Presentazione di PowerPoint - Camera di Commercio di Piacenza

2012
Sicurezza e privacy
Progetto finanziato da
Piacenza
20-04-2012
20-04-2012
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
Camera di Commercio di Piacenza
1
Sommario
• Cos’è la sicurezza nell’ICT
• Aree della security ICT
– Rischi e minacce
• Crittografia
• Sviluppo del security plan
• Esempi
– Gestione della password
– Principali frodi e precauzioni
– Sicurezza Wi-Fi
• Legge sulla Privacy
2
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Cos’è la ICT Security
• È il risultato di due componenti fondamentali
– Prodotti e servizi
• Antivirus, firewall, Intrusion detection, …
• Back up, disaster recovery, business continuity, …
• Managed security, …
– Comportamenti e processi
• Policy security aziendale
• Formazione, …
3
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Un approccio minimalista è pericoloso
• La sicurezza ICT è continuamente in movimento:
– Si modificano i rischi
– Cambia l’organizzazione aziendale
– Sempre più applicazioni vanno in rete
• L’approccio delle aziende non è altrettanto dinamico:
–
–
–
–
Si utilizzano poco i servizi gestiti da professionisti specialisti della sicurezza (managed services)
Si aggiorna l’indispensabile
Non si fa back up strutturato
Non si fa formazione
• Si tende a rimandare un investimento maggiore in sicurezza “quando sarà il momento”.
PROBLEMA: i tempi di reazione agli attacchi sono ormai nell’ordine dei minuti, e nulla
può essere fatto in pochi minuti.
4
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
La sicurezza non può essere “reattiva”
La diffusione del worm “Code-Red”
Tempo trascorso: 24H
Vittime: 359+k server nel mondo
5
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
La sicurezza non può essere “reattiva”
La diffusione del worm “Sapphire”
1 anno dopo i tempi si accorciano drammaticamente:
Tempo trascorso: 30 minuti
Vittime: 75+k server nel mondo
6
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Aree della security ICT
Confidenzialità
Integrità
Autenticazione
Non-rifiuto
7
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Rischi e minacce
Intercettazione (o snooping)
• Contromisure: cifratura dei dati per la loro confidenzialità
Intercettazione
13
Analisi del traffico
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Rischi e minacce
Alterazione:
• Contromisure: garantire l’integrità dei dati
Esempio: attacco man-in-the-middle
14
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Rischi e minacce
Mascheramento (o spoofing): presentarsi con una diversa identità
• Generazione di un hijacking (o dirottamento): es. Phishing
• Contromisure: protezione di tecniche di autenticazione per
confermare l’identità degli attori in gioco
15
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Rischi e minacce
Blocco o ritardo
• Sfrutta le debolezze intrinseche del sistema o di sue procedure
• Contromisure: tecniche di autenticazione per garantire la
disponibilità del sistema
Replay
16
Denial of Service
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Crittografia
• Crittografia deriva dal greco e
significa scrittura segreta
• Definizione: la crittografia è
“la disciplina che studia la
trasformazione di dati allo
scopo di nascondere il loro
contenuto semantico,
impedire il loro utilizzo non
autorizzato o impedire
qualsiasi loro modifica non
rilevabile”
19
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Crittografia: cifratura a chiave simmetrica
• Partecipanti alla comunicazione sicura
condividono la stessa chiave di
cifratura  messaggio in chiaro è
cifrato con una chiave ed è richiesta la
stessa chiave per decifrare il testo
cifrato
• La chiave simmetrica è spesso indicata
come chiave segreta
20
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Sviluppo del security plan
Analisi
delle
minacce
Security
plan /
meccanismi
Controllo
Applicazione
nella rete
aziendale
21
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Analisi delle minacce
• Aiuta a capire di quale sicurezza si ha bisogno:
– Quali risorse hai bisogno di proteggere?
• Asset hardware (PC, server, hub, switch), asset software (OS,
programmi, applicazioni), dati (in DB remoti/locali, in transito)
– Contro quali minacce?
• DoS, rubare o corrompere dati/servizi/sw/hw , virus/worm,
danneggiamento fisico, accessi non autorizzati
• Matrice minacce/asset
22
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Meccanismi di security
• Sicurezza fisica
– Stanza con accesso controllato, allarme, backup elettricità, off-site
storage
• Protocolli/applicazioni
– IPsec, TLS, PGP, WPA per WiFi
• Cifratura (Chiave/password) e algoritmi (AES, DSA)
• Firewall e remote access
– Packet filtering
• Consapevolezza della sicurezza
– Condividere le procedure con i dipendenti
23
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Meccanismi di security: Firewall
• “Firewall” = porte tagliafuoco usate per bloccare la
propagazione degli incendi
• Punto di accesso unificato per il traffico della rete
– Controllo generale e non distribuito sui singoli computer
– Si interpone tra la nostra rete locale e il mondo esterno
• In sostanza
– Fornisce un controllo agli accessi attraverso regole che
restringono i pacchetti ammessi all’interno della rete
locale
– Riduce il traffico in uscita evitando fughe di materiale
privato
• Stateless firewall (regole statiche), Statefull firewall
(content filtering)
25
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Applicazione nella rete aziendale
• Applicare il meccanismo selezionato come requisiti del
security plan
– Architettura della rete: access/distribution/core network 
vari livelli/zone di security
• Interazioni tra meccanismi di sicurezza
• Interazione con altre componenti della rete
– Indirizzamento
– Gestione della rete
– Prestazioni della rete
26
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Esempi: gestione della password
•
•
Password: permette l’accesso al sistema (autenticazione) secondo i privilegi dell’utente
Vulnerabilità: password corta o facile da indovinare
–
–
–
–
•
Lunghezza
Parola personale (e.g. nome del figlio, data di nascita)
Parola di senso compiuto
Parola nota (e.g. personaggi di sport o film)
Strategie di selezione:
– Educazione dell’utente
– Generazione dal computer  password altamente casuale  difficile da ricordare
– Installare dei controllori di password  comunicazione se la password è scoperta
•
Consigli per la scelta:
– Password lunga almeno 8 caratteri
– La password deve contenere una lettera maiuscola, una lettera minuscola, una cifra e un elemento di
punteggiatura
– Cambiare la password ogni mese
27
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Esempi: gestione della password
28
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Esempi: principali frodi
Dal sito di Poste Italiane: www.poste.it
•
•
Phishing: realizzata con l'invio di e-mail contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati
riservati
Pharming: finalizzato all'acquisizione illecita di dati riservati, mediante il dirottamento dell'utente da un sito
internet ufficiale ad un sito pirata  modifica nel DNS o nei registri del PC della vittima
–
–
•
•
•
•
•
•
•
29
Modifica degli abbinamenti tra il dominio e l'indirizzo IP corrispondente a quel dominio.
Es. legame corretto www.poste.it  180.80.81.111; legame modificato www.poste.it  251.133.2.128
Spam: Ricezione di messaggi non autorizzati (generalmente commerciali) nella propria casella di posta
Trojan: Si nascondono all'interno di programmi o di file eseguibili all'apparenza innocui, con lo scopo di
raccogliere informazioni o aprire una porta nascosta per accedere al computer dall'esterno
Virus: Frammenti di software che una volta eseguiti infettano dei file nel computer in modo da
riprodursi, facendo copie di sé stessi
Worm: è un malware (malicious software) in grado di auto-replicarsi: è simile ad un virus come finalità, ma
non necessita di legarsi ad altri eseguibili per diffondersi
Spyware: Software che raccolgono informazioni sull'attività in Internet dell'utente, senza il suo consenso
Trasmissione di informazioni: spesso l'utente invia informazioni riservate su Internet: è importante
assicurarsi che tali dati non possano essere registrati da malintenzionati
Smishing (SMS Phishing): il nuovo sistema per rubare denaro e informazioni riservate con il cellulare
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Esempi: possibili precauzioni
Regole di base prima di navigare in Internet:
• Disporre di un antivirus
• Disporre di un antispyware
• Disporre di un firewall
• Assicurasi che il sistema operativo, i
programmi per la sicurezza e i programmi
che si utilizzano per accedere alla rete siano
sempre aggiornati
• Utilizzare con buon senso i servizi offerti
– Attenzione alle e-mail: non aprite messaggi da
sconosciuti, non aprite allegati, non
comunicate mai informazioni personali via email (username, password, codici)
– Nelle transazioni assicuratevi di essere in uno
spazio reso sicuro dal protocollo di sicurezza
SSL (certificati)
31
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Esempi: sicurezza Wi-Fi
• Trasmissione via radio soggetta ad ulteriori rischi
• Misure per la sicurezza delle reti wireless:
– Chiave di Autenticazione Pubblica (Wired Equivalent Privacy, WEP)
– Chiave di crittografia WPA (Wi-Fi Protected Access). Chiavi per ogni utente
attraverso una Pre-Shared Key (PSK)
• Modifiche per aumentare la sicurezza: cifratura basata su TKIP (Temporal Key Integrity
Protocol) che cambia periodicamente la chiave di cifratura (ora fino a 256 bit)
–
–
–
–
32
Controllo Access-List ristretta
Nome della rete Wi-Fi (SSID) nascosto: necessaria la configurazione manuale
Spegnere l’AP per lunghi tempi di inattività, abilitare firewall su PC e AP
AP in posizione sicura, assegnazione statica degli indirizzi IP e non attraverso il
DHCP
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Legge sulla privacy
• Motivo: rispettare gli accordi di Schengen  legge del 31 dicembre 1996 numero
675 aggiornata nel Testo Unico (D. L. 30 giugno 2003, n. 196 “Codice in materia di
protezione dei dati personali” in vigore dal 1 gen 04)
• Scopo: riconoscimento del diritto del singolo sui propri dati personali 
disciplina delle diverse operazioni di gestione dei dati (trattamento), riguardanti
la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la
comunicazione o la diffusione degli stessi
• Obblighi e diritti:
–
–
–
–
33
Informare preventivamente il soggetto di cui si voglia utilizzare i dati
Ottenere il consenso del soggetto interessato
Ulteriori attenzioni per i dati sensibili
Redigere un Documento programmatico sulla sicurezza (DPS) dove dovranno essere
indicati i responsabili del trattamento dei dati e le misure prese per garantirne la
sicurezza
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Riferimenti
• J. Joshi et al., “Network Security: Know It All”, ed. Elsevier.
• A. S. Tanenbaum, “Reti di calcolatori”, Ed. Pearson Education Italia, 4° ed.,
2003.
• S. Piccardi, “La gestione della sicurezza con GNU/Linux”, available at
http://svn.trulite.t/truedoc
• W. Stallings, “Cryptography and Network Security: Principles and Practices”, 4th
Ed., Pub. Prentice Hall, Nov. 2005
• http://www.camera.it/parlam/leggi/deleghe/testi/03196dl.htm e wikipedia a
supporto
• www.poste.it
• www.polizia.it
• www.telecomitalia.it
34
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012
Grazie per l’attenzione!
Marco Petracca, PhD
[email protected]
35
Promozione presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga
20-04-2012