza dei dati in qualunque frangente deve essere un punto fondamentale. Senza le necessarie autorizzazioni sono vietate intercettazione, lettura, pubblicazione di ogni tipo di dato. Il rispetto della privacy e la sicurezza dei dati sensibili passa assolutamente per questo punto.

La protezione dagli attacchi informatici viene ottenuta agendo su più livelli:

innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglianza e/o di controllo degli accessiserver

Il secondo livello è normalmente quello logico che prevede l'autenticazione e l'autorizzazione di un'entità che rappresenta l'utente nel sistema.autenticazioneautorizzazione

Successivamente al processo di autenticazione, le operazioni effettuate dall'utente sono tracciate in file di log.filelog

Questo processo di monitoraggio delle attività è detto audit o accountabilityauditaccountability

Insito nel concetto di integrità vi è la possibilità di verificare con assoluta certezza se un dato o una informazione sono rimasti integri, ossia inalterati nel loro contenuto, durante la loro trasmissione e/o la loro memorizzazione Lazione di una terza parte di modifica viene rilevata.

Maggiore sarà l'integrità dei dati e consequenzialmente maggiore sarà la possibilità di esatta lettura/scrittura degli stessi e quindi di prevenzione degli errori.

La disponibilità misura l'attitudine di unentità ad essere in grado di svolgere una funzione richiesta in determinate condizioni ad un dato istante, o durante un dato intervallo di tempo, supponendo che siano assicurati i mezzi esterni eventualmente necessari.

La disponibilità dipende dagli aspetti combinati di affidabilità, manutenibilità e logistica relativamente ad unentità, essa non è pertanto influenzata da fenomeni che hanno origine all'esterno dell'entità pur manifestandosi all'interno di essa (ad esempio la mancanza di alimentazione elettrica, se dovuta al fornitore, la mancanza di materiali o di prodotti necessari ad alimentare il processo, l'assenza del personale necessario alla conduzione dell'entità, ecc.).

Durante una comunicazione in Internet o laccesso ad alcuni servizi messi a disposizione dal Web è importante per lutente definire in modo univoco la propria identità, essere riconosciuto e per questo ottenere laccesso ai propri servizi e allo stesso modo è fondamentale anche conoscere lidentità di chi si trova dallaltra parte della linea della comunicazione ed essere certi che linterlocutore con il quale si stanno scambiando delle informazioni sia veramente chi dice di essere e non un impostore.

La scelta dei diversi metodi di autenticazione è condizionata dai diversi fattori tra cui l'usabilità, l'importanza delle informazione da proteggere ed il costo del sistema

Tipi di sicurezza Sicurezza Passiva Per sicurezza passiva normalmente si intendono le tecniche e gli strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata. (es. l'accesso a locali protetti, l'utilizzo di porte di accesso blindate, congiuntamente all'impiego di sistemi di identificazione personale..)

la sicurezza passiva e quella attiva sono tra loro complementari ed entrambe indispensabili per raggiungere il desiderato livello di sicurezza di un sistema

TIPI DI ATTACCHI Le possibili tecniche di attacco sono molteplici, perciò è necessario usare contemporaneamente diverse tecniche difensive per proteggere un sistema informatico, realizzando più barriere fra l'attaccante e l'obiettivo.

Spesso l'obiettivo dell'attaccante non è rappresentato dai sistemi informatici in sé, quanto piuttosto dai dati in essi contenuti, quindi la sicurezza informatica deve preoccuparsi di impedire l'accesso ad utenti non autorizzati, ma anche a soggetti con autorizzazione limitata a certe operazioni, per evitare che i dati appartenenti al sistema informatico vengano copiati, modificati o cancellati.

Per quanto riguarda la produzione di software "protetti" possiamo partire col definire il concetto di sicurezza come l'assenza da condizioni conflittuali capaci di produrre danni mortali o irreparabili ad un sistema

Nella progettazione di software è quindi fondamentale raggiungere il compromesso più funzionale tra l'efficienza d'uso del programma in questione e la sua capacità di "sopravvivenza" ad attacchi esterni e ad errori più o meno critici

Modelli di sicurezza per il controllo dei programmi Semantic-based security model (modelli di sicurezza basati sulla semantica): la sicurezza del programma controllato viene esaminata in termini di comportamento del programma Security-typed language (modelli di sicurezza basati sul linguaggio):

-

Aspetti devono essere salvaguardati ai fini della sicurezza di un sistema informatico; affidabilità, integrità, riservatezza, autenticità e non ripudio

Mancanza di fornitura elettricaaffidabilità Cancellazione non autorizzata di un fileintegrità Intercettazioni dei dati durante la loro trasmissioneriservatezza La spedizione di un da parte di un pirata informatico che si maschera facendo credere che il mittente dell sia una persona conosciuta al destinatario autenticità Carta intestata falsaNon ripudio Rottura di un componente hardwareaffidabilità Modifica non autorizzata di un fileintegrità Accesso non autorizzato dei dati memorizzati su un server riservatezza Firma falsaNon ripudio Falsa Non ripudio

la rottura di un hard disk comporta una violazione della integrità perché le informazioni sulle tracce sono state sicuramente modificate o cancellate e una violazione della ( affidabilità) perché le informazioni non sono più accessibili allutente

la rottura solo della parte elettronica di un hard disk comporta la violazione solo dell affidabilità ma non lintegrità, in quanto cambiando la parte elettronica si accede lo stesso alle informazioni originarie.

attacco in ambito informatico : qualsiasi agente accidentale o intenzionale finalizzato a sovvertire le misure di sicurezza di un sistema informatico.

Un fulmineNon umano -attivo Pirata che ascolta in rete messaggi riservati Umano –passivo Attentato a impianti informatici Umano –attivo Creazione e inserimento di un virus in un sistema Umano attivo Interruzione di corrente elettrica Non umano attivo Frode informaticaUmano attivo

Hacker Qualcuno che si interessa di informatica e non intende danneggiare il computer,agisce a fin di bene, ma può entrare nei sistemi altrui; sfrutta le sue conoscenze per testare le misure di sicurezza adottate dagli amministratori di sistema per verificarne la stabilità e quando trova una falla informa i responsabili sul tipo di attacco e come provvedere. CrackerColui che si serve dellinformatica per fare danni : criminale moderno

attaccodefinizionedifesa SniffingUna delle tecniche usate dai criminali: permette di ascoltare, (annusare : snif) il passaggio dei dati lungo la rete, pre catturare quelli cercati; tecnica usata da un agente passivo per violare la riservatezza dei dati. crittografia

SpoofingUn criminale informatico invia pacchetti modificando lindirizzo IP del sorgente e facendo credere quindi allhost di destinazione e ai vari nodi che il pacchetto attraversando firewall, router proviene da unaltra sorgente; spoof : imbrogliare spoofing di indirizzi IP : falsifica la provenienza dei pacchetti spoofing di dati : prende il controllo del canale di comunicazione e inserisce, modifica, cancella i dati che vengono trasmessi; Autenticazione Autenticazione e serializzazione dei pacchetti

Negazione del servizio (denail of service) Impedisce al computer di erogare servizi; un protocollo che si presta molto a tali attacchi è il ICMP ( Internet Control Message Protocol) perché i pacchetti sono facilmente falsificabili; Un attacco di questo tipo è il network flooding ( flood = sommergere), il quale agisce saturando la capacità di gestire il traffico in entrata; apposito software di protezione

bombing Bombardamento, con migliaia di messaggi di posta elettronica, della casella di un utente, per provocare un crash nel server; anti

SpammingInvio di posta elettronica a chi non vuole riceverla anti

Malware (codice malefico) E tipologie Programma ( oparte di esso) che riesce in vario modo a introdursi in un sistema informatico, allinsaputa degli utenti, e quindi a compiere un certo numero di operazioni dannose. Il programma è progettato i per le seguenti finalità: permette la propria riproduzione si nasconde nel sistema per : MODIFICARE, DISTRUGGERE dati e programmi, INTERROMPERE i sistemi E SOSTITUIRE utenti Tipologie: Virus: programma autonomo che a differenza dei cavalli di troia non hanno bisogno di un altro <programma che lo ospiti. Ha un meccanismo di replica Worm: programmi che si inseriscono nella memoria ( centrale di massa) cercando aree libere per replicarsi fino a saturare il sistema; sono veicolati attraverso la rete. trojan horse; un codice che si nasconde allinterno di un programma o di un dovcumento; si attiva al verificarsi di alcuni eventi; anti

BackdoorEntrata di servizio segreta agli occhi di tutti tranne che a quelli del cracker; operazione eseguita spesso anche dallhacker; una volta installata permette allintruso di divenire utente amministratore del sistema in questione; non è facile trovarla perché una backdoor ben fatta rappresenta la firma che il cracker ha apposto sul suo lavoro; per creare una bakdoor viene utilizzato un opportuno software detto di scansione delle porte del server per verificare se esiste una porta aperta. Utilizzo in modo sistematico dei file di log del sistema che registrano i passaggi nel sistema e le modifiche da questo subito.

NukingLa semplice conoscenza dellindirizzo IP numerico di un utente che sta navigando fornisce a un cracker la principale informazione che stava cercando; una volta ottenuto lIP il cracker può far resettare a distanza il computer sfruttando un bug di Windows : operazione nuke.