IT SECURITY Concetti di Sicurezza 03.07.2015

Minacce ai dati Dati – elementi che, se coordinati in modo opportuno, possono costituire un’informazione (nome,cognome,codice ficale …..) Informazione – Un’insieme di dati raggruppati in tutto o in parte. Informazione -> Dati elaborati In informatica i dati sono elementi di ingresso nel processo del calcolo o della ricerca, le informazioni sono il risultato del calcolo o della ricerca Informazioni  dati elaborati

Per crimine informatico s’intende qualsiasi attività che, attraverso l’utilizzo di mezzi hardware o software, tende a recare danno a uno stato, ente, istituzione, una società, un privato cittadino.

Il crimine informatico viene attuato attraverso: Duplicazione non autorizzata di programmi proprietari. Accesso non autorizzato alle banche dati, ai contenuti di un disco. L’intercettazione dei dati in transito in una linea di trasmissione. La contraffazione e il furto di identità. Le frodi elettroniche in genere.

Il pishing e il pharming, cioè il tentativo di carpire i dati sensibili di un individuo, utilizzando in maniera fraudolenta il nome, il logo o il sito di un ente o di una società Le legislazioni nazionali reprimono in vario modo le frodi informatiche, a seconda della maniera con cui vengono attuate. Phishing – Mail che chiedono informazioni Pharming – DNS

Il termine hacking indica tutte le attività, lecite o non lecite, tese a neutralizzare le difese informatiche di banche di dati, reti di dati, sistemi operativi, computer. Hacker

Hacking etico – figura professionale di un tecnico di un’azienda. Hacking etico s’intende un esperto di reti informatiche che opera in maniera indipendente per rendere pubblici i difetti di un SO o di una rete sociale, difetti che potrebbero mettere in pericolo la sicurezza degli utenti e la riservatezza dei dati Hacking etico – figura professionale di un tecnico di un’azienda. white hat ( at ) – Cappello bianco – hacker che si oppone all’abuso dei sistemi informatici cerca falle nei sistemi per poi metterli a nudo. Si contrappone al black hat ( trae profitto )

I cracker impegnano conoscenza e tempo per: I termini cracker e cracking indicano, a differenza degli hacker coloro che utilizzano la conoscenza informatica per trarne profitto. I cracker impegnano conoscenza e tempo per: Aggirare le difese di SO e di programmi per rivenderne copie pirata; Decifrare illegalmente una trasmissione dati per carpire dati sensibili (dati angrafici, dati finanziari)

Entrare abusivamente nel contenuto di un disco o di una banca dati per copiare, modificare, distruggere dati, allo scopo di trarne profitto Praticare il pishing (utilizzo loghi e siti che simulano quelli reali) per far digitare alla persona i propri dati personali (conto corrente, password) ed utilizzarli per estorcere denaro. Scoprire i difetti di una rete sociale, come ad esempio Facebook, per introdursi abusivamente, allo scopo di modificare i profili di un determinato partecipante o per postare falsi commenti

Le aziende pongono grande attenzione alla sicurezza dei dati. Alcune minacce alla sicurezza dei dati sono prevedibili: Furto dei dati Contagio da malware (software dannoso non voluto presente nella rete ) Blackout improvvisi Guasti hardware Errori del personale

Contro ciascuno di questi rischi, il responsabile della sicurezza prevede dei piani per: Controllo degli accessi al centro di calcolo Installazione di apparecchiature firewall Installazione gruppi di continuità Programma di manutenzione tecnica adeguata (intervento in max 4 ore) Corsi di formazione per il personale addetto

Ci sono altre minacce definiti di forza maggiore (incendio, inondazione,guerra/terrorismo,Terremoto) Il responsabile aziendale attua un piano speciale Disaster Recovery Plan*. L’azienda deve quindi poter disporre di una copia dei dati aziendali aggiornati, in modo da poter riprendere in breve tempo la propria attività* Piano di intervento in caso di disastro *Enti e grandi aziende hanno altri luoghi geograficamente distanti che lavora in parallelo

Altre minacce possono essere rappresentate da: Il personale interno – l’accesso al centro di calcolo personale strettamente qualificato e indispensabile I fornitori di servizi – attraverso le extranet tentano di violare la intranet. A questo scopo ci sono le apparecchiature firewall (programmate e contenente software specifici) I visitatori – vengono registrati all’ingresso dell’azienda ed accompagnati da persone di riferimento

Valore delle informazioni Dati sensibili – account e password Il furto di identità è sicuramente uno dei maggiori rischi della sicurezza cambiare periodicamente account e password

Poiché tutti i dati in un’azienda non hanno la stessa importanza e la loro protezione ha un costo, vengono adottate differenti livelli di protezione. Lo strumento principale per la protezione dei dati consiste nell’accesso ai dati esclusivamente ad utenti abilitati attraverso account + password

Le misure di base relative alla sicurezza dei dati sono quindi: Autenticazione (account + password) per accedere al pc Account + password per collegare i pc alla rete aziendale Password associata a file riservati che si trovano su disco Cifrature di file riservati che si trovano su disco Cifratura di dati sensibili che vengono trasmessi

Punti essenziali della legge sono: Il controllo dell’uso dei dati personali è illustrato in Italia dalla legge 196 del 30/06/2003 – Testo unico sulla privacy* (European Data Protection Directive) Punti essenziali della legge sono: Nessuno può raccogliere dati personali altrui L’ente o la società deve nominare un responsabile che garantisca l’applicazione della legge I soggetti interessati possono informarsi sul trattamento o l’eventuale richiesta di cancellazione dei propri dati I dati personali devono essere cancellati quando non sono più utii Garantisce il diritto dei singoli a intervenire circa il trattamento dei propri dati

Sicurezza personale Poiché i SO, software commerciali e reti sociali sono sempre più specializzate contro le intrusioni fraudolente, i cracker ricorrono a tecniche particolari denominate ingegneria sociale, che riguardano più il comportamento interpersonale. Puntano a individui deboli (bambini ed anziani)

Fanno parte delle tecniche di ingegneria sociale: Trashing. Raccolta illecita di informazioni da ricevute postali o bancarie contenuti nei cassonetti dei rifiuti. Fishing. Furto di identità attuato attraverso i programmi di posta elettronica. Chiamate telefoniche. Simulano una banca o un istituto che richiedono password, numeri di carte e di CC. Shoulder Surfing. ( Fare Surf alle spalle ) “Sbirciare” oltre la spalla il video/scrivania Pretexting. Utilizzare riferimenti esistenti per convincere la vittima a fornire informazioni personali e riservate

Furto d’identità - Azione illegale, ha lo scopo di estorcere denaro o altri vantaggi Es. Clonazione della carta o della banda magnetica delle carte di credito (Skimming) Skimming indica anche un metodo di indagine occulta che consiste nello scorrere un testo o un’insieme di dati a gran velocità, alla ricerca di una singola parola.

Sicurezza dei file Le macro sono dei segmenti di programma scritto con un linguaggio particolare ideato da Microsoft VBA (Visual Basic Applications) La loro caratteristica è di rendere ripetitive le operazioni che contengono. Il linguaggio VBA consente comandi che sono distruttivi per i file registrati sul disco e per lo stesso sistema operativo (DOS e Windows).

Un file di questo tipo, prodotto con Microsoft Office e contenente macro distruttiva, può essere istallato perché contenuto come allegato ad un messaggio di posta elettronica. I SO prevedono la possibilità di impedire l’esecuzione automatica delle macro contenute nei programmi di Office.

Disattivazione macro: Senza notifica Con notifica Tranne quelle con firma digitale La procedura per disattivare le macro con word è: File>Opzioni>Centro Protezione>Impostazione Centro protezione>Disattiva tutte le macro senza notifica.

Crittografia Crittografia a chiavi simmetriche; Esiste un’unica chiave per crittografare e decrittografare Crittografia a chiavi asimmetriche; Esiste una coppia di chiavi corrispondenti: una pubblica e una privata.

A volte è opportuno utilizzare una password anche per proteggere documenti, fogli elettronici e file compressi Esercizio_1: Provare ad impostare una password di sola lettura a un file Word Esercizio_2: attivare / disattivare macro in word