Sicurezza degli Impianti Informatici

Transcript

1 Corso di Sicurezza degli Impianti Informatici A.A INTR-1

2 chi siamo Giuseppe Serazzi tel corsi.serazzi@elet.polimi.it Stefano Zanero tel zanero@elet.polimi.it Sito: (slide, materiali, programma e informazioni) Libro di testo: R. Anderson, Security Engineering, Wiley: cap 2,3,5,13,18,19,21,22 Libro alternativo/approfondimenti: D. Gollman, Computer Security, Wiley: cap 1,2,8,12,13 INTR-2

3 Il programma in breve (1) Introduzione alle problematiche di sicurezza I principali tipi di attacchi I principali metodi di difesa Confidenzialità e integrità delle informazioni Concetti base di crittografia Algoritmi, protocolli e scenari d'uso Approfondimenti: la firma digitale Architetture distribuite sicure Gli attacchi di rete (sniffing, DoS, spoofing,...) Firewall e sicurezza architetturale Reti wireless: WEP, EAP, 802.1X Tool per verificare la sicurezza Attivi (Portscanner, Vulnerability Assessment) Reattivi (IDS, antivirus...) INTR-3

4 Il programma in breve (2) Impianti informatici per l e-business Architetture sicure per l e-commerce Transazioni commerciali sicure: IPSEC, HTTPS, SET e la dual signature Aspetti organizzativi della sicurezza L analisi del rischio Le politiche di Sicurezza Problematiche gestionali della sicurezza La Sicurezza fisica Aspetti legali ed etici Normativa italiana sul crimine informatico La problematica della privacy INTR-4

5 Introduzione alla Sicurezza Informatica 11/03/2006 INTR-5

6 I tre obiettivi cardine della sicurezza Confidenzialità: solo le persone autorizzate possono accedere alle informazioni Integrità: solo le persone autorizzate possono modificare le informazioni, e solo nelle modalità per cui sono state autorizzate a procedere. Disponibilità: le persone autorizzate possono sempre ricevere le informazioni di cui hanno bisogno entro un tempo ragionevole (secondo i requisiti) Paradigma CIA (Confidentiality, Integrity and Availability) INTR-6

7 Il formalismo della sicurezza Confidenzialità: Accesso alle risorse only if utente autorizzato (relazione molti a molti) Integrità: Modifica delle risorse only if utente autorizzato (relazione molti a molti) Disponibilità: if utente_autorizzato and richiesta_accesso(t) then accesso_consentito(t+k) and k < delta, con delta intervallo ragionevole secondo le specifiche. La relazione di sicurezza è (deve essere) un IF AND ONLY IF! Nell'implementazione classica, Confidenzialità Integrità Disponibilità sono definite da una relazione tra: UTENTI opportunamente identificati RISORSE cui possono accedere Meccanismi di identificazione all accesso, utilizzo di permessi, dispositivi di auditing per verificare il buon funzionamento del tutto INTR-7

8 Rischi, minacce, vulnerabilità Rischio: è l'esposizione di un'organizzazione a perdite o danni. es.: il rischio che il sistema informativo aziendale venga messo fuori uso da un worm, in termini di perdita economica e di tempo Minaccia: è l'elemento esterno che rappresenta un pericolo per l impresa: un competitor aggressivo è una minaccia, essere in una zona soggetta ad alluvioni è una minaccia... Vulnerabilità: una debolezza nel sistema che può essere utilizzata (exploit) da una minaccia (aggressore) L'atto con cui una minaccia sfrutta una vulnerabilità per trasformare il rischio in danno si chiama attacco o disastro INTR-8

9 Disastri Un disastro è conseguenza dell'attuarsi di una minaccia non dovuta ad una aggressione intenzionale Disastri naturali: terremoto, alluvione... Disastri dovuti all'uomo e alla tecnologia: incendio, esplosione, mancanza di corrente.. Disastri fortuiti Le coincidenze congiurano sempre per produrre il massimo danno possibile (una delle leggi di Murphy) Bisogna predisporre: Contingency management plan: chi individua il disastro e attiva le risposte Business continuity plan: come facciamo a garantire la continuità del business Disaster recovery plan: che procedure prepariamo per ripristinare le condizioni normali Non è solo questione di sicurezza informatica... Priorità all'incolumità delle persone: si tratta di un requisito etico fondamentale INTR-9

10 Attacchi informatici Un attacco è un tentativo deliberato di violare il paradigma C.I.A. Attacchi Interni Esterni Spesso si pensa solo ai secondi! Attacchi Generici Specifici per il business aziendale Spesso si pensa solo ai primi! INTR-10

11 Terminologia corretta Hacker non significa criminale informatico Hacker significa smanettone, da to hack Generalmente si usano due terminologie White hat hacker, ethical hacker: l'esperto che agisce eticamente Black hat hacker, malicious hacker, cracker: coloro che agiscono in modo criminale Altra cosa importante: distinguere tra cracker e chi distribuisce software copiato (warez), da chi traffica in carte di credito (carding)... sono tutte tipologie diverse di pericoli INTR-11

12 Dove è localizzato il nemico Fuori dall organizzazione Accessi non autorizzati al SI aziendale tramite Internet Dentro l organizzazione Volontari: accesso non autorizzato o sabotaggio di dati riservati (progetti, brevetti, dati finanziari, ) da parte di utenti interni Involontari: superficialità, noncuranza, incompetenza possono causare seri danni e/o aprire la porta ad attacchi esterni Fra i partner aziendali Policy non gestite correttamente, attacchi al partner che possono ripercuotersi sulla nostra azienda, Dappertutto Sicurezza a livello di applicazione (worm, virus, bachi, ) INTR-12

13 Un semplice esperimento Linea ADSL connessa ad Internet, e connessa ad un hub con un IDS Win95 Win98 Internet Linux 2.2 INTR-13

14 I risultati Primo attacco dopo meno di 10 minuti di connessione Sequenza di port scan (poco importante ) Tentativi ripetuti di connessione alle porte 23/TELNET, 25/SMTP, 110/POP3, 80/HTTP ICMP flood, ICMP redirect, tentativi di ARP Spoofing Principalmente attacchi da parte di script kiddies (nessun reale valore sulla rete) In totale 12 attacchi nelle prime 24 ore, e 38 attacchi in 5 giorni E stiamo parlando di una rete finta senza nessuna attrattiva!!! INTR-14

15 Esempi dalla vita reale Yahoo! viene tolto dalla rete per 24 ore: loss of business inestimabile Egghead.Com (B2C) annuncia disclosure di credit card: perdita economica forse rimediabile, perdita d immagine irrimediabile (i dati parlano del 20% fatturato) Microsoft subisce l onta dell hacking tre volte in un mese In Italia non siamo immuni Siamo soltanto così impreparati che è impossibile anche solo stimare il fenomeno (molti nemmeno sanno di essere colpiti!) INTR-15

16 Alcuni tipi di attacco (1) Attacchi DOS (Denial of Service) rendere indisponibili uno o più servizi erogati da un sistema a causa di una sua saturazione provocata in modo artificiale Flooding e DDOS (Distributed DOS) intasandone completamente le risorse DOS mirato a un servizio critico facendolo crollare Penetrazione nel sistema: acquisizione di privilegi non consentiti (root) per Sottrazione di informazioni (piani industriali, brevetti alto valore!) Utilizzo improprio del sistema (distribuzione materiale illegale, attacchi verso terzi, ) Social Engineering: metodologia di intrusione che utilizza un approccio non-tecnico, prevalentemente basato su interazioni umane INTR-16

17 Alcuni tipi di attacco (2) Attacchi a livello di rete: Sniffing: lettura abusiva di tutti i pacchetti che transitano in rete mediante sniffer Spoofing: falsificazione dell indirizzo IP del mittente al fine di fingersi un altro Hijacking: persone non autorizzate prendono il controllo di un canale di comunicazione; la connessione viene utilizzata da una terza parte Infezioni da parte di virus & worm Online Phishing: truffe online organizzate per la raccolta di dati sensibili (numeri carte di credito, login e password, ) INTR-17

18 Sicurezza a livello di OS (1) Sistemi operativi progettati per ambienti multi-utente Es: Un*x, Windows 2000/XP, Dotati di meccanismi di autenticazione degli utenti (login) Accesso alle risorse e privilegi controllati a livello del sistema operativo Pensati anche per l utilizzo da remoto (servizi di rete) L identificazione degli utenti è fornita (tipicamente) da LOGIN e PASSWORD Ogni utente appartiene a uno o più GRUPPI Ogni file e ogni dispositivo (connessioni, periferiche, ecc.) ha un insieme di permessi che ne regolano l uso INTR-18

19 Sicurezza a livello di OS (2) Un primo livello di sicurezza consiste nel garantire che chi accede al sistema sia riconoscibile Un secondo livello di sicurezza consiste nel garantire che possa accedere solo a file che gli sono permessi Unica eccezione l utente root che per definizione non rispetta nessun permesso. I demoni, o programmi residenti che offrono servizi di rete, rispettano anche loro queste restrizioni, in base ai privilegi degli utenti con cui vengono eseguiti (nel mondo Un*x, SUID: Saved User ID) Alcuni demoni devono essere eseguiti SUID root (cioè senza nessuna restrizione di accesso) per una serie di motivi INTR-19

20 Sicurezza a livello di OS Penetrazione nel Sistema: gli exploit Prima idea ingegnua : indovinare le password (brute force attack). Possibili difese sono: mettere scadenze automatiche (aging) evitare attacchi esaustivi limitando il numero di tentativi con insuccesso (dopo 2 o 3 insuccessi disabilitare il login) E proprio vero che Non è possibile accedere al sistema senza fornire login e password? I demoni offrono servizi di rete, a volte anche ad utenti non autenticati. Ricordiamoci che i demoni usano per le restrizioni il SUID, che a volte è root. Quindi un demone può avere un accesso non ristretto al sistema. Se si riesce a imbrogliare un demone e a fargli eseguire comandi al posto nostro, si può sfruttare il suo SUID e violare le restrizioni d accesso (tipico meccanismo degli EXPLOIT) INTR-20

21 Sicurezza a livello di OS: Difesa dagli exploit Utilizzare solo software conosciuto e studiato a fondo Seguire le best practice durante l installazione Open source vs. close source: la relativa certezza dell analisi vs. la security through obscurity Le vulnerabilità vengono scoperte costantemente: il software deve essere aggiornato Qualsiasi sistema in rete è per definizione vulnerabile e deve essere costantemente controllato per segni di effrazione! INTR-21

22 Tecniche di base della sicurezza Identificazione e Autenticazione: individuazione di un utente e verifica della sua identità tramite: ciò che si sa (condivisione di un segreto, pwd, ), ciò che si possiede (smart-card, certificato digitale, ) ciò che si è (impronte digitali, iride, ) Autorizzazioni e controllo accessi: assegnazione dei diritti di accesso alle risorse (archivi, file, ). Si verifica che un soggetto utilizzi soltanto le risorse alle quali è stato autorizzato (Access Control Lists, ACL) ed effettui solo le operazioni permesse Uso di tecniche crittografiche Uso di tecniche crittografiche: utilizzo di algoritmi di cifratura (per rendere non intelleggibile l'informazione), di hashing (per garantire l'integrità) INTR-22