Inziamo a interagire… Chi prova a rispondere alle seguenti domande:

Slides:



Advertisements
Presentazioni simili
Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Convegno di Studi su Internet e Diritto - Milano, 16 e 17 Ottobre 2003 Ing. Andrea.
Advertisements

La sicurezza dei sistemi informatici
TAV.1 Foto n.1 Foto n.2 SCALINATA DI ACCESSO ALL’EREMO DI SANTA CATERINA DEL SASSO DALLA CORTE DELLE CASCINE DEL QUIQUIO Foto n.3 Foto n.4.
Francesco Cristofoli Microsoft Italia
Configuring Network Access
Corso aggiornamento ASUR10
INTERNET: RISCHI E PERICOLI
1 DECRETO LEGISLATIVO 626/94 19 SETTEMBRE 1994 MODIFICHE ED INTEGRAZIONI DECRETO LEGISLATIVO 242/96 19 MARZO 1996 CORSO DI FORMAZIONE ED INFORMAZIONE IN.
1 I KEYLOGGERS COSA SONO CONTROMISURE UN ESEMPIO.
Frontespizio Economia Monetaria Anno Accademico
1 Tavolo del Patto per la crescita intelligente, sostenibile e inclusiva Il ricorso agli ammortizzatori sociali nei territori colpiti dagli eventi sismici.
1 Area Comunicazione e Sviluppo Web09/10/2003Sito Web Provincia di Torino Provincia di Torino Area Relazioni e Comunicazione 1 01/12/03 Portale della Provincia.
Laurea Triennale in Infermieristica
Per crittografia si intende la protezione
1 14. Verifica e Validazione Come assicurarsi che il software corrisponda alle necessità dellutente? Introdurremo i concetti di verifica e validazione.
1 Seconda ora Larchitettura di un sistema di e- government: parte seconda Un esempio di progetto di e-Government: il progetto servizi alle imprese Un esempio.
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Reti di Calcolatori e Sicurezza Thanks to Giampaolo Bella for slides draft!! 1 Capp.0,1,2 Schneier Panoramica.
1 Il servizio di prestito e fornitura documenti ILL-SBN una visione di insieme caratteristiche della procedura illustrazione delle funzionalità
1 Corso di Informatica (Programmazione) Lezione 4 (24 ottobre 2008) Architettura del calcolatore: la macchina di Von Neumann.
eliana minicozzi linguaggi1a.a lezione2
Corso di Informatica per Giurisprudenza Lezione 5
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
CORSO DI RICERCA BIBLIOGRAFICA 4. giornata (20 marzo 2008) Web of Science Beilstein e Gmelin Crossfire.
Commercio Elettronico e Transazioni Commerciali in Internet Betty BronziniCorso di Sicurezza 2003.
Il codice in materia di protezione dei dati personali è un decreto legislativo (atto avente forza di legge) della Repubblica Italiana emanato il 30 giugno.
DHTML: Modello degli Eventi 1. 2 Sommario Introduzione Evento onclick Evento onload Gestione errori con onerror Gestione mouse con levento onmousemove.
Posta Certificata Cosè e come funziona: valore legale, applicazioni e prove pratiche di invio e ricezione. Posta Certificata Cosè e come funziona: valore.
19 Lezione 21/5/04 Composizione dell'immagine 1 COMPOSIZIONE DELLIMMAGINE.
2 3 4 RISERVATEZZA INTEGRITA DISPONIBILITA 5 6.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Modulo 7 – reti informatiche u.d. 2 (syllabus – )
Ottobre 2006 – Pag. 1
Manuale Utente Assoviaggi ver Contenuti Prontovisto: cosa è ed a chi è rivolto Le procedure per la vendita del servizio Prontovisto 2.
Guida IIS 6 A cura di Nicola Del Re.
Test Reti Informatiche A cura di Gaetano Vergara Se clicchi sulla risposta GIUSTA passi alla domanda successiva Se clicchi sulla risposta ERRATA passi.
ISOIVA (LOCALE) TO ISOIVA (WEB) RIPARTIZIONE INFORMATICA UFFICIO APPLICATIVI AMMINISTRATIVI 13/04/2011 UNIVERSITÀ DEGLI STUDI DI FERRARA 1.
SICUREZZA DEI DATI Panaro Emilia IV A SIA.
Scheda Ente Ente Privato Ente Pubblico. 2ROL - Richieste On Line.
GeoSoft BLU short presentation 1. GeoSoft BLU short presentation 2 Il software BLU è un prodotto software di tipo CRM (Customer Relationship Management)
1 Guida per linsegnamento nei corsi per il conseguimento del CERTIFICATO DI IDONEITÀ ALLA GUIDA DEL CICLOMOTORE.
1 20 maggio 2005 MISURE DI SICUREZZA INFORMATICA DEL NUOVO CODICE DELLA PRIVACY (d.lgs. 30 giugno 2003, n. 196)
CORSO DI CRITTOGRAFIA Quinto incontro PROGETTO LAUREE SCIENTIFICHE
Protocollo informatico: interoperabilità e PEC
Bando Arti Sceniche. Per poter procedere è indispensabile aprire il testo del Bando 2ROL - Richieste On Line.
Reti di Calcolatori e Sicurezza Laurea specialistica in Economia Informatica Stefano Bistarelli Università degli Studi G. DAnnunzio (Chieti – Pescara)
1 Ripassino Reti di Computer Carasco 19/02/ Che cosa è una rete informatica? Una rete informatica è un insieme di computer connessi tra di loro.
Sicurezza Informatica. Conoscere ed evitare! 2/19 I Virus e le truffe informatiche.
1Piero Scotto - C14. Finalità del corso Programma Materiale Requisiti Spendibilità 2Piero Scotto - C14.
Atzeni, Ceri, Paraboschi, Torlone Basi di dati McGraw-Hill,
ECDL Patente europea del computer MODULO 1 Concetti di base della tecnologia dellinformazione 1.5 Sicurezza.
Prof. Antonio Martano ITIS “Pacinotti” Taranto
SCREENING CURRICULA.
a cura di Francesco Lattari
METODI DI RAPPRESENTAZIONE TECNICA
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
La sicurezza dei sistemi informatici. Il sistema deve soddisfare i seguenti requisiti di sicurezza (CIANA)  Confidenzialità (Riservatezza)  Integrità.
IL GIOCO DEL PORTIERE CASISTICA. Caso n. 1 Il portiere nella seguente azione NON commette infrazioni.
Sicurezza informatica
UNITA’ 04 Uso Sicuro del Web.
Comunicazioni. 5.1 POSTA ELETTRONICA 5.1 POSTA ELETTRONICA.
IT SECURITY Comunicazioni. Posta elettronica I messaggi ( ) commerciali viaggiano in rete “criptati”, cioè scritti con una “chiave pubblica” nota.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi.
Sicurezza e attacchi informatici
Cloud SIA V anno.
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10.
ECDL European Computer Driving Licence
Applicazione Presentazione Sessione Trasporto Rete Data link Fisico OSI Processo / Applicazione Trasporto Rete- Internet Interfaccia di.
Cenni di Crittografia Luigi Vetrano TechnoLabs S.p.A. L’Aquila, Aprile 2011.
La sicurezza informatica Davide Bacciardi 1B_A.S 2014/2015.
Transcript della presentazione:

Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin

Inziamo a interagire… Chi prova a rispondere alle seguenti domande: Cosa si intende per sicurezza informatica? Perché ci deve interessare la sicurezza informatica? Non è un problema solo militare?

Alice e Bob possono comunicare in modo “sicuro”? canale insicuro messaggi Alice e Bob possono comunicare in modo “sicuro”? senza che nessuno legga i loro messaggi senza che nessuno modifichi i loro messaggi con la certezza di parlare proprio tra di loro

Statistica sui furti di laptop Furto di laptop 109 mila furti registrati soltanto nel 2008 (negli USA). Furto di navigatori GPS è cresciuto del 700 per cento in soli due anni. negli Stati Uniti, si è passati da una cifra di 3.700 casi di furto denunciati nel 2006 ai 24.700 casi del 2008.

Attacco alle torri gemelle: attacco doloso inatteso, mai considerato Attacco alle torri gemelle: attacco doloso inatteso, mai considerato. Backup?

Terremoto a L’Aquila: disastro naturale

Ariane 5 flight 501 4 June 1996 The error arose because a numeric overflow in the Inertial Reference System program, during conversion of a 64-bit to a 16-bit number. The piece of code had been originally written for the Ariane 4 and was being reused in the Ariane 5. The original designers had chosen not to check for this error (to save on computational overhead) as it could not happen in practice - on the Ariane 4 that is. Unfortunately, the Ariane 5 take-off trajectory was different and the bug caused both Inertial Reference Systems to crash, causing them to output a test pattern. This was interpreted by the On Board Computer as real flight data, leading to extreme deflections of the booster engine nozzles. The report states " The launcher started to disintegrate at about H0 + 39 seconds because of high aerodynamic loads due to an angle of attack of more than 20 degrees that led to separation of the boosters from the main stage, in turn triggering the self-destruct system of the launcher". Ironically, the errant code was responsible for the initial alignment of the Inertial Reference System, and had absolutely no purpose once the launcher had lifted off. For historic reasons however, the code was kept running for a short while to facilitate restart on the Ariane 4 launch.

Dalle news (1)

Dalle news (2)

Dalle news (3)

Sicurezza e Web: Phishing 1. L’attaccante invia a migliaia di indirizzi internet un’e-mail falsa spacciandosi per un istituto bancario. @ @ ATTACCANTE @ Gentile utente, per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale. http://www.banklinknet.it 2. L’utente riceve l’e-mail falsa dove viene chiesto di cliccare su un link ed inserire i propri codici d’accesso. 3. I codici inseriti arrivano direttamente al phiser che li userà per i suoi scopi. ATTACCANTE

Statistiche Tipologie di attacchi e loro frequenza

Sicurezza Informatica? (1) In generale: Sicurezza = Assenza di rischio o pericolo Sicurezza Informatica? Prevenzione o protezione contro accesso, distruzione o alterazione di risorse/informazioni da parte di utenti non autorizzati

Sicurezza informatica: perché? Perché proteggere le informazioni? Le informazioni sono una componente importante e strategica per un’azienda. Danni o utilizzi non previsti dell’informazione possono avere conseguenze, anche disastrose, non solo per il singolo utente a cui sono state “rubati”, ma anche per l’intera organizzazione. Es. Laptop rubato a un dipendente di US Veterans: conteneva 26.5 record di veterani (nome, data nascita, ssn, etc.)!!!! L’avvento di Internet ha reso l’accesso alle informazioni molto più semplice.

Sicurezza Informatica? (2) Abilità di un sistema di proteggere informazioni e risorse rispetto alle nozioni di CIA Confidentiality (Secrecy e Privacy) Integrity Availability

Confidentiality (1) Confidentialità Assicurare che le informazioni non siano accessibili ad utenti non autorizzati Domanda: chi determina quali utenti siano autorizzati? Termini usati come sinonimi: segretezza e privatezza Privatezza (privacy): quando l’informazione fa riferimento a individui Assicurare che gli utenti possano controllare quali informazioni su di loro vengano raccolte, come vengano usate, chi le usi, chi le mantenga e per quale scopo vengano usate.

Confidentiality (2) Privacy = diritto di segretezza La password di laboratorio è confidenziale, non privata La democrazia si basa sulla privacy Il voto è privato Nota: in Europa i dati personali sono privati, in USA no! La Doxa non può vendere i vostri dati

Integrity Integrità Assicurare che le informazioni non siano alterabili da utenti non autorizzati (in maniera invisibile agli utenti autorizzati) Integrità di un video Integrità di un database Integrità di una cache Nota1: Non importa l’origine dei dati (autenticazione) Nota2: Mancanza di integrità spesso sinonimo di falsificazione

Availability Disponibilità Assicurare che le informazioni siano disponibili agli utenti autorizzati Assicurare che un sistema sia operativo e funzionale in ogni momento (non denial-of-service, DoS)

CIA - Conflitti? Le 3 proprietà a volte sono in conflitto Esempio: confidentiality vs availability Se non permetto a nessuno di leggere un’info, garantisco la prima, ma non la seconda. Un sistema centralizzato va bene per la prima, ma, rallentando il tempo di risposta, non per la seconda. Information Security Confidentiality Integrity Availability

Sicurezza Informatica - Esempio (1) Si consideri il database contenente le informazioni sugli stipendi degli impiegati di una certa azienda, si deve assicurare che: i salari degli impiegati non vengano svelati a un utente arbitrario del database; i salari vengano modificati solo dalle persone autorizzate a questo compito (segretaria amministrativa); le buste paga vengano stampate alla fine di ogni mese.

Sicurezza Informatica - Esempio (2) In ambito militare è importante che: il target di un missile non venga comunicato ad un utente non autorizzato; il target non venga arbitrariamente modificato; il missile venga lanciato nel momento in cui si inizia a fare fuoco

Sicurezza Informatica? (3) Autenticazione (authentication) Assicurare che i soggetti siano effettivamente chi affermano di essere Non ripudio (non repudiation) Assicurare che il mittente di un messaggio non possa negare il fatto di aver spedito il messaggio e il destinatario non possa negare di averlo ricevuto Anonymity (Anonimato) Difficile da garantire nel mondo digitale Indirizzo Ethernet unico MS Office inserisce il nome dell’autore IP trace-back Far notare che anche in questo caso ci puo’ essere conflitto tra una proprieta’ ed un’altra.

Confidentiality vs Privacy vs Anonymity Privatezza: Diritto dell’individuo di rilasciare (o meno) le informazioni che lo riguardano. Diritto alla segretezza. Anonimato: Diritto dell’individuo di rilasciare (o meno) la propria identità. Anonimato commerciale e sanitario Pseudo-anonimato: uso di nome falso E’ davvero un diritto?

Sicurezza Informatica - Tassonomia Un po’ diversa dal libro, ma ne riprende gli elementi …………. Controllo Livelli di segretezza Equilibrio privatezza-legge Autenticazione Non ripudiabilità Confidentiality (segretezza) Availability Integrity Privatezza Anonimato

Equilibrio privatezza/legge Il singolo richiede privacy, la legge richiede l’opposto Chi possiede capitali in Svizzera? In UK le banche hanno “coperto” propri clienti La soluzione serve prima di tutto sul piano etico/legale L’implementazione della soluzione viene solo dopo – per il momento il problema non e’ tecnico

Livelli di segretezza Che livello di segretezza? Top secret Secret Riservato Non classificato

Controllo Controllo: Controllo dell’accesso: Verificare che il sistema funzioni come previsto. Mondo digitale: facile non lasciare tracce Alterare un file cambiando un bit Controllo dell’accesso: Garantire che gli utenti abbiano accesso a tutte e sole le risorse o i servizi per i quali sono autorizzati.

Sicurezza Informatica? (4) A volte anche le seguenti proprietà vengono considerate come parte integrante della sicurezza: Safety: una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all'interno del sistema; Reliability (affidabilità): prevenzione da eventi che possono produrre danni di qualsiasi gravità al sistema.

La sicurezza informatica non è …

… non è crittografia Crittografia scienza esatta come branca della matematica Impossibile violare RSA in tempo polinomiale Sicurezza scienza inesatta perché basata su persone e macchine Acquisto on-line insicuro

… non è password Sistema molto debole! La password più diffusa è amore Attacchi dizionario Attacchi forza bruta Ottenere l’accesso al file delle password Problemi: Come scegliere una buona password? Come ricordare una buona password? Usare una password per sempre?

… non è firewall

Sicurezza [Schneier00] “La sicurezza non è un prodotto, ma un processo” Concetto mai assoluto – qual è il contesto? Sicurezza da che cosa? Che livello di sicurezza si vuole garantire? “La sicurezza è una catena e la sua resistenza è determinata dall’anello più debole”

Il dilemma della Sicurezza Teoria versus Pratica Condizioni ideali – prevedibili Ipotesi ben precise Risultati ben precisi Pratica: Condizioni reali – imprevedibili Ipotesi meno precise Risultati meno precisi Esempi: protocolli di sicurezza, crittografia perfetta, …

Problemi di sicurezza Causati da: Complessità Interattività Che sistema operativo! Interattività 2 sistemi diventano 1 grande Proprietà emergenti L’avvento di X comporta Y Predisposizione ai bug Alcuni linguaggi di programmazione sono più difficili di altri

Come proteggersi ?

Planning security (1) Prevenzione Rilevamento Reazione Crittografia Controllo (antivirus, badge, backup, …) Rilevamento Logging Intrusion detection Reazione Intrusion management System recovery Tribunale

Planning security (2) Pianificazione della rete con hardware adeguato (router, switch ecc.) insieme alla divisione della rete in aree a livello di sicurezza variabile. Controllo dell’integrità delle applicazioni (bugs free) e verifica della correttezza delle configurazioni. Utilizzo di software che controllino e limitino il traffico di rete dall’esterno verso l’interno e viceversa (es. firewall, router screening ecc.) Utilizzo di applicazioni che integrino algoritmi di crittografia in grado di codificare i dati prima della loro trasmissione in rete (es. PGP, SSH, SSL ecc.)

Sicurezza: stato dell’arte La sicurezza: Richiederebbe spesso il ridisegno di un sistema preesistente, il che non è sempre possibile. E’ una proprietà di vari livelli architetturali [SO, rete, ...]. Non è un semplice predicato booleano! E’ costosa nel senso di risorse computazionali, gestione, mentalità, utilizzo. Rimane un campo aperto anche per i colossi dell’informatica