Indice. Prefazione. Presentazione XIII. Autori

Transcript

1 INDICE V Idice Prefazioe Presetazioe Autori XI XIII XV Capitolo 1 Itroduzioe alla sicurezza delle iformazioi Cocetti base Gestioe del rischio Classificazioe di bei, miacce, vulerabilità Aalisi del rischio La progettazioe della sicurezza: fuzioalità e garazia Orgaizzazioe della sicurezza La defiizioe delle politiche di sicurezza Processi orgaizzativi, ruoli e resposabilità La Busiess cotiuity I CERT e la gestioe degli icideti Stadard ed Eti di stadardizzazioe Gli eti di stadardizzazioe pricipali e il loro ruolo I criteri per la valutazioe delle garazia Le orme sul sistema di gestioe della sicurezza delle iformazioi (ISO/IEC 17799) Iteret Stadard Process 29 Capitolo 2 Crittografia Itroduzioe alla Crittografia Cocetti pricipali Crittografia simmetrica Pricipi di crittografia simmetrica Pricipali algoritmi simmetrici Crittografia asimmetrica 41

2 VI INDICE Pricipi di crittografia asimmetrica I pricipali algoritmi asimmetrici Fuzioi di Hash (Improte) Pricipi di fuzioi di Hash Pricipali algoritmi di Hash Cofroto tra metodi di cifratura Vataggi e svataggi della cifratura simmetrica e asimmetrica Valutare il livello di sicurezza degli algoritmi crittografici Il problema della distribuzioe delle chiavi crittografiche Ruolo del software ope-source per la diffusioe e la robustezza della crittografia Utilizzi della crittografia Come garatire l auteticità co la crittografia Auteticazioe e itegrità co gli algoritmi di Hash Auteticazioe e o ripudio mediate la firma digitale Uso della crittografia per otteere la cofidezialità Applicazioi Proteggere i dati i applicazioi e-commerce ed e-bakig Utilizzo della firma digitale per garatire il o ripudio Pricipali aspetti di PGP Utilizzo di PGP Pricipali aspetti di SSH Utilizzo di SSH Pricipali aspetti di S/MIME Pricipali aspetti di SSL/TLS Utilizzo delle smartcard 80 Capitolo 3 Auteticazioe e cotrollo degli accessi Procedure di auteticazioe Auteticazioe mediate u segreto Auteticazioe mediate toke Auteticazioe biometrica Sistemi di auteticazioe di rete Auteticazioe a livello di rete e di host Protocolli per l auteticazioe di rete Auteticazioe per applicazioi distribuite Sigle Sig o e Kerberos Sistemi di cotrollo d accesso Teoria del cotrollo d accesso Access Cotrol List e Capabilities Gestioe pratica dei cotrolli d accesso Cotrollo d accesso ei database 103

3 INDICE VII Capitolo 4 Dispoibilità dei dati e delle risorse Geeralità Cooscere i diversi requisiti della dispoibilità Tipi di requisiti per le ifrastrutture ecessarie all ICT Resilieza Meccaismi di replica degli hard disk i tempo reale (RAID ecc.) Metodologie di replicazioe host e meccaismi di distribuzioe e bilaciameto del carico Tipi di ifrastrutture per la dispoibilità della rete Implemetazioe di procedure di backup Sapere come verificare u backup ed implemetare il recupero dei dati 123 Capitolo 5 Codice maligo Programmi Sapere co quali strumeti è possibile cotrollare direttamete u computer: sistema operativo, programmi, comadi di shell, macro Essere al correte dell esigeze di filtraggio e validazioe dell iput ai fii della sicurezza Essere al correte dei differeti tipi di overflow e le possibilità di sfruttameto per l esecuzioe di codice Essere al correte della possibilità di attacchi cross-site scriptig Essere al correte della possibilità di attacchi deial-of-service (DoS), e come i diversi ambieti e risorse e risultio affetti Cooscere le vie d accesso al sistema iformatico: floppy, CD-ROM, , avigazioe web, cliet di chat Sapere quali buoe pratiche cosiderare egli accessi ad Iteret Cooscere i rischi legati ai programmi adware e ageti spyware Tipi di file Sapere i che modo l iterfaccia grafica (GUI) ricoosce l azioe da eseguire su u file tramite l estesioe e tipo MIME associati Sapere i che modo il cliet di posta ricoosce l azioe da eseguire su u allegato tramite l estesioe e tipo MIME associati Codice scaricabile Sapere che le applicazioi possoo gestire più di semplice testo eseguedo comadi di SO tramite le macro 143

4 VIII INDICE Sapere i che modo i malitezioati possoo far uso illecito dei tipi MIME, e le possibili cotromisure Sapere i che modo i malitezioati possoo far uso illecito delle macro, e le possibili cotromisure Sapere i che modo i malitezioati possoo far uso illecito di applet, e le possibili cotromisure Codice virale Cooscere le pricipali categorie di codici virali (cavalli di troia, virus propriamete detti, worm, ecc) Cooscere i pricipi esseziali di fuzioameto di u programma ativirus Essere al correte dei limiti e delle fallacità dei programmi ativirus Essere i grado d istallare, cofigurare, mateere aggiorato u programma ativirus Sapere quali buoe pratiche cosiderare el proteggere e utilizzare postazioi workstatio 162 Capitolo 6 Ifrastrutture a chiavi pubbliche (PKI) PKI La distribuzioe delle chiavi pubbliche e l idetificazioe dei loro possessori Certificati digitali e CRL Certificati X.509v La PKI e i suoi compoeti pricipali: Registratio e Certificatio Authority Utilizzo di u browser per geerare chiavi e iviare ua richiesta di certificato alla CA Importare ed esportare certificati i u browser Accesso alla CRL dal browser e utilizzo di OCSP Importare la CRL el browser Servizi di directory Cooscere i server LDAP Utilizzo di u browser per iterrogare u server LDAP Cooscere il sigificato di Commo Name, Distiguished Name, e Attributo Cooscere il sigificato di X Utilizzo dei server LDAP per la gestioe dei profili utete e l auteticazioe 185 Capitolo 7 Network security Cocetti di base delle comuicazioi Comuicazioi aalogiche e digitali, l architettura ISO/OSI ache relativa alla sicurezza 187

5 INDICE IX Comuicazioi cotiue e a pacchetto Protocollo Etheret, MAC Address, CSMA/CD Il protocollo TCP/IP, idirizzi, porte, fuzioameto Icapsulameto di TCP/IP i Etheret I servizi i TCP/IP Utilizzo di u aalizzatore di rete Attacchi allo stack TCP/IP Sicurezza della rete locale Reti Wireless Tecologie wireless Sicurezza delle tecologie wireless Servizi Offerta di servizi di rete Servizi Iteret Servizi locali Attacchi ai servizi di rete Il DNS Auteticazioe Debolezze dei protocolli Vulerabilità dei cliet Le reti peer-to-peer Hardeig di sistemi o pubblici Hardeig di sistemi pubblici Cotrollo degli accessi Auteticazioe i rete Crittografia e auteticazioe i rete Domii e cotrollo degli accessi Gestioe dei log Le iformazioi ei log di sistema I log applicativi I logserver cetralizzati La protezioe dei log Sicurezza dei servizi Web HTTP e HTTPS Iterazioe fra server e sistema Attivazioe di u server HTTPS Auteticazioe co password Auteticazioe SSL del cliet Cotrollo degli accessi Cofigurazioe del cotrollo accessi Sicurezza dei servizi di posta elettroica Attacchi al servizio di posta elettroica Auteticazioe userame/password delle coessioi POP e IMAP Protezioe delle coessioi co SSL Auteticazioe SASL per il servizio SMTP Uso di certificati per auteticare i cliet Il cotrollo dello spam 276

6 X INDICE 7.8 Firewalls Tipologie di firewall basate sul filtraggio dei pacchetti Architetture Firewall basati su proxy Uso dei proxy Il Network Address Traslatio Selezioe del traffico co filtri IP Uso dei proxy e cotrolli applicativi U esempio di proxy: squid Uso dei firewall per ascodere la topologia della rete Network Address Traslatio Creazioe di access rules per u firewall Itrusio detectio Tipologie di sistemi di Itrusio Detectio Moitoraggio dei file di log Sistemi di Itrusio Prevetio Cofigurazioe di u IDS Virtual Private Networks VPN basate su IPSEC/IKE VPN basate su MPLS Vataggi e svataggi delle diverse tecologie Altre tecologie di icapsulameto Cofigurazioe di u cliet IPSEC 313 Capitolo 8 Aspetti sociali, etici e legali della sicurezza iformatica Cocetti fodametali Privacy, aoimato e uso di uo pseudoimo Tecologie avazate per la privacy Equilibrio fra privacy e auteticazioe Tecologie a tutela della privacy Cookies e loro gestioe Problemi deotologici tipici Codici deotologici e codici etici Ethical hackig Crimii iformatici Siti di iteresse e Mailig List Biometria Legislazioe Europea Firma digitale: aspetti legali Tutela e trattameto dei dati persoali: la ormativa e le sue implicazioi Computer foresic 354 Appedice EUCIP IT Admiistrator: Syllabus 357 Idice aalitico 405

7 Prefazioe A chi è rivolto questo mauale sviluppato dal Gruppo di Lavoro cogiuto AICA e CLUSIT, relativo al modulo IT Security di EUCIP IT Admiistrator? A quali ruoli e a che tipo di attività si idirizza? La risposta o è immediata e, poiché il programma EUCIP IT Admiistrator è di portata europea, è da qui che bisoga partire. Tutti i Paesi faceti parte dell Uioe Europea hao differeti criteri di classificazioe dei settori ecoomici e delle relative professioi ma, co qualche sforzo, tutti possoo ricodursi a due foti sovraazioali: il NACE (Nomeclature spéciale des Activités écoomiques das la Commuauté Européee) per i settori merceologici; l ISCO (Iteratioal Occupatioal Classificatio System) per le occupazioi ei vari settori. Per il settore ICT, le categorie di riferimeto ISCO soo la 213 (Computig Professioals) e la 312 (Computer Associate Professioals). Chi siao e quali attività svolgao i Computig Professioals è facilmete ituibile e o serve qui approfodirlo. Coviee ivece idagare meglio il ruolo dei Computer Associate Professioals che hao come compito pricipale di: forire assisteza agli uteti...cotrollare e supervisioare l operatività dei sistemi... sviluppare piccoli programmi fializzati all istallazioe e all utilizzo dell hardware e del software È evidete da queste idicazioi che i Computer Associate Professioals o soo dei professioisti ICT a tempo pieo i quato il loro ruolo o prevede u distacco completo dal modo degli uteti.

8 XII PREFAZIONE L orietameto al migliore impiego della strumetazioe dispoibile e al supporto dei colleghi elle loro attività iformatizzate, e fao u ruolo cruciale per il recupero del cosiddetto skills gap, ossia di quella careza diffusa di competeze ICT che è caratteristica dell Europa e che rischia di essere u freo allo sviluppo. È covizioe dell AICA, suffragata da ampi riscotri di mercato e peraltro codivisa dalle associazioi europee cosorelle raggruppate el CEPIS (Coucil of Europea Professioals Iformatics Societies) che, su questa figura, sia ecessario ivestire a livello comuitario, cosiderata la struttura produttiva europea (e, i particolare, italiaa) a larga prevaleza di piccole e medie imprese. Queste, ifatti, ella loro attività quotidiaa, o sempre possoo permettersi (e spesso o saprebbero avvalersee) delle specializzazioi caratteristiche dei professioisti ICT. Ma questa figura professioale gioca u ruolo importate ache ella Pubblica Ammiistrazioe dove esiste ua molteplicità di uffici decetrati che o riescoo ad essere assistiti co la ecessaria cotiuità dalle strutture ICT cetralizzate. Il mauale che viee qui presetato o esaurisce le competeze defiite a livello europeo per questa figura professioale. Tali competeze soo descritte i dettaglio el Syllabus dei sei moduli (Hardware, Operatig Systems, LAN ad Network Services, Expert Network Use, IT Security, Network Desig) che fao parte del programma europeo EUCIP IT Admiistrator, e che viee riportato per esteso el volume. Tra questi moduli il volume sceglie quello riguardate la IT Security, che si riferisce alle competeze richieste dal compito di coordiameto e di assisteza riguardati i vari aspetti della sicurezza iformatica. Si tratta del modulo più iovativo e complesso che forisce delle reali capacità di protezioe dei dati sesibili che circolao i u orgaizzazioe. Giulio Occhii Direttore Geerale AICA

9 Presetazioe AICA Piazzale Rodolfo Moradi, 2 201xx MILANO Tel Fax: Sito: aica@aicaet.it AICA, Associazioe Italiaa per l Iformatica ed il Calcolo Automatico, è la più importate Associazioe azioale di professioisti di iformatica. Fodata il 4 febbraio 1961, AICA è ua Associazioe o a scopo di lucro che ha come fialità pricipale lo sviluppo, fra i suoi adereti e ella più vasta comuità azioale, delle coosceze attieti la disciplia iformatica i tutti i suoi aspetti scietifici, applicativi, ecoomici e sociali. AICA costituisce u luogo di icotro e di collaborazioe fra le tre pricipali voci del modo dell iformatica: l uiversità e i cetri di ricerca scietifica che alimetao il sapere teorico e metodologico, gli uteti pubblici e privati che dell iformatica si avvalgoo per i loro fii applicativi e ifie i costruttori e foritori di prodotti e servizi iformatici. Per questa sua capacità di aggregazioe, AICA è la sede ideale per dibattere sia il tema dello sviluppo professioale degli iformatici che quello della diffusioe della coosceza degli strumeti iformatici a strati sempre più ampi della popolazioe. Le multiformi attività di AICA soo impostate co ua visioe che tiee coto delle caratteristiche del ostro paese iquadradole e avvaledosi però delle esperieze maturate e delle iiziative i atto el resto del modo. Ifatti AICA è federata a IFIP, Iteratioal Federatio of Iformatio Processig, ed al CEPIS, Coucil of Europea Professioal Iformatics Societies.

10 XIV PRESENTAZIONE CLUSIT Associazioe Italiaa per la Sicurezza Iformatica Dipartimeto di Iformatica e Comuicazioe dell Uiversità degli Studi di Milao Via Comelico MILANO Sito: ifo@clusit.it Il CLUSIT - Associazioe Italiaa per la Sicurezza Iformatica è u associazioe o profit, ata el luglio 2000, co sede presso l Uiversità degli studi di Milao, Dipartimeto di Iformatica e Comuicazioe. I soci del CLUSIT soo rappresetativi dell itero sistema Paese, i particolare della ricerca, dell idustria, del commercio, del settore bacario ed assicurativo, della Pubblica Ammiistrazioe, della Saità, dei servizi, delle telecomuicazioi e di Iteret. I ambito azioale, il CLUSIT opera i collaborazioe co il Miistero delle Comuicazioi, il Miistero degli Iteri, il Miistero dell Istruzioe dell Uiversità e della Ricerca, il Miistero per l Iovazioe e le Tecologie, la Polizia Postale e delle Comuicazioi, l Autorità Garate per la tutela dei dati persoali, l Autorità per le Garazie elle Comuicazioi, le Cofederazioi Idustriali, umerose Uiversità e Cetri di Ricerca, Associazioi Professioali e Associazioi dei Cosumatori. I ambito europeo, partecipa a svariate iiziative iterazioali i collaborazioe co i CLUSI (CLUSIB, CLUSIF, CLUSIS, CLUSSIL), co i CERT, co Uiversità e Cetri di Ricerca di Austria, Belgio, Daimarca, Fracia, Estoia, Grecia, Ighilterra, Irlada, Lussemburgo, Olada, Poloia, Spaga, Svezia e Svizzera. Il CLUSIT itede sosteere le attività dell ENISA (Europea Network ad Iformatio Security Agecy). Obiettivi di CLUSIT soo i segueti. La diffusioe di ua cultura della sicurezza iformatica rivolta alle Aziede, alla Pubblica Ammiistrazioe ed ai cittadii. L elaborazioe sia a livello comuitario che italiao di leggi, orme e regolameti che coivolgoo la sicurezza iformatica. La defiizioe di percorsi di formazioe per la preparazioe e la certificazioe delle diverse figure professioali operati el settore della sicurezza ICT. La promozioe dell uso di metodologie e tecologie che cosetao di migliorare il livello di sicurezza delle varie realtà.