Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGiovanni Furlan Modificato 9 anni fa
1
Procedure operative di sicurezza di un sistema informatizzato in un dipartimento servizi Corso aggiornamento ASUR10
2
00 AN 2 corso_sicurezza_asur10 @ www.divini.net La post@elettronica e-mail
3
00 AN 3 corso_sicurezza_asur10 @ www.divini.net Cos’è la posta elettronica I principi fondamentali dell’email sono simili a quelli della posta ordinaria: si può inviare della posta all’indirizzo di qualcuno e, di conseguenza, riceverne al proprio. Uno dei servizi di maggior successo offerti dalla rete
4
00 AN 4 corso_sicurezza_asur10 @ www.divini.net Vantaggi dell’e-mail 1.Velocità 2.Risparmio in denaro 3.Inviare messaggi identici a diversi destinatari, in un colpo solo!!!! 4.Invio di dati: files (immagini, filmati, mp3, documenti in qualunque formato, programmi)
5
00 AN 5 corso_sicurezza_asur10 @ www.divini.net Indirizzo e casella postale Condizione indispensabile per lo scambio di un messaggio attraverso la posta elettronica è: mittente e destinatario dispongano di un proprio 'indirizzo' (e-mail address) L'indirizzo è di norma assegnato dal fornitore di connettività, e corrisponde a una sorta di casella postale che è in genere ospitata dal sistema informatico: in sostanza, uno spazio sul suo disco rigido, nel quale i messaggi che ci sono indirizzati vengono depositati automaticamente
6
00 AN 6 corso_sicurezza_asur10 @ www.divini.net Account di posta elettronica Profilo utente che corrisponde a un indirizzo e ad una casella di posta elettronica. Tutti i dati per la creazione di un profilo utente sono impostati presso un provider, che fornirà : Indirizzo e-mail; User id (identificativo utente); Password; Server di invio e ricezione
7
00 AN 7 corso_sicurezza_asur10 @ www.divini.net paperino@yahoo.it Identificativo utente “at” = “presso” Identificativo host Indirizzo di posta elettronica
8
00 AN 8 corso_sicurezza_asur10 @ www.divini.net Tre componenti principali : User agent Server di posta Simple Mail Transfer Protocol: SMTP User Agent “Lettore di posta” Composizione e lettura di messaggi di posta Es., Eudora, Outlook, Thunderbird I messaggi in ingresso/uscita memorizzati sul server user mailbox coda messaggi in uscita mail server user agent user agent user agent mail server user agent user agent mail server user agent SMTP Posta elettronica
9
00 AN 9 corso_sicurezza_asur10 @ www.divini.net Posta elettronica: mail server Mailbox contenente messaggi (non ancora letti) per l’utente Coda di messaggi in uscita (non ancora spediti) Protocol smtp tra i mail server per il recapito dei messaggi client: il server che invia il messaggio “server”: server che riceve il messaggio mail server user agent user agent user agent mail server user agent user agent mail server user agent SMTP Posta elettronica: mail server user mailbox coda messaggi in uscita
10
00 AN 10 corso_sicurezza_asur10 @ www.divini.net Protocolli di accesso alla posta SMTP: consegna al/memorizzazione nel server di posta del ricevente Protocollo di accesso: recupero della posta dal server locale POP: Post Office Protocol [RFC 1939] Autenticazione (agent server) e scaricamento IMAP: Internet Mail Access Protocol [RFC 1730] Più possibilità (più complesso) Manipolazione dei messaggi memorizzati sul server HTTP: Hotmail, Yahoo! Mail, ecc. user agent mail server del mittente user agent SMTP POP3 o IMAP mail server del ricevente alice bob
11
00 AN 11 corso_sicurezza_asur10 @ www.divini.net Recapito di un messaggio di posta elettronica Alice compone un messaggio e lo inoltra al suo Mail Server Mail Server dispone il messaggio nella coda di messaggi in uscita Mail Server di Alice apre una connessione smtp con il Mail Server di Bob ed inoltra il messaggio Se il contatto fallisce, l’invio è ripetuto ogni trenta minuti Se l’invio fallisce per diversi giorni, mail di notifica inviato ad Alice Mail Server di Bob riceve il messaggio dal Mail Server di Alice e lo salva nella Mailbox di Bob Bob accede la propria Mailbox specificando Username e Password Messaggi possono essere trasferiti dalla Mailbox all’host da cui Bob ha acceduto la Mailbox e/o lasciati sul server Bob legge il messaggio di Alice
12
00 AN 12 corso_sicurezza_asur10 @ www.divini.net Scenario: Alice e Bob 1) Alice invia una e-mail a bob@school.edu 2) Messsaggio è inserito nella coda del mail server 3) SMTP (lato cliente) apre una connessione TCP con il mail server di Bob 4) SMTP (lato cliente) trasmette il messaggio di Alice sulla connessione TCP 5) Il mailserver di Bob memorizza il messaggio nella mailbox di Bob 6) Bob legge il messaggio tramite il suo user agent (usando POP3 o IMAP) user agent mail server mail server user agent 1 2 3 4 5 6
13
00 AN 13 corso_sicurezza_asur10 @ www.divini.net Formato dei messaggi smtp: protocollo per lo scambio di messaggi di posta RFC 822: standard per il formato dei messaggi inviati: header, es., To: From: Subject: Diversi dai comandi smtp! body Il “messaggio” vero e proprio, solo caratteri ASCII header body Linea vuota
14
00 AN 14 corso_sicurezza_asur10 @ www.divini.net Formato: estensioni multimediali MIME: multipupose internet mail extension, RFC 2045, 2056. Dati Multimediali e di specifiche applicazioni Righe addizionali dell‘ header specificano il tipo del contenuto MIME From: alice@crepes.fr To: bob@hamburger.edu Subject: Picture of yummy crepe. MIME-Version: 1.0 Content-Transfer-Encoding: base64 Content-Type: image/jpeg base64 encoded data....................................base64 encoded data Tipo di dato multimediale, sottotipo, dichiarazione di parametri Metodo di codifica Versione MIME Dati codificati Formato: estensioni multimediali
15
00 AN 15 corso_sicurezza_asur10 @ www.divini.net Tipi MIME/ Content-Type: type/subtype; parameters Text Esempi di sottotipi: plain, html Image Esempi di sottotipi: jpeg, gif Audio Esempi di sottotipi : basic (8-bit mu-law encoded) Video Esempi di sottotipi: mpeg, quicktime Application Dati che devono essere processati da un’ applicazione prima di essere “visibili” Esempi di sottotipi: msword, octet-stream
16
00 AN 16 corso_sicurezza_asur10 @ www.divini.net Protocollo POP3 Scarica ed elimina: 1.User Agent elimina la posta dalla Mailbox dopo averla scaricata 2.Un utente disperde la posta sui diversi host da cui accede la Mailbox 3.User Agent permette di creare cartelle, spostare messaggi, effettuare ricerce nei messaggi Scarica e conserva 1. User Agent conserva la posta sulla Mailbox 2.Utente può leggere i messaggi da macchine diverse 3.POP3 stateless, non permette di strutturare i messaggi in directory
17
00 AN 17 corso_sicurezza_asur10 @ www.divini.net Protocollo IMAP Permette di gestire cartelle di posta remote come se fossero locali IMAP deve mantenere una gerarchia di caretelle per ogni utente Permette allo User Agent di scaricare solo parti del messaggio: Intestazione Solo intestazione file alleggati. … Messaggi di dimensione piccola per utenti a banda limitata Stati: Non-authenticated: utente deve fornire username e password per la connessione Authenticated State: utente deve specificare una cartella prima di eseguire comandi che influiscono sul messaggio Selected State: utente può dare comandi che influiscono sul messaggio, e.g. elimina, salva, sposta Logout State: sessione terminata
18
00 AN 18 corso_sicurezza_asur10 @ www.divini.net Da: paperino@paperopoli.net A: topolino@topolinia.net Oggetto: saluti! topolino paperopoli.net topolinia.net SMTP POP3 paperino
19
00 AN 19 corso_sicurezza_asur10 @ www.divini.net Problemi con l’e-mail: spam Invio di posta elettronica indesiderata, annunci pubblicitari o catene di S. Antonio, ad un gran numero di utenti contemporaneamente SPAM = carne in scatola. Che c’entra? (Spam -> Spiced Ham) della Hormel Foods Corporation entrato a far parte del folklore
20
00 AN 20 corso_sicurezza_asur10 @ www.divini.net Spam, spam, spam
21
00 AN 21 corso_sicurezza_asur10 @ www.divini.net Lo spamming Direttiva UE 58 del 12/7/2002: L'uso di sistemi di (…) posta elettronica a fini di commercializzazione diretta è consentito soltanto nei confronti degli abbonati che abbiano espresso preliminarmente il loro consenso
22
00 AN 22 corso_sicurezza_asur10 @ www.divini.net Phishing “Pescare” informazioni riservate dalla rete Internet una tecnica di ingegneria sociale utilizzata per ottenere informazioni personali e riservate con la finalità del furto di identità mediante l’utilizzo di messaggi di posta elettronica fasulliingegneria sociale
23
00 AN 23 corso_sicurezza_asur10 @ www.divini.net Il Phishing: come funziona L’utente riceve una email ingannevole che lo invita a collegarsi ad un sito pirata L’utente rivela informazioni personali, ovvero dati sensibili (numero di conto corrente, carta di credito, nome utente, passord…) Il phisher commette reati con le informazioni ottenute
24
00 AN 24 corso_sicurezza_asur10 @ www.divini.net IMMAGINE EMAIL PHISHING L’INDIRIZZO E’ FALSO C’E’ UN LINK: DOVE COLLEGA? ERRORE ORTOGRAFICO? IL MESSAGGIO NON E’ ORIGINALE
25
00 AN 25 corso_sicurezza_asur10 @ www.divini.net Metodologia di attacco Il phisher spedisce un messaggio e-mail che simula nella grafica e nel contenuto quella di una banca (o di un’altra istituzione) L’email contiene avvisi di particolari situazioni verosimili che ingannano l’utente e lo inducono a ritenere il messaggio attendibile. L’email invita il destinatario a seguire un link presente nel messaggio
26
00 AN 26 corso_sicurezza_asur10 @ www.divini.net IMMAGINE SITO BANCA LA GRAFICA DEL SITO PIRATA APPARE IDENTICA AL SITO REALE I DATI INSERITI VENGONO TRGASMESSI ALTROVE
27
00 AN 27 corso_sicurezza_asur10 @ www.divini.net Metodologia di attacco Il link fornito non collega al sito reale, ma ad una copia speculare del sito Attraverso questo sito truffa il phisher registra le informazioni personali dell’utente Il phisher utilizza le informazioni rubate per reati economici e finanziari
28
00 AN 28 corso_sicurezza_asur10 @ www.divini.net IMMAGINE DATABASE IL PHISHER ACCEDE AI DATI RUBATI
29
00 AN 29 corso_sicurezza_asur10 @ www.divini.net Come difendersi (lato utente) Diffidare delle comunicazioni bancarie che avvengono attraverso la rete Internet. Le banche non chiedono di visitare il loro sito Internet via email, ma possono utilizzare la posta elettronica per fornire informazioni Tutte le comunicazioni sensibili su nuovi servizi, codici segreti… sono trasmesse dalle banche attraverso la posta cartacea o la filiale
30
00 AN 30 corso_sicurezza_asur10 @ www.divini.net Vedi Poste italiane www.poste.it/online/phishing.shtml www.poste.it/online/phishing_video.shtml
31
00 AN 31 corso_sicurezza_asur10 @ www.divini.net Vedi banche: UniCredit 6 regole d'oro Suggerimenti per proteggere la vostra privacy ed evitare le frodi da spamming
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.