Sicurezza Informatica Prof. Stefano Bistarelli bista@dipmat.unipg.it http://www.sci.unich.it/~bista/

Prof. Stefano Bistarelli - Sicurezza Informatica Contact Prof. Stefano Bistarelli Office … Phone: … E-mail: bista@dipmat.unipg.it Web: http://www.sci.unich.it/~bista/ Office Hours: Monday, Tuesday: after the lesson By appointments Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Course Material Textbook Introduction to Computer Security, Matt Bishop, Errata URL: http://nob.cs.ucdavis.edu/~bishop/ Computer Security: Art and Science, Matt Bishop – is fine too Website: http://www.sci.unich.it/~bista/didattica/sicurezza-pg/ Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Class schedule Monday 15-17 (aula I2) Tuesday 9-11 (aula A0) Additional… Monday 14-15 and 17-18 Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Avviso Lunedì 17 e martedì 18 marzo lezione sospesa Recupero lunedi’ 31 marzo (orario 14-15 e 17-18) lunedi’ 7 aprile (orario 14-15 e 17-18) Lunedì 14 e martedi 15 aprile lezione sospesa lunedi’ 21 aprile (orario 14-15 e 17-18) lunedi’ 28 aprile (orario 14-15 e 17-18) Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Grading Seminario 30 minuti su articolo scientifico + Esame orale su materiale corso (seguire seminari obbligatorio) Forse seminari aggiuntivi su argomenti di interesse specifico per I candidati progetti di laboratorio specifici in collaborazione con sistemisti di dipartimento Homework/Quiz/Paper review Prof. Stefano Bistarelli - Sicurezza Informatica

… suggerimenti per buona riuscita del corso … … votazione … … cosa farete da grandi? … Vincoli, sicurezza, Bioinformatica? Economics? QoS? Prof. Stefano Bistarelli - Sicurezza Informatica

--- Sicurezza Informatica --- Prof. Stefano Bistarelli Questions Collect your emails/contacts! --- Sicurezza Informatica --- Prof. Stefano Bistarelli

Prof. Stefano Bistarelli - Sicurezza Informatica Course Outline Information assurance Security Mechanisms Auditing Systems Risk analysis System verification Intrusion Detection and Response Attack Classification and Vulnerability Analysis Detection, Containment and Response/Recovery Legal, Ethical, Social Issues Evaluation, Certification Standards Miscellaneous Issues Malicious code, Mobile code Digital Rights Management, Forensics Watermarking, E/M-commerce security, Multidomain Security Identity/Trust Management Introduction (chap1) Security Basics General overview and definitions Policies (chap 4-7) Confidentiality (Bell-LaPadula) Integrity (Biba, Clark-Wilson) Hibrid (Chines-Wall, Originator/role based Access control) Authenication: Key, Identity and Principal management (chap 8-11, 13) Cenni su DES/RSA/funzioni Hash Cenni su PEM, IPsec Security authenitication protocols Needham-Schroeder Denning-Sacco WideMuthFrog … Identity management (bind identity to public key) X509, digital signature, authentication, PKI bind identity to principal Passwords, tokens, biometrics, … Principals as file, users, group, certificate Systems Design principles (chap 12) Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Ma cosa è la sicurezza? Quando un sistema è sicuro? Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Sicurezza non è Crittografia Firewall Antivirus Password Smartcard … Prof. Stefano Bistarelli - Sicurezza Informatica

Sicurezza non è crittografia Crittografia scienza esatta come branca della matematica Impossibile violare RSA in tempo polinomiale Sicurezza scienza inesatta perché basata su persone e macchine Acquisto on-line insicuro Prof. Stefano Bistarelli - Sicurezza Informatica

Sicurezza non è password La password più diffusa è amore Attacchi dizionario Come scegliere una buona password Come ricordare una buona password Usare una password per sempre? Prof. Stefano Bistarelli - Sicurezza Informatica

Sicurezza non è firewall Prof. Stefano Bistarelli - Sicurezza Informatica

Sicurezza non è firewall Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Non prodotto ma processo Anello più debole di una catena Proprietà multilivello Livelli di sicurezza Concetto mai assoluto – contesto? Sicurezza da che cosa? Prof. Stefano Bistarelli - Sicurezza Informatica

Minacce nuove – automazione Microfurti diventano una fortuna Limare 1/1000€ da ogni transazione VISA Violazioni quasi senza tracce Il mio PC ha fatto improvvisamente reboot Privatezza a rischio Hanno telefonato: sanno che sono iperteso Prof. Stefano Bistarelli - Sicurezza Informatica

Minacce nuove – distanza Non esiste distanza Internet non ha confini naturali Ci preoccupano tutti i criminali del mondo Adolescente inglese viola sistema italiano Leggi versus confini nazionali Denunce contro… Internet Mecca: trovarsi in uno stato americano con scarsa cyberlaw e mancanza di estradizione L’adolescente inglese sara’ ricercato anche dalla legge italiana! Prof. Stefano Bistarelli - Sicurezza Informatica

Minacce nuove – tecniche diffuse Rapidità di propagazione delle tecnologie Hacker pubblica lo script del proprio attacco Scaricato crack slovacco per texteditor Diventare hacker spesso non richiede abilità Scaricato script per attacco di negazione del servizio (DoS) Trovato su Internet parte del codice rubato di Win2K e verificato che… Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Come proteggersi? Physical security Accesso fisico di utenti alle macchine Operational/Procedural security Policy di sicurezza Personnel Security … System Security Acl, log, … Network Security Firewall, IDS, buon routing e filtri Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Come proteggersi? Physical security Accesso fisico di utenti alle macchine Operational/Procedural security Policy di sicurezza Personnel Security … System Security Acl, log, … Network Security Firewall, IDS, buon routing e filtri Prof. Stefano Bistarelli - Sicurezza Informatica

Prof. Stefano Bistarelli - Sicurezza Informatica Piano di Sicurezza Risk Avoidance (evitare rischi) Necessitiamo di una connessione Internet permanente? Deterrence (deterrenza) Pubblicizzare strumenti di difesa e di punizione Prevention (prevenzione) Firewall Detection (detection) IDS Reaction Recovery Tribunale Prof. Stefano Bistarelli - Sicurezza Informatica

Soluzioni contro gli attacchi informatici Buona pianificazione della rete con hardware adeguato (router, switch ecc.) insieme alla divisione della rete in aree a livello di sicurezza variabile. Controllo dell’integrità delle applicazioni (bugs free) e verifica della correttezza delle configurazioni. Utilizzo di software che controllino e limitino il traffico di rete dall’esterno verso l’interno e viceversa (es. firewall, router screening ecc.) Utilizzo di applicazioni che integrino algoritmi di crittografia in grado di codificare i dati prima della loro trasmissione in rete (es. PGP, SSH, SSL ecc.) Prof. Stefano Bistarelli - Sicurezza Informatica

I conti con la realtà Babbo, prato secco e buche di talpa dappertutto: il mio campo di baseball va ricostruito!! Ricostruito?? Figliolo, tu non sai di cosa stai parlando!! Prof. Stefano Bistarelli - Sicurezza Informatica

Stato dell’arte in Sicurezza La sicurezza Richiederebbe spesso il ridisegno, il che non è sempre possibile! E’ una proprietà di vari livelli architetturali [OS, rete, ...] Non è un semplice predicato booleano [!!!!!!!!!!!!!!!!!!!!!!!!!!!!] E’ costosa nel senso di risorse computazionali, gestione, mentalità, utilizzo Rimane un campo aperto anche per i colossi dell’Informatica Prof. Stefano Bistarelli - Sicurezza Informatica

Definizione di Sicurezza Informatica Assenza di rischio o pericolo Sicurezza Informatica Prevenzione o protezione contro, Accesso, distruzione o alterazione di risorse/informazioni da parte di utenti non autorizzati Prof. Stefano Bistarelli - Sicurezza Informatica