UNIVERSITÀ DEGLI STUDI DI GENOVA

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "UNIVERSITÀ DEGLI STUDI DI GENOVA"

Transcript

1 UNIVERSITÀ DEGLI STUDI DI GENOVA FACOLTÀ DI INGEGNERIA CORSO DI LAUREA SPECIALISTICA IN INGEGNERIA ELETTRONICA TESI DI LAUREA Sviluppo di tecniche di clustering e log correlation dedicate al trattamento intelligente dei dati per la difesa preventiva e reattiva di infrastrutture informatiche critiche Relatore: Chiar.mo Prof. Ing. Rodolfo ZUNINO Correlatore: Ing. Ermete MEDA Candidati: Vito IOVANE Edoardo TORREGGIANI Anno accademico settembre 2010

2 Abstract Development of clustering and log-correlation techniques for intelligent data processing in order to preventively and reactively defend critical computer infrastuctures. This thesis concerns the automatic search for network attacks towards critical computer infrastructures (the network of a railway system). We focused on clustering log files, which are specific files automatically generated by network analyzers and which contain attack-related information. The files we worked on were in the Intrusion Detection Message Exchange Format (IDMEF), which is a network security format described by RFC 4765 and implemented in the extensible Markup Language (XML). In our work we added log-clustering IDMEF-focused capabilities to an already existing data mining environment (SLAIR) and we tested the performances of this module on publicly avaiable datasets. I

3 II Alla Commissione di Laurea e Diploma Alla Commissione Tirocini e Tesi Sottopongo la tesi redatta dagli studenti Vito Iovane e Edoardo Torreggiani dal titolo Sviluppo di tecniche di clustering e log correlation dedicate al trattamento intelligente dei dati per la difesa preventiva e reattiva di infrastrutture informatiche critiche. Ho esaminato, nella forma e nel contenuto, la versione finale di questo elaborato scritto, e propongo che la tesi sia valutata positivamente assegnando i corrispondenti crediti formativi. Il Relatore Accademico Prof. Rodolfo Zunino

4 Prefazione Questa tesi riguarda la ricerca automatica di attacchi informatici verso un infrastruttura di rete di un sistema critico (rete ferroviaria). Il nostro lavoro si è concentrato sulla suddivisione in cluster di file di log, ovvero particolari file in cui gli analizzatori di rete registrano il verificarsi e le caratteristiche di attacchi informatici. Abbiamo lavorato con file di tipo IDMEF (Intrusion Detection Message Exchange Format), il quale è uno standard nel settore della sicurezza delle reti descritto dalla RFC 4765 e definito in linguaggio XML (extensible Markup Language). Nell ambito della nostra tesi si sono aggiunte funzionalità di log clustering mirate al formato IDMEF ad un ambiente di data mining già esistente (SLAIR) e si sono verificate le prestazioni di questo modulo su dataset prelevati dalla rete. III

5 Ringraziamenti Vogliamo qui ringraziare tutti coloro che ci hanno assistito ed aiutato nel corso di tutti questi mesi di studio. In particolare ringraziamo il nostro relatore Prof. Rodolfo Zunino con il quale abbiamo ideato e sviluppato il nostro lavoro e che con la sua disponibilità ci ha permesso di superare tutti i problemi e le difficoltà incontrati in questo periodo. Ringraziamo anche gli Ingg. Fabio Sangiacomo e Alessio Leoncini per la loro pazienza nei nostri confronti e per le loro sempre utili delucidazioni che sono state di insegnamento e di supporto allo sviluppo del nostro lavoro. Infine un grazie va sicuramente a tutti i nostri amici e colleghi con i quali abbiamo condiviso gioie e dolori in questi cinque anni universitari, in particolare: Andrea, Francesco, Ilir, Luca, Lucio, Michele. Grazie ragazzi! Vito e Edoardo Grazie ai miei genitori per essermi stati vicino ed avermi aiutato in questi cinque anni: non è stato facile, ma anche grazie a loro sono passati più serenamente. Grazie a Edoardo: questi dieci mesi di lavoro sono stati lunghi, ma alla fine ce l abbiamo fatta! Grazie infine a tutti coloro che mi volevano bene che cinque anni fa c erano, e ora non ci sono più. Vito IV

6 V Un ringraziamento introduttivo va sicuramente alla mia famiglia che mi ha sostenuto per questi cinque anni di studi e mi ha aiutato a crescere insegnandomi i veri valori della vita: mamma, papà, sorella, nonno, zia, e tutti gli altri. Il pensiero va anche a tutti i miei amici più cari con cui ho passato questi anni e che mi hanno sempre voluto bene nonostante le mie assenze. Ringrazio Vito il mio collega e socio di tanti giochi e lavori prima scolastici e poi universitari, il quale pazientemente ha sopportato tutti i miei continui ritardi (scusa!). Infine il ringraziamento più grande è rivolto alla mia ragazza Virginia che con il suo amore, la sua gentilezza e la sua energia mi ha fatto vivere questi anni meravigliosi in un ambiente sereno e costruttivo. Ti ringrazio con tutto il cuore. Vi voglio bene! Edoardo

7 Indice Abstract I Prefazione III Ringraziamenti IV Indice VI Elenco delle figure IX 1 Introduzione 1 2 Sicurezza dei sistemi Un attacco tradizionale Una tassonomia degli attacchi Attacchi Denial of Service (DoS) Probe (sorveglianza, scansione) Compromissioni Virus, worms, trojan Difesa in profondità Controllo degli accessi Verifiche di vulnerabilità e applicazione di patch Chiusura delle porte Firewall VI

8 INDICE VII Strumenti antivirus e antispyware Filtri antispam Honeypot Controllo degli accessi alla rete Quarantena Gli intrusion detection system (IDS) e gli intrusion prevention system (IPS) Tecniche degli IDPS per l individuazione di attacchi Componenti di un IDPS Tipi di tecnologie IDPS Approcci per la realizzazione degli IDS Intrusion detection message exchange format (IDMEF) Il modello dei dati IDMEF Il documento IDMEF-XML (Tipi di dato) Il modello dei dati IDMEF La classe IDMEF-Message La classe Alert La classe Heartbeat Le classi fondamentali Le classi Time, Assessment e le classi di supporto Correlazione degli allarmi Approcci alla correlazione degli allarmi Normalizzazione Aggregazione Correlazione Riduzione dei falsi allarmi Analisi della strategia di attacco Assegnamento delle priorità Clustering di documenti

9 INDICE VIII Clustering basato sul kernel k-means Il modulo IDMEF per l ambiente SLAIR L ambiente text mining: SLAIR La struttura Funzionamento Il Modulo IDMEF Il caricamento dei file Il gestore dei file La metrica Il clustering Risultati Verifica del funzionamento del modulo La suddivisione in cluster Tempi di calcolo Conclusioni e sviluppi futuri Strumenti utilizzati Sviluppi futuri A Il DTD IDMEF 82 Bibliografia 93

10 Elenco delle figure 2.1 Schema di un attacco SYN flood Schema di un attacco DDoS Risultato di una scansione tramite Nmap Confronto tra i tipi di programmi pericolosi più diffusi Nuove firme scoperte tra il 2002 ed il Settori maggiormente colpiti dal phishing Rete protetta da un IDS e da alcuni firewall Alcuni approcci per la realizzazione di IDS Diagramma UML delle principali classi del modello IDMEF Diagramma UML che illustra le classi che compongono un messaggio Alert Diagramma UML che illustra le classi che compongono un messaggio Heartbeat Fasi di cui si compone la correlazione degli allarmi L avvio dell ambiente SLAIR Le possibilità di clustering proposte da SLAIR Il dump del primo file IDMEF caricato IX

11 Capitolo 1 Introduzione In questi anni si è assistito ad una sempre maggiore espansione degli strumenti di comunicazione digitale, in particolare delle comunicazioni via rete pubblica (Internet) e delle comunicazioni via reti private (gestione/monitoraggio telematico di infrastrutture, reti aziendali...). Attualmente i computer e le workstation sono presenti in quasi tutti gli uffici e le case, Internet è sempre più diffuso e sempre più sono le transazioni e le attività commerciali che sono basate sul Web. Grazie ad una così estesa diffusione delle reti, l utente di un sistema informatico può essere praticamente chiunque nel mondo. Questo sviluppo ha condotto ad un ambiente su cui nessuno, né l amministratore di rete, né il singolo utente ha il controllo: per questo si rendono necessari sistemi che forniscano protezione dal punto di vista tecnico, procedurale, operativo ed ambientale contro il maggior numero possibile di minacce, come attacchi sferrati da singoli utenti o da intere organizzazioni nazionali od internazionali. Vari sono i motivi che spingono a violare un sistema informatico: la soddisfazione intellettuale personale, la ricerca di un vantaggio economico, la vendetta, la disobbedienza civile od altre ragioni. I controlli di sicurezza devono essere in grado di gestire circostanze in cui non esiste alcuna forma di controllo, poiché il bacino di utenti dal quale un attacco può essere generato si è ingrandito inglobando utenti di tutto il mondo. La sicurezza informatica può essere paragonata ad una assicurazione: in entrambi i casi si deve affrontare un ambiente pieno di pericoli, conosciuto solo superficialmente e che può ge- 1

12 CAPITOLO 1. INTRODUZIONE 2 nerare molti attacchi; gli esatti dettagli ed il momento preciso in cui l attacco avviene però non possono essere noti se non dopo che si è verificato. Essendo il mondo moderno basato su flussi di informazioni, la nostra società e le istituzioni non possono funzionare senza sistemi informativi basati sui calcolatori: questi sistemi devono perciò essere protetti sotto ogni punto di vista, ed il possessore del sistema nonché il suo staff diventano responsabili della protezione delle informazioni custodite. Il progresso nella sicurezza informatica è stato lento, essenzialmente a causa di una errata percezione della reale pericolosità delle minacce, ma anche perché il costo della sicurezza di un sistema informatico spesso è apparso troppo elevato rispetto ai rischi che si corrono in mancanza di una protezione adeguata, ed in particolare rispetto alle conseguenze economiche. Negli ultimi anni sono stati sviluppati diversi strumenti con lo scopo di proteggere le reti ed i sistemi dagli attacchi e dalle minacce: strumenti per la protezione dei singoli host, quali antivirus, personal firewall, filtri antispam; strumenti per la protezione di reti come i firewall hardware, gli intrusion detection system, IPSec. Questi strumenti offrono diversi servizi legati alla sicurezza, da quelli che proteggono dai singoli attacchi ai servizi di analisi del traffico. In quest ultimo caso è necessario che tali servizi producano dei resoconti che descrivano lo stato e le minacce rilevate sulle reti analizzate in modo che gli amministratori di rete possano più agevolmente individuare i punti critici dell infrastruttura e porvi rimedio se possibile. Per agevolare la comunicazione tra gli strumenti di sicurezza e fornire ulteriori servizi ai gestori di rete, l IDWG (Intrusion Detection Working Group) ha introdotto un formato standard, IDMEF (Intrusion Detection Message Exchange Format) nel quale vengono registrate informazioni relative agli attacchi subiti e allo stato della rete. A questo punto sorge il problema di come gestire i file IDMEF prodotti dagli analizzatori: l amministratore di rete si può trovare di fronte ad una quantità enorme di informazioni e file, i quali non solo possono non essere di facile interpretazione, ma se presi singolarmente difficilmente chiariscono la reale situazione della rete. A partire da questo problema, si rendono necessari dei tool che effettuino una correlazione tra i dati, ovvero li presentino all amministratore in modo più compatto e di più facile interpretazione. Il nostro lavoro si inserisce in questo ambito e si pone l obiettivo di sviluppare un modulo che effettui clustering su allarmi

13 CAPITOLO 1. INTRODUZIONE 3 di tipo IDMEF in modo tale da riassumere in un unico resoconto le informazioni in input ed evidenziare ulteriori pericoli o situazioni critiche che i singoli allarmi non possono mettere in luce. Tra gli approcci che si possono seguire nello sviluppare un tool di questo genere, per il lavoro di questa tesi se ne è scelto uno che si basa su tecniche tipiche del data mining. Il nostro modulo va ad inserirsi in un ambiente di text mining già esistente, il quale è stato sviluppato presso il laboratorio SEA Lab (Smart Embedded Application Laboratory) dell Università di Genova. Tale ambiente si chiama SLAIR (SEA Lab Advanced Information Retrieval): lavora specialmente su file di tipo testuale e a partire da essi produce alberi ordinati divisi per argomento. Gli algoritmi che costituiscono il cuore di questo ambiente sono quelli relativi a tecniche di clustering e più in generale di machine learning. Noi ci siamo dedicati ad ampliare il suddetto ambiente con una nuova funzionalità che permette di clusterizzare file IDMEF: dopo una prima fase iniziale volta a prendere confidenza con questo ambiente, si è realizzata una nuova metrica che descrive questi particolari file e costituisce il nucleo del nostro modulo. La presente tesi illustra il lavoro di ricerca svolto ed è organizzata come segue: nel capitolo 2 sono presentate alcune minacce comuni verso le reti ed i sistemi informatici, insieme a strumenti sviluppati per contrastare tali pericoli; nel capitolo 3 è descritto il formato IDMEF, illustrandone le caratteristiche principali; il capitolo 4 offre una panoramica delle tecniche di correlazione degli allarmi più diffuse, tra le quali viene dato un certo spazio al metodo di clustering impiegato in SLAIR ed è presentato l algoritmo del kernel k-means; nel capitolo 5 sono presentate con maggiore dettaglio le varie fasi della realizzazione del modulo per il clustering degli allarmi IDMEF aggiunto all ambiente SLAIR; nel capitolo 6 sono illustrati i risultati ottenuti al termine del nostro lavoro, mentre il capitolo 7 offre dei possibili spunti per futuri sviluppi od ampliamenti del modulo realizzato.

14 Capitolo 2 Sicurezza dei sistemi La presenza sempre maggiore di computer collegati ad Internet, per poter usufruire o offrire servizi diventati ormai essenziali, quali la posta elettronica, l accesso remoto, il VoIP, espone gli utenti ad una vasta gamma di rischi: l intrusione di malintenzionati (hacker, cracker, ecc...) può avere come effetto l eliminazione di file di sistema o di dati importanti, l introduzione di virus, la sottrazione di informazioni confidenziali o di segreti industriali, la manipolazione di informazioni aziendali, solo per citare qualche esempio. Le minacce possono arrivare anche dall interno della rete: se un utente scarica in buona fede un file infettato da un virus, questo si può rapidamente diffondere all intera rete, con effetti potenzialmente molto pericolosi. Si è pertanto reso necessario l impiego di dispositivi che, da soli o usati in maniera combinata, forniscano protezione ai sistemi contro la maggior parte delle minacce possibili, giacché contro la totalità sarebbe impossibile. Accanto a strumenti che bloccano gli accessi alla rete sulla base di alcune regole, come i firewall, si possono predisporre altri sistemi (intrusion detection system, liste di controllo degli accessi sui router, sistemi antivirus e antivirus sui computer host), ognuno dei quali costituisce un livello dell intero sistema di sicurezza: in questo modo se anche un livello è compromesso, non lo è la sicurezza del sistema nel suo complesso, e questo può servire da deterrente contro gli attacchi. 4

15 CAPITOLO 2. SICUREZZA DEI SISTEMI Un attacco tradizionale Analogamente a quanto avviene per un attacco fisico, anche gli attacchi informatici tipicamente si svolgono secondo le seguenti fasi: conoscenza dell obiettivo, compromissione dell obiettivo, mantenimento del controllo senza farsi scoprire [8]. La prima fase ha lo scopo di acquisire quante più informazioni possibili sull obiettivo, soprattutto le sue debolezze, che faciliteranno l attacco. Attraverso ping e traceroute si può realizzare una mappa della rete dell obiettivo (o dell area intorno ad esso) comprensiva degli indirizzi IP (Internet Protocol), mentre effettuare una scansione delle porte (port scan) rivela quali sono aperte e può anche suggerire se e quali attacchi sono stati portati in passato. Una miglior conoscenza del target si può ottenere attraverso strumenti che individuano il sistema operativo in uso, come Nmap scanner 1, o che cercano vulnerabilità note, come SAINT, SARA, SATAN e Nessus 2. Nella seconda fase di un attacco diretto si cerca di compromettere l obiettivo. Un attacco sulle password è comune, perché spesso esse sono parole comuni, facilmente individuabili tramite un attacco a dizionario, o perché, se si entra in possesso del file delle password, si può risalire ad esse tramite un attacco a forza bruta. Un altro attacco comune è quello che ricorre alle vulnerabilità tramite gli exploit, porzioni di codice che sfruttano proprio queste vulnerabilità per portare gli attacchi: esse sono pubblicate periodicamente e valutate con un particolare punteggio da organizzazioni come CERT e MITRE 3, e per numerose vulnerabilità è disponibile pubblicamente anche il codice di exploit; rientrano in questa categoria attacchi come i buffer overflow e le SQL injection (soprattutto per i Web server). Per quanto comuni, gli exploit non sono l unico modo per portare un attacco: si può ricorrere a pratiche di ingegneria sociale (social engineering), in cui si inganna il target, ad esempio tramite phishing (per il furto di identità 1 Network mapper scanner: 2 Security Administrator s Integrated Network Tool (SAINT): com/ Security Auditor s Research Assistant (SARA): Security Administrator Tool for Analyzing Networks (SATAN): Nessus: 3 Computer Emergency Response Team (CERT): MITRE:

16 CAPITOLO 2. SICUREZZA DEI SISTEMI 6 o di altri dati importanti) o tramite messaggi di spam che recano un allegato pericoloso. La terza fase dell attacco consiste nel coprire le tracce dell attacco portato (ad esempio manipolando opportunamente i registri di sistema del target) e nel mantenere il controllo del sistema senza essere scoperti (grazie a malware, come backdoor, trojan per il controllo remoto, rootkit e bot). Esistono varie tecniche per poter comunicare con il target compromesso senza essere individuati dai sistemi predisposti, ovvero gli intrusion detection system (IDS): il tunneling, ovvero l incapsulamento dei pacchetti di un protocollo nei payload di un altro pacchetto; la cifratura, in cui la chiave per cifrare i messaggi è conosciuta solo dall intrusore e dal target; la frammentazione dei pacchetti IP, che confonde l IDS soprattutto se effettuata in grande quantità. Tuttavia, grazie anche a IDS sempre più efficaci, sembra che questi attacchi diretti stiano divenendo meno diffusi e siano rimpiazzati da attacchi basati sul Web, meno rumorosi e perciò più difficili da individuare: attacchi di questo genere sono il già citato phishing e il drive by download, nel quale al visitatore di un sito all apparenza normale, ma molto spesso compromesso, è proposto di scaricare del malware, spesso camuffato e spacciato come software non pericoloso per non insospettire l utente. 2.2 Una tassonomia degli attacchi Ormai da molti anni si cerca di creare una tassonomia degli attacchi informatici: ai primi tentativi degli anni Settanta (ad esempio [2]) sono seguite molte altre proposte, sempre più complesse per via del sempre maggior numero di attacchi scoperti. Sebbene una tassonomia completa e definitiva non sarà probabilmente realizzabile, uno studio piuttosto recente [25] ha cercato di crearne una piuttosto generale, basandosi anche su analoghi lavori del passato. La classificazione degli attacchi in base al tipo è una delle strade più comuni. Si possono individuare i seguenti tipi: attacchi Denial of Service (DoS); probe; compromissioni; virus, worms, trojan.

17 CAPITOLO 2. SICUREZZA DEI SISTEMI Attacchi Denial of Service (DoS) Questo tipo di attacchi (la cui traduzione letterale è negazione del servizio ) tentano di spegnere un computer o interrompere una rete o un servizio, o altrimenti tentano di negare l accesso di risorse e servizi agli utenti autorizzati. Esistono due tipi di attacchi DoS: gli attacchi ai sistemi operativi, che sfruttano vulnerabilità presenti nei sistemi operativi (spesso eliminabili tramite l applicazione di patch v. sezione 2.3.2), e gli attacchi alla rete, che sfruttano limitazioni presenti nei protocolli e nelle infrastrutture di rete. Un esempio per il primo caso è teardrop, che sfrutta una vulnerabilità del codice di riassemblamento dei frammenti TCP/IP che non gestisce correttamente la sovrapposizione di frammenti IP. Per gli attacchi alla rete, si può portare l esempio dell attacco SYN flood (fig. 2.1), che usa l handshake a tre vie per stabilire una connessione: usando l IP spoofing, l intrusore crea molte connessioni half-open, per le quali invia dei pacchetti SYN (con l indirizzo IP falso) alla vittima; questa memorizza la richiesta di apertura della connessione in una struttura dati e risponde con un pacchetto SYN/ACK, che però non arriva a destinazione (perché l indirizzo IP è falso o perché l intrusore rifiuta questro pacchetto), pertanto la vittima non può ricevere il pacchetto ACK. Anche se la struttura dati viene periodicamente ripulita da voci come questa, il malintenzionato cerca di crearne a sufficienza da produrre un segmentation fault o un blocco della macchina. Una variante del DoS è il DoS distribuito (DDoS, fig. 2.2), nel quale più computer cercano di ottenere lo stesso obiettivo perseguito dal DoS. Per contrastare questi attacchi sono state studiate diverse soluzioni, essenzialmente: meccanismi di individuazione e riconoscimento di attività di DoS in corso e meccanismi di risposta per mitigare gli effetti di un DoS (come l identificazione dell origine dell attacco attraverso tecniche di tracciamento a ritroso) Probe (sorveglianza, scansione) In questi attacchi gli indirizzi IP di una rete sono soggetti ad una scansione mirata a raccogliere informazioni su di essi, quali i servizi offerti ed il sistema operativo in uso. In questo modo, il malintenzionato può risalire alle vulnerabilità note e sfruttarle per portare un attacco.

18 CAPITOLO 2. SICUREZZA DEI SISTEMI 8 Figura 2.1. Schema di un attacco SYN flood (fonte: [10]). Figura 2.2. Schema di un attacco DDoS (fonte: [29]). Esempi di probe sono IPsweep (in cui si effettua la scansione per cercare un servizio su una porta in particolare), portsweep (scansione di molte porte per cercare i servizi offerti da un

19 CAPITOLO 2. SICUREZZA DEI SISTEMI 9 certo host), Nmap (uno strumento per determinare la mappa di una rete, fig. 2.3). Figura 2.3. Risultato di una scansione tramite Nmap. Contro questi attacchi esistono metodi semplici, che cercano quegli indirizzi IP che effettuano più di un certo numero di connessioni in un intervallo di tempo definito; questi metodi, però, non funzionano con attacchi più sofisticati e silenziosi, in cui la frequenza delle connessioni è più ridotta, e contro i quali esistono alcune tecniche basate sulla raccolta di statistiche Compromissioni In questi attacchi si sfruttano vulnerabilità come i buffer overflow e punti deboli del sistema per ottenere un accesso privilegiato all host. A seconda che l attacco sia portato dall interno o dall esterno del sistema, si parla di: attacchi R2L (Remote to Local), in cui l intrusore invia pacchetti alla vittima attraverso una rete, spesso Internet, e riesce a guadagnare l accesso alla macchina. Esempi di questa categoria sono gli attacchi a dizionario, i guest attacck e i phf attack; attacchi U2R (User to Root), in cui si sfrutta un baco o una vulnerabilità del sistema operativo o di un programma installato per aumentare i privilegi di un dato account di

20 CAPITOLO 2. SICUREZZA DEI SISTEMI 10 una macchina (che può arrivare ad avere i privilegi di root). In questo caso la minaccia, che arriva direttamente dall interno, spesso consiste negli attacchi buffer overflow, che cercano di danneggiare dati memorizzati in certe porzioni di memoria (buffer) andando a sovrascriverle di proposito e ottenendo così all utente i privilegi di amministratore. Gli attacchi buffer overflow possono anche rintrare nella categoria degli R2L Virus, worms, trojan Si tratta di programmi che si replicano sugli host e si diffondono attraverso la rete. Sebbene questi programmi abbiano caratteristiche diverse fra loro, non sempre si riesce ad identificare una minaccia con uno solo di essi: ad esempio, Love Bug è allo stesso tempo un trojan, perché finge di essere una lettera d amore ma è un programma pericoloso; è un virus, perché infetta tutte le immagini presenti sul computer vittima rendendole a loro volta trojan; ed è un worm, perché si propaga attraverso Internet nascondendosi nei trojan che spedisce usando la rubrica della posta elettronica, IRC, ecc... Figura 2.4. Confronto tra i tipi di programmi pericolosi più diffusi (fonte: [11]).

21 CAPITOLO 2. SICUREZZA DEI SISTEMI 11 Virus I virus sono programmi che si riproducono attaccando (infettando) altri programmi. Possono creare danni di lievi, come la comparsa di semplici scritte sul monitor, o gravi, come la cancellazione di interi settori del disco rigido (virus Michelangelo), ma richiedono l interazione umana per attivarsi e diffondersi. Un virus ha diverse caratteristiche e non è facile dividerli per categorie; alcuni tentativi sono comunque stati fatti, tra cui quello in [23], che tiene in considerazione l ambiente, il sistema operativo, i diversi algoritmi impiegati e le capacità distruttive. Worms I worms sono programmi che si auto-replicano e diffondono attraverso una rete, sfruttando le funzionalità di invio e ricezione automatica dei pacchetti. Si possono suddividere in alcune categorie: worms tradizionali, che usano connessioni di rete per diffondersi senza richiedere l intervento umano; worms della posta elettronica (e di altre applicazioni client), come Melissa, che infettano gli host sulla rete (Internet) attraverso la posta elettronica o altre applicazioni client; worms della condivisione file di Windows, come ExploreZip, che si auto-replicano utilizzando il servizio peer-to-peer di Microsoft Windows, che si attiva ogni volta che un nuovo dispositivo di rete è individuato. Questo worm spesso si accompagna ad altri attacchi, come virus; worm ibridi, come Nimda, che sfruttano diverse vulnerabilità che rientrano nelle categorie appena esposte. Nimda, ad esempio, per diffondersi utilizza la posta elettronica, i dispositivi di archiviazione condivisi in rete, la scansione di backdoor aperte da altri worm.

22 CAPITOLO 2. SICUREZZA DEI SISTEMI 12 I worm possono essere utilizzati per lanciare attacchi DoS (li0n è stato usato per attacchi DDoS e Code Red per attacchi TCP SYN), e per il futuro questi attacchi potrebbero essere sempre più di frequente parte del payload dei worm. Trojan I trojan (dall inglese Trojan horse, cavallo di Troia ) sono programmi pericolosi che si camuffano da programmi innocui. Per esempio, possono sembrare giochi gratuiti che, quando eseguiti, cancellano interamente il disco fisso. Di solito le vittime scaricano i trojan (come Silk Rope e Saran Wrap) da siti Internet o tramite programmi di file sharing o instant messaging. 2.3 Difesa in profondità Sebbene una difesa totale dagli attacchi non sia ottenibile, i dati più importanti possono comunque essere protetti adottando la strategia della difesa in profondità: tra i dati ed il possibile malintenzionato si interpongono vari livelli di difesa che, pur essendo singolarmente abbattibili, se posti in serie possono scoraggiare l intrusore, a causa del tempo e delle risorse necessari per superarli tutti. Per ogni livello di difesa si possono usare varie tecnologie: firewall, IDS, router con lista di controllo degli accessi (o ACL, Access Control List), antivirus, controllo degli accessi, filtri antispam. Le attività volte a mantenere la sicurezza si possono dividere in due categorie: quelle preventive, che includono la valutazione delle vulnerabilità, l applicazione di patch, l irrobustimento dei sistemi (chiusura di porte non necessarie) ed il controllo degli accessi, e quelle reattive, che dovrebbero individuare le attività pericolose, bloccare gli attacchi, isolare le risorse più importanti e tracciare gli intrusori Controllo degli accessi Il controllo degli accessi consiste in una serie di meccanismi che consentono agli utenti di eseguire azioni fino ai livelli per i quali sono autorizzati, mentre vietano loro quelle per le

23 CAPITOLO 2. SICUREZZA DEI SISTEMI 13 quali non hanno autorizzazione. Tra questi meccanismi vi sono: l autenticazione degli utenti, ovvero la verifica della loro identità tramite qualcosa che l utente sa (password, PIN), che ha (token), qualcosa che è (identificatori biometrici); l autorizzazione dei loro privilegi, ovvero stabilire quali azioni un utente autenticato può eseguire (lettura, scrittura, esecuzione di file); l auditing e la registrazione delle azioni degli utenti Verifiche di vulnerabilità e applicazione di patch Le vulnerabilià, ovvero debolezze nel software sfruttando le quali si può portare un attacco, interessano tutti i tipi di sistemi operativi e applicazioni; quando una vulnerabilità è pubblicata (tipicamente dal produttore del software), spesso è accompagnata da una patch, cioè una correzione che deve essere applicata al software in modo da eliminare quella vulnerabilità. Sebbene la pubblicazione delle vulnerabilità possa avvantaggiare i malintenzionati, d altro canto essa consente agli amministratori di sistema di prendere le dovute precauzioni: attraverso una verifica delle vulnerabilità condotta sulla rete del proprio sistema, un amministratore può conoscere le configurazioni dei computer presenti, individuare vulnerabilità presenti e correggerle se esiste una patch apposita Chiusura delle porte Le applicazioni comunicano a livello di trasporto (usando i protocolli TCP e UDP) attraverso i numeri di porta: i numeri da 1 a 1023 sono usati per servizi stabiliti dalla Internet Assigned Numbers Authority (IANA), quelli da 1024 a sono usati da varie applicazioni utente, mentre i numeri da a sono usati dinamicamente dalle applicazioni. Una buona pratica consiste nel chiudere le porte non necessarie, specialmente quelle con i numeri più alti, anche se un intrusore può riuscire ad infiltrarsi attraverso le porte che devono necessariamente rimanere aperte.

24 CAPITOLO 2. SICUREZZA DEI SISTEMI Firewall Un firewall è uno strumento che protegge una rete da minacce esterne, attraverso un opportuno filtraggio del traffico in ingresso e in uscita. I firewall possono essere dispositivi indipendenti, posti all ingresso di una rete per proteggerla, o software installati su PC, che dunque proteggono solo quell host. Sebbene esistano vari tipi di firewall (a filtraggio di pacchetti, proxy e stateful firewall), per essere efficaci tutti richiedono un buon insieme di regole, scritte correttamente. I firewall a filtraggio di pacchetti (packet-filtering firewall) analizzano i pacchetti in entrata e in uscita e decidono se lasciar passare o bloccare i pacchetti in base alle regole fornite, che di solito controllano le porte, i protocolli, gli indirizzi IP ed altri attributi degli header dei pacchetti. Questi firewall sono stateless, ovvero non tengono traccia dei pacchetti analizzati. Gli stateful firewall riescono a riconoscere i pacchetti che appartengono ad uno stesso flusso di traffico e a tener traccia dello stato di una connessione, lavorando al livello di rete. I proxy firewall possono lavorare fino al livello di applicazione, poiché sono in grado di riconoscere certe applicazioni e di capire se un protocollo non desiderato sta usando una porta non standard o se si sta abusando di un protocollo di livello applicazione. Funzionano come gateway primari da una rete interna verso Internet, proteggendo così la rete stessa. I firewall sono dispositivi estremamente importanti per la protezione di una rete, ma ne proteggono solo il perimetro: per questo non sono efficaci se l attacco riesce a superare il perimetro o se arriva dall interno della rete stessa Strumenti antivirus e antispyware A causa della grande espansione del malware, si sono resi necessari strumenti antivirus in grado di indentificare le minacce, rimuoverle e proteggere l host da nuove future infezioni. L individuazione può avvenire attraverso vari modi, tra i quali il più semplice consiste nella scansione dei file: si confrontano i bytes del file con delle firme (signatures) conosciute, appartenenti a malware conosciuto. Questa tecnica richiede però di aggiornare costantemente il database delle firme, in modo che si possano riconoscere le ultime minacce conosciute, ma

25 CAPITOLO 2. SICUREZZA DEI SISTEMI 15 contro le più recenti si potrebbe comunque non essere protetti (per avere un idea di quante nuove minacce sono annualmente scoperte, si possono consultare idati riportati in figura 2.5). Figura 2.5. Nuove firme di minacce scoperte tra il 2002 ed il 2009 (fonte: [11]). Un altro approccio individua il malware in base al suo comportamento: tutto ciò che compie azioni pericolose diventa sospetto e potenzialmente malware. Questo approccio supera gli svantaggi delle firme perché permette di trovare minacce anche molto recenti; tuttavia, può essere complicato descrivere cosa è sospetto e, ancor più, cosa è pericoloso: per questo si sviluppano delle regole euristiche per riconoscere i sospettati, mentre i casi pericolosi si scoprono con analisi più approfondite. I sistemi antispyware sono una categoria di antivirus specializzati. Lo spyware può effettuare numerose modifiche pericolose nei file di sistema e, più in generale, in tutto il disco fisso. Tipicamente i sistemi infettati hanno parecchi spyware, a volte anche in certi cookies.

26 CAPITOLO 2. SICUREZZA DEI SISTEMI Filtri antispam I messaggi di spam sono non richieste, spedite in grandi quantità e di natura prevalentemente commerciale. Costituiscono un problema poiché una piccola minoranza dei destinatari risponde a questi messaggi, rendendo lo spam lucroso a chi lo pratica. Oltre ad essere fastidioso per gli utenti ed a sprecare risorse di rete, lo spam è anche un ottimo veicolo per diffondere malware o per portare attacchi di phishing. Il filtraggio dello spam può avvenire a livello dell impresa, se tutti i messaggi di posta diretti all interno dell organizzazione sono controllati dal filtro che elimina quelli ritenuti pericolosi (spesso usando tecniche bayesiane), o a livello personale, agendo direttamente sull host, dove si possono ulteriormente affinare le regole con cui individuare i messaggi indesiderati. Figura 2.6. Settori maggiormente colpiti dal phishing, per volume di URL (fonte: [11]).

27 CAPITOLO 2. SICUREZZA DEI SISTEMI Honeypot Un honeypot (letteralmente barattolo del miele ) serve a conoscere le tecniche di attacco di un malintenzionato verso un host apparentemente vulnerabile. È considerato uno strumento forense piuttosto che di difesa, e per questo non può essere utilizzato per servizi o traffico regolari. Deve inoltre essere in grado di monitorare e registrare ciò che avviene e deve essere isolato dalla vera rete, onde evitare che gli intrusori possano usare l honeypot per colpirla. Gli honeypot classici sono strumenti passivi, che attendono i malintenzionati; sono però stati sviluppati degli honeypot attivi, chiamati honey monkey o client honeypot, con lo scopo di cercare server pericolosi ed interagire con essi Controllo degli accessi alla rete Un host compromesso non rappresenta un pericolo solo per sé, ma per l intera rete alla quale appartiene, poiché può essere usato come punto d accesso ad essa o per ottenere informazioni sulla rete. Il controllo degli accessi alla rete (NAC, Network Access Control) blocca ad un host l accesso alla rete se questo non dimostra di essere dotato di una buona protezione: sono tipicamente controllati il suo indirizzo IP, il sistema operativo, il software antivirus ed il personal firewall in uso. Le informazioni sulla sicurezza dell host sono quindi inviate ad un server delle politiche che le confronta con le politiche di sicurezza e decide se ammettere l host alla rete, eventualmente parzialmente, o se allontanarlo, anche solo temporaneamente, ad esempio a causa di un software antivirus non aggiornato o di un sistema operativo che richiede l applicazione di una o più patch Quarantena Quando si è individuato un attacco, una possibile risposta è la quarantena, cioè impedire che l host colpito possa colpire altri host sani, come avviene per la quarantena dei malati umani. Questo può essere effettuato impiegando dei firewall o dei router con liste di controllo degli accessi (simili alle regole di un firewall), che bloccano certi pacchetti allo scopo di isolare gli host infettati.

28 CAPITOLO 2. SICUREZZA DEI SISTEMI Gli intrusion detection system (IDS) e gli intrusion prevention system (IPS) Il termine individuazione delle intrusioni indica l operazione di monitoraggio degli eventi che avvengono in un sistema informatico o in una rete di calcolatori, seguita dalla successiva analisi di tali eventi in cerca di indizi di possibili incidenti, cioè violazioni o minacce di violazione di politiche di sicurezza, politiche di utilizzo o pratiche di sicurezza standard [36]. L individuazione delle intrusioni può essere automatizzata facendo uso di un software chiamato intrusion detection system (IDS), o di un intrusion prevention system (IPS), ovvero un IDS in grado anche di bloccare possibili incidenti (fig. 2.7). Poiché tipicamente le funzionalità di Figura 2.7. Un intrusion detection system (IDS) e dei firewall impiegati per la protezione di una rete. prevenzione di un IPS possono essere disabilitate, IPS e IDS offrono funzionalità molto simili, e nel seguito saranno indicati con il termine più generico intrusion detection and prevention system (IDPS).

29 CAPITOLO 2. SICUREZZA DEI SISTEMI 19 Scopo principale degli IDPS è di invidiuare possibili incidenti, come la violazione di un sistema da parte di un malintenzionato sfruttando una vulnerabilità del sistema stesso. Informazioni sugli eventi individuati sono registrate ed inviate agli amministratori del sistema che cercheranno di minimizzare il danno. Un altra possibilità è usare un IDPS per individuare violazioni di politiche di sicurezza (per esempio l uso di programmi di file sharing), oppure per scoprire attacchi imminenti o sistemi che attirano l attenzione di malintenzionati (attraverso attività di ricognizione ). Un IDPS può anche essere usato per ottenere statistiche sugli attacchi, in modo da proteggere meglio i sistemi più esposti. A differenza di un IDS, un IPS può tentare di prevenire un attacco usando diverse tecniche, che possono essere divise nei segenti gruppi: l IPS stesso blocca l attacco, ad esempio terminando la connessione di rete o impedendo l accesso all obiettivo (target) da parte del malintenzionato tramite blocco del suo account o del suo indirizzo IP; l IPS modifica l ambiente di sicurezza, ad esempio riconfigura il firewall di rete per bloccare l accesso al malintenzionato o verso l obiettivo, oppure riconfigura il firewall sull host obiettivo per bloccare gli attacchi; l IPS modifica il contenuto dell attacco, ovvero ne modifica alcune porzioni maligne rendendole innocue, per esempio rimuovendo un file infetto da un messaggio di posta elettronica, ma lasciando proseguire il messaggio senza allegato; oppure l IPS può funzionare da proxy e normalizzare le richieste in ingresso, rimuovendo le informazioni dell header, operazione che blocca alcuni attacchi. Al fine di evitare di bloccare connessioni in ingresso innocue scambiate per attacchi, alcuni IPS possono funzionare in modalità apprendimento o simulazione, nelle quali mostrano agli amministratori quali connessioni avrebbero bloccato in modo che questi possano capire se alcune impostazioni dell IPS debbano essere modificate. Poiché un IDPS non è in grado di individuare correttamente tutti gli attacchi, esso può fornire dei falsi positivi, cioè attività non pericolose scambiate per attacchi, e falsi negativi, cioè attacchi non individuati. Poiché ridurre i primi comporta un aumento dei secondi, tipicamente si preferisce riconoscere più

30 CAPITOLO 2. SICUREZZA DEI SISTEMI 20 falsi positivi, con lo svantaggio, però, di dover impiegare più risorse per dividere le vere minacce da quelle false. Inoltre, molti IDPS riescono ad individuare le evasioni, ovvero quegli attacchi in cui si modifica l aspetto dell attività maligna, ma non il suo effetto, per cercare di sfuggire ai controlli degli IDPS Tecniche degli IDPS per l individuazione di attacchi Sebbene gli IDPS usino varie tecniche per scoprire gli attacchi, le principali sono quella basata sulla firma, quella basata sulle anomalie e l analisi di stateful protocol. Nel seguito saranno descritte queste tre tecniche. Individuazione basata sulla firma Questa tecnica si basa sul confronto tra eventi già osservati (noti) e le firme, ovvero schemi che corrispondono ad un attacco o tipo di attacco conosciuto. Esempi sono: un tentativo di connessione telnet usando come nome utente root, procedura che vìola le politiche di sicurezza aziendale; un messaggio di posta elettronica con oggetto Free pictures! ed allegato freepics.exe, una nota forma di malware. Questa tecnica è molto semplice ed efficace contro attacchi conosciuti, ma del tutto inefficace contro attacchi sconosciuti: basta, ad esempio, modificare il nome dell allegato precedente in freepics2.exe e questo non sarebbe individuato, a meno di non creare una nuova regola che controlli anche questa firma. Questa tecnica non consente di tracciare e comprendere lo stato della comunicazione: ad esempio non è in grado di accoppiare una richiesta con la corrispondente risposta, né di ricordare precedenti richieste simili a quella corrente. Per questo la tecnica basata sula firma non è in grado di riconoscere attacchi costituiti da eventi multipli se ciascuno di essi non è riconosciuto come attacco. Individuazione basata sulle anomalie Questa tecnica coniste nel confrontare attività ritenute normali con gli eventi osservati, con lo scopo di scoprire differenze evidenti. Si usano profili, cioè rappresentazioni del normale comportamento di host, utenti, connessioni di rete o applicazioni ottenute nel corso di un certo

31 CAPITOLO 2. SICUREZZA DEI SISTEMI 21 periodo, detto periodo di addestramento. Un profilo può, ad esempio, rappresentare la quantità di banda media usata durante i giorni lavorativi, e quando l IDPS nota un utilizzo molto maggiore del consueto può far scattare un allarme verso gli amministratori. La tecnica basata sulle anomalie riesce a scoprire piuttosto facilmente attacchi precedentemente sconosciuti, poiché questi possono modificare in maniera significativa certe attività del cui funzionamento si tiene traccia nei profili. Questi profili possono essere statici o dinamici: nel primo caso, una volta generati l IDPS usa sempre gli stessi profili, salvo quando gli sia ordinato di generarne di nuovi; nel secondo caso, i profili inizialmente creati sono aggiornati man mano che si osservano nuovi eventi. In questo modo, i profili dinamici si adattano meglio alle modifiche della rete, che possono causare variazioni nei livelli delle attività ritenuti normali, e quindi rendere i profili statici non più attendibili a meno di non ricrearli. Un problema di cui soffrono i profili dinamici, però, è la loro esposizione alle evasioni, poiché, se effettuate con le giuste tempistiche, possono essere considerate dall IDPS come normali attività (non maligne). Altri problemi sono: il numero elevato di falsi positivi, prodotti da attività non maligne ma che si discostano dai livelli normali o che non si sono mai verificate durante il periodo di apprendimento e sono dunque riconosciute come anomale; la difficoltà per gli analisti nel capire cosa ha prodotto un certo allarme. Analisi di stateful protocol Questa analisi consiste nel confrontare profili predefiniti di attività generalmente considerate innocue per ogni stato di protocollo con gli eventi osservati, per scoprire differenze significative. Diversamente dal caso precedente, in questa analisi si usano profili universali creati dal produttore, che specificano come un protocollo debba o non debba essere usato. Inoltre l IDPS è in grado di comprendere e tener traccia dello stato dei protocolli di rete, trasporto ed applicazione per i quali esiste un concetto di stato (da qui stateful). Come esempio si può considerare un sessione FTP (File Transfer Protocol): all inizio essa è nello stato non autenticato e l IDPS si aspetta che l utente si autentichi; se, invece, proverà ad eseguire uno dei vari comandi disponibili nella modalità autenticata, il suo comportamento potrà essere considerato sospetto (e quindi precursore di possibili attacchi), mentre non lo sarà se eseguirà uno

32 CAPITOLO 2. SICUREZZA DEI SISTEMI 22 di quei comandi dopo essere entrato con successo nella sessione autenticata. L analisi di stateful protocol può effettuare altri controlli, come la segnalazione di sequenze inaspettate di comandi e di comandi (o loro argomenti) dalla lunghezza inusuale. Tra gli svataggi di questo tipo di analisi vi è l utilizzo intenso delle risorse, a causa della complessità dell analisi e del tracciamento delle connessioni. Inoltre, quest analisi non rileva quegli attacchi che non di discostano dalle caratteristiche ritenute normali dei comportamenti di protocollo, come quegli attacchi che possono provocare un denial of service (DoS) a partire da singole azioni non ritenute pericolose. Infine, il modello di un protocollo usato da un IDPS può entrare in conflitto con l implementazione del protocollo in una certa applicazione o sistema operativo Componenti di un IDPS Un sistema IDPS è tipicamente costituito dalle seguenti parti: sensore o agente, che monitora e analizza l attività sulla rete (sensore) o su un host (agente); server di gestione, un dispositivo che riceve le informazione dai sensori e le gestisce. Alcuni server sono in grado di analizzare le informazioni ricevute in maniera più approfondita di quanto non possano fare i sensori, ad esempio tramite correlazione; server del database, dove sono memorizzate le informazioni sugli eventi raccolte da sensori, agenti e dal server di gestione; console, un programma che fornisce ad utenti e amministratori un interfaccia verso l IDPS. La console è di solito installata su normali computer desktop e può servire per attivtà di amministrazione dell IDPS o di analisi e monitoraggio. Tutti i componenti possono essere connessi attraverso una normale rete o attraverso una rete di gestione, appositamente progettata per software sicuro e sulla quale passa tutto il traffico di questi dispositivi, che sono di fatto nascosti ai malintenzionati. In alternativa, si può usare

33 CAPITOLO 2. SICUREZZA DEI SISTEMI 23 una normale rete sulla quale sia stata creata una VLAN (Virtual Local Area Network), che protegge le comunicazioni dell IDPS, anche se non al livello di una rete di gestione Tipi di tecnologie IDPS Esistono varie tecnologie per gli IDPS, che si possono raggruppare nei seguenti gruppi in base al tipo di eventi che controllano (per maggiori dettagli si può consultare [36]): IDPS basato sulla rete, che controlla il traffico della rete ed analizza l attività dei protocolli di applicazione e di rete alla ricerca di eventi sospetti. Può individuare vari tipi di attacchi ed è utilizzato soprattutto ai confini di una rete, ad esempio in prossimità di firewall e router di confine o di server per l accesso remoto; IDPS wireless, che controlla il traffico wireless ed analizza l attività dei protocolli di rete wireless, ma non quella dei protocolli di trasporto o dei livelli superiori, che non sono gestiti. Solitamente è usato all interno di una rete senza fili di un organizzazione; sistema di analisi del comportamento della rete (NBA system, Network Behavior Analysis), che analizza il traffico di rete alla ricerca di minacce che generano insoliti flussi di traffico, come avviene per gli attacchi di denial of service distribuito, per certi tipi di malware (worms, backdoors, ecc...) e per violazioni di politiche. Un sistema NBA è tipicamente impiegato per controllare reti interne ad un organizzazione o reti che collegano un organizzazione con l esterno (ad esempio Internet); IDPS basato su host, che controlla le attività di un singolo host, come il suo traffico di rete, i registri di sistema, applicazioni attive, ecc... Questo tipo di IDPS è impiegato su host critici, come server pubblicamente accessibili o contenenti informazioni sensibili. Per via dei diversi vantaggi e svataggi che ogni tecnologia presenta, di solito se ne combinano due o più per cercare di ottenere una migliore protezione: IDPS basati sulla rete e su host sono tra i più utilizzati, ma anche i sistemi NBA sono impiegati quando sia richiesta una maggiore protezione verso attacchi DoS, worms o altre minacce che provocano flussi di traffico anomali.

34 CAPITOLO 2. SICUREZZA DEI SISTEMI 24 Per ottenere una buona protezione, però, conviene integrare gli IDPS, dal momento che, altrimenti, funzionerebbero in maniera indipendente l uno dall altro. L integrazione può essere diretta, cioè le informazioni raccolte da un IDPS passano ad un altro IDPS (spesso si tratta di sistemi dello stesso produttore), oppure indiretta, nel qual caso vari IDPS inviano i dati raccolti a dei software di gestione degli eventi e delle informazioni sualla sicurezza (SIEM, Security Information and Event Management), che effettuano operazioni di correlazione sui dati per scoprire attività pericolose o l uso inappropriato della rete Approcci per la realizzazione degli IDS Il modo in cui un IDS (o IDPS) è realizzato influenza in maniera considerevole il suo funzionamento e l effetto che ha sulle risorse monitorate, senza però dover mai risultare di ostacolo al funzionamento della rete analizzata e dei suoi elementi. Nel seguito si illustrano gli approcci più comuni impiegati per la realizzazione di un IDS, di cui una rappresentazione schematica è in figura 2.8 (per una panoramica più completa si può consultare [3]). Figura 2.8. Alcuni approcci per la realizzazione di IDS.

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Network Intrusion Detection

Network Intrusion Detection Network Intrusion Detection Maurizio Aiello Consiglio Nazionale delle Ricerche Istituto di Elettronica e di Ingegneria dell Informazione e delle Telecomunicazioni Analisi del traffico E importante analizzare

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Internet Security Threat Report Volume X

Internet Security Threat Report Volume X Internet Security Threat Report Volume X Il 28 gennaio 2002 è stato pubblicato il primo volume dell Internet Security Threat Report da Riptech, società di Managed Security Services acquisita da Symantec

Dettagli

TREND MICRO DEEP SECURITY

TREND MICRO DEEP SECURITY TREND MICRO DEEP SECURITY Protezione Server Integrata Semplice Agentless Compatibilità Totale Retroattiva Scopri tutti i nostri servizi su www.clouditalia.com Il nostro obiettivo è la vostra competitività.

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Recente aumento della diffusione di virus Malware

Recente aumento della diffusione di virus Malware Recente aumento della diffusione di virus Malware Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente Malware che hanno come scopo principale

Dettagli

Cenni preliminari sugli account amministratore e account limitato.

Cenni preliminari sugli account amministratore e account limitato. Enrica Biscaro Tiziana Gianoglio TESINA DI INFORMATICA Cenni preliminari sugli account amministratore e account limitato. Per un funzionale utilizzo del nostro computer è preferibile usare la funzione

Dettagli

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1 Introduzione a Internet e cenni di sicurezza Dott. Paolo Righetto 1 Introduzione a Internet e cenni di sicurezza Quadro generale: Internet Services Provider (ISP) Server WEB World Wide Web Rete ad alta

Dettagli

La sicurezza: le minacce ai dati

La sicurezza: le minacce ai dati I.S.I.S.S. Sartor CASTELFRANCO V.TO Tecnologie dell'informazione e della Comunicazione La sicurezza: le minacce ai dati Prof. Mattia Amadori Anno Scolastico 2015/2016 Le minacce ai dati (1) Una minaccia

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Malware Definizione e funzione

Malware Definizione e funzione Malware Definizione e funzione Cos è un Malware Il termine Malware è l'abbreviazione di "malicious software", software dannoso. Malware è un qualsiasi tipo di software indesiderato che viene installato

Dettagli

Colloquio di informatica (5 crediti)

Colloquio di informatica (5 crediti) Università degli studi della Tuscia Dipartimento di Scienze Ecologiche e Biologiche Corso di laurea in Scienze Ambientali A.A. 2013-2014 - II semestre Colloquio di informatica (5 crediti) Prof. Pier Giorgio

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

Tipologie e metodi di attacco

Tipologie e metodi di attacco Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in

Dettagli

Tecnologie Informatiche. security. Rete Aziendale Sicura

Tecnologie Informatiche. security. Rete Aziendale Sicura Tecnologie Informatiche security Rete Aziendale Sicura Neth Security è un sistema veloce, affidabile e potente per la gestione della sicurezza aziendale, la protezione della rete, l accesso a siti indesiderati

Dettagli

Implicazioni sociali dell informatica

Implicazioni sociali dell informatica Fluency Implicazioni sociali dell informatica Capitolo 10 Privacy I nostri corpi I nostri luoghi Le informazioni Le comunicazioni personali La privacy Con i moderni dispositivi è possibile violare la privacy

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S. 2008-2009

ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA. Tesina di Matteo Neri A.S. 2008-2009 ANALISI DÌ MALWARE E SOLUZIONI DÌ DIFESA Tesina di Matteo Neri A.S. 2008-2009 Sommario - Introduzione - Analisi di malware - Soluzioni di difesa - Previsioni sul futuro del malware Prima Parte Introduzione

Dettagli

Direttamente dalla sorgente Network IDS Oggi & nel Futuro

Direttamente dalla sorgente Network IDS Oggi & nel Futuro Direttamente dalla sorgente Network IDS Oggi & nel Futuro Graham Welch Director EMEA, Sourcefire Inc. Agenda Background sull Intrusion Detection Un giorno nella vita di Intrusion Prevention vs. Intrusion

Dettagli

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure UNIVERSITÀ DEGLI STUDI DI PISA FACOLTÀ DI INGEGNERIA Corso di Laurea in INGEGNERIA DELLE TELECOMUNICAZIONI Tesi di Laurea Sicurezza dei sistemi SIP: analisi sperimentale di possibili attacchi e contromisure

Dettagli

KLEIS A.I. SECURITY SUITE

KLEIS A.I. SECURITY SUITE KLEIS A.I. SECURITY SUITE Protezione delle applicazioni web Kleis A.I. SecureWeb www.kwaf.it Cos'è Kleis A.I. SecureWeb? Kleis A.I. SecureWeb è un modulo software della Kleis A.I. Security Suite che ha

Dettagli

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni EDILMED 2010 Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI G. Annunziata, G.Manco Napoli 28 Maggio 2010 EDILMED/ 2010 1

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n.

Perché abbiamo problemi di sicurezza? Sicurezza. Reti di calcolatori. 2001-2007 Pier Luca Montessoro (si veda la nota di copyright alla slide n. RETI DI CALCOLATORI Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 2001-2007 Pier Luca Montessoro (si veda la nota a pagina 2) 1 Nota di Copyright Questo insieme di trasparenze

Dettagli

Minacce Informatiche. Paolo

Minacce Informatiche. Paolo Minacce Informatiche Paolo Programma Virus, Trojan, spayware, malware ecc... Informazioni generali su Internet Ricerche, siti web, email, chatline, p2p, YouTube, Telefonini, InstantMessaging Che cos è

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

IDS: Intrusion detection systems

IDS: Intrusion detection systems IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo

Dettagli

Defenx Antivirus 2010 La difesa impenetrabile contro tutte le minaccia informatiche

Defenx Antivirus 2010 La difesa impenetrabile contro tutte le minaccia informatiche Defenx Antivirus 2010 La difesa impenetrabile contro tutte le minaccia informatiche I computer sono incredibilmente veloci, accurati e stupidi. Gli uomini sono incredibilmente lenti, inaccurati e intelligenti.

Dettagli

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 AIPSI- ISSA European Security Conference 2010 Roma, 28 ottobre 2010 L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010 Marco R.A. Bozzetti Founder OAI Direttivo AIPSI Indice 1. L iniziativa

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato

SHARKMAIL by 2000net. Caratteristiche principali. Più 98% dello spam viene eliminato SHARKMAIL by 2000net La 2000net ha investito molte risorse per combattere il fenomeno dello spam e oggi è pronta a fornire una soluzione ad elevato livello tecnologico indirizzato al settore Business in

Dettagli

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico

Da IDS a IPS. Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico ICT Security n. 51, Dicembre 2006 p. 1 di 7 Da IDS a IPS Nel numero 23 del Maggio 2004, avevamo già accennato alle problematiche di filtraggio del traffico in tempo reale e della relazione tra Intrusion

Dettagli

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology

Sistemi firewall. sicurezza reti. ICT Information & Communication Technology Sistemi firewall sicurezza reti Firewall sicurezza In informatica, nell ambito delle reti di computer, un firewall è un componente passivo di difesa perimetrale di una rete informatica, che può anche svolgere

Dettagli

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro

Dettagli

security Firewall UTM

security Firewall UTM security Firewall UTM Antispam Firewall UTM Antivirus Communication VPN IDS/IPS Security MultiWAN Hotspot MultiZona Aggiornamenti automatici Proxy Collaboration IP PBX Strumenti & Report Monitraggio Grafici

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 3/2008 Il bollettino può essere

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Navigazione controllata

Navigazione controllata Easyserver nasce come la più semplice soluzione dedicata alla sicurezza delle reti ed al controllo della navigazione sul web. Semplice e flessibile consente di controllare e monitorare il corretto uso

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza Microsoft Windows è il sistema operativo più diffuso, ma paradossalmente è anche quello meno sicuro.

Dettagli

Aspetti di sicurezza in Internet e Intranet. arcipelago

Aspetti di sicurezza in Internet e Intranet. arcipelago Aspetti di sicurezza in Internet e Intranet La sicurezza in reti TCP/IP Senza adeguate protezioni, la rete Internet è vulnerabile ad attachi mirati a: penetrare all interno di sistemi remoti usare sistemi

Dettagli

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero Glossario Account (profilo o identità) insieme dei dati personali e dei contenuti caricati su un sito Internet o su un social network. Anti-spyware programma realizzato per prevenire e rilevare i programmi

Dettagli

www.intego.com PL/ATTIVA/IT/1009

www.intego.com PL/ATTIVA/IT/1009 www.intego.com PL/ATTIVA/IT/1009 Esistono virus per Mac OS X? Esistono virus che colpiscono Mac OS X? Poiché di recente la stampa informatica ha discusso molto riguardo a virus e computer Mac, abbiamo

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS)

Gestione degli accessi al sistema(autenticazione) e ai locali. Analisi del traffico di rete (Firewall, IDS/IPS) Contromisure Contromisure Gestione degli accessi al sistema(autenticazione) e ai locali Antivirus Analisi del traffico di rete (Firewall, IDS/IPS) Analisi utilizzo delle risorse di sistema, accessi (IDS/IPS)

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Le reti Sicurezza in rete

Le reti Sicurezza in rete Le reti Sicurezza in rete Tipi di reti Con il termine rete si intende un insieme di componenti, sistemi o entità interconnessi tra loro. Nell ambito dell informatica, una rete è un complesso sistema di

Dettagli

CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS. R.Remoli

CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS. R.Remoli - CACCIA AL VIRUS! SAPER RICONOSCERE ED ELIMINARE VIRUS CARATTERISTICHE - TIPI PROTEZIONE R.Remoli Di cosa parleremo Definizioni di virus e malware. Danni che i virus possono provocare. Rimedi che possiamo

Dettagli

Sicurezza. informatica. Peschiera Digitale 2102-2013 Sicurezza

Sicurezza. informatica. Peschiera Digitale 2102-2013 Sicurezza Sicurezza informatica Peschiera Digitale 2102-2013 Sicurezza Overview 1. Nozioni generali 2. Virus e anti-virus 3. Spam e anti-spam 4. Phishing 5. Social engineering 6. Consigli Peschiera Digitale 2102-2013

Dettagli

MarketingDept. mar-13

MarketingDept. mar-13 mar-13 L Azienda Fondata nel 1988 Sede principale a Helsinki, Finlandia; uffici commerciali in oltre 100 paesi Attiva su tutti i segmenti di mercato, da Consumer a Corporate, specializzata nell erogazione

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo Sophos Premessa Con l evoluzione delle minacce, il controllo è fondamentale Un offerta completa e sicura Un servizio esclusivo 43 Premessa Sophos è una società leader a livello mondiale nella sicurezza

Dettagli

BOLLETTINO DI SICUREZZA INFORMATICA

BOLLETTINO DI SICUREZZA INFORMATICA STATO MAGGIORE DELLA DIFESA II Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa Sezione Gestione del Rischio CERT Difesa CC BOLLETTINO DI SICUREZZA INFORMATICA N. 1/2009 Il bollettino può essere

Dettagli

Perché abbiamo problemi di sicurezza? Sicurezza nel computer dell utente. Sicurezza. Sicurezza. Nota di Copyright

Perché abbiamo problemi di sicurezza? Sicurezza nel computer dell utente. Sicurezza. Sicurezza. Nota di Copyright SICUREZZA INFORMATICA RETI DI CALCOLATORI II Introduzione Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof. Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.

Dettagli

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti.

Sicurezza delle reti. Monga. Ricognizione. Scanning Network mapping Port Scanning NMAP. Le tecniche di scanning. Ping. Sicurezza delle reti. 1 Mattia Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it Port Lezione IV: Scansioni Port a.a. 2011/12 1 c 2011 12 M.. Creative Commons Attribuzione-Condividi

Dettagli

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto CYBER RISK: RISCHI E TUTELA PER LE IMPRESE Confindustria Vicenza 26/02/2015 Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto Suddivisione territoriale Compartimenti e Sezioni

Dettagli

Kaspersky PURE 2.0: massima sicurezza per il network casalingo

Kaspersky PURE 2.0: massima sicurezza per il network casalingo Comunicato stampa Kaspersky PURE 2.0: massima sicurezza per il network casalingo Il prodotto home premium di Kaspersky Lab offre protezione avanzata per il PC e i dispositivi elettronici Roma, 30 marzo

Dettagli

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti

Symantec Protection Suite Enterprise Edition per Gateway Domande frequenti Domande frequenti 1. Che cos'è? fa parte della famiglia Enterprise delle Symantec Protection Suite. Protection Suite per Gateway salvaguarda i dati riservati e la produttività dei dipendenti creando un

Dettagli

Modulo 7 - ECDL Reti informatiche

Modulo 7 - ECDL Reti informatiche 1 Modulo 7 - ECDL Reti informatiche Elaborazione in Power Point del Prof. Fortino Luigi 2 Internet Un insieme di molteplici reti di elaboratori collegate tra loro che, con l ausilio di particolari protocolli

Dettagli

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata

FIREWALL OUTLINE. Introduzione alla sicurezza delle reti. firewall. zona Demilitarizzata FIREWALL OUTLINE Introduzione alla sicurezza delle reti firewall zona Demilitarizzata SICUREZZA DELLE RETI Ambra Molesini ORGANIZZAZIONE DELLA RETE La principale difesa contro gli attacchi ad una rete

Dettagli

SICUREZZA INFORMATICA RETI DI CALCOLATORI II. Introduzione

SICUREZZA INFORMATICA RETI DI CALCOLATORI II. Introduzione SICUREZZA INFORMATICA RETI DI CALCOLATORI II Introduzione Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine 1 Nota di Copyright Questo insieme di trasparenze (detto nel seguito

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

McAfee Total Protection - Guida rapida

McAfee Total Protection - Guida rapida Tranquillità per tutta la famiglia. McAfee Total Protection è la soluzione di protezione più completa disponibile ed offre protezione 10-in-1 per il PC da minacce in linea. Include anche strumenti per

Dettagli

La sicurezza informatica. Luca Filippi Luca.Filippi@seclab.it

La sicurezza informatica. Luca Filippi Luca.Filippi@seclab.it La sicurezza informatica Luca Filippi Luca.Filippi@seclab.it Che cos è SecLab 04/04/2015 http://www.seclab.it 2 Che cos è la sicurezza informatica Le informazioni vanno protette contro chi vuole appropriarsene

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

01/04/2012 CORSO DI ABILITA INFORMATICHE. Introduzione alla sicurezza ICT. Introduzione alla sicurezza ICT. Basi di sicurezza ICT A.A.

01/04/2012 CORSO DI ABILITA INFORMATICHE. Introduzione alla sicurezza ICT. Introduzione alla sicurezza ICT. Basi di sicurezza ICT A.A. CORSO DI ABILITA INFORMATICHE Basi di sicurezza ICT A.A. 2011-12 1 Introduzione alla sicurezza ICT La sicurezza è una tematica complessa e articolata per introdurre la quale definiremo la metodologia di

Dettagli

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio

Sicurezza negli ambienti di testing. Grancagnolo Simone Palumbo Claudio Sicurezza negli ambienti di testing Grancagnolo Simone Palumbo Claudio Obiettivo iniziale: analizzare e testare il Check Point VPN-1/FireWall-1 Condurre uno studio quanto più approfondito possibile sulle

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

Come proteggere la vostra rete corporate in modo progressivo ed integrato

Come proteggere la vostra rete corporate in modo progressivo ed integrato Come proteggere la vostra rete corporate in modo progressivo ed integrato Kaspersky Open Space Security È una suite di prodotti che offre copertura per tutte le reti, partendo dai dispositivi mobili sino

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Auditing di Eventi. Daniele Di Lucente

Auditing di Eventi. Daniele Di Lucente Auditing di Eventi Daniele Di Lucente Un caso che potrebbe essere reale Un intruso è riuscito a penetrare nella rete informatica della società XYZ. Chi è l intruso? Come ha fatto ad entrare? Quali informazioni

Dettagli

Sicurezza delle e-mail: guida all acquisto

Sicurezza delle e-mail: guida all acquisto Sicurezza delle e-mail: guida all acquisto Introduzione Vista la crescente quantità di dati sensibili per l azienda e di informazioni personali che consentono l identificazione (PII), inviata tramite e-mail,

Dettagli

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo

Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Migliorare l'efficacia delle tecnologie di sicurezza informatica grazie ad un approccio integrato e collaborativo Marco Misitano, CISSP, CISM Advanced Technologies, Security Cisco Systems Italy misi@cisco.com

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

La soluzione Cisco Network Admission Control (NAC)

La soluzione Cisco Network Admission Control (NAC) La soluzione Cisco Network Admission Control (NAC) Oggi non è più sufficiente affrontare le problematiche relative alla sicurezza con i tradizionali prodotti per la sola difesa perimetrale. È necessario

Dettagli

Internet Security 2012

Internet Security 2012 Internet Security 2012 Guida introduttiva Importante Sulla custodia del CD sarà possibile trovare il codice di attivazione con il quale attivare il prodotto. Si consiglia di conservarlo in un luogo sicuro.

Dettagli

Descrizione servizio Websense Hosted Mail Security

Descrizione servizio Websense Hosted Mail Security Descrizione servizio Websense Hosted Mail Security Alla luce della crescente convergenza delle minacce nei confronti del Web e della posta elettronica, oggi è più importante che mai poter contare su una

Dettagli

www.protectstar.com PC-cillin Internet Security 2007

www.protectstar.com PC-cillin Internet Security 2007 www.protectstar.com PC-cillin Internet Security 2007 SICUREZZA L attuale pacchetto PC-cillin Internet Security 2007 di Trend Micro si distingue per una serie di moduli di protezione integrati. Fanno parte

Dettagli

La sicurezza nel commercio elettronico

La sicurezza nel commercio elettronico La sicurezza nel commercio elettronico Dr. Stefano Burigat Dipartimento di Matematica e Informatica Università di Udine www.dimi.uniud.it/burigat stefano.burigat@uniud.it Sicurezza digitale Budget per

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

Virus informatici Approfondimenti tecnici per giuristi

Virus informatici Approfondimenti tecnici per giuristi Creative Commons license Stefano Fratepietro - www.stevelab.net 1 Virus informatici Approfondimenti tecnici per giuristi Ciclo dei seminari Informatica nei laboratori del CIRSFID Facoltà di Giurisprudenza

Dettagli

Potete gestire centralmente tutti i dispositivi mobili aziendali?

Potete gestire centralmente tutti i dispositivi mobili aziendali? Potete gestire centralmente tutti i dispositivi mobili aziendali? Gestite tutti i vostri smartphone, tablet e computer portatili da una singola console con Panda Cloud Systems Management La sfida: l odierna

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli