Professioni nella Sicurezza Informatica STANDARD E LEGISLAZIONE

Transcript

1 Professioni nella Sicurezza Informatica STANDARD E LEGISLAZIONE

2

3 Gli standard sono metodologie che permettono alle organizzazioni ( in tutto il mondo ) di attuare delle tecniche specifiche. La sicurezza informatica ne ha vari. Alcuni sono molto specifici, altri contengono all interno altre macro categorie. Per esempio potremmo trovare dei riferimenti sulla sicurezza informatica in un testo di uno standard appartenente ad un altra tipologia di argomento. Prima di vedere quelle che interessano i test di sicurezza, fulcro centrale di questo corso, vediamo quali sono gli standard più utilizzati per una panoramica generale.

4 ISO 27002: Ad oggi sostituita con la 27001, rimane tuttavia un valido manuale pratico (Security Code of Practice). Fondata nel 2007 caratterizza la sicurezza dell informazione da : integrità, riservatezza e disponibilità. È organizzata in 10 aree di controllo: 1. Security Policy 2. Security Organization 3. Asset Classification and Control 4. Personnel Security

5 5. Physical and Environmental Security 6. Comunications and Operations Management 7. Access Control 8. System Development and Maintenance 9. Business Continuity Management 10. Compilance Nel caso delle ISO, parliamo di norme internazionali, che necessitano di certificazione e un continuo aggiornamento. Ogni azienda deve avere personale certificato ISO in determinati settori, uno di questi la sicurezza.

6 ISO 27001: /catalogue_detail_ics.htm?csnumber=54534 NERC (North America Electric Reliability Council ): NIST ( National Institute of Standards and Technology ) : ISO 15408: tc/catalogue_detail.htm?csnumber=50341

7 Fin qui abbiamo visto degli standard su cui lavora principalmente la figura professionale dell Auditor. Ovvero, parliamo di tutta una serie di pratiche e di standard che abbracciano anche a livello burocratico l approccio alla sicurezza informatica. Per quanto riguarda i test di sicurezza ( Penetration Testing, Vulnerability Assessment ) il discorso si fa più complesso. Bisogna partire dal presupposto che ogni hacker sperimenta una sua metodologia, un suo approccio. Solitamente prima si acquisiscono più informazioni possibili sul sistema, e poi si elabora la strategia di attacco in base alle informazioni ricavate.

8 Gli standard sulla sicurezza informatica sono molto recenti e parlando di Penetration Testing non c è ancora nulla di veramente ufficiale come la ISO ( ricordatevi che la ISO, per esempio la o la ) non danno metodologie su come fare un penetration test, quindi dobbiamo andare alla ricerca di una metodologia standard specifica per i penetration test. Oggi, sul mercato, ci sono standard e certificati, alcuni open source, altri vendor, quindi che bisogna necessariamente pagare, seguendo un apposito corso. Vediamo i più famosi, i più utilizzati e i più ricercati.

9 - OWASP (Open Web Application Security Project ): Organizzazione no-profit diventato lo standard assoluto per i controlli ed i test nel mondo web. Andando nel sito possiamo trovare manuali, guide, programmi ( tools ) e un completo database che contiene tecniche, approcci e degli esempi pratici per fare test ad-hoc. ( Lo vedremo meglio in seguito ) - Offensive Security: La società creatrice del Sistema operativo basato su Linux ( Debian ) ; Kali Linux. Il software è open source ma la società Americana eroga anche dei corsi a pagamento( sia live che online ) per delle certificazioni ad oggi molto richieste nell ambito del Penetration Test. Tali certificazioni sono complesse e molto pratiche. Richiedono una base solida di conoscenze come il networking, la padronanza dei sistemi Linux, Windows ed altri requisiti visitabili nel loro sito.

10 - EC-Council: Altra società che eroga corsi e certificazioni a pagamento molto conosciute nell ambito della cybersecurity - ISECOM: OPST Professional Security Tester, altra certificazione molto conosciuta e richiesta - INFOSEC INSITUTE - GIAC Ce ne sono ovviamente di altre, altrettanto famose, questa voleva essere una panoramica generale su quello che è il mondo degli standard nella sicurezza informatica.

11 È di buona norma ricordare sempre che ogni certificazione o standard può essere specifico o molto generico, e quindi abbracciare più categorie. Per esempio, nel sistema dei pagamenti online, la leader è la PCI DSS, che merita sicuramente un occhiata più da vicino, visitando il sito:

12

13 Legalità Come accennato nell introduzione di questo corso, in molti paesi, i crimini informatici sono severamente puniti, c è un ottima polizia informatica e sistemi molto avanzati di monitoring. Altri paesi invece non hanno ancora alcun approccio sull argomento, e moltissimi black hat ne approfittano per far partire ( fisicamente o virtualmente ) gli attacchi informatici. Facendo un discorso generale, che abbraccia anche il nostro paese, attaccare un sistema informatico ( o anche solamente tentare di farlo) è considerato illegale e quindi punibile dal codice penale ( è prevista anche la reclusione). Non ha importanza il motivo per cui si vuole attaccare un determinato sistema, ( per esempio, se rubo una mela perché ho fame, verrò comunque punito, la fame non è una scusante )

14 Legalità Ci sono due figure importanti nell ambito dell hacking. Chi si muove per fini di lucro ( come abbiamo visto prima con i black hat ) e chi si muove per fini sociali, di attivismo ( per esempio l associazione Anonymous ). Tali figure vengono definiti Hacktivisti, e vantano di una grande comunità. I loro attacchi possono essere molto potenti ed efficienti proprio perché vengono la maggior parte delle volte, espletati in massa. Il loro obbiettivo potrebbe essere quello di mandare fuori servizio un sistema ( DOS denial of service DDOS distributed denial of service ) oppure obiettivi più complessi come quello di raccogliere informazioni riservate ( intercettando , entrando nei server, ecc. ) e pubblicarli poi online.

15 Legalità: L Ethical Hacker L Ethical Hacker quindi come agisce? C è da fare una premessa, anche se muniti di buoni propositi, entrare in un sistema, anche se dotato di poca protezione, è illegale. Facciamo un esempio: Tizio, ethical hacker per passione, vuole testare la sicurezza del sito Scopre quindi diverse vulnerabilità e manda una mail all amministratore del sistema per riferirgli di quanto scoperto. Può accadere che: 1) L amministratore di sistema lo ringrazia e ripara la falla 2) L amministratore di sistema deve segnalare comunque l accaduto, non è un tipo socievole e quindi denuncia Tizio. In poche parole, se non avete un autorizzazione, è sempre illegale effettuare un test di sicurezza in macchine che non sono vostre così come in reti che non sono vostre.

16 Legalità: L Ethical Hacker Proprio per questo motivo, chi effettua i test e il proprietario del sistema, devono sottoscrivere un accordo con delle regole ben precise che regolamentino per l appunto ogni fase, sia tecnica che burocratica. Sono vere e proprie regole di comportamento che chi effettua il test deve seguire alla lettera per non trasformarsi inconsciamente in un black hat. Questo documento sarà solo il primo di una serie, in quanto il report finale, dovrà elencare in un certo modo, le vulnerabilità trovate, l approccio utilizzato e dei consigli su come risolvere le falle trovate.