Security Engineering PROGETTARE (PER) LA SICUREZZA SISTEMI CRITICI SISTEMI CRITICI: COSA PUÒ FALLIRE ESEMPI DI ATTACCHI ASPETTI ORGANIZZATIVI

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Security Engineering PROGETTARE (PER) LA SICUREZZA SISTEMI CRITICI SISTEMI CRITICI: COSA PUÒ FALLIRE ESEMPI DI ATTACCHI ASPETTI ORGANIZZATIVI"

Transcript

1 Università degli Studi di Bologna IIª Facoltà di Ingegneria - Cesena Security Engineering Prof. Enrico Denti Ing. Ambra Molesini DEIS PROGETTARE (PER) LA SICUREZZA La sicurezza è un processo complesso, che implica una catena di caratteristiche dalla computer system security alla network security all'application-level security fino alle problematiche di protezione dei dati sensibili. La sfida è progettare applicazioni sicure e di qualità che tengano conto in modo strutturato di tutti gli aspetti della sicurezza sin dalle prime fasi di analisi del sistema. Ogni componente del sistema deve essere (reso) sicuro, altrimenti il sistema non avrà una integrità strutturale tale da sopportare attacchi di diverso tipo senza crollare. SISTEMI CRITICI Sistemi da cui dipendono persone o aziende Tre categorie: Sistemi safety-critical: i fallimenti possono provocare incidenti, perdita di vite umane o seri danni ambientali Sistemi mission-critical: i malfunzionamenti possono causare il fallimento di alcune attività a obiettivi diretti Sistemi business-critical: i fallimenti possono portare a costi molto alti per le aziende che li usano Proprietà fondamentali: Dependability = Availability + Reliability + Safety + Security disponibilità affidabilità incolumità sicurezza SISTEMI CRITICI: COSA PUÒ FALLIRE Hardware: può fallire a causa di errori nella progettazione, di un guasto a un componente o perché i componenti hanno terminato la loro vita naturale Software: può fallire a causa di errori nelle specifiche, nella progettazione o nell implementazione Umani: possono sbagliare a interagire con il sistema Con l aumentare dell affidabilità di hardware e software, gli errori umani sono diventati la causa più probabile Capacità di mostrarsi "affidabili", onde portare gli utilizzatori a "fidarsi" del sistema ESEMPI DI ATTACCHI Exploit: sfrutta un bug o una vulnerabilità per acquisire privilegi Buffer Overflow: mira a fornire più dati di quanti ne siano attesi per riuscire così a scrivere in zone di memoria destinate ad altri dati o lo stack Shell code: sequenza di caratteri che rappresenta un codice binario in grado di lanciare una shell per acquisire un accesso alla linea di comando Sniffing : intercettazione passiva dei dati che transitano in una rete Cracking: modifica di un software per rimuovere la protezione dalla copia, o ottenere accesso ad un'area riservata Spoofing: simulare un indirizzo IP privato da una rete pubblica facendo credere agli host che l'ip della macchina server da contattare sia il suo Trojan: programma che contiene funzionalità malevole che la vittima è indotta a eseguire inconsapevolmente (tramite giochi o altro ) Denial of Service: sommerge il sistema con moltissime richieste fino a impedirgli di funzionare, minando così la disponibilità dei servizi ASPETTI ORGANIZZATIVI Oltre agli aspetti teorici e applicativi della sicurezza è necessario affrontare anche aspetti organizzativi Investire nell acquisto di firewall non serve a molto se poi gli utenti si annotano le password su foglietti attaccati ai monitor Occorre una politica di formazione/sensibilizzazione degli utenti A tal fine occorre porsi alcune domande, le cui risposte contribuiranno a produrre una serie di documenti di analisi: Quanto valgono le informazioni in nostro possesso? Come si può quantificare il rischio di subire un attacco? Come si può valutare il danno subito da perdite di informazioni rispetto al costo da sostenere per evitare tali perdite? 1

2 DOCUMENTAZIONE DA PRODURRE POLITICHE DI SICUREZZA Business Impact Analysis: tramite l analisi dei rischi si cerca di stimare i danni causati da un eventuale attacco Security Policy: definisce le politiche di sicurezza Security Plan: implementa le regole definite all interno della security policy in modo da raggiungere il livello di sicurezza prefissato Disaster Recovery Plan: specifica le norme comportamentali che gli utenti devono assumere nel caso di un attacco Security Audits: descrive il livello corrente di sicurezza in termini di quello che attualmente sta succedendo Politiche di sicurezza: insieme di regole, principi e procedure che stabiliscono il modo in cui un organizzazione gestisce, protegge e controlla le proprie risorse informatiche e le informazioni in esse contenute. In base al livello di astrazione, si suddividono in quattro tipi: Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Descrive i programmi di sicurezza, assegna le responsabilità della loro gestione, definisce gli obiettivi e un metodo per la verifica della conformità È gestita dal proprietario o dall amministratore delegato POLITICHE DI SICUREZZA POLITICHE DI SICUREZZA In base al livello di astrazione, si suddividono in quattro tipi: In base al livello di astrazione, si suddividono in quattro tipi: Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Stabilisce l approccio globale dell organizzazione nei confronti dell aspetto sicurezza. E la base dell intero progetto di sicurezza del sistema informatico. Solitamente è gestita da un alto responsabile in grado di intervenire su tutta l organizzazione. Program-level Policy: stabilisce il livello di sicurezza dell intero sistema informatico Program-framework Policy: definisce l approccio dell organizzazione nei confronti della sicurezza Issue-specific Policy: stabilisce come affrontare uno specifico problema System-specific Policy: specializzazione della precedente Sono definite del responsabile dell intero sistema informatico Descrivono come si pone l organizzazione di fronte ad uno specifico problema (prima in generale, poi in un particolare sistema). Solitamente sono definite dal proprietario del sistema.. SECURITY ENGINEERING Security Engineering is concerned with how to develop and maintain systems that can resist malicious attacks intended to damage a computer-based system or its data [I.Sommerville] Considerazioni: l ingegnerizzazione di un sistema non può prescindere dalla consapevolezza delle minacce che il sistema dovrà affrontare e dai modi in cui possono essere neutralizzate Opportuno distinguere fra sicurezza dell applicazione e sicurezza dell infrastruttura su cui il sistema è costruito La prima è un problema di ingegnerizzazione del software: gli ingegneri devono garantire che il sistema sia progettato per resistere agli attacchi La seconda è un problema manageriale: gli amministratori devono garantire che l infrastruttura sia configurata per resistere agli attacchi (inizializzare tutti i servizi di sicurezza, monitorare e riparare eventuali falle di sicurezza che dovessero emergere durante l uso, etc) UN PO DI GLOSSARIO Bene (Asset): una risorsa del sistema che deve essere protetta Esposizione (Exposure): possibile perdita o danneggiamento come risultato di un attacco andato a buon fine (potrebbe essere una perdita o un danneggiamento di dati o una perdita di tempo nel ripristino del sistema dopo l attacco) Vulnerabilità (Vulnerability): una debolezza nel sistema software che potrebbe essere sfruttata per causare una perdita o un danno Attacco (Attack): sfruttamento di una vulnerabilità del sistema Minaccia (Threat): circostanza che ha le potenzialità per causare perdite e danni Controllo (Control): una misura protettiva che riduce una vulnerabilità del sistema. 2

3 TIPI DI MINACCE Minacce alla riservatezza del sistema o dei suoi dati: rischio di svelare le informazioni a persone o programmi non autorizzati Minacce all integrità del sistema o dei suoi dati: rischio di danneggiamento o corruzione di dati o di software Minacce alla disponibilità del sistema o dei suoi dati: rischio di negare l accesso al software o ai dati agli utenti autorizzati Queste minacce sono interdipendenti: se un attacco rende il sistema indisponibile, non si riescono più ad aggiornare le informazioni, con ovvie ripercussioni sull integrità del sistema (e dei dati) E TIPI DI CONTROLLI Controlli per garantire che gli attacchi non abbiano successo: si cerca di progettare il sistema in modo da evitare i problemi di sicurezza i sistemi militari sensibili non sono connessi alla rete pubblica opportuno sfruttamento di tecniche di crittografia Controlli per identificare e respingere attacchi: si tengono monitorate le operazioni del sistema al fine di identificare pattern di attività atipici, pronti, nel caso, ad agire di conseguenza (spegnendo parti del sistema, restringendo l accesso agli utenti, etc) Controlli per il ripristino backup replicazione polizze assicurative UN ESEMPIO (1) UN ESEMPIO (2) Un sistema informativo ospedaliero mantiene le informazioni personali sui pazienti e sui loro trattamenti Il sistema deve essere accessibile da differenti ospedali e cliniche attraverso un interfaccia web Ospedale S.Paperino Clinica Zio Paperone Lo staff ospedaliero deve utilizzare una specifica coppia <username, password> per autenticarsi, dove lo username è il nome del dipendente Il sistema richiede password che siano lunghe almeno otto caratteri, ma consente ogni password senza ulteriori verifiche Ospedale S.Topolino Server DB Record malato Clinica S.Minnie Ospedale S.Pippo Termine Beni Esposizione Vulnerabilità Attacchi Minacce Controllo UN ESEMPIO (3) Descrizione I record dei paziente che ricevono o hanno ricevuto trattamenti sanitari; il database; il sistema informativo Possibile perdita di futuri pazienti che non si fidano della clinica. Perdita finanziaria e perdita d immagine Un sistema di password debole rende facile agli utenti la memorizzazione di password banali; lo username è uguale al nome del dipendente Furto di identità di un utente autorizzato e successiva violazione e sottrazione di dati; denial of service Possibilità di indovinare le password di utenti autorizzati; arrivo contemporaneo di un numero elevato di richieste Sistema di controllo delle password che obblighi gli utenti a settare password di tipo strong; replicazione del servizio su più server L analisi del rischio si occupa di: valutare le perdite che un attacco può causare ai beni Bilanciarle con i costi per la protezione dei beni stessi Regola aurea: costo protezione << costo perdita Considerazioni: ANALISI DEL RISCHIO L analisi del rischio è una problematica più manageriale che tecnica Il ruolo degli ingegneri della sicurezza è fornire una guida tecnica e giuridica sui problemi: è poi compito dei manager decidere se accettare i costi della sicurezza o i rischi che derivano dalla sua mancanza L analisi del rischio inizia dalla valutazione delle politiche di sicurezza organizzazionali, che stabiliscono cosa sia / non sia consentito fare DUE TEMPI: valutazione preliminare del rischio e ciclo di vita della valutazione del rischio 3

4 Identificazione del bene VALUTAZIONE PRELIMINARE DEL RISCHIO Valutazione valore del bene Identificazione minaccia Identificazione controllo Valutazione probabilità Valutazione fattibilità Valutazione esposizione Definizione requisiti Si articola in: IDENTIFICAZIONE DEL BENE Analisi delle risorse fisiche Ispezione sistematica, valutazione dei locali, cablature, etc Analisi delle risorse logiche Classificare le informazioni in base al valore che hanno per l organizzazione, il loro grado di riservatezza e il contesto Classificare i servizi offerti dal sistema affinché non presentino effetti collaterali pericolosi per la sicurezza Analisi delle dipendenze fra risorse Per ciascuna risorsa (fisica o logica) si individuano le altre risorse di cui essa ha bisogno per funzionare Particolare attenzione va posta a evidenziare le risorse critiche, da cui dipende il funzionamento di un elevato numero di altre risorse I risultati di questa analisi sono usati anche nella fase successiva di valutazione del rischio, in particolare per lo studio della propagazione dei malfunzionamenti IDENTIFICAZIONE DELLE MINACCE Si mira a definire ciò che non deve accadere nel sistema Ipotesi di base: considerare indesiderato qualsiasi accesso che non sia esplicitamente permesso Distingue fra attacchi intenzionali ed eventi accidentali Attacchi intenzionali: a livello fisico o a livello logico a livello fisico: furti, danneggiamenti di risorse critiche a livello logico: furti di informazione, attacchi per degradare l operatività del sistema (sniffing, spoofing, backdoor, virus, DOS) Eventi accidentali: a livello fisico o a livello logico a livello fisico: guasti ai dispositivi che compongono il sistema, guasti a dispositivi di supporto (es. condizionatori) a livello logico: perdita di password o chiavi hardware, cancellazione di file, corruzione del software di sistema, etc A ogni minaccia occorre associare un livello di rischio per indirizzare concentrarsi sulle aree più critiche Rischio: una combinazione della probabilità che un evento accada con il danno che l'evento può arrecare al sistema Valutare la probabilità che un evento accada dipende dalla nostra conoscenza del sistema e del contesto: utili anche le statistiche Valutare il danno implica tenere conto del valore del bene e delle dipendenze tra le risorse (propagazione del malfunzionamento) Alcune statistiche (DataPro Research): Attacchi VALUTAZIONE DELL ESPOSIZIONE 10% Omissioni volontarie degli addetti 10% Disonestà degli addetti 5% Azioni di estranei Eventi accidentali 55% Errori degli addetti 20% Eventi naturali e carenze strutturali VALUTAZIONE DELLE PROBABILITÀ La probabilità di occorrenza di attacchi intenzionali dipende principalmente dalla facilità di attuazione e dai vantaggi che potrebbe trarne l intruso Il danno si misura come grado di perdita dei tre requisiti fondamentali (riservatezza, integrità, disponibilità) MA l attaccante applicherà sempre tutte le tecniche di cui dispone, su tutte le risorse attaccabili necessità di valutare anche il rischio di un attacco composto un insieme di attacchi elementari concepiti con un medesimo obiettivo e condotti in sequenza INDIVIDUAZIONE DEL CONTROLLO Per scegliere il controllo da adottare per neutralizzare gli attacchi individuati, si considerano vari aspetti: Valutazione del rapporto costo/efficacia Valuta il grado di adeguatezza di un controllo, evitando costi ingiustificati rispetto al rischio da cui protegge L efficacia del controllo è definita come funzione del rischio rispetto agli eventi indesiderati che neutralizza. Il costo di un controllo deve includere i costi nascosti (costo di messa in opera, peggioramento ergonomia interfaccia utente, decadimento prestazioni, aumento burocrazia) Controlli di carattere organizzativo vs. di carattere tecnico Controlli di tipo organizzativo: utilizzo in modo corretto da personale consapevole, definizione precisa di ruoli, responsabilità e procedure Controlli di tipo tecnico: configurazione sicura del SO e della rete, controlli a livello applicativo, informazioni «taggate» per definire in modo fine i diritti di accesso, cifrature, firewall, proxy, chiavi hw 4

5 INTEGRAZIONE DEI CONTROLLI Un insieme di controlli non deve presentarsi come una "collezione di espedienti" scorrelati tra loro È importante integrare i vari controlli in una politica di sicurezza organica ciò costituisce altresì il presupposto per trattare eventuali nuove esigenze di sicurezza È dunque fondamentale operare una selezione dei controlli da adottare, cercando di individuare il sottoinsieme di costo minimo che rispetti alcuni vincoli: Completezza delle contromisure Omogeneità delle contromisure Ridondanza controllata delle contromisure Effettiva attuabilità delle contromisure RIPRENDENDO L ESEMPIO Nel sistema per la gestione di dati ospedalieri Sistema i beni sono il sistema informativo, il database dei pazienti, i record di ogni paziente Valutazione del valore e dell esposizione: Bene Valore Esposizione Informativo Database pazienti Record paziente Alto. Supporto a tutte le consultazioni cliniche Alto. Supporto a tutte le consultazioni cliniche. Critico dal punto di vista della sicurezza Normalmente basso. Potrebbe essere alto per pazienti particolari Alta. Perdita finanziaria; costi ripristino sistema; danni a pazienti se cure non somministrate Alta. Perdita finanziaria; costi ripristino sistema; danni a pazienti se cure non date Perdita diretta bassa, ma possibile perdita di reputazione della clinica RIPRENDENDO L ESEMPIO Nel sistema per la gestione di dati ospedalieri le minacce sono il furto d identità dell amministratore, il furto d identità di un utente autorizzato, il DoS Valutazione delle probabilità, scelta del controllo, fattibilità dello stesso Minaccia Prob. Controllo Fattibilità Furto identità amministratore Bassa chiavi Accesso solo da postazioni Basso costo implementativo ma specifiche fisicamente sicure attenzione alla distribuzione delle Furto identità utente Denial Of Service Alta Media Meccanismi biometrici Log di tutte le operazioni Progettazione adeguata, controllo e limitazione degli accessi Molto costoso e non accettato Semplice, trasparente e supporta il ripristino Basso costo. Impossibile prevedere e impedire questo tipo di attacco RIPRENDENDO L ESEMPIO Alcuni requisiti di sicurezza ricavati dalla valutazione preliminare: le informazioni relative ai pazienti devono essere scaricate all inizio della sessione clinica dal database e memorizzate in un area sicura sul client le informazioni relative ai pazienti non devono essere mantenute sul client dopo la chiusura della sessione clinica deve essere mantenuto un log su una macchina diversa dal server che memorizzi tutti i cambiamenti effettuati sul database CICLO DI VITA della VALUTAZIONE DEL RISCHIO Occorre conoscere l architettura del sistema e l organizzazione dei dati Poiché a questo punto la piattaforma, il middleware e la strategia di sviluppo del sistema sono già stati scelti, si hanno molti più dettagli su cosa proteggere e sulle possibili vulnerabilità del sistema Il processo è simile alla valutazione preliminare dei rischi, con l aggiunta di attività riguardanti l identificazione e la valutazione delle vulnerabilità La valutazione delle vulnerabilità identifica i beni che hanno più probabilità di essere colpiti da una data vulnerabilità Si mettono in relazione le vulnerabilità con i possibili attacchi al sistema Il risultato di questa valutazione è un insieme di decisioni ingegneristiche che influenzano la progettazione o l implementazione del sistema, o limitano il modo in cui esso può essere usato. Ipotesi: il provider dei servizi ospedalieri decide di acquistare un prodotto commerciale per la gestione dei dati dei pazienti Caratteristiche del sistema acquistato: autenticazione solo con username e password architettura client/server: il client accede attraverso via browser web l informazione è presentata agli utenti attraverso web form editabili Vulnerabilità: RIPRENDENDO L ESEMPIO Rischio di password banali, rischio che l utente riveli la password CURA: introdurre un meccanismo di verifica delle password rimasti nella cache del browser, bug del browser, DoS CURA: accesso permesso ai soli client approvati dall amministratore CURA: un solo browser ammesso per ogni client Impossibile mantenere log dettagliati, stessi permessi per tutti gli utenti 5

6 REQUISITI DI SICUREZZA PROCESSO DI SPECIFICA DEI REQUISITI Difficilmente si riescono a specificare i requisiti di sicurezza in modo quantitativo: di solito si esprimono qualitativamente, nella forma non deve Si definiscono così i comportamenti inaccettabili nel sistema Non si definiscono le funzionalità richieste al sistema Tipicamente la specifica dei requisiti si articola in tre punti : Analisi del contesto Identificazione dei beni Analisi minacce valutazione rischi Analisi tecnologia Analisi tecnologica Security Use & Security Misuse case Specifica requisiti Analisi del contesto Numero e distribuzione geografica delle sedi, unità organizzative (dipartimenti, uffici, strutture..) Ruoli, competenze, responsabilità, relazioni gerarchiche Procedure e flussi informativi Identificazione dei beni da proteggere Lista beni del sistema Matrice minacce e rischi Assegnazione minacce Descrizione beni e minacce Requisiti Stima del valore di tali beni per l organizzazione MISUSE CASE vs. SECURITY USE CASE ESEMPIO I misuse case si concentrano sulle interazioni tra l applicazione e gli attaccanti che cercano di violarla La condizione di successo di un misuse case è l attacco riuscito! Adatti per analizzare le minacce, non per determinare i requisiti di sicurezza I security use case specificano invece i requisiti tramite i quali l applicazione si protegge dalle minacce. Misuse Case Security Use Case Uso Analizzare e specificare le minacce Analizzare e specificare i requisiti di sicurezza Criteri di successo Successo degli attaccanti Successo dell applicazione Prodotto da Security Team Security Team Usato da Security Team Requirements Team Attori Esterni Attaccanti, Utenti Utenti Guidato da Analisi vulnerabilità dei beni Analisi delle minacce Misuse cases ESEMPIO ALCUNE LINEE GUIDA I casi d uso non devono specificare meccanismi di sicurezza Le decisioni relative ai meccanismi devono essere lasciate alla progettazione I requisiti vanno tenuti ben distinti dalle informazioni secondarie interazioni del sistema, azioni del sistema e postcondizioni sono i soli requisiti Evitare di specificare vincoli progettuali non necessari Documentare esplicitamente i percorsi individuali attraverso i casi d uso Documentare le minacce alla sicurezza che giustificano tali percorsi Distinguere chiaramente tra interazioni degli utenti e degli attaccanti Distinguere chiaramente tra interazioni visibili all esterno e azioni nascoste Documentare in modo chiaro e preciso precondizioni e postcondizioni che catturano l essenza dei percorsi individuali. Basare i security use case su diverse categorie di requisiti di sicurezza fornisce una naturale organizzazione dei casi d uso 6

7 CATEGORIE REQUISITI DI SICUREZZA Requisiti di identificazione: specificano se un sistema deve identificare gli utenti Requisiti di autenticazione: specificano come identificare gli utenti Requisiti di autorizzazione: specificano i privilegi e i permessi di accesso degli utenti identificati Requisiti di immunità: specificano come il sistema si protegge da virus, worm, Requisiti di integrità: specificano come evitare la corruzione dei dati Requisiti di scoperta delle intrusioni: specificano quali meccanismi si usano per scoprire gli attacchi al sistema Requisiti di non-ripudio: specificano che una parte interessata in una transazione non può negare il proprio coinvolgimento Requisiti di riservatezza: specificano come deve essere mantenuta la riservatezza Requisiti di controllo della protezione: dicono come si controlla e verifica l uso del sistema Requisiti di protezione della manutenzione: specificano come una applicazione possa evitare modifiche dovute a un accidentale non funzionamento dei meccanismi di protezione PROGETTARE (PER) LA SICUREZZA La sicurezza non è qualcosa che si possa «aggiungere dopo» a un sistema: va progettata «insieme» al sistema dunque, ben prima della fase di implementazione! Tuttavia, esiste un problema di sicurezza anche a livello implementativo: spesso le vulnerabilità sono introdotte proprio durante la fase di implementazione Può accadere di ritrovarsi con un implementazione non sicura pur partendo da una progettazione sicura....ma naturalmente non è possibile ottenere un implementazione sicura se già si parte da una progettazione non sicura! PROGETTAZIONE ARCHITETTURALE (1) La scelta dell architettura può influenzare profondamente la sicurezza di un sistema un architettura inappropriata può rendere impossibile garantire riservatezza e integrità, o il livello di disponibilità richiesto Due aspetti fondamentali : Protezione: ovvero, organizzare il sistema in modo che i beni critici siano protetti dagli attacchi esterni Distribuzione: ovvero, distribuire i beni in modo da minimizzare gli effetti di un attacco riuscito POTENZIALE CONFLITTO: Concentrare i beni in un unico posto permette di proteggerli a minor costo, MA se la protezione fallisce tutti i beni sono compromessi Distribuirli fra più luoghi implica un costo maggiore e aumenta le probabilità che la protezione fallisca, MA in caso di fallimento, la perdita dei beni è comunque solo parziale. PROGETTAZIONE ARCHITETTURALE (2) Tipicamente, l architettura più usata per fornire un alto grado di protezione è quella a livelli (layer) i beni più critici vanno posizionati al livello più basso il numero di layer necessari dipende dall applicazione e dalla criticità dei beni le credenziali di accesso ai diversi livelli dovrebbero essere diverse fra loro Protezione a livello di piattaforma Autenticazione di sistema Protezione a livello di applicazione Login al database Protezione a livello di record Autorizzazione accesso record Autorizzazione di database Autorizzazione di sistema Cifratura record dei pazienti Gestione della transazione Gestione integrità file Ripristino del database Gestione integrità record IL CASO CLIENT / SERVER L architettura client/server classica presenta svariate limitazioni Se la sicurezza viene compromessa, le perdite dovute a un attacco sono elevate (es: tutte le credenziali di accesso compromesse), con conseguenti elevati costi di ripristino È un architettura intrinsecamente esposta ad attacchi DoS Possibile soluzione: architettura distribuita con server replicato Autenticazione e autorizzazione Sistema trading New York Account utente US Trading history US Prezzi Account ut. equità US fondi US Autenticazione e autorizzazione Sistema trading Francoforte Account utente Europa Trading history Europa Prezzi Account ut. equità Europa fondi Europa Autenticazione e autorizzazione Sistema trading Londra Account utente UK Trading history UK Prezzi Account ut. equità UK fondi UK Autenticazione e autorizzazione Sistema trading Hong Kong Account utente Asia Trading history Asia Prezzi Account ut. equità Asia fondi Asia Non ci sono regole rigide per ottenere un sistema sicuro La posizione e i requisiti di diversi gruppi di utenti influenzano pesantemente cosa sia / non sia accettabile Tuttavia, alcune linee guida generali possono essere individuate: 1. Basare le decisioni della sicurezza su una politica esplicita 2. Evitare un singolo punto di fallimento 3. Fallire in modo certo 4. Bilanciare sicurezza e usabilità 5. Considerare l ingegneria sociale 6. Usare ridondanza e diversità 7. Validare tutti gli input 8. Dividere in compartimenti i beni 9. Progettare (per) il deployment 10. Progettare (per) il ripristino LINEE GUIDA 7

8 1. SICUREZZA & POLITICHE La politica di sicurezza (security policy) è un documento di alto livello che definisce «cosa sia» la sicurezza, ma non come ottenerla La politica non deve definire i meccanismi per attuare la sicurezza La politica di sicurezza dovrebbe originare dai requisiti di sistema Specificare la politica di sicurezza è parte della progettazione specifica come si accede alle informazioni specifica quali precondizioni vadano verificate per l accesso stabilisce a chi concedere l accesso Tipicamente le politiche sono espresse come insieme di regole incorporate in un componente Security Manager avente il compito di far rispettare (enforcement) le politiche all interno dell applicazione 1. SICUREZZA & POLITICHE A livello di progetto, le politiche si dividono in sei categorie: Identity policies: regole per la verifica delle credenziali degli utenti Access control policies: regole per decidere sulle richieste di accesso alle risorse e sull esecuzione delle varie operazioni Content-specific policies: regole riguardanti la gestione di specifiche informazioni Network and infrastructure policies: regole per controllare il flusso dei dati e il deployment delle reti e dei servizi infrastrutturali di hosting Regulatory policies: regole dovute a requisiti legali del Paese/Stato Advisor and information policies: regole non imposte, ma «caldamente consigliate» alla luce dell organizzazione e alle attività di business Esempio: regole per informare il personale sull accesso ai dati sensibili o per stabilire comunicazioni commerciali con partner esterni 2. EVITARE UN SINGOLO PUNTO DI FALLIMENTO 3. FALLIRE IN MODO CERTO Idea base: evitare che un singolo fallimento in una parte del sistema porti al fallimento di tutto il sistema A livello di sicurezza, significa evitare di affidarsi a un singolo meccanismo, preferendo un insieme di tecniche distinte ( difesa in profondità ) Esempio: se si usa la password per autenticare si dovrebbe anche includere un meccanismo sfida e risposta Idea base: se qualche fallimento è inevitabile, i sistemi critici dovrebbero sempre fallire in modo certo In particolare, anche se il sistema fallisce, un attaccante non dovrebbe riuscire comunque ad accedere a dati riservati Esempio: i dati dei pazienti potrebbero essere scaricati (cifrati, per consentirne l accesso solo agli utenti autorizzati) sul client all inizio di ogni sessione clinica, così da averli comunque disponibili se il server fallisce 4. BILANCIARE SICUREZZA E USABILITÀ 5. CONSIDERARE L INGEGNERIA SOCIALE Sicurezza e usabilità sono spesso in contrasto la sicurezza richiede controlli, ma questi spesso hanno ricadute sugli utenti in termini di praticità, comodità e usabilità a volte può diventare controproducente introdurre nuove caratteristiche di sicurezza a spese dell usabilità (es. password strong..) L ingegneria sociale è l arte di convincere gli utenti a rivelare informazioni riservate, avvantaggiandosi della loro volontà di aiutare e della loro fiducia nell autorità dell organizzazione Dal punto di vista della progettazione, contrastare l ingegneria sociale è quasi impossibile: la miglior cura è spesso di tipo «educativo/preventivo» Possono comunque essere utili a identificare brecce meccanismi di log che traccino la posizione e l identità degli utenti (+programmi di analisi del log) 6. USARE RIDONDANZA E DIVERSITÀ 7. VALIDARE TUTTI GLI INPUT 8. DIVIDERE I BENI IN COMPARTIMENTI Ridondanza significa mantenere più versioni del software e dei dati; diversità significa che le diverse versioni del sistema non dovrebbero usare la stessa piattaforma o essere basate sulle stesse tecnologie In tal modo, una vulnerabilità della piattaforma o della tecnologia non influirà su tutte le versioni e non porterà a un punto di fallimento unico Validare gli input è necessario per prevenire attacchi basati su input inaspettati che causano un comportamento imprevisto Esempi tipici: buffer overflow, SQL injection Per definire i controlli si sfruttare la conoscenza su tipi e modalità di input Compartimentalizzare i beni affinché ogni utente abbia accesso solo alle informazioni necessarie minimizza gli effetti di un attacco Esempio: lo staff clinico può accedere solo ai record dei pazienti che hanno un appuntamento o sono ricoverati nella clinica Occorre però un meccanismo per gestire gli accessi imprevisti 9. PROGETTARE PER IL DEPLOYMENT 10. PROGETTARE PER IL RIPRISTINO Molti problemi di sicurezza sono dovuti a sistemi non configurati correttamente al momento del deployment Chi progetta il sistema deve progettare anche tale aspetto e fornire idonei strumenti di supporto per gestire, organizzare, semplificare il deployment per verificare errori di configurazione ed omissioni Si deve anche pensare a come ripristinare il sistema dopo eventuali errori e riportarlo ad uno stato operazionale sicuro Esempi: persone non autorizzate che accedono ai dati dei pazienti Se non è noto come abbiano ottenuto le credenziali per l accesso, occorre cambiarle a tutti e fare in modo che l intruso non abbia accesso al meccanismo di cambiamento delle password 8

9 UN ASPETTO SPESSO SOTTOVALUTATO: PROGETTARE (PER) IL DEPLOYMENT (1) Perché concentrarsi sul deployment? Perché è in questa fase che spesso si introducono accidentalmente delle vulnerabilità Esempio: molti software all atto dell installazione hanno attivo un account di amministratore ( admin, "root" ) con password di default ovvia e nota Come prima azione dopo l installazione l amministratore dovrebbe cambiaer tali credenziali, ma è facile dimenticarlo (o farlo solo in parte es. solo pwd) Configurazione e deployment NON SONO «solo problemi di amministrazione», come alcuni pensano: al contrario, fanno parte a pieno titolo del processo di ingegnerizzazione È responsabilità del progettista pensarci e valutare come agire fornendo supporti per il deployment che riducano la probabilità che gli amministratori compiano degli errori quando configurano il software Esistono linee guida per la progettazione per il deployment UN ASPETTO SPESSO SOTTOVALUTATO: PROGETTARE (PER) IL DEPLOYMENT (2) 1. Includere un supporto per visionare ed analizzare le configurazioni Curiosamente, invece, spesso nei sistemi non ve n è traccia.. Risultato: utenti frustrati dalla difficoltà di trovare i dettagli di configurazione Per avere un quadro completo della configurazione spesso occorre visionare diversi menu, e questo porta ad errori ed omissioni 2. Minimizzare i privilegi di default 3. Localizzare le impostazioni di configurazione È importante che le risorse riguardanti una stessa parte del sistema siano configurabili dalla/nella stessa posizione, altrimenti è facile dimenticarsi di farlo può capitare di non accorgersi di meccanismi di sicurezza già inclusi/disponibili (con relativi rischi se essi hanno configurazioni di default..) 4. Fornire modi per rimediare a vulnerabilità di sicurezza Occorrono meccanismi per aggiornare il sistema e riparare le vulnerabilità Meccanismi scalabili su centinaia di computer, se il sistema è vasto SECURITY TESTING OVVERO, VERIFICARE LA SICUREZZA Il Security Testing è cruciale, e tuttavia spesso trascurato. Fra le cause: mancanza di comprensione della sua importanza mancanza di tempo (che però si perde dopo..) mancanza di competenza su come svolgere un test di sicurezza mancanza di strumenti integrati per compiere test È un lavoro lungo e tedioso, spesso più complicato dei test funzionali che vengono svolti normalmente, e che coinvolge diverse discipline Esistono test per accertare la sicurezza dei requisiti applicativi che possono essere svolti normalmente dal team di testing....ma i test non funzionali di rottura del sistema devono essere condotti da esperti di sicurezza Due approcci fondamentali: Black box testing / White box testing BLACK BOX vs WHITE BOX TESTING BLACK BOX TESTING: si assume di non conoscere l applicazione I tester affrontano l applicazione come farebbe un attaccante: cercano informazioni sulla struttura interna e con esse tentano di violare il sistema Si sfruttano strumenti di hacking per scandagliare le porte e perpetrare attacchi sfruttando le debolezze note dei linguaggi di programmazione Non si mira a debolezze del codice, ma al livello infrastrutturale (errori di configurazione di reti e host, falle di sicurezza nelle macchine virtuali..) WHITE BOX TESTING: l applicazione è nota ed è noto il suo codice I tester hanno accesso a tutte le informazioni di configurazione e al sorgente: vanno quindi a cercare nel codice possibili debolezze, e scrivono test per trarre vantaggio dalla debolezze individuate Tipicamente questi tester sono ex-sviluppatori o persone che conoscono molto bene l ambiente di sviluppo Gli strumenti usati sono molto diversi: tool di scansione del codice, di debugging, etc Tipici problemi: corse critiche, mancata verifica dei parametri di input, memory leak, problemi di prestazioni (che influiscono sulla disponibilità e l affidabilità) UN ALTRO ASPETTO: SURVAIVABILITY OVVERO, LA CAPACITÀ DI SOPRAVVIVENZA Per survivability si intende la capacità di continuare a fornire i servizi essenziali sia mentre si è sotto attacco, sia dopo che si sono subiti danneggiamenti in conseguenza di attacchi o fallimenti È una proprietà dell intero sistema, non dei singoli componenti È un aspetto critico poiché l economia e la vita sociale dipendono in molti casi da infrastrutture informatiche L analisi e la progettazione della capacità di sopravvivenza dovrebbero essere parte dell ingegnerizzazione di sistemi sicuri Implica sapere quali siano i servizi più critici, come possano essere compromessi, come proteggerli, come ripristinarli velocemente, e soprattutto quale sia la qualità minima di servizio da mantenere Ma farlo costa denaro e le aziende spesso sono riluttanti a spenderlo (se non hanno mai subìto attacchi.. ) Esistono metodi per l Analisi di Sopravvivenza ad oggi tipicamente non inclusi nella maggior parte dei processi di ingegnerizzazione del software.. CONCLUSIONI La sicurezza è un aspetto pervasivo: deve essere onnipresente in tutto il ciclo di sviluppo del software: non è qualcosa che si possa aggiungere a posteriori, sopra un sistema già progettato (e magari pure realizzato..) dev'essere tenuta in considerazione in tutti gli strati dell infrastruttura su cui l applicazione viene sviluppata richiede perciò un processo metodologico che la consideri un aspetto primario fin dalle prime fasi dello sviluppo del sistema va mantenuta e severamente verificata nel tempo, con test periodici 9

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it

VIRTUALIZE IT. www.digibyte.it - digibyte@digibyte.it il server? virtualizzalo!! Se ti stai domandando: ma cosa stanno dicendo? ancora non sai che la virtualizzazione è una tecnologia software, oggi ormai consolidata, che sta progressivamente modificando

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

LA SICUREZZA NEI SISTEMI INFORMATIVI. Antonio Leonforte

LA SICUREZZA NEI SISTEMI INFORMATIVI. Antonio Leonforte LA SICUREZZA NEI SISTEMI INFORMATIVI Antonio Leonforte Rendere un sistema informativo sicuro non significa solo attuare un insieme di contromisure specifiche (di carattere tecnologico ed organizzativo)

Dettagli

SIASFi: il sistema ed il suo sviluppo

SIASFi: il sistema ed il suo sviluppo SIASFI: IL SISTEMA ED IL SUO SVILUPPO 187 SIASFi: il sistema ed il suo sviluppo Antonio Ronca Il progetto SIASFi nasce dall esperienza maturata da parte dell Archivio di Stato di Firenze nella gestione

Dettagli

Processi (di sviluppo del) software. Fase di Analisi dei Requisiti. Esempi di Feature e Requisiti. Progettazione ed implementazione

Processi (di sviluppo del) software. Fase di Analisi dei Requisiti. Esempi di Feature e Requisiti. Progettazione ed implementazione Processi (di sviluppo del) software Fase di Analisi dei Requisiti Un processo software descrive le attività (o task) necessarie allo sviluppo di un prodotto software e come queste attività sono collegate

Dettagli

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it

FIRESHOP.NET. Gestione Utility & Configurazioni. Rev. 2014.3.1 www.firesoft.it FIRESHOP.NET Gestione Utility & Configurazioni Rev. 2014.3.1 www.firesoft.it Sommario SOMMARIO Introduzione... 4 Impostare i dati della propria azienda... 5 Aggiornare il programma... 6 Controllare l integrità

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

Le funzionalità di un DBMS

Le funzionalità di un DBMS Le funzionalità di un DBMS Sistemi Informativi L-A Home Page del corso: http://www-db.deis.unibo.it/courses/sil-a/ Versione elettronica: DBMS.pdf Sistemi Informativi L-A DBMS: principali funzionalità Le

Dettagli

Guida Dell di base all'acquisto dei server

Guida Dell di base all'acquisto dei server Guida Dell di base all'acquisto dei server Per le piccole aziende che dispongono di più computer è opportuno investire in un server che aiuti a garantire la sicurezza e l'organizzazione dei dati, consentendo

Dettagli

UML Component and Deployment diagram

UML Component and Deployment diagram UML Component and Deployment diagram Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania I diagrammi UML Classificazione

Dettagli

white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo

white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo white paper La Process Intelligence migliora le prestazioni operative del settore assicurativo White paper La Process Intelligence migliora le prestazioni operative del settore assicurativo Pagina 2 Sintesi

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello del sistema 4 2.1 Requisiti hardware........................ 4 2.2 Requisiti software.........................

Dettagli

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos

Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos Proteggere le informazioni in tempo di crisi: si può essere sicuri con investimenti contenuti? Lino Fornaro Net1 sas Giovanni Giovannelli - Sophos L Autore Lino Fornaro, Security Consultant Amministratore

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Corso Base ITIL V3 2008

Corso Base ITIL V3 2008 Corso Base ITIL V3 2008 PROXYMA Contrà San Silvestro, 14 36100 Vicenza Tel. 0444 544522 Fax 0444 234400 Email: proxyma@proxyma.it L informazione come risorsa strategica Nelle aziende moderne l informazione

Dettagli

Panoramica su ITIL V3 ed esempio di implementazione del Service Design

Panoramica su ITIL V3 ed esempio di implementazione del Service Design Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Panoramica su ITIL V3 ed esempio di implementazione del Service Design Lavoro pratico II Periodo didattico

Dettagli

Come installare e configurare il software FileZilla

Come installare e configurare il software FileZilla Come utilizzare FileZilla per accedere ad un server FTP Con questo tutorial verrà mostrato come installare, configurare il software e accedere ad un server FTP, come ad esempio quello dedicato ai siti

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Cap.1 - L impresa come sistema

Cap.1 - L impresa come sistema Cap.1 - L impresa come sistema Indice: L impresa come sistema dinamico L impresa come sistema complesso e gerarchico La progettazione del sistema impresa Modelli organizzativi per la gestione Proprietà

Dettagli

PASSIONE PER L IT PROLAN. network solutions

PASSIONE PER L IT PROLAN. network solutions PASSIONE PER L IT PROLAN network solutions CHI SIAMO Aree di intervento PROFILO AZIENDALE Prolan Network Solutions nasce a Roma nel 2004 dall incontro di professionisti uniti da un valore comune: la passione

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI

LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI LA PRIMA E UNICA SOLUZIONE UNIFICATA PER LA SICUREZZA DEI CONTENUTI È ora di pensare ad una nuova soluzione. I contenuti sono la linfa vitale di ogni azienda. Il modo in cui li creiamo, li utiliziamo e

Dettagli

GUIDA alla configurazione di un DVR o Router su dyndns.it. in modalità compatibile www.dyndns.org

GUIDA alla configurazione di un DVR o Router su dyndns.it. in modalità compatibile www.dyndns.org GUIDA alla configurazione di un DVR o Router su dyndns.it in modalità compatibile www.dyndns.org Questa semplice guida fornisce le informazioni necessarie per eseguire la registrazione del proprio DVR

Dettagli

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT

Copyright Università degli Studi di Torino, Progetto Atlante delle Professioni 2009 IT PROCESS EXPERT IT PROCESS EXPERT 1. CARTA D IDENTITÀ... 2 2. CHE COSA FA... 3 3. DOVE LAVORA... 4 4. CONDIZIONI DI LAVORO... 5 5. COMPETENZE... 6 Quali competenze sono necessarie... 6 Conoscenze... 8 Abilità... 9 Comportamenti

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments

SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI. Security for Virtual and Cloud Environments SICUREZZA SENZA COMPROMESSI PER TUTTI GLI AMBIENTI VIRTUALI Security for Virtual and Cloud Environments PROTEZIONE O PRESTAZIONI? Già nel 2009, il numero di macchine virtuali aveva superato quello dei

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade)

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade) AGENDA DIGITALE ITALIANA 1. Struttura dell Agenda Italia, confronto con quella Europea La cabina di regia parte con il piede sbagliato poiché ridisegna l Agenda Europea modificandone l organizzazione e

Dettagli

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014 Processi di business sovra-regionali relativi ai sistemi regionali di FSE Versione 1.0 24 Giugno 2014 1 Indice Indice... 2 Indice delle figure... 3 Indice delle tabelle... 4 Obiettivi del documento...

Dettagli

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica

Università degli Studi di Parma. Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica Università degli Studi di Parma Facoltà di Scienze MM. FF. NN. Corso di Laurea in Informatica A.A. 2007-08 CORSO DI INGEGNERIA DEL SOFTWARE Prof. Giulio Destri http://www.areasp.com (C) 2007 AreaSP for

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore)

Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Manuale d uso Apache OpenMeetings (Manuale Utente + Manuale Amministratore) Autore: Matteo Veroni Email: matver87@gmail.com Sito web: matteoveroni@altervista.org Fonti consultate: http://openmeetings.apache.org/

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

Cosa fare in caso di perdita di smartphone o tablet

Cosa fare in caso di perdita di smartphone o tablet OUCH! Ottobre 2012 IN QUESTO NUMERO Introduzione Le precauzioni da prendere Cosa fare in caso di smarrimento o furto Cosa fare in caso di perdita di smartphone o tablet L AUTORE DI QUESTO NUMERO Heather

Dettagli

REALIZZARE UN MODELLO DI IMPRESA

REALIZZARE UN MODELLO DI IMPRESA REALIZZARE UN MODELLO DI IMPRESA - organizzare e gestire l insieme delle attività, utilizzando una piattaforma per la gestione aziendale: integrata, completa, flessibile, coerente e con un grado di complessità

Dettagli

Software 2. Classificazione del software. Software di sistema

Software 2. Classificazione del software. Software di sistema Software 2 Insieme di istruzioni e programmi che consentono il funzionamento del computer Il software indica all hardware quali sono le operazioni da eseguire per svolgere determinati compiti Valore spesso

Dettagli

Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza.

Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza. Condizioni di utilizzo aggiuntive di Acrobat.com Ultimo aggiornamento avvenuto il 18 giugno 2014. Sostituisce la versione del 2 maggio 2013 nella sua interezza. SERVIZI ONLINE ADOBE RESI DISPONIBILI SU

Dettagli

SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1

SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1 SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1 Introduzione SmartCard: Carta intelligente Evoluzione della carta magnetica Simile a piccolo computer : contiene memoria (a contatti elettrici)

Dettagli

Sicurezza del DNS. DNSSEC & Anycast. Claudio Telmon ctelmon@clusit.it

Sicurezza del DNS. DNSSEC & Anycast. Claudio Telmon ctelmon@clusit.it Sicurezza del DNS DNSSEC & Anycast Claudio Telmon ctelmon@clusit.it Perché il DNS Fino a metà degli anni '80, la traduzione da nomi a indirizzi IP era fatta con un grande file hosts Fino ad allora non

Dettagli

SISSI IN RETE. Quick Reference guide guida di riferimento rapido

SISSI IN RETE. Quick Reference guide guida di riferimento rapido SISSI IN RETE Quick Reference guide guida di riferimento rapido Indice generale Sissi in rete...3 Introduzione...3 Architettura Software...3 Installazione di SISSI in rete...3 Utilizzo di SISSI in Rete...4

Dettagli

REGIONE EMILIA-ROMAGNA Atti amministrativi

REGIONE EMILIA-ROMAGNA Atti amministrativi REGIONE EMILIA-ROMAGNA Atti amministrativi GIUNTA REGIONALE Atto del Dirigente: DETERMINAZIONE n 597 del 23/01/2012 Proposta: DPG/2012/462 del 13/01/2012 Struttura proponente: Oggetto: Autorità emanante:

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

Utilizzo del server SMTP in modalità sicura

Utilizzo del server SMTP in modalità sicura Utilizzo del server SMTP in modalità sicura In questa guida forniremo alcune indicazioni sull'ottimizzazione del server SMTP di IceWarp e sul suo impiego in modalità sicura, in modo da ridurre al minimo

Dettagli

Rational Unified Process Introduzione

Rational Unified Process Introduzione Rational Unified Process Introduzione G.Raiss - A.Apolloni - 4 maggio 2001 1 Cosa è E un processo di sviluppo definito da Booch, Rumbaugh, Jacobson (autori dell Unified Modeling Language). Il RUP è un

Dettagli

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali.

La informiamo che Utroneo s.r.l. è il titolare del trattamento dei suoi dati personali. Come utilizziamo i suoi dati è un prodotto di ULTRONEO SRL INFORMAZIONI GENERALI Ultroneo S.r.l. rispetta il Suo diritto alla privacy nel mondo di internet quando Lei utilizza i nostri siti web e comunica

Dettagli

TERMINI E CONDIZIONI DI UTILIZZO

TERMINI E CONDIZIONI DI UTILIZZO Informazioni Societarie Fondazione Prada Largo Isarco 2 20139 Milano, Italia P.IVA e codice fiscale 08963760965 telefono +39.02.56662611 fax +39.02.56662601 email: amministrazione@fondazioneprada.org TERMINI

Dettagli

Guida al nuovo sistema di posta. CloudMail UCSC. (rev.doc. 1.4)

Guida al nuovo sistema di posta. CloudMail UCSC. (rev.doc. 1.4) Guida al nuovo sistema di posta CloudMail UCSC (rev.doc. 1.4) L Università per poter migliorare l utilizzo del sistema di posta adeguandolo agli standard funzionali più diffusi ha previsto la migrazione

Dettagli

DataFix. La soluzione innovativa per l'help Desk aziendale

DataFix. La soluzione innovativa per l'help Desk aziendale DataFix D A T A N O S T O P La soluzione innovativa per l'help Desk aziendale La soluzione innovativa per l'help Desk aziendale L a necessità di fornire un adeguato supporto agli utenti di sistemi informatici

Dettagli

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina

Sistemi di supporto alle decisioni Ing. Valerio Lacagnina Cosa è il DSS L elevato sviluppo dei personal computer, delle reti di calcolatori, dei sistemi database di grandi dimensioni, e la forte espansione di modelli basati sui calcolatori rappresentano gli sviluppi

Dettagli

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Art. 1 Oggetto Il presente modulo di assunzione di responsabilità (di seguito

Dettagli

Polizza CyberEdge - questionario

Polizza CyberEdge - questionario Note per il proponente La compilazione e/o la sottoscrizione del presente questionario non vincola la Proponente, o ogni altro individuo o società che la rappresenti all'acquisto della polizza. Vi preghiamo

Dettagli

AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma. Unified Process. Prof. Agostino Poggi

AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma. Unified Process. Prof. Agostino Poggi AOT Lab Dipartimento di Ingegneria dell Informazione Università degli Studi di Parma Unified Process Prof. Agostino Poggi Unified Process Unified Software Development Process (USDP), comunemente chiamato

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input

Problem Management. Obiettivi. Definizioni. Responsabilità. Attività. Input Problem Management Obiettivi Obiettivo del Problem Management e di minimizzare l effetto negativo sull organizzazione degli Incidenti e dei Problemi causati da errori nell infrastruttura e prevenire gli

Dettagli

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque

Un'infrastruttura IT inadeguata provoca danni in tre organizzazioni su cinque L'attuale ambiente di business è senz'altro maturo e ricco di opportunità, ma anche pieno di rischi. Questa dicotomia si sta facendo sempre più evidente nel mondo dell'it, oltre che in tutte le sale riunioni

Dettagli

più del mercato applicazioni dei processi modificato. Reply www.reply.eu

più del mercato applicazioni dei processi modificato. Reply www.reply.eu SOA IN AMBITO TELCO Al fine di ottimizzare i costi e di migliorare la gestione dell'it, le aziende guardano, sempre più con maggiore interesse, alle problematiche di gestionee ed ottimizzazione dei processi

Dettagli

Guida all utilizzo del dispositivo USB

Guida all utilizzo del dispositivo USB Guida all utilizzo del dispositivo USB 30/04/2013 Sommario - Limitazioni di responsabilità e uso del manuale... 3 1. Glossario... 3 2. Guida all utilizzo del dispositivo USB... 4 2.1 Funzionamento del

Dettagli

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi

APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO. Francesco Marchione e Dario Richichi APPLICAZIONE WEB PER LA GESTIONE DELLE RICHIESTE DI ACQUISTO DEL MATERIALE INFORMATICO Francesco Marchione e Dario Richichi Istituto Nazionale di Geofisica e Vulcanologia Sezione di Palermo Indice Introduzione...

Dettagli

Relazione sul data warehouse e sul data mining

Relazione sul data warehouse e sul data mining Relazione sul data warehouse e sul data mining INTRODUZIONE Inquadrando il sistema informativo aziendale automatizzato come costituito dall insieme delle risorse messe a disposizione della tecnologia,

Dettagli

Lezione n 1! Introduzione"

Lezione n 1! Introduzione Lezione n 1! Introduzione" Corso sui linguaggi del web" Fondamentali del web" Fondamentali di una gestione FTP" Nomenclatura di base del linguaggio del web" Come funziona la rete internet?" Connessione"

Dettagli

Business Process Management

Business Process Management Corso di Certificazione in Business Process Management Progetto Didattico 2015 con la supervisione scientifica del Dipartimento di Informatica Università degli Studi di Torino Responsabile scientifico

Dettagli

LAVORO DI GRUPPO. Caratteristiche dei gruppi di lavoro transnazionali

LAVORO DI GRUPPO. Caratteristiche dei gruppi di lavoro transnazionali LAVORO DI GRUPPO Caratteristiche dei gruppi di lavoro transnazionali Esistono molti manuali e teorie sulla costituzione di gruppi e sull efficacia del lavoro di gruppo. Un coordinatore dovrebbe tenere

Dettagli

Analisi dei requisiti e casi d uso

Analisi dei requisiti e casi d uso Analisi dei requisiti e casi d uso Indice 1 Introduzione 2 1.1 Terminologia........................... 2 2 Modello della Web Application 5 3 Struttura della web Application 6 4 Casi di utilizzo della Web

Dettagli

Milano, Settembre 2009 BIOSS Consulting

Milano, Settembre 2009 BIOSS Consulting Milano, Settembre 2009 BIOSS Consulting Presentazione della società Agenda Chi siamo 3 Cosa facciamo 4-13 San Donato Milanese, 26 maggio 2008 Come lo facciamo 14-20 Case Studies 21-28 Prodotti utilizzati

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

Il ciclo di vita del software

Il ciclo di vita del software Il ciclo di vita del software Il ciclo di vita del software Definisce un modello per il software, dalla sua concezione iniziale fino al suo sviluppo completo, al suo rilascio, alla sua successiva evoluzione,

Dettagli

Reti di Telecomunicazione Lezione 7

Reti di Telecomunicazione Lezione 7 Reti di Telecomunicazione Lezione 7 Marco Benini Corso di Laurea in Informatica marco.benini@uninsubria.it Il protocollo Programma della lezione file transfer protocol descrizione architetturale descrizione

Dettagli

La sicurezza delle centrali nuclear

La sicurezza delle centrali nuclear La sicurezza delle centrali nuclear Milano, 5 maggio 2011 Giuseppe Bolla, Senior Advisor Fondazione EnergyLab EnergyLab - Laboratorio dell Energia Il sistema integrato di gestione in campo nu La sicurezza

Dettagli

A vele spiegate verso il futuro

A vele spiegate verso il futuro A vele spiegate verso il futuro Passione e Innovazione per il proprio lavoro La crescita di Atlantica, in oltre 25 anni di attività, è sempre stata guidata da due elementi: la passione per il proprio lavoro

Dettagli

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux.

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux. FAQ su GeCo Qual è la differenza tra la versione di GeCo con installer e quella portabile?... 2 Esiste la versione per Linux di GeCo?... 2 Quali sono le credenziali di accesso a GeCo?... 2 Ho smarrito

Dettagli

Guida al backup. 1. Introduzione al backup. Backup dei dati una parte necessaria nella gestione dei rischi. Backup su nastro media ideale

Guida al backup. 1. Introduzione al backup. Backup dei dati una parte necessaria nella gestione dei rischi. Backup su nastro media ideale 1. Introduzione al backup Guida al backup Backup dei dati una parte necessaria nella gestione dei rischi Con l aumentare dei rischi associati a virus, attacchi informatici e rotture hardware, implementare

Dettagli

UNIVERSITÀ DEGLI STUDI DI PARMA

UNIVERSITÀ DEGLI STUDI DI PARMA UNIVERSITÀ DEGLI STUDI DI PARMA Facoltà di scienze Matematiche Fisiche e Naturali Corso di Laurea in INFORMATICA Tesi di laurea in RETI DI CALCOLATORI Autenticazione Centralizzata con il sistema CAS, integrando

Dettagli

Samsung Data Migration v2.6 Introduzione e Guida all'installazione

Samsung Data Migration v2.6 Introduzione e Guida all'installazione Samsung Data Migration v2.6 Introduzione e Guida all'installazione 2013. 12 (Revisione 2.6.) Esclusione di responsabilità legale SAMSUNG ELECTRONICS SI RISERVA IL DIRITTO DI MODIFICARE I PRODOTTI, LE INFORMAZIONI

Dettagli

Il Safety Rainbow: i comportamenti dei lavoratori alla base della Sicurezza

Il Safety Rainbow: i comportamenti dei lavoratori alla base della Sicurezza Il Safety Rainbow: i comportamenti dei lavoratori alla base della Sicurezza Ovvero: i sette comportamenti a rischio responsabili dei principali infortuni sul lavoro MANUTENZIONE & SICUREZZA Franceso Gittarelli,

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012

Il Cloud Computing. Lo strumento per un disaster recovery flessibile. Giorgio Girelli. Direttore Generale Actalis 12/10/2012 Il Cloud Computing Lo strumento per un disaster recovery flessibile Giorgio Girelli Direttore Generale Actalis 12/10/2012 Agenda Il Gruppo Aruba Disaster Recovery: costo od opportunità? L esperienza Aruba

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli

Cosa fare in caso di violazioni di sicurezza

Cosa fare in caso di violazioni di sicurezza OUCH! Settembre 2012 IN QUESTO NUMERO I vostri account utente I vostri dispositivi I vostri dati Cosa fare in caso di violazioni di sicurezza L AUTORE DI QUESTO NUMERO Chad Tilbury ha collaborato alla

Dettagli

2013 Skebby. Tutti i diritti riservati.

2013 Skebby. Tutti i diritti riservati. Disclaimer: "# $%&'(&)'%# *("# +,(-(&'(# *%$).(&'%#,/++,(-(&'/# 0"#.(1"0%# *(""20&3%,./40%&(# /# &%-',/# disposizione. Abbiamo fatto del nostro meglio per assicurare accuratezza e correttezza delle informazioni

Dettagli

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office

Gestione delle Architetture e dei Servizi IT con ADOit. Un Prodotto della Suite BOC Management Office Gestione delle Architetture e dei Servizi IT con ADOit Un Prodotto della Suite BOC Management Office Controllo Globale e Permanente delle Architetture IT Aziendali e dei Processi IT: IT-Governance Definire

Dettagli

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1

Criteri di valutazione e certificazione della sicurezza delle informazioni. Cesare Gallotti Milano, 14 maggio 2004 1 Criteri di valutazione e certificazione della sicurezza delle informazioni Cesare Gallotti Milano, 14 maggio 2004 1 AGENDA Introduzione Valutazione dei prodotti Valutazione dell organizzazione per la sicurezza

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

TorrentLocker Enti Italiani sotto riscatto

TorrentLocker Enti Italiani sotto riscatto Digital Forensics Bureau www.difob.it TorrentLocker Enti Italiani sotto riscatto Paolo DAL CHECCO, Giuseppe DEZZANI Studio DIgital Forensics Bureau di Torino 20 ottobre 2014 Da mercoledì 15 ottobre stiamo

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli