Security Engineering PROGETTARE (PER) LA SICUREZZA SISTEMI CRITICI SISTEMI CRITICI: COSA PUÒ FALLIRE ESEMPI DI ATTACCHI ASPETTI ORGANIZZATIVI

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security Engineering PROGETTARE (PER) LA SICUREZZA SISTEMI CRITICI SISTEMI CRITICI: COSA PUÒ FALLIRE ESEMPI DI ATTACCHI ASPETTI ORGANIZZATIVI"

Transcript

1 Università degli Studi di Bologna IIª Facoltà di Ingegneria - Cesena Security Engineering Prof. Enrico Denti Ing. Ambra Molesini DEIS PROGETTARE (PER) LA SICUREZZA La sicurezza è un processo complesso, che implica una catena di caratteristiche dalla computer system security alla network security all'application-level security fino alle problematiche di protezione dei dati sensibili. La sfida è progettare applicazioni sicure e di qualità che tengano conto in modo strutturato di tutti gli aspetti della sicurezza sin dalle prime fasi di analisi del sistema. Ogni componente del sistema deve essere (reso) sicuro, altrimenti il sistema non avrà una integrità strutturale tale da sopportare attacchi di diverso tipo senza crollare. SISTEMI CRITICI Sistemi da cui dipendono persone o aziende Tre categorie: Sistemi safety-critical: i fallimenti possono provocare incidenti, perdita di vite umane o seri danni ambientali Sistemi mission-critical: i malfunzionamenti possono causare il fallimento di alcune attività a obiettivi diretti Sistemi business-critical: i fallimenti possono portare a costi molto alti per le aziende che li usano Proprietà fondamentali: Dependability = Availability + Reliability + Safety + Security disponibilità affidabilità incolumità sicurezza SISTEMI CRITICI: COSA PUÒ FALLIRE Hardware: può fallire a causa di errori nella progettazione, di un guasto a un componente o perché i componenti hanno terminato la loro vita naturale Software: può fallire a causa di errori nelle specifiche, nella progettazione o nell implementazione Umani: possono sbagliare a interagire con il sistema Con l aumentare dell affidabilità di hardware e software, gli errori umani sono diventati la causa più probabile Capacità di mostrarsi "affidabili", onde portare gli utilizzatori a "fidarsi" del sistema ESEMPI DI ATTACCHI Exploit: sfrutta un bug o una vulnerabilità per acquisire privilegi Buffer Overflow: mira a fornire più dati di quanti ne siano attesi per riuscire così a scrivere in zone di memoria destinate ad altri dati o lo stack Shell code: sequenza di caratteri che rappresenta un codice binario in grado di lanciare una shell per acquisire un accesso alla linea di comando Sniffing : intercettazione passiva dei dati che transitano in una rete Cracking: modifica di un software per rimuovere la protezione dalla copia, o ottenere accesso ad un'area riservata Spoofing: simulare un indirizzo IP privato da una rete pubblica facendo credere agli host che l'ip della macchina server da contattare sia il suo Trojan: programma che contiene funzionalità malevole che la vittima è indotta a eseguire inconsapevolmente (tramite giochi o altro ) Denial of Service: sommerge il sistema con moltissime richieste fino a impedirgli di funzionare, minando così la disponibilità dei servizi ASPETTI ORGANIZZATIVI Oltre agli aspetti teorici e applicativi della sicurezza è necessario affrontare anche aspetti organizzativi Investire nell acquisto di firewall non serve a molto se poi gli utenti si annotano le password su foglietti attaccati ai monitor Occorre una politica di formazione/sensibilizzazione degli utenti A tal fine occorre porsi alcune domande, le cui risposte contribuiranno a produrre una serie di documenti di analisi: Quanto valgono le informazioni in nostro possesso? Come si può quantificare il rischio di subire un attacco? Come si può valutare il danno subito da perdite di informazioni rispetto al costo da sostenere per evitare tali perdite? 1

2 DOCUMENTAZIONE DA PRODURRE POLITICHE DI SICUREZZA Business Impact Analysis: tramite l analisi dei rischi si cerca di stimare i danni causati da un eventuale attacco Security Policy: definisce le politiche di sicurezza Security Plan: implementa le regole definite all interno della security policy in modo da raggiungere il livello di sicurezza prefissato Disaster Recovery Plan: specifica le norme comportamentali che gli utenti devono assumere nel caso di un attacco Security Audits: descrive il livello corrente di sicurezza in termini di quello che attualmente sta succedendo Politiche di sicurezza: insieme di regole, principi e procedure che stabiliscono il modo in cui un organizzazione gestisce, protegge e controlla le proprie risorse informatiche e le informazioni in esse contenute. In base al livello di astrazione, si suddividono in quattro tipi: Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Descrive i programmi di sicurezza, assegna le responsabilità della loro gestione, definisce gli obiettivi e un metodo per la verifica della conformità È gestita dal proprietario o dall amministratore delegato POLITICHE DI SICUREZZA POLITICHE DI SICUREZZA In base al livello di astrazione, si suddividono in quattro tipi: In base al livello di astrazione, si suddividono in quattro tipi: Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Stabilisce l approccio globale dell organizzazione nei confronti dell aspetto sicurezza. E la base dell intero progetto di sicurezza del sistema informatico. Solitamente è gestita da un alto responsabile in grado di intervenire su tutta l organizzazione. Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Sono definite del responsabile dell intero sistema informatico Descrivono come si pone l organizzazione di fronte ad uno specifico problema (prima in generale, poi in un particolare sistema). Solitamente sono definite dal proprietario del sistema.. SECURITY ENGINEERING Security Engineering is concerned with how to develop and maintain systems that can resist malicious attacks intended to damage a computer-based system or its data [I.Sommerville] Considerazioni: l ingegnerizzazione di un sistema non può prescindere dalla consapevolezza delle minacce che il sistema dovrà affrontare e dai modi in cui possono essere neutralizzate Opportuno distinguere fra sicurezza dell applicazione e sicurezza dell infrastruttura su cui il sistema è costruito La prima è un problema di ingegnerizzazione del software: gli ingegneri devono garantire che il sistema sia progettato per resistere agli attacchi La seconda è un problema manageriale: gli amministratori devono garantire che l infrastruttura sia configurata per resistere agli attacchi (inizializzare tutti i servizi di sicurezza, monitorare e riparare eventuali falle di sicurezza che dovessero emergere durante l uso, etc) UN PO DI GLOSSARIO Bene (Asset): una risorsa del sistema che deve essere protetta Esposizione (Exposure): possibile perdita o danneggiamento come risultato di un attacco andato a buon fine (potrebbe essere una perdita o un danneggiamento di dati o una perdita di tempo nel ripristino del sistema dopo l attacco) Vulnerabilità (Vulnerability): una debolezza nel sistema software che potrebbe essere sfruttata per causare una perdita o un danno Attacco (Attack): sfruttamento di una vulnerabilità del sistema Minaccia (Threat): circostanza che ha le potenzialità per causare perdite e danni Controllo (Control): una misura protettiva che riduce una vulnerabilità del sistema. 2

3 TIPI DI MINACCE Minacce alla riservatezza del sistema o dei suoi dati: rischio di svelare le informazioni a persone o programmi non autorizzati Minacce all integrità del sistema o dei suoi dati: rischio di danneggiamento o corruzione di dati o di software Minacce alla disponibilità del sistema o dei suoi dati: rischio di negare l accesso al software o ai dati agli utenti autorizzati Queste minacce sono interdipendenti: se un attacco rende il sistema indisponibile, non si riescono più ad aggiornare le informazioni, con ovvie ripercussioni sull integrità del sistema (e dei dati) E TIPI DI CONTROLLI Controlli per garantire che gli attacchi non abbiano successo: si cerca di progettare il sistema in modo da evitare i problemi di sicurezza i sistemi militari sensibili non sono connessi alla rete pubblica opportuno sfruttamento di tecniche di crittografia Controlli per identificare e respingere attacchi: si tengono monitorate le operazioni del sistema al fine di identificare pattern di attività atipici, pronti, nel caso, ad agire di conseguenza (spegnendo parti del sistema, restringendo l accesso agli utenti, etc) Controlli per il ripristino backup replicazione polizze assicurative UN ESEMPIO (1) UN ESEMPIO (2) Un sistema informativo ospedaliero mantiene le informazioni personali sui pazienti e sui loro trattamenti Il sistema deve essere accessibile da differenti ospedali e cliniche attraverso un interfaccia web Ospedale S.Paperino Clinica Zio Paperone Lo staff ospedaliero deve utilizzare una specifica coppia <username, password> per autenticarsi, dove lo username è il nome del dipendente Il sistema richiede password che siano lunghe almeno otto caratteri, ma consente ogni password senza ulteriori verifiche Ospedale S.Topolino Server DB Record malato Clinica S.Minnie Ospedale S.Pippo Termine Beni Esposizione Vulnerabilità Attacchi Minacce Controllo UN ESEMPIO (3) Descrizione I record dei paziente che ricevono o hanno ricevuto trattamenti sanitari; il database; il sistema informativo Possibile perdita di futuri pazienti che non si fidano della clinica. Perdita finanziaria e perdita d immagine Un sistema di password debole rende facile agli utenti la memorizzazione di password banali; lo username è uguale al nome del dipendente Furto di identità di un utente autorizzato e successiva violazione e sottrazione di dati; denial of service Possibilità di indovinare le password di utenti autorizzati; arrivo contemporaneo di un numero elevato di richieste Sistema di controllo delle password che obblighi gli utenti a settare password di tipo strong; replicazione del servizio su più server L analisi del rischio si occupa di: valutare le perdite che un attacco può causare ai beni Bilanciarle con i costi per la protezione dei beni stessi Regola aurea: costo protezione << costo perdita Considerazioni: ANALISI DEL RISCHIO L analisi del rischio è una problematica più manageriale che tecnica Il ruolo degli ingegneri della sicurezza è fornire una guida tecnica e giuridica sui problemi: è poi compito dei manager decidere se accettare i costi della sicurezza o i rischi che derivano dalla sua mancanza L analisi del rischio inizia dalla valutazione delle politiche di sicurezza organizzazionali, che stabiliscono cosa sia / non sia consentito fare DUE TEMPI: valutazione preliminare del rischio e ciclo di vita della valutazione del rischio 3

4 Identificazione del bene VALUTAZIONE PRELIMINARE DEL RISCHIO Valutazione valore del bene Identificazione minaccia Identificazione controllo Valutazione probabilità Valutazione fattibilità Valutazione esposizione Definizione requisiti Si articola in: IDENTIFICAZIONE DEL BENE Analisi delle risorse fisiche Ispezione sistematica, valutazione dei locali, cablature, etc Analisi delle risorse logiche Classificare le informazioni in base al valore che hanno per l organizzazione, il loro grado di riservatezza e il contesto Classificare i servizi offerti dal sistema affinché non presentino effetti collaterali pericolosi per la sicurezza Analisi delle dipendenze fra risorse Per ciascuna risorsa (fisica o logica) si individuano le altre risorse di cui essa ha bisogno per funzionare Particolare attenzione va posta a evidenziare le risorse critiche, da cui dipende il funzionamento di un elevato numero di altre risorse I risultati di questa analisi sono usati anche nella fase successiva di valutazione del rischio, in particolare per lo studio della propagazione dei malfunzionamenti IDENTIFICAZIONE DELLE MINACCE Si mira a definire ciò che non deve accadere nel sistema Ipotesi di base: considerare indesiderato qualsiasi accesso che non sia esplicitamente permesso Distingue fra attacchi intenzionali ed eventi accidentali Attacchi intenzionali: a livello fisico o a livello logico a livello fisico: furti, danneggiamenti di risorse critiche a livello logico: furti di informazione, attacchi per degradare l operatività del sistema (sniffing, spoofing, backdoor, virus, DOS) Eventi accidentali: a livello fisico o a livello logico a livello fisico: guasti ai dispositivi che compongono il sistema, guasti a dispositivi di supporto (es. condizionatori) a livello logico: perdita di password o chiavi hardware, cancellazione di file, corruzione del software di sistema, etc A ogni minaccia occorre associare un livello di rischio per indirizzare concentrarsi sulle aree più critiche Rischio: una combinazione della probabilità che un evento accada con il danno che l'evento può arrecare al sistema Valutare la probabilità che un evento accada dipende dalla nostra conoscenza del sistema e del contesto: utili anche le statistiche Valutare il danno implica tenere conto del valore del bene e delle dipendenze tra le risorse (propagazione del malfunzionamento) Alcune statistiche (DataPro Research): Attacchi VALUTAZIONE DELL ESPOSIZIONE 10% Omissioni volontarie degli addetti 10% Disonestà degli addetti 5% Azioni di estranei Eventi accidentali 55% Errori degli addetti 20% Eventi naturali e carenze strutturali VALUTAZIONE DELLE PROBABILITÀ La probabilità di occorrenza di attacchi intenzionali dipende principalmente dalla facilità di attuazione e dai vantaggi che potrebbe trarne l intruso Il danno si misura come grado di perdita dei tre requisiti fondamentali (riservatezza, integrità, disponibilità) MA l attaccante applicherà sempre tutte le tecniche di cui dispone, su tutte le risorse attaccabili necessità di valutare anche il rischio di un attacco composto un insieme di attacchi elementari concepiti con un medesimo obiettivo e condotti in sequenza INDIVIDUAZIONE DEL CONTROLLO Per scegliere il controllo da adottare per neutralizzare gli attacchi individuati, si considerano vari aspetti: Valutazione del rapporto costo/efficacia Valuta il grado di adeguatezza di un controllo, evitando costi ingiustificati rispetto al rischio da cui protegge L efficacia del controllo è definita come funzione del rischio rispetto agli eventi indesiderati che neutralizza. Il costo di un controllo deve includere i costi nascosti (costo di messa in opera, peggioramento ergonomia interfaccia utente, decadimento prestazioni, aumento burocrazia) Controlli di carattere organizzativo vs. di carattere tecnico Controlli di tipo organizzativo: utilizzo in modo corretto da personale consapevole, definizione precisa di ruoli, responsabilità e procedure Controlli di tipo tecnico: configurazione sicura del SO e della rete, controlli a livello applicativo, informazioni «taggate» per definire in modo fine i diritti di accesso, cifrature, firewall, proxy, chiavi hw 4

5 INTEGRAZIONE DEI CONTROLLI Un insieme di controlli non deve presentarsi come una "collezione di espedienti" scorrelati tra loro È importante integrare i vari controlli in una politica di sicurezza organica ciò costituisce altresì il presupposto per trattare eventuali nuove esigenze di sicurezza È dunque fondamentale operare una selezione dei controlli da adottare, cercando di individuare il sottoinsieme di costo minimo che rispetti alcuni vincoli: Completezza delle contromisure Omogeneità delle contromisure Ridondanza controllata delle contromisure Effettiva attuabilità delle contromisure RIPRENDENDO L ESEMPIO Nel sistema per la gestione di dati ospedalieri Sistema i beni sono il sistema informativo, il database dei pazienti, i record di ogni paziente Valutazione del valore e dell esposizione: Bene Valore Esposizione Informativo Database pazienti Record paziente Alto. Supporto a tutte le consultazioni cliniche Alto. Supporto a tutte le consultazioni cliniche. Critico dal punto di vista della sicurezza Normalmente basso. Potrebbe essere alto per pazienti particolari Alta. Perdita finanziaria; costi ripristino sistema; danni a pazienti se cure non somministrate Alta. Perdita finanziaria; costi ripristino sistema; danni a pazienti se cure non date Perdita diretta bassa, ma possibile perdita di reputazione della clinica RIPRENDENDO L ESEMPIO Nel sistema per la gestione di dati ospedalieri le minacce sono il furto d identità dell amministratore, il furto d identità di un utente autorizzato, il DoS Valutazione delle probabilità, scelta del controllo, fattibilità dello stesso Minaccia Prob. Controllo Fattibilità Furto identità amministratore Bassa chiavi Accesso solo da postazioni Basso costo implementativo ma specifiche fisicamente sicure attenzione alla distribuzione delle Furto identità utente Denial Of Service Alta Media Meccanismi biometrici Log di tutte le operazioni Progettazione adeguata, controllo e limitazione degli accessi Molto costoso e non accettato Semplice, trasparente e supporta il ripristino Basso costo. Impossibile prevedere e impedire questo tipo di attacco RIPRENDENDO L ESEMPIO Alcuni requisiti di sicurezza ricavati dalla valutazione preliminare: le informazioni relative ai pazienti devono essere scaricate all inizio della sessione clinica dal database e memorizzate in un area sicura sul client le informazioni relative ai pazienti non devono essere mantenute sul client dopo la chiusura della sessione clinica deve essere mantenuto un log su una macchina diversa dal server che memorizzi tutti i cambiamenti effettuati sul database CICLO DI VITA della VALUTAZIONE DEL RISCHIO Occorre conoscere l architettura del sistema e l organizzazione dei dati Poiché a questo punto la piattaforma, il middleware e la strategia di sviluppo del sistema sono già stati scelti, si hanno molti più dettagli su cosa proteggere e sulle possibili vulnerabilità del sistema Il processo è simile alla valutazione preliminare dei rischi, con l aggiunta di attività riguardanti l identificazione e la valutazione delle vulnerabilità La valutazione delle vulnerabilità identifica i beni che hanno più probabilità di essere colpiti da una data vulnerabilità Si mettono in relazione le vulnerabilità con i possibili attacchi al sistema Il risultato di questa valutazione è un insieme di decisioni ingegneristiche che influenzano la progettazione o l implementazione del sistema, o limitano il modo in cui esso può essere usato. Ipotesi: il provider dei servizi ospedalieri decide di acquistare un prodotto commerciale per la gestione dei dati dei pazienti Caratteristiche del sistema acquistato: autenticazione solo con username e password architettura client/server: il client accede attraverso via browser web l informazione è presentata agli utenti attraverso web form editabili Vulnerabilità: RIPRENDENDO L ESEMPIO Rischio di password banali, rischio che l utente riveli la password CURA: introdurre un meccanismo di verifica delle password rimasti nella cache del browser, bug del browser, DoS CURA: accesso permesso ai soli client approvati dall amministratore CURA: un solo browser ammesso per ogni client Impossibile mantenere log dettagliati, stessi permessi per tutti gli utenti 5

6 REQUISITI DI SICUREZZA PROCESSO DI SPECIFICA DEI REQUISITI Difficilmente si riescono a specificare i requisiti di sicurezza in modo quantitativo: di solito si esprimono qualitativamente, nella forma non deve Si definiscono così i comportamenti inaccettabili nel sistema Non si definiscono le funzionalità richieste al sistema Tipicamente la specifica dei requisiti si articola in tre punti : Analisi del contesto Identificazione dei beni Analisi minacce valutazione rischi Analisi tecnologia Analisi tecnologica Security Use & Security Misuse case Specifica requisiti Analisi del contesto Numero e distribuzione geografica delle sedi, unità organizzative (dipartimenti, uffici, strutture..) Ruoli, competenze, responsabilità, relazioni gerarchiche Procedure e flussi informativi Identificazione dei beni da proteggere Lista beni del sistema Matrice minacce e rischi Assegnazione minacce Descrizione beni e minacce Requisiti Stima del valore di tali beni per l organizzazione MISUSE CASE vs. SECURITY USE CASE ESEMPIO I misuse case si concentrano sulle interazioni tra l applicazione e gli attaccanti che cercano di violarla La condizione di successo di un misuse case è l attacco riuscito! Adatti per analizzare le minacce, non per determinare i requisiti di sicurezza I security use case specificano invece i requisiti tramite i quali l applicazione si protegge dalle minacce. Misuse Case Security Use Case Uso Analizzare e specificare le minacce Analizzare e specificare i requisiti di sicurezza Criteri di successo Successo degli attaccanti Successo dell applicazione Prodotto da Security Team Security Team Usato da Security Team Requirements Team Attori Esterni Attaccanti, Utenti Utenti Guidato da Analisi vulnerabilità dei beni Analisi delle minacce Misuse cases ESEMPIO ALCUNE LINEE GUIDA I casi d uso non devono specificare meccanismi di sicurezza Le decisioni relative ai meccanismi devono essere lasciate alla progettazione I requisiti vanno tenuti ben distinti dalle informazioni secondarie interazioni del sistema, azioni del sistema e postcondizioni sono i soli requisiti Evitare di specificare vincoli progettuali non necessari Documentare esplicitamente i percorsi individuali attraverso i casi d uso Documentare le minacce alla sicurezza che giustificano tali percorsi Distinguere chiaramente tra interazioni degli utenti e degli attaccanti Distinguere chiaramente tra interazioni visibili all esterno e azioni nascoste Documentare in modo chiaro e preciso precondizioni e postcondizioni che catturano l essenza dei percorsi individuali. Basare i security use case su diverse categorie di requisiti di sicurezza fornisce una naturale organizzazione dei casi d uso 6

7 CATEGORIE REQUISITI DI SICUREZZA Requisiti di identificazione: specificano se un sistema deve identificare gli utenti Requisiti di autenticazione: specificano come identificare gli utenti Requisiti di autorizzazione: specificano i privilegi e i permessi di accesso degli utenti identificati Requisiti di immunità: specificano come il sistema si protegge da virus, worm, Requisiti di integrità: specificano come evitare la corruzione dei dati Requisiti di scoperta delle intrusioni: specificano quali meccanismi si usano per scoprire gli attacchi al sistema Requisiti di non-ripudio: specificano che una parte interessata in una transazione non può negare il proprio coinvolgimento Requisiti di riservatezza: specificano come deve essere mantenuta la riservatezza Requisiti di controllo della protezione: dicono come si controlla e verifica l uso del sistema Requisiti di protezione della manutenzione: specificano come una applicazione possa evitare modifiche dovute a un accidentale non funzionamento dei meccanismi di protezione PROGETTARE (PER) LA SICUREZZA La sicurezza non è qualcosa che si possa «aggiungere dopo» a un sistema: va progettata «insieme» al sistema dunque, ben prima della fase di implementazione! Tuttavia, esiste un problema di sicurezza anche a livello implementativo: spesso le vulnerabilità sono introdotte proprio durante la fase di implementazione Può accadere di ritrovarsi con un implementazione non sicura pur partendo da una progettazione sicura....ma naturalmente non è possibile ottenere un implementazione sicura se già si parte da una progettazione non sicura! PROGETTAZIONE ARCHITETTURALE (1) La scelta dell architettura può influenzare profondamente la sicurezza di un sistema un architettura inappropriata può rendere impossibile garantire riservatezza e integrità, o il livello di disponibilità richiesto Due aspetti fondamentali : Protezione: ovvero, organizzare il sistema in modo che i beni critici siano protetti dagli attacchi esterni Distribuzione: ovvero, distribuire i beni in modo da minimizzare gli effetti di un attacco riuscito POTENZIALE CONFLITTO: Concentrare i beni in un unico posto permette di proteggerli a minor costo, MA se la protezione fallisce tutti i beni sono compromessi Distribuirli fra più luoghi implica un costo maggiore e aumenta le probabilità che la protezione fallisca, MA in caso di fallimento, la perdita dei beni è comunque solo parziale. PROGETTAZIONE ARCHITETTURALE (2) Tipicamente, l architettura più usata per fornire un alto grado di protezione è quella a livelli (layer) i beni più critici vanno posizionati al livello più basso il numero di layer necessari dipende dall applicazione e dalla criticità dei beni le credenziali di accesso ai diversi livelli dovrebbero essere diverse fra loro Protezione a livello di piattaforma Autenticazione di sistema Protezione a livello di applicazione Login al database Protezione a livello di record Autorizzazione accesso record Autorizzazione di database Autorizzazione di sistema Cifratura record dei pazienti Gestione della transazione Gestione integrità file Ripristino del database Gestione integrità record IL CASO CLIENT / SERVER L architettura client/server classica presenta svariate limitazioni Se la sicurezza viene compromessa, le perdite dovute a un attacco sono elevate (es: tutte le credenziali di accesso compromesse), con conseguenti elevati costi di ripristino È un architettura intrinsecamente esposta ad attacchi DoS Possibile soluzione: architettura distribuita con server replicato Autenticazione e autorizzazione Sistema trading New York Account utente US Trading history US Prezzi Account ut. equità US fondi US Autenticazione e autorizzazione Sistema trading Francoforte Account utente Europa Trading history Europa Prezzi Account ut. equità Europa fondi Europa Autenticazione e autorizzazione Sistema trading Londra Account utente UK Trading history UK Prezzi Account ut. equità UK fondi UK Autenticazione e autorizzazione Sistema trading Hong Kong Account utente Asia Trading history Asia Prezzi Account ut. equità Asia fondi Asia Non ci sono regole rigide per ottenere un sistema sicuro La posizione e i requisiti di diversi gruppi di utenti influenzano pesantemente cosa sia / non sia accettabile Tuttavia, alcune linee guida generali possono essere individuate: 1. Basare le decisioni della sicurezza su una politica esplicita 2. Evitare un singolo punto di fallimento 3. Fallire in modo certo 4. Bilanciare sicurezza e usabilità 5. Considerare l ingegneria sociale 6. Usare ridondanza e diversità 7. Validare tutti gli input 8. Dividere in compartimenti i beni 9. Progettare (per) il deployment 10. Progettare (per) il ripristino LINEE GUIDA 7

8 1. SICUREZZA & POLITICHE La politica di sicurezza (security policy) è un documento di alto livello che definisce «cosa sia» la sicurezza, ma non come ottenerla La politica non deve definire i meccanismi per attuare la sicurezza La politica di sicurezza dovrebbe originare dai requisiti di sistema Specificare la politica di sicurezza è parte della progettazione specifica come si accede alle informazioni specifica quali precondizioni vadano verificate per l accesso stabilisce a chi concedere l accesso Tipicamente le politiche sono espresse come insieme di regole incorporate in un componente Security Manager avente il compito di far rispettare (enforcement) le politiche all interno dell applicazione 1. SICUREZZA & POLITICHE A livello di progetto, le politiche si dividono in sei categorie: Identity policies: regole per la verifica delle credenziali degli utenti Access control policies: regole per decidere sulle richieste di accesso alle risorse e sull esecuzione delle varie operazioni Content-specific policies: regole riguardanti la gestione di specifiche informazioni Network and infrastructure policies: regole per controllare il flusso dei dati e il deployment delle reti e dei servizi infrastrutturali di hosting Regulatory policies: regole dovute a requisiti legali del Paese/Stato Advisor and information policies: regole non imposte, ma «caldamente consigliate» alla luce dell organizzazione e alle attività di business Esempio: regole per informare il personale sull accesso ai dati sensibili o per stabilire comunicazioni commerciali con partner esterni 2. EVITARE UN SINGOLO PUNTO DI FALLIMENTO 3. FALLIRE IN MODO CERTO Idea base: evitare che un singolo fallimento in una parte del sistema porti al fallimento di tutto il sistema A livello di sicurezza, significa evitare di affidarsi a un singolo meccanismo, preferendo un insieme di tecniche distinte ( difesa in profondità ) Esempio: se si usa la password per autenticare si dovrebbe anche includere un meccanismo sfida e risposta Idea base: se qualche fallimento è inevitabile, i sistemi critici dovrebbero sempre fallire in modo certo In particolare, anche se il sistema fallisce, un attaccante non dovrebbe riuscire comunque ad accedere a dati riservati Esempio: i dati dei pazienti potrebbero essere scaricati (cifrati, per consentirne l accesso solo agli utenti autorizzati) sul client all inizio di ogni sessione clinica, così da averli comunque disponibili se il server fallisce 4. BILANCIARE SICUREZZA E USABILITÀ 5. CONSIDERARE L INGEGNERIA SOCIALE Sicurezza e usabilità sono spesso in contrasto la sicurezza richiede controlli, ma questi spesso hanno ricadute sugli utenti in termini di praticità, comodità e usabilità a volte può diventare controproducente introdurre nuove caratteristiche di sicurezza a spese dell usabilità (es. password strong..) L ingegneria sociale è l arte di convincere gli utenti a rivelare informazioni riservate, avvantaggiandosi della loro volontà di aiutare e della loro fiducia nell autorità dell organizzazione Dal punto di vista della progettazione, contrastare l ingegneria sociale è quasi impossibile: la miglior cura è spesso di tipo «educativo/preventivo» Possono comunque essere utili a identificare brecce meccanismi di log che traccino la posizione e l identità degli utenti (+programmi di analisi del log) 6. USARE RIDONDANZA E DIVERSITÀ 7. VALIDARE TUTTI GLI INPUT 8. DIVIDERE I BENI IN COMPARTIMENTI Ridondanza significa mantenere più versioni del software e dei dati; diversità significa che le diverse versioni del sistema non dovrebbero usare la stessa piattaforma o essere basate sulle stesse tecnologie In tal modo, una vulnerabilità della piattaforma o della tecnologia non influirà su tutte le versioni e non porterà a un punto di fallimento unico Validare gli input è necessario per prevenire attacchi basati su input inaspettati che causano un comportamento imprevisto Esempi tipici: buffer overflow, SQL injection Per definire i controlli si sfruttare la conoscenza su tipi e modalità di input Compartimentalizzare i beni affinché ogni utente abbia accesso solo alle informazioni necessarie minimizza gli effetti di un attacco Esempio: lo staff clinico può accedere solo ai record dei pazienti che hanno un appuntamento o sono ricoverati nella clinica Occorre però un meccanismo per gestire gli accessi imprevisti 9. PROGETTARE PER IL DEPLOYMENT 10. PROGETTARE PER IL RIPRISTINO Molti problemi di sicurezza sono dovuti a sistemi non configurati correttamente al momento del deployment Chi progetta il sistema deve progettare anche tale aspetto e fornire idonei strumenti di supporto per gestire, organizzare, semplificare il deployment per verificare errori di configurazione ed omissioni Si deve anche pensare a come ripristinare il sistema dopo eventuali errori e riportarlo ad uno stato operazionale sicuro Esempi: persone non autorizzate che accedono ai dati dei pazienti Se non è noto come abbiano ottenuto le credenziali per l accesso, occorre cambiarle a tutti e fare in modo che l intruso non abbia accesso al meccanismo di cambiamento delle password 8

9 UN ASPETTO SPESSO SOTTOVALUTATO: PROGETTARE (PER) IL DEPLOYMENT (1) Perché concentrarsi sul deployment? Perché è in questa fase che spesso si introducono accidentalmente delle vulnerabilità Esempio: molti software all atto dell installazione hanno attivo un account di amministratore ( admin, "root" ) con password di default ovvia e nota Come prima azione dopo l installazione l amministratore dovrebbe cambiaer tali credenziali, ma è facile dimenticarlo (o farlo solo in parte es. solo pwd) Configurazione e deployment NON SONO «solo problemi di amministrazione», come alcuni pensano: al contrario, fanno parte a pieno titolo del processo di ingegnerizzazione È responsabilità del progettista pensarci e valutare come agire fornendo supporti per il deployment che riducano la probabilità che gli amministratori compiano degli errori quando configurano il software Esistono linee guida per la progettazione per il deployment UN ASPETTO SPESSO SOTTOVALUTATO: PROGETTARE (PER) IL DEPLOYMENT (2) 1. Includere un supporto per visionare ed analizzare le configurazioni Curiosamente, invece, spesso nei sistemi non ve n è traccia.. Risultato: utenti frustrati dalla difficoltà di trovare i dettagli di configurazione Per avere un quadro completo della configurazione spesso occorre visionare diversi menu, e questo porta ad errori ed omissioni 2. Minimizzare i privilegi di default 3. Localizzare le impostazioni di configurazione È importante che le risorse riguardanti una stessa parte del sistema siano configurabili dalla/nella stessa posizione, altrimenti è facile dimenticarsi di farlo può capitare di non accorgersi di meccanismi di sicurezza già inclusi/disponibili (con relativi rischi se essi hanno configurazioni di default..) 4. Fornire modi per rimediare a vulnerabilità di sicurezza Occorrono meccanismi per aggiornare il sistema e riparare le vulnerabilità Meccanismi scalabili su centinaia di computer, se il sistema è vasto SECURITY TESTING OVVERO, VERIFICARE LA SICUREZZA Il Security Testing è cruciale, e tuttavia spesso trascurato. Fra le cause: mancanza di comprensione della sua importanza mancanza di tempo (che però si perde dopo..) mancanza di competenza su come svolgere un test di sicurezza mancanza di strumenti integrati per compiere test È un lavoro lungo e tedioso, spesso più complicato dei test funzionali che vengono svolti normalmente, e che coinvolge diverse discipline Esistono test per accertare la sicurezza dei requisiti applicativi che possono essere svolti normalmente dal team di testing....ma i test non funzionali di rottura del sistema devono essere condotti da esperti di sicurezza Due approcci fondamentali: Black box testing / White box testing BLACK BOX vs WHITE BOX TESTING BLACK BOX TESTING: si assume di non conoscere l applicazione I tester affrontano l applicazione come farebbe un attaccante: cercano informazioni sulla struttura interna e con esse tentano di violare il sistema Si sfruttano strumenti di hacking per scandagliare le porte e perpetrare attacchi sfruttando le debolezze note dei linguaggi di programmazione Non si mira a debolezze del codice, ma al livello infrastrutturale (errori di configurazione di reti e host, falle di sicurezza nelle macchine virtuali..) WHITE BOX TESTING: l applicazione è nota ed è noto il suo codice I tester hanno accesso a tutte le informazioni di configurazione e al sorgente: vanno quindi a cercare nel codice possibili debolezze, e scrivono test per trarre vantaggio dalla debolezze individuate Tipicamente questi tester sono ex-sviluppatori o persone che conoscono molto bene l ambiente di sviluppo Gli strumenti usati sono molto diversi: tool di scansione del codice, di debugging, etc Tipici problemi: corse critiche, mancata verifica dei parametri di input, memory leak, problemi di prestazioni (che influiscono sulla disponibilità e l affidabilità) UN ALTRO ASPETTO: SURVAIVABILITY OVVERO, LA CAPACITÀ DI SOPRAVVIVENZA Per survivability si intende la capacità di continuare a fornire i servizi essenziali sia mentre si è sotto attacco, sia dopo che si sono subiti danneggiamenti in conseguenza di attacchi o fallimenti È una proprietà dell intero sistema, non dei singoli componenti È un aspetto critico poiché l economia e la vita sociale dipendono in molti casi da infrastrutture informatiche L analisi e la progettazione della capacità di sopravvivenza dovrebbero essere parte dell ingegnerizzazione di sistemi sicuri Implica sapere quali siano i servizi più critici, come possano essere compromessi, come proteggerli, come ripristinarli velocemente, e soprattutto quale sia la qualità minima di servizio da mantenere Ma farlo costa denaro e le aziende spesso sono riluttanti a spenderlo (se non hanno mai subìto attacchi.. ) Esistono metodi per l Analisi di Sopravvivenza ad oggi tipicamente non inclusi nella maggior parte dei processi di ingegnerizzazione del software.. CONCLUSIONI La sicurezza è un aspetto pervasivo: deve essere onnipresente in tutto il ciclo di sviluppo del software: non è qualcosa che si possa aggiungere a posteriori, sopra un sistema già progettato (e magari pure realizzato..) dev'essere tenuta in considerazione in tutti gli strati dell infrastruttura su cui l applicazione viene sviluppata richiede perciò un processo metodologico che la consideri un aspetto primario fin dalle prime fasi dello sviluppo del sistema va mantenuta e severamente verificata nel tempo, con test periodici 9

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

introduzione alla sicurezza informatica 2006-2009 maurizio pizzonia sicurezza dei sistemi informatici e delle reti introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

introduzione alla sicurezza informatica

introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui il sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica

2006-2015 maurizio pizzonia sicurezza dei sistemi informatici e delle reti. introduzione alla sicurezza informatica introduzione alla sicurezza informatica 1 principio fondamentale la sicurezza di un sistema informatico è legata molto al processo con cui un sistema viene gestito pianificazione, analisi dei rischi, gestione

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603 Fax +39.02.63118946

Dettagli

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto CYBER RISK: RISCHI E TUTELA PER LE IMPRESE Confindustria Vicenza 26/02/2015 Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto Suddivisione territoriale Compartimenti e Sezioni

Dettagli

Verifica e Validazione (V & V) Software e difetti. Processo di V & V. Test

Verifica e Validazione (V & V) Software e difetti. Processo di V & V. Test Software e difetti Il software con difetti è un grande problema I difetti nel software sono comuni Come sappiamo che il software ha qualche difetto? Conosciamo tramite qualcosa, che non è il codice, cosa

Dettagli

IBM i5/os: un sistema progettato per essere sicuro e flessibile

IBM i5/os: un sistema progettato per essere sicuro e flessibile IBM i5/os garantisce la continua operatività della vostra azienda IBM i5/os: un sistema progettato per essere sicuro e flessibile Caratteristiche principali Introduzione del software HASM (High Availability

Dettagli

SICUREZZA INFORMATICA

SICUREZZA INFORMATICA SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti

Esempi pratici, risultati e contromisure consigliate. Massimo Biagiotti L attività di un Ethical Hacker Esempi pratici, risultati e contromisure consigliate Massimo Biagiotti Information Technology > Chiunque operi nel settore sa che il panorama dell IT è in continua evoluzione

Dettagli

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese

Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere i sistemi IT sempre attivi: una guida alla continuità aziendale per piccole e medie imprese Mantenere le applicazioni sempre disponibili: dalla gestione quotidiana al ripristino in caso di guasto

Dettagli

VULNERABILITY ASSESSMENT E PENETRATION TEST

VULNERABILITY ASSESSMENT E PENETRATION TEST VULNERABILITY ASSESSMENT E PENETRATION TEST Una corretta gestione della sicurezza si basa innanzitutto su un adeguata conoscenza dell attuale livello di protezione dei propri sistemi. Partendo da questo

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale

Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Proteggere il proprio Business: Il governo della sicurezza dell Informazione nell organizzazione aziendale Visionest S.p.A. Padova, 11 giugno 2002 David Bramini david.bramini@visionest.com > Agenda Proteggere

Dettagli

Altre misure di sicurezza

Altre misure di sicurezza Altre misure di sicurezza Prevenzione dei danni e backup Ombretta Pinazza Altre misure di sicurezza Prevenzione dei danni e backup : Strumenti di protezione hardware Sistemi anti intrusione Backup: supporti

Dettagli

Tipologie e metodi di attacco

Tipologie e metodi di attacco Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in

Dettagli

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE

TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER I SISTEMI E LE TECNOLOGIE INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

L'innovazione tecnologica a supporto della gestione delle merci pericolose. in ambito portuale

L'innovazione tecnologica a supporto della gestione delle merci pericolose. in ambito portuale L'innovazione tecnologica a supporto della gestione delle merci pericolose Fabrizio Baiardi Dipartimento di Informatica, Università di Pisa f.baiardi@unipi.it Contenuto Rfid e smart box Tecnologia Intelligenza

Dettagli

A proposito di Cyber Security

A proposito di Cyber Security Cyber Security Fingerprint Advertorial A proposito di Cyber Security La sicurezza dei sistemi di controllo e automazione industriale diventa sempre più critica in quanto reti diverse sono spesso collegate

Dettagli

Application Assessment Applicazione ARCO

Application Assessment Applicazione ARCO GESI Application Assessment Applicazione ARCO Versione 2 Milano 14 Luglio 2006 Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO (MI) - Italy Tel. +39.02.29060603

Dettagli

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03

POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 POLICY GENERALE PER LA SICUREZZA DELLE INFORMAZIONI REV: 03 FIRMA: RIS DATA DI EMISSIONE: 13/3/2015 INDICE INDICE...2 CHANGELOG...3 RIFERIMENTI...3 SCOPO E OBIETTIVI...4 CAMPO DI APPLICAZIONE...4 POLICY...5

Dettagli

Colloquio di informatica (5 crediti)

Colloquio di informatica (5 crediti) Università degli studi della Tuscia Dipartimento di Scienze Ecologiche e Biologiche Corso di laurea in Scienze Ambientali A.A. 2013-2014 - II semestre Colloquio di informatica (5 crediti) Prof. Pier Giorgio

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Security Summit 2010

<Insert Picture Here> Security Summit 2010 Security Summit 2010 Corporate Forensics: dall infrastruttura alla metodologia Walter Furlan, CON.NEXO Presentazione CON.NEXO CON.NEXO, in qualità di Partner ORACLE, è la prima azienda

Dettagli

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc.

CLUSIT. Commissione di studio Certificazioni di Sicurezza Informatica. Linea guida per l analisi di rischio. Codice doc. CLUSIT Commissione di studio Certificazioni di Sicurezza Informatica Linea guida per l analisi di rischio Codice doc.to: CS_CERT/SC1/T3 Stato: Draft 1 2 INDICE 1. Introduzione....4 2. Scopo della presente

Dettagli

Gestione Requisiti. Ingegneria dei Requisiti. Requisito. Tipi di Requisiti e Relativi Documenti. La gestione requisiti consiste in

Gestione Requisiti. Ingegneria dei Requisiti. Requisito. Tipi di Requisiti e Relativi Documenti. La gestione requisiti consiste in Ingegneria dei Requisiti Il processo che stabilisce i servizi che il cliente richiede I requisiti sono la descrizione dei servizi del sistema Funzionalità astratte che il sistema deve fornire Le proprietà

Dettagli

TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE

TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LO SVILUPPO DEL SOFTWARE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper

Gestione Proattiva di Minacce di Sicurezza. StoneGate Management Center White Paper Gestione Proattiva di Minacce di Sicurezza StoneGate Management Center White Paper Marco Rottigni 4/27/2007 Pag. 2 di 8 Sommario Capitolo 1 Introduzione 3 Capitolo 2 StoneGate Management Center Security

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Gestione della Sicurezza Informatica

Gestione della Sicurezza Informatica Gestione della Sicurezza Informatica La sicurezza informatica è composta da un organizzativinsieme di misure di tipo: tecnologico o normativo La politica di sicurezza si concretizza nella stesura di un

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Media mensile 96 3 al giorno

Media mensile 96 3 al giorno Il numero di attacchi gravi di pubblico dominio che sono stati analizzati è cresciuto nel 2013 del 245%. Media mensile 96 3 al giorno Fonte Rapporto 2014 sulla Sicurezza ICT in Italia. IDENTIKIT Prima

Dettagli

In caso di catastrofe AiTecc è con voi!

In caso di catastrofe AiTecc è con voi! In caso di catastrofe AiTecc è con voi! In questo documento teniamo a mettere in evidenza i fattori di maggior importanza per una prevenzione ottimale. 1. Prevenzione Prevenire una situazione catastrofica

Dettagli

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof. Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.

Dettagli

Soluzioni di strong authentication per il controllo degli accessi

Soluzioni di strong authentication per il controllo degli accessi Abax Bank Soluzioni di strong authentication per il controllo degli accessi Allegato Tecnico Milano Hacking Team S.r.l. http://www.hackingteam.it Via della Moscova, 13 info@hackingteam.it 20121 MILANO

Dettagli

Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica. Ingegneria del Software.

Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica. Ingegneria del Software. Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica Ingegneria del Software La fase di Test Giulio Destri Ing. del Software: Test - 1 Scopo del modulo Definire

Dettagli

PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152)

PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152) Commissario Delegato per l Emergenza Bonifiche e la Tutela delle Acque in Sicilia PIANO DI TUTELA DELLE ACQUE DELLA SICILIA (di cui all'art. 121 del Decreto Legislativo 3 aprile 2006, n 152) Sistema WEB-GIS

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Il nuovo codice in materia di protezione dei dati personali

Il nuovo codice in materia di protezione dei dati personali Il nuovo codice in materia di protezione dei dati personali Si chiude il capitolo, dopo sette anni dalla sua emanazione, della legge 675 sulla privacy. Questa viene sostituita da un testo di legge unico

Dettagli

Sicurezza dei Sistemi Informativi. Alice Pavarani

Sicurezza dei Sistemi Informativi. Alice Pavarani Sicurezza dei Sistemi Informativi Alice Pavarani Le informazioni: la risorsa più importante La gestione delle informazioni svolge un ruolo determinante per la sopravvivenza delle organizzazioni Le informazioni

Dettagli

Sicurezza informatica in azienda: solo un problema di costi?

Sicurezza informatica in azienda: solo un problema di costi? Sicurezza informatica in azienda: solo un problema di costi? Silvano Marioni, CISSP Manno, Centro Galleria 2 14 ottobre 2005 www.ated.ch Parliamo di sicurezza informatica Quali minacce possono interessarci

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. SISTEMI E RETI Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. CRITTOGRAFIA La crittografia è una tecnica che si occupa della scrittura segreta in codice o cifrata

Dettagli

Allegato 5. Definizione delle procedure operative

Allegato 5. Definizione delle procedure operative Allegato 5 Definizione delle procedure operative 1 Procedura di controllo degli accessi Procedura Descrizione sintetica Politiche di sicurezza di riferimento Descrizione Ruoli e Competenze Ruolo Responsabili

Dettagli

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario

1. LE MINACCE ALLA SICUREZZA AZIENDALE 2. IL RISCHIO E LA SUA GESTIONE. Sommario 1. LE MINACCE ALLA SICUREZZA AZIENDALE 1.1 Introduzione... 19 1.2 Sviluppo tecnologico delle minacce... 19 1.2.1 Outsourcing e re-engineering... 23 1.3 Profili delle minacce... 23 1.3.1 Furto... 24 1.3.2

Dettagli

Prerequisiti. Informatica di base e termini specifici: nozione di software, hardware, rete informatica, file, bug

Prerequisiti. Informatica di base e termini specifici: nozione di software, hardware, rete informatica, file, bug Struttura Corso Prerequisiti Informatica di base e termini specifici: nozione di software, hardware, rete informatica, file, bug Risultano utili anche alcune nozioni di: Sistemi operativi: FileSystem,

Dettagli

Ingegneria del Software Requisiti e Specifiche

Ingegneria del Software Requisiti e Specifiche Ingegneria del Software Requisiti e Specifiche Obiettivi. Affrontare i primi passi della produzione del software: la definizione dei requisiti ed il progetto architetturale che porta alla definizione delle

Dettagli

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it

INFORMATION SECURITY. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano I SERVIZI DI CONSULENZA. www.axxea.it info@axxea.it INFORMATION SECURITY I SERVIZI DI CONSULENZA. AXXEA Srl Via Francesco Soave, 24 I - 20135 Milano www.axxea.it info@axxea.it INDICE 1. SICUREZZA DELLE INFORMAZIONI... 3 1.1 ANALISI DELLO STATO DELL ARTE...

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Modulo 12 Sicurezza informatica

Modulo 12 Sicurezza informatica Modulo 12 Sicurezza informatica Il presente modulo definisce i concetti e le competenze fondamentali per comprendere l uso sicuro dell ICT nelle attività quotidiane e per utilizzare tecniche e applicazioni

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

La sicurezza dell informazione

La sicurezza dell informazione La sicurezza dell informazione come costruire il sistema di gestione per la sicurezza dell informazione Ing. Ioanis Tsiouras 1 (Rivista Qualità, Agosto 2000) 1 Introduzione L informazione, nel linguaggio

Dettagli

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi

SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi SIEM (Security Information and Event Management) Monitoraggio delle informazioni e degli eventi per l individuazione di attacchi Log forensics, data retention ed adeguamento ai principali standard in uso

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS)

Attacchi alle applicazioni web: SQL injection e Cross-site scripting (XSS) UNIVERSITÀ DEGLI STUDI DI CATANIA Facoltà di Ingegneria Corso di laurea Specialistica in Ingegneria Informatica Tesina di Sicurezza nei Sistemi informativi Simona Ullo Attacchi alle applicazioni web: SQL

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

Identità e autenticazione

Identità e autenticazione Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,

Dettagli

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI

SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI SICUREZZA INFORMATICA SICUREZZA DEI DISPOSITIVI MOBILI Consigli per la protezione dei dati personali Ver.1.0, 21 aprile 2015 2 Pagina lasciata intenzionalmente bianca I rischi per la sicurezza e la privacy

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

Autenticazione utente con Smart Card nel sistema Linux

Autenticazione utente con Smart Card nel sistema Linux Autenticazione utente con Smart Card nel sistema Linux Autenticazione con Speranza Diego Frasca Marco Autenticazione Linux Basata su login-password - ogni utente ha una sua login ed una sua password che

Dettagli

La Sicurezza dell Informazione nel Web Information System La metodologia WISS

La Sicurezza dell Informazione nel Web Information System La metodologia WISS 1 Introduzione La Sicurezza dell Informazione nel Web Information System La metodologia WISS Ioanis Tsiouras 1 (Rivista ZeroUno, in pubblicazione) I sistemi informativi con le applicazioni basate su Web

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

TECNICO SUPERIORE PER LE TELECOMUNICAZIONI

TECNICO SUPERIORE PER LE TELECOMUNICAZIONI ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LE TELECOMUNICAZIONI STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI DESCRIZIONE

Dettagli

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE

TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE ISTRUZIONE E FORMAZIONE TECNICA SUPERIORE SETTORE I.C.T. Information and Communication Technology TECNICO SUPERIORE PER LE APPLICAZIONI INFORMATICHE STANDARD MINIMI DELLE COMPETENZE TECNICO PROFESSIONALI

Dettagli

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013

ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 ISO/IEC 27001 Versioni a confronto: 2005 vs 2013 Introduzione Il primo ottobre 2015 la normativa ISO/IEC 27001: 2005 verrà definitivamente sostituita dalla più recente versione del 2013: il periodo di

Dettagli

Appunti di Sistemi Distribuiti

Appunti di Sistemi Distribuiti Appunti di Sistemi Distribuiti Matteo Gianello 27 settembre 2013 1 Indice 1 Introduzione 3 1.1 Definizione di sistema distribuito........................... 3 1.2 Obiettivi.........................................

Dettagli

Allegato 1. Le tecniche di frode on-line

Allegato 1. Le tecniche di frode on-line Allegato 1 Le tecniche di frode on-line Versione : 1.0 13 aprile 2011 Per una migliore comprensione delle tematiche affrontate nella circolare, riportiamo in questo allegato un compendio dei termini essenziali

Dettagli

Monitoraggio di outsourcer e consulenti remoti

Monitoraggio di outsourcer e consulenti remoti 1 Monitoraggio di outsourcer e consulenti remoti Un Whitepaper di Advanction e ObserveIT Daniel Petri 2 Sommario Esecutivo Nel presente whitepaper verrà mostrato come registrare le sessioni remote su gateway

Dettagli

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali

Rischi, sicurezza, analisi legale del passaggio al cloud. PARTE 4: Protezione, diritti, e obblighi legali Rischi, sicurezza, analisi legale del passaggio al cloud PARTE 4: Protezione, diritti, e obblighi legali PARTE 4 SOMMARIO 1. Specificazione del contesto internazionale 2. Oltre gli accordi di protezione

Dettagli

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%)

ESAME CISA 2003: 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino in caso di calamità e continuità operativa (10%) ESAME CISA 2003: 1. Gestione, pianificazione ed organizzazione SI (11%) 2. Infrastrutture tecniche e prassi operative (13%) 3. Protezione del patrimonio dati e degli asset aziendali (25%) 4. Ripristino

Dettagli

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza Esigenza della sicurezza La sicurezza nei sistemi informatici Nasce dalla evoluzione dei Sistemi Informatici e del contesto nel quale operano Maggiore importanza nei processi aziendali Dalla produzione

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne

Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne TRITON AP-EMAIL Blocca gli attacchi mirati avanzati, identifica gli utenti ad alto rischio e controlla le minacce interne Da adescamenti basati sull ingegneria sociale al phishing mirato, gli attacchi

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

PTDR Disaster Recovery for oracle database

PTDR Disaster Recovery for oracle database PTDR Disaster Recovery for oracle database INTRODUZIONE... 3 INTRODUZIONE... 3 I MECCANISMI BASE DI ORACLE DATA GUARD... 3 COSA SONO I REDO LOG?... 4 IMPATTO SULL'ARCHITETTURA COMPLESSIVA... 4 CONCLUSIONI...

Dettagli

UBIQUITY 6 e Server. Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity.

UBIQUITY 6 e Server. Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity. UBIQUITY 6 e Server Privato Introduzione Il documento descrive le novità introdotte con la versione 6 della piattaforma software ASEM Ubiquity. Versione Descrizione Data 1 Prima emissione 21/06/2015 Disclaimer

Dettagli

Privacy Policy e utilizzo dei cookie.

Privacy Policy e utilizzo dei cookie. Privacy Policy e utilizzo dei cookie. Privacy Policy Informativa resa ai sensi dell articolo 13 del D.lgs. n.196/2003 ai visitatori del sito di Hakomagazine e fruitori dei servizi offerti dallo stesso,

Dettagli

5. Requisiti del Software II

5. Requisiti del Software II 5. Requisiti del Software II Come scoprire cosa? Andrea Polini Ingegneria del Software Corso di Laurea in Informatica (Ingegneria del Software) 5. Requisiti del Software II 1 / 22 Sommario 1 Generalità

Dettagli

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini COMUNE DI NUORO D O C U M E N T O D I S P E C I F I C A P E R I L P R O D O T T O Mausoleo PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE Arch.Marco Cerina Ing.Enrico Dini Descrizione introduttiva

Dettagli

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi

Dettagli

Vulnerabilità di un Sistema Informativo

Vulnerabilità di un Sistema Informativo Vulnerabilità di un Sistema Informativo Un Sistema Informativo e le principali tipologie di minacce alla vulnerabilità e come le tecniche di backup possono essere utilizzate come contromisure a tali minacce.

Dettagli

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi.

Security by example. Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net. LUG Trieste. Alessandro Tanasi - alessandro@tanasi. Security by example Alessandro `jekil` Tanasi alessandro@tanasi.it http://www.lonerunners.net Chi vi parla? Consulente Penetration tester Forenser Sviluppatore di software per il vulnerability assessment

Dettagli

Ciclo di Vita Evolutivo

Ciclo di Vita Evolutivo Ciclo di Vita Evolutivo Prof.ssa Enrica Gentile a.a. 2011-2012 Modello del ciclo di vita Stabiliti gli obiettivi ed i requisiti Si procede: All analisi del sistema nella sua interezza Alla progettazione

Dettagli

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare! Si può fare! Premessa La sicurezza informatica La sicurezza rappresenta uno dei più importanti capisaldi dell informatica, soprattutto da quando la diffusione delle reti di calcolatori e di Internet in

Dettagli