Sistemi Operativi III Corso di Laurea in Ingegneria Informatica Facolta di Ingegneria, Universita La Sapienza Docente: Francesco Quaglia

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sistemi Operativi III Corso di Laurea in Ingegneria Informatica Facolta di Ingegneria, Universita La Sapienza Docente: Francesco Quaglia"

Transcript

1 Sistemi Operativi III Corso di Laurea in Ingegneria Informatica Facolta di Ingegneria, Universita La Sapienza Docente: Francesco Quaglia Contenuti: 1. Requisiti e metodi per la sicurezza 2. Richiami di crittografia 3. Autenticazione e abilitazione 4. Domini di protezione e sistemi operativi sicuri 5. Attacchi interni al sistema 6. IDS e Reference Monitor

2 Requisiti per la sicurezza 1. il sistema informatico risulti utilizzabile dai legittimi utenti 2. solo chi dispone di una qualche forma di autorizzazione possa utilizzarlo, e solo nelle modalità e con le restrizioni stabilite da chi amministra il sistema il primo requisito può sembrare ridondante: un sistema che non può essere utilizzato da nessuno sicuramente non è di nessuna utilità molto spesso pero un aggressore può essere interessato non tanto ad accedere al sistema informatico, ma piuttosto a rendere impossibile il suo utilizzo ai legittimi utenti (attacchi DOS) nella maggior parte dei sistemi informatici il punto 1 è verificato solo se il sistema non è attaccato

3 Sicurezza nei sistemi per la gestione dei delle informazioni per i sistemi di gestione delle informazioni, il punto 2 precedente si specializza in quanto segue: 1. non deve essere possibile la lettura di informazioni riservate a chi non è autorizzato (confidenzialita ) 2. non deve essere possibile la modifica delle informazioni a chi non ha gli adeguati permessi (integrita ) 3. non deve essere possibile il disconoscimento della produzione delle informazioni da parte di chi le ha create (non ripudio)

4 Metodi per la sicurezza essi sono principalmente 3 1. Crittografia 2. Sistemi di autenticazione 3. Sistemi operativi sicuri ogni metodo risolve problemi specifici i differenti metodi dovrebbero quindi essere utilizzati simulataneamente per garantire adeguati livelli di sicurezza

5 Crittografia la parola crittografia proviene dai termini greci krupto (nascosto, segreto) e grafe (scritto) scopo della crittografia e la trasformazione di un messaggio leggibile da tutti (testo in chiaro) in un messaggio cifrato, leggibile solo da chi possiede apposite conoscenze le prime trattazioni matematiche (accessibili al pubblico) risalgono al 1949 ad opera di Shannon la crittografia in informatica viene utilizzata sia per nascondere informazioni memorizzate su dispositivi di memoria di massa, sia per trasmettere informazioni attraverso canali insicuri (ovvero che possono essere soggetti ad incercettazioni da parte di aggressori) inoltre viene utilizzata in alcune forme di autenticazione e per ottenere firme digitali di documenti elettronici

6 t C Kc c D Kd Principi per la crittografia = testo in chiaro = funzione di crittazione = chiave di crittazione = testo crittato = funzione di decrittazione = chiave di decrittazione C(t,Kc) = c (dove C:I x K O) D(c,Kd) = t (dove D: O x K I) Le tipologie di funzioni di crittazione/decrittazione sono tre: 1. a chiave segreta 2. a chiave pubblica-privata 3. hash

7 Sicurezza di un sistema di crittazione un sistema di crittazione e sicuro se P(t c) = P(t) per ogni t e c, dove P(t) è la probabilità che il messaggio originale sia t P(t c) e la probabilità che il messaggio sia t condizionata alla conoscenza del messaggio crittato c ciò vuol dire che la conoscenza del messaggio crittato non deve darci nessuna informazione sul messaggio non crittato

8 esistono anche definizioni meno stringenti di sistema sicuro rispetto a quella data da Shannon (ad esempio tutti i sistemi di crittazione usati oggi sono solo computazionalmente sicuri) condizione necessaria affinché una funzione di crittazione C:I x K O sia sicura è che K = I nei sistemi di crittografia più comunemente usati lo spazio delle chiavi è molto più piccolo dello spazio dei messaggi non cifrati quindi è sempre possibile rompere il cifrato per enumerazione totale dello spazio delle chiavi, anche se ciò può richiedere un tempo notevolmentelungo e numerose risorse computazionali

9 Crittografia a chiave segreta le chiavi di di crittazione e decrittazione coincidono, esempi sono 1. sostituzione monoalfabetica in cui ogni elemento di una stringa alfanumerica si trasforma in un ben determinato altro elemento nel messaggio cifrato 2. cifrari one time pad, possibilmente basati su chiavi della stessa lunghezza dei messaggi questo tipo di crittografia puo essere sicuro, secondo Shannon, o solo computazionalmente sicuro a seconda della dimensione delle chiavi ad esempio, nel caso di sostituzione monoalfabetica, ci si puo basare, per decrittare il messaggio su tentativi esaustivi per le chiavi e proprieta dei linguaggi naturali vi e necessita di conoscenza pregressa della chiave da entrambe le parti

10 Crittografia a chiave pubblica-privata le chiavi di crittazione e decrittazione sono differenti la chiave di crittazione viene resa disponibile senza necessita di un canale sicuro per trasmetterla la chiave di decrittazione rimane privata per il ricevente delle informazioni non e necessario generare chiavi nuove per ogni per ogni coppia di entita che intendono comunicare un esempio di applicazione e RSA

11 Hashing l hashing e anche noto come message digest, o trasformazione a senso unico chiamando h(m) l' hash di un messaggio m, esso ha le seguenti proprietà: ci vogliono poche risorse computazionali per calcolare h(m) dato h(m), non esiste alcun metodo computazionalmente semplice per trovare un messaggio n tale che h(n)=h(m) non esiste alcun metodo computazionalmente semplice di trovare due messaggi che abbiano lo stesso hash notare che, poiché O < I, il numero di messaggi che hanno come hash h(m) sarà sempre maggiore dell' unità

12 gli hash sono generalmente indipendenti da una chiave data una funzione hash h(m), indipendente da una chiave, per creare una nuovafunzione h'(m,k), che dipende anche da una chiave, quelloche si fa è semplicemente concatenare k e m e calcolare l' hash del risultato gli hash sono utilizzati per l'autenticazione e per la verifica dell' integrità di messaggi o dei dati

13 Firme digitali e impiegata tipicamente per garantire il non ripudio dato un documento, si applica al documento un hashing (tipicamente con forte riduzione della taglia del documento, es. MD5 - Message Digest - e SHA - Secure Hash Algorithm) si applica una decrittazione D all hashing tramite una chiave privata si spediscono documento originale e hashing decriptato al lato ricevente si calcola l hashing del documento e si applica una crittazione C con chiave pubblica all hashing decrittato se le informazioni ottenute coincidono allora la firma e ritenuta valida da notare che la funzione di crittazione/decrittazione (C/D) deve poter ammettere di poter essere applicata in modo da avaere C(D(x))=x, cosa non imediata dato che le funzioni di crittazione sono talvolta studiate solo per ammettere D(C(x))=x

14 Autenticazione l' autenticazione è il processo di verificare l' identità di qualcuno o qualcosa in maniera affidabile e' di vitale importanza per garantire solo a chi ne ha diritto l accesso a determinati servizi, risorse o informazioni le principali forme di autenticazione sono: 1. autenticazione basata su password 2. autenticazione crittografica 3. autenticazione basata su dispositivi fisici 4. autenticazione biometrica 5. autenticazione basata su indirizzo ovviamente si possono avere anche degli ibridi, e permettere ad esempio l' uso di un certo servizio ad un certo utente solo se la richiesta del servizio proviene da un certo indirizzo IP e l'utente conosce una password

15 Autenticazione basata su password chi vuole autenticarsi dispone di una informazione segreta (la password), concordata con l' entità con cui ci si vuole autenticare il processo di autenticazione consiste nel comunicare la password all' entità che autentica questa provvede poi a confrontare la password inviata da chi si vuole autenticare con la password corrispondente, memorizzata in un database problemi relativi 1. possibilità di ottenere la password quando è trasmessa semplicemente ascoltando il canale 2. se il database che contiene le password viene compromesso, l'aggressore ottiene le password di tutti gli utenti 3. possibilità di ``indovinare la password, se questa è debole (online password guessing e off-line password guessing)

16 Crittazione delle password la crittazione delle password e un metodo di protezione del database delle password da uso inproprio per chi ne ha accesso legittimo (es. amministratori di sistema) o non la password viene utilizzata come chiave di crittazione (tipicamente tramite hash one-way) di un blocco di dati noto il risultato della crittazione viene registrato nel file delle password ad ogni accesso, la password viene usata per riprodurre il blocco criptato e verificare la sua corrispondenza con quello presente nel file delle password questa tecnica non ripara comunque da cracker che hanno ottenuto l accesso al file delle password e che usano meccanismi di password guessing

17 Salt e crittazione la nozione di salt viene utilizzata per aumentare il costo computazionale dell operazione di password guessing ad ogni utente autorizzato viene associato un numero denominato salt questo verra concatenato alla password vera e propria prima di applicare una operazione di one-way hashing se il salt e di n bit, per ogni password tentata dal cracker si dovranno considerare 2 n possibilita il salt associato ad ogni utente viene mantenuto nel database delle password e ridefinito ad ogni cambio della password stessa il database mantiene anche il risultato della crittazione applicata alla concatenazione password+salt

18 Vantaggi del salt utenti con la stessa password avranno informazioni differenti registrate nel database delle password un attaccante non potra quindi determinare l uguaglianza delle password semplicemente consultando tale informazione se un attaccante non possiede il valore del salt allora non puo gestire meccanismi efficienti di password guessing off-line in tal caso il costo computazionale dell operazione di password guessing, da realizzare on-line, puo risultare proibitivo

19 Per sistemi UNIX il database delle password viene mantenuto su due file distinti 1. /etc/passwd 2. /etc/shadow il file /etc/passwd contiene informazioni di base sugli account ed e tipicamente accessibile ad ogni utente il file /etc/shadow contiene informazioni addizionali per l autenticazione, compresa la password criptata tramite l hashing one-way questo file e accessibile solo in modalita superuser se tale file resta confidenziale, password guessing efficiente puo essere operato solo dall amministratore di sistema la crittazione si basa su una versione modificata dell algoritmo DES

20 Dettagli su /etc/passwd il file /etc/passwd non "oscurato" ha il seguente formato: nomeutente:passwd:uid:gid:nome_completo:dire ctory:shell ad esempio: nomeutente:npge08pfz4wuk:503:100:nome Completo:/home/nomeutente:/bin/sh dove Np è il seme (16 bit) e ge08pfz4wuk è la password codificata nel caso di Shadowing (oscuramento) /etc/passwd invece conterrà: nomeutente:x:503:100:nome Completo:/home/nomeutente:/bin/sh x nel secondo campo in questo caso è ora soltanto un segnaposto, ed il formato del file /etc/passwd non è di fatto cambiato, solo che non contiene più le password codificate. questo significa che qualunque programma che legge il file /etc/passwd, ma in realtà non ha bisogno di verificare le password, funzionerà ancora correttamente

21 Dettagli su /etc/shadow il file /etc/shadow contiene le seguenti informazioni: nomeutente:passwd:ult:può:deve:avv:scad:disab: riservato dove: 1. nomeutente e l account dell'utente 2. passwd e la password codificata 3. ult indica i giorni dall 1/1/1970 fino all'ultima modifica della password 4. può indica i giorni prima che la password possa essere cambiata 5. deve indica i giorni dopo i quali la password deve essere cambiata 6. avv indica i giorni prima della scadenza della password in cui l'utente viene avvisato 7. scad indica i giorni dopo la scadenza della password in cui l'account viene disabilitato 8. disab indica ig iorni a partire dall 1/1/1970 dopo cui l'account verrà disabilitato 9. riservato indica semplicemente un campo riservato

22 Funzione di crittazione #include <unistd.h> char *crypt(const char *key, const char *salt) dove key e l user typed password salt e una stringa a due caratteri scelta nell insieme [a-za- Z0-9./] tale funzione usa i 7 bit meno significativi di ciascun carattere in key per ottenere una chiave a 56 bit usata per la crittazione il valore di ritorno punta ad una sequenza di 13 caratteri ASCII che rappresentano la password crittata, di cui i primi due sono il salt attenzione, la funzione e non rientrante

23 Per sistemi Windows le informazioni su password e account vengono mantenute sul registry, ovvero un database mappato su un set di file e, per una piccola parte, su memoria volatile tra questi file, quello che mantiene le password e C:\WINDOWS\system32\config\Sam le password sono mantenute in forma crittata (tramite hashing) il processo di crittazione non utilizza il salt le informazioni mantenute nel precedente file determinano anche, come vedremo, la gestione degli accessi agli oggetti

24 One time passwords tipicamente utilizzate nel caso di accesso remoto senza crittazione sul traffico di rete ad ogni utente viene fornita una lista di password ad ogni accesso, viene richiesta la password successiva nella lista questo implica che la scoperta di una singola password (es. intercettazione durante transito in rete) non fornisce all attaccante la possibilita di utilizzo della stessa per accedere al sistema poiche non e facile mantenere la lista delle password a memoria, vi e in genere il problema di doverle registrare su un supporto di memorizzazione sicuro si puo ovviare tale problema utilizzando un algoritmo di autenticazione proposto da Lamport nel 1981 tale algoritmo permette l accesso tramite transito di one time passwords, ma l utente necessita di conoscere una sola di esse

25 Algoritmo di Lamport siap la password nota all utente ed al sistema siaf() una funzione non invertibile sian-1 il numero massimo di accessi ammessi per l utente la password per l i-esimo accesso sara calcolata applicanto n-i volte la funzione f() alla password P, ovvero P i =f(f( (f(p)) n-i volte dato che P i =f -1 (P i-1 ), la cattura da parte di un attaccante della i- esima password non permettera di venire a conoscenza della successiva l unico modo per originare le one time password e quindi quello di conoscere la password iniziale P, la quale non transita, e quindi non e soggetta ad intercettazione

26 Autenticazione crittografica A prova la sua identità a B effettuando una operazione crittografica su una quantità fornita da B se l' operazione crittografica scelta è una cifratura con un algoritmo a chiave segreta o con una funzione hash, lo schema per l'autenticazione è il seguente: 1. A si rende noto presso B 2. B invia ad A un numero R 3. A calcola c(r,k) e lo invia a B 4. B confronta c(r,k) inviatogli da A con quello precedentemente calcolato da B stesso 5. se i due valori sono uguali, A è autenticato presso B c(r,k) è una funzione di crittazione a chiave segreta o una funzione hash ed R è un numero chiamato sfida

27 Trattamento della sfida R B deve generare R in maniera che sia sempre diverso ad ogni tentativo di autenticazione può essere ad esempio un numero casuale molto grande, un TimeStamp, o un numero generato con un qualche altro algoritmo (ad esempio concatenando un numero casuale con un TimeStamp) R deve però essere scelto in maniera tale che un aggressore non possa memorizzare un numero sufficiente di coppie <R, c(r,k)> e autenticarsi, fingendosi A, perché B ha usato come sfida un numero R già usato precedentemente quindi se si sceglie di usare un TimeStamp come sfida, B deve assicurarsiche non possa avvenire nessun tentativo di connessione prima che iltimestamp sia cambiato

28 Varianti l' autenticazione tramite funzione hash non risolve il problema della compromissione del database di B questo problema è però risolto se si usa come funzione di crittazione una funzione a chiave pubblica (in quanto nel database di B sono memorizzate solo chiavi pubbliche) 1. A si rende noto presso B 2. B invia ad A un numero R (sfida) 3. A calcola R'=c(R,k privata ) e lo invia a B 4. B calcola d(r',k pubblica ) e lo confronta con R 5. se i due valori sono uguali, A è autenticato presso B resta pero il problema di dover supportare la memorizzazione della chiave privata al lato dell utente e di fornire capacita di crittazione

29 Autenticazione basata su dispositivi fisici chi vuole autenticarsi deve disporre di un apposito dispositivo fisico, normalmente una smartcard o una tessera magnetica il dispositivo fisico in realtà effettua l'autenticazione al posto del possessore, utilizzando uno dei sistemi visti in precedenza se ad esempio il dispositivo di autenticazione è una smart card, l'algoritmo di autenticazione potrebbe essere il seguente: 1. il sistema invia alla smart card una sfida 2. la smart card critta il numero ricevuto come sfida (possibilmente in combinazione con la pasword dell utente) e lo invia al sistema 3. se il numero inviato dalla smart card è uguale a quello calcolato dal sistema, il possessore della smart card è autenticato uno dei vantaggi della smartcard, rispetto alla tessera magnetica, e che il protocollo crittografico potrebbe essere cambiato se si puo eseguire un iterprete di protocollo sulla smartcard stessa

30 Abilitazione per indirizzo l' abilitazione per indirizzo consiste nello specificare, per un determinato servizio, quali sono gli indirizzi da cui si accettano le richieste in genere, l' elenco degli host da cui accettare richieste è chiamato Access Control List (ACL) questo tipo di abilitazione e alla base di note applicazioni per il controllo dell accesso ai servizi, quali i super-server (es. inetd internet demon, xinetd extended internet demon) i contenitori TCP (es.tcpd)

31 UNIX inetd il suo scopo e rimanere in ascolto di connessioni su specifici port number all arrivo di una connessione, avvia il servizio relativo per determinare il servizio associato ad un port number viene consultato il file etc/services, strutturato come segue ftp-data 20/tcp ftp 21/tcp telnet 23/tcp questo super-demone non e stato originariamente pensato per problematiche di sicurezza, bensi per motivazioni legate all uso efficiente delle risorse

32 Configurazione di inetd le informazioni di configurazione per inetd vengono mantenute nel file /etc/inetd.conf per ogni servizio controllato viene specificata una linea contenente i seguenti campi il nome del servizio, come specificato tramite il file /etc/services la tipologia di socket relativa (es. stream) il protocollo livello socket (es. TCP) un flag (wait/nowait) che indica se il servizio va eseguito con attesa o in concorrenza piena l identificazione dell utente a cui associare l istanza del processo server (es. root) l ubicazione dell eseguibile per il processo server (es. /usr/sbin/telnetd) ed eventuali parametri per esso

33 Caratteristiche di xinetd estende le funzionalita di inetd come segue controllo di accesso basato su indirizzo, nome o dominio dell host remoto controllo di accesso basato su segmenti di tempo registrazione completa delle connessioni, inclusi successi e fallimenti prevenzione di attacchi DOS tramite definizione di un limite su numero di istanze di server per un determinato servizio numero di istanze di server totali dimensione dei file di log numero di connessioni avviate da una singola macchina il file di configurazione e /etc/xinetd.conf e puo essere generato in modo automatico a partire da /etc/inetd.conf tramite l utility PERL xconv.pl

34 Contenitori TCP: tcpd il demome tcpd viene avvolto intorno a specifici servizi gestiti tramite inetd, al fine di implementare controllo di accesso tcpd e il server lanciato ad ogni richiesta pervenuta an inetd tcpd riceve come parametri la specifica del servizio richiesto, e quindi la possibilita di risalire al relativo eseguibile la gestione dei servizi avviene tramite delle regole codificate nei file /etc/hosts.deny e /etc/hosts.allow questi file descrivono per ogni servizio, gli host non ammessi o ammessi al servizio stesso ogni riga dei file ha la forma daemon_list : client_list la stringa ALL identifica il set di tutti i servizi gestiti da inetd, e di tutti gli host un esempio (accesso a tutti i servizi inetd dall host locale) # /etc/hosts.allow ALL:

35 Contraffazione del reverse DNS in genere la specifica degli host (o domini ammessi) avviene tramite nomi simbolici (non solo indirizzi IP) all atto della connessione, tcpd verifica l indirizzo IP della sorgente ed effettua una richiesta di reverse DNS al fine di ottenere il nome simbolico dell host sorgente un attaccante puo contraffare l operazione di reverse DNS per figurare un nome simbolico lecito per la sua macchina per ovviare a tale problema, tcpd tipicamente esegue sia il forwards DNS che il reverse DNS su IP e nome in modo da verificare la veridicita del nome

36 Contromisure sulla contraffazione del reverse DNS client IP x.y.z.h inetd reverse IP to name DNS se uguale a x.y.z.h l accesso viene abilitato, altrimenti viene negato tcpd forward name to IP

37 Firewall un Firewall e un particolare router che effettua il filtraggio dei pacchetti per un Firewall un indirizzo è una terna <protocollo,indirizzo IP,port number>, dove port number ha senso se il protocollo è TCP o UDP in fase di configurazione si introducono delle regole che specificano quali pacchetti possono attraversare il Firewall, basandosi sull' indirizzo del mittente o della destinazione del pacchetto in questa maniera il Firewall può ad esempio permettere il passaggio solo a pacchetti TCP che abbiano come porta di destinazione la porta 80 (porta HTTP standard) della macchina dove risiede il web server in tal modo si puo disabilitare la macchina dove risiede il web server ad accettare connessioni telnet o ftp da macchine esterne alla rete controllata dal Firewall questo puo avvenire senza intervenire sulla configurazione delle singole applicazioni

38 Ispezioni statefull sui firewall recenti tecniche per i firewall permettono non solo di verificare il livello dei pacchetti ma anche di verificare il comportamento del protocollo applicativo supportato tramite lo scambio dei pacchetti questo tipo di monitoraggio viene denominato ispezione statefull ad ogni port number viene associato quindi un protocollo di livello applicativo da monitorare (es. HTTP nel caso di port number 80) il firewall verifica quindi anche lo scambio dei dati segua delle regole relative ad un processo noto ed abilitato questo permette un certo grado di protezione nei confronti di compromissioni del processo server

39 Sistemi operativi sicuri un sistema operativo sicuro si differenzia da un sistema operativo convenzionale nella granularita con la quale e possibile impostare i permessi di accesso alle risorse in tal modo, un aggressore (incluso un utente lecito del sistema) ha una scarsa possibilita di fare i danni (in termini di accesso/manipolazione di informazioni o instabilita /inutilizzabilita del sistema) che farebbe su un sistema convenzionale esempi di sistemi operativi sicuri sono SELINUX (della NSA) e SecurLinux (della HP) i sistemi operativi sicuri si basano sulla nozione di dominio di protezione

40 Domini di protezione DEFINIZIONE: un dominio di protezione è un insieme di coppie <risorsa, modalità> se una risorsa non compare nel dominio di protezione associato ad un utente o programma, questo non può accedervi se invece compare, questo può accedervi solo nelle modalità specificate nel dominio la filosofia quindi dei sistemi operativi che implementano i domini di protezione è quella di associare ad ogni programma ed utente il minimo livello di privilegi necessari per l' esecuzione del proprio compito

41 in alcuni di questi sistemi operativi il dominio di protezione è associato non al livello del programma ma al livello del processo. il vantaggio di questo approccio è che il dominio può variare nel tempo (tipicamente per riduzione dei privilegi) quindi se in esecuzione sono presenti vari processi istanza del medesimo programma, questi non sono vincolati ad avere lo stesso dominio di protezione in questa maniera quando un processo è arrivato ad un punto in cui non ha più bisogno di accedere ad una risorsa, può ridurre i suoi privilegi, senza compromettere il funzionamento degli altri processi (che magari necessitano di quella risorsa)

42 Vantaggi dei domini di protezione supponiamo che un aggressore sia riuscito ad entrare nel sistema scavalcando le procedure di autenticazione, ad esempio attraverso un bug presente in un programma la possibilità che ha di fare dei danni è limitata al dominio di protezione del processo attraverso cui è riuscito ad ottenere l'ingresso nel sistema se ad esempio un aggressore riesce ad entrare in un sistema attraverso il web server, non riuscirà comunque a fare danni (o comunque i danni saranno limitati all'interno del dominio del web server)

43 Politiche per la sicurezza DEFINIZIONE: una politica di sicurezza si dice discrezionaria se gli utenti ordinari possono essere coinvolti nella definizione delle funzioni della politica e o nell' assegnazione degli attributi di sicurezza DEFINIZIONE: una politica di sicurezza si dice mandatoria o non discrezionale se la definizione della logica della politica e l'assegnazione degli attributi di sicurezza sono strettamente controllate da un amministratore di politiche di sicurezza di sistema

44 Politiche per la sicurezza e SO sicuri un sistema operativo sicuro non si deve limitare soltanto a implementare i domini di protezione, ma deve anche implementare politiche di sicurezza mandatorie se infatti per un utente fosse possibile aggiungere voci al suo dominio di protezione, questi ultimi non avrebbero alcun senso, se invece gli fosse possibile togliere delle voci da tali domini, potrebbero esserci dei malfunzionamenti (sistema non utilizzabile) i sistemi operativi più comunemente utilizzati, ovvero i sistemi Windows e Unix-like, non offrono alcuna politica di sicurezza mandatoria, ma offrono solo politiche di sicurezza discrezionaria (es. gli utenti stabiliscono i permessi di accesso ai file)

45 Amministratore di un SO (sicuro) in un sistema operativo non sicuro (es Windows e UNIX convenzionali) un amministratore di sistema puo avere accesso a qualsiasi risorsa in qualsiasi momento se un attaccante sovverte il sistema (vedremo tra breve come possa essere possibile) ed acquisice il permesso di amministratore allora puo creare qualsiasi tipo di danno in un sistema operativo sicuro in cui i domini massimi siano definiti anche per l utente amministratore e attivati all avvio del sistema questo non puo accadere

46 Attacchi interni al sistema un attacco si dice interno ad un sistema se esso e apportato da un attaccante che per qualche motivo interagisce con un applicazione gia operativa nel sistema stesso tale attaccante potrebbe per esempio essere un utente lecito del sistema stesso oppure un individuo il quale ha violato un account lecito gli attacchi interni al sistema si distinguono nelle seguenti tipologie cavalli di troia login spoofing bombe logiche porte nascoste buffer overflow (exploit)

47 Cavalli di troia un cavallo di troia consiste in un modulo software incluso in un programma apparentemente innocuo, o attivato in circostanze apparentemente innocue, che serve invece ad eseguire azioni illecite per attivare un cavallo di troia e necessaro che il programma che lo contiene venga eseguito questo puo avvenire in vari modi: il modulo puo essere contenuto in un programma reperibile via rete (in tal caso l autore del cavallo di troia non deve neanche violare il sistema in oggetto) il programma che contiene il cavallo di troia puo essere installato in directory tipiche per il PATH di una shell, in modo che esso venga chiamato al posto del corrispettivo comando originale avente lo stesso nome

48 il programma contenente il cavallo di troia potrebbe essere istallato in directory secondarie per il PATH, ma con nome corrispondente a classici errori di battitura (es la per ls) il programma contenente il cavallo di troia potrebbe essere istallato sulla home di un utente X con nome pari a quello di un classico comando in modo che se il superuser esegue quel comando una volta portatosi su tale home directory di fatto attiva il cavallo di troia (questo poiche alcune shell ricercano i comandi prima nel direttorio corrente) come azioni classiche i cavalli di troia tendono ad eseguire task che permettano all attacante di ripenetrare/sovvertire facilmente il sistema in futuro (es. settando il bit SETUID sul programma shell nel caso il cavallo di troia sia attivato dal superuser)

49 Login spoofing questo attacco viene realizzato da un attaccante attivo nel sistema che esegua un programma che simula il programma di login standard il questo caso un utente ignaro interagisce con tale programma il quale pero non fa altro che registrare login e password su un file e poi terminare la sessione (es. tramite un segnale) in tal caso l utente crede di aver commesso un errore nel digitare la password che invece e stata registrata per uso futuro dall attaccante per proteggersi da questo attacco e necessario che l accesso al software di autenticazione avvenga tramite un evento che venga gestito direttamente dal kernel (es CTRL-ALT-DEL su sistemi Windows)

50 Bombe logiche e una porzione di software tipicamente inserita in un programma da un utente ammesso al sistema questa rimane innocua se il relativo programma riceve periodicamente determinati input dall utente se inprovvisamente l utente perde i permessi di accesso al sistema, l input non viene fornito e la bomba logica esplode creando eventualmente danni al sistema questo attacco era tipico di utenti leciti ricattatori, come ad esempio programmatori disonesti

51 Porte nascoste sono porzioni di software inserite in programmi in modo da ottenere, sotto certe condizioni (ad esempio per l input) un comportamento non conforme alla specifica ma fraudolento edi aiuto per l attaccante ad esempio, si possono inserire condizioni dipendenti dall input per baypassare dei controlli sugli accessi anche questo tipo di attacco puo essere proprio di utenti legittimi ma disonesti sia le porte nascoste che le bombe logiche possono essere prevenute tramite la verifica del codice incrociata tra piu programmatori

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Lezione 7 Sicurezza delle informazioni

Lezione 7 Sicurezza delle informazioni Lezione 7 Sicurezza delle informazioni Sommario Concetti generali Meccanismi per la sicurezza IT: Crittografia Hash Firma digitale Autenticazione 1 Concetti generali Availability Confidentiality Integrity

Dettagli

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS

Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Elementi di Sicurezza e Privatezza Lezione 10 Firewall and IDS Chiara Braghin chiara.braghin@unimi.it Firewall Firewall Sistema di controllo degli accessi che verifica tutto il traffico in transito Consente

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! Marco Mezzalama Politecnico di Torino collegamenti e transazioni

Dettagli

Sicurezza nelle reti

Sicurezza nelle reti Sicurezza nelle reti A.A. 2005/2006 Walter Cerroni Sicurezza delle informazioni: definizione Garantire la sicurezza di un sistema informativo significa impedire a potenziali soggetti attaccanti l accesso

Dettagli

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 18 febbraio 2014

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 18 febbraio 2014 Tempo a disposizione: 70 minuti. Libri e appunti chiusi. Vietato comunicare con chiunque. Vietato l'uso di smartphone, calcolatrici e affini. 1. Protocolli crittografici. 1.1. Fornisci un esempio di protocollo

Dettagli

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer : applicazioni telematiche Secure Socket Layer E-commerce Trading on-line Internet banking... Protocollo proposto dalla Netscape Communications Corporation Garantisce confidenzialità e affidabilità delle

Dettagli

Inetd e TCP Wrappers

Inetd e TCP Wrappers Inetd e TCP Wrappers Daniele Venzano 3 ottobre 2003 Indice 1 Introduzione 1 2 Inetd 2 2.1 Il file di configurazione /etc/inetd.conf.................... 2 2.1.1 Nome del servizio............................

Dettagli

Implicazioni sociali dell informatica

Implicazioni sociali dell informatica Fluency Implicazioni sociali dell informatica Capitolo 10 Privacy I nostri corpi I nostri luoghi Le informazioni Le comunicazioni personali La privacy Con i moderni dispositivi è possibile violare la privacy

Dettagli

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C.

Crittografia. Crittografia Definizione. Sicurezza e qualità dei servizi su internet. 2009 Università degli Studi di Pavia, C. Definizione La crittografia è la scienza che utilizza algoritmi matematici per cifrare e decifrare i dati. La criptoanalisi è la scienza che analizza e decifra i dati crittografati senza conoscerne a priori

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

Cenni sulla Sicurezza in Ambienti Distribuiti

Cenni sulla Sicurezza in Ambienti Distribuiti Cenni sulla Sicurezza in Ambienti Distribuiti Cataldo Basile < cataldo.basile @ polito.it > Politecnico di Torino Dip. Automatica e Informatica Motivazioni l architettura TCP/IPv4 è insicura il problema

Dettagli

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing

UDP. Livello di Trasporto. Demultiplexing dei Messaggi. Esempio di Demultiplexing a.a. 2002/03 Livello di Trasporto UDP Descrive la comunicazione tra due dispositivi Fornisce un meccanismo per il trasferimento di dati tra sistemi terminali (end user) Prof. Vincenzo Auletta auletta@dia.unisa.it

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Indice. Prefazione. Presentazione XIII. Autori

Indice. Prefazione. Presentazione XIII. Autori INDICE V Indice Prefazione Presentazione Autori XI XIII XV Capitolo 1 Introduzione alla sicurezza delle informazioni 1 1.1 Concetti base 2 1.2 Gestione del rischio 3 1.2.1 Classificazione di beni, minacce,

Dettagli

Sicurezza dei calcolatori e delle reti

Sicurezza dei calcolatori e delle reti Sicurezza dei calcolatori e delle reti Proteggere la rete: tecnologie Lez. 11 A.A. 2010/20011 1 Firewall I firewall sono probabilmente la tecnologia per la protezione dagli attacchi di rete più diffusa

Dettagli

Universita' di Ferrara Dipartimento di Matematica e Informatica. Algoritmi e Strutture Dati. Funzioni Hash e Network Security

Universita' di Ferrara Dipartimento di Matematica e Informatica. Algoritmi e Strutture Dati. Funzioni Hash e Network Security Universita' di Ferrara Dipartimento di Matematica e Informatica Algoritmi e Strutture Dati Funzioni Hash e Network Security Vedi: A.S. Tanenbaum, Computer Networks, 4th ed., Prentice Hall: sez. 8, pagg.

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

La rete è una componente fondamentale della

La rete è una componente fondamentale della automazioneoggi Attenti alle reti La telematica si basa prevalentemente sulle reti come mezzo di comunicazione per cui è indispensabile adottare strategie di sicurezza per difendere i sistemi di supervisione

Dettagli

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali.

Introduzione. Sicurezza. Il Problema della Sicurezza. Molte aziende possiedono informazioni preziose che mantengono confidenziali. Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi Introduzione Molte aziende possiedono informazioni

Dettagli

Sicurezza. Sistemi Operativi 17.1

Sicurezza. Sistemi Operativi 17.1 Sicurezza Il Problema della Sicurezza L Autenticazione I Pericoli Messa in Sicurezza dei Sistemi Scoperta delle Intrusioni Crittografia Windows NT Exploit famosi 17.1 Introduzione Molte aziende possiedono

Dettagli

Reti basate sulla stack di protocolli TCP/IP

Reti basate sulla stack di protocolli TCP/IP Reti basate sulla stack di protocolli TCP/IP Classe V sez. E ITC Pacioli Catanzaro lido 1 Stack TCP/IP Modello TCP/IP e modello OSI Il livello internet corrisponde al livello rete del modello OSI, il suo

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it

Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing. Chiara Braghin chiara.braghin@unimi.it Elementi di Sicurezza e Privatezza Laboratorio 6 - Sniffing Chiara Braghin chiara.braghin@unimi.it Sniffing (1) Attività di intercettazione passiva dei dati che transitano in una rete telematica, per:

Dettagli

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena

Alessandro Bulgarelli. Riccardo Lancellotti. WEB Lab Modena Sicurezza in rete: vulnerabilità, tecniche di attacco e contromisure Alessandro Bulgarelli bulgaro@weblab.ing.unimo.it Riccardo Lancellotti riccardo@weblab.ing.unimo.it WEB Lab Modena Pagina 1 Black hat

Dettagli

1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/2014. 1.1 Lato client

1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/2014. 1.1 Lato client RETI INFORMATICHE - SPECIFICHE DI PROGETTO A.A. 2013/2014 1. RETI INFORMATICHE CORSO DI LAUREA IN INGEGNERIA INFORMATICA SPECIFICHE DI PROGETTO A.A. 2013/2014 Il progetto consiste nello sviluppo di un

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

Il Livello delle Applicazioni

Il Livello delle Applicazioni Il Livello delle Applicazioni Il livello Applicazione Nello stack protocollare TCP/IP il livello Applicazione corrisponde agli ultimi tre livelli dello stack OSI. Il livello Applicazione supporta le applicazioni

Dettagli

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti.

Sicurezza delle reti. Monga. L autenticazione in rete Password Altre credenziali OTP Metodi crittografici. Pericoli. Sicurezza delle reti. 1 Mattia Lezione XIX: Dip. di Informatica e Comunicazione Università degli Studi di Milano, Italia mattia.monga@unimi.it a.a. 2010/11 1 c 2011 M.. Creative Commons Attribuzione-Condividi allo stesso modo

Dettagli

IDS: Intrusion detection systems

IDS: Intrusion detection systems IDS/IPS/Honeypot IDS: Intrusion detection systems Tentano di rilevare: attività di analisi della rete tentativi di intrusione intrusioni avvenute comportamenti pericolosi degli utenti traffico anomalo

Dettagli

Password. Password. Password. Autenticazione utente. Caratteristiche. Sistemi di autenticazione: principi

Password. Password. Password. Autenticazione utente. Caratteristiche. Sistemi di autenticazione: principi Autenticazione utente Che bocca grande che hai! Sistemi di autenticazione: principi Qualcosa che l utente POSSIEDE cose fisiche o elettroniche, apriti sesamo Qualcosa che l utente CONOSCE. password, PIN,

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

I Principali Servizi del Protocollo Applicativo

I Principali Servizi del Protocollo Applicativo 1 I Principali Servizi del Protocollo Applicativo Servizi offerti In questa lezione verranno esaminati i seguenti servizi: FTP DNS HTTP 2 3 File Transfer Protocol Il trasferimento di file consente la trasmissione

Dettagli

RETI DI CALCOLATORI. Crittografia. La crittografia

RETI DI CALCOLATORI. Crittografia. La crittografia RETI DI CALCOLATORI Crittografia La crittografia La crittografia è la scienza che studia la scrittura e la lettura di messaggi in codice ed è il fondamento su cui si basano i meccanismi di autenticazione,

Dettagli

Sicurezza dei sistemi e delle reti Introduzione

Sicurezza dei sistemi e delle reti Introduzione Sicurezza dei sistemi e delle reti Introduzione Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Riferimenti! Cap. 8 di Reti di calcolatori e Internet. Un approccio topdown, J.

Dettagli

Robustezza crittografica della PEC

Robustezza crittografica della PEC Robustezza crittografica della PEC Prof. Massimiliano Sala Università degli Studi di Trento, Lab di Matematica Industriale e Crittografia Trento, 21 Novembre 2011 M. Sala (Università degli Studi di Trento)

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! collegamenti e transazioni sicure Il contesto applicativo Commercio

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

metodi crittografici 2006-2007 maurizio pizzonia sicurezza dei sistemi informatici e delle reti

metodi crittografici 2006-2007 maurizio pizzonia sicurezza dei sistemi informatici e delle reti metodi crittografici 1 sommario richiami di crittografia e applicazioni hash crittografici crittografia simmetrica crittografia asimmetrica attacchi e contromisure attacchi tipici key rollover generatori

Dettagli

Realizzazione di una Infrastruttura di Sicurezza

Realizzazione di una Infrastruttura di Sicurezza Realizzazione di una Infrastruttura di Sicurezza Andrea Lanzi, Lorenzo Martignoni e Lorenzo Cavallaro Dipartimento di Informatica e Comunicazione Facoltà di Scienze MM.FF.NN. Università degli Studi di

Dettagli

Autenticazione utente con Smart Card nel sistema Linux

Autenticazione utente con Smart Card nel sistema Linux Autenticazione utente con Smart Card nel sistema Linux Autenticazione con Speranza Diego Frasca Marco Autenticazione Linux Basata su login-password - ogni utente ha una sua login ed una sua password che

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf

inetd (the Internet Superserver) Servizi di rete inetd (the Internet Superserver) inetd.conf Servizi di rete Nota: per riavviare un demone, qualsiasi esso sia, nei sistemi con init SystemV basta oppure, in molti casi, che forza il demone a rileggere i file di configurazione. Questo meccanismo

Dettagli

Corso di Sicurezza Informatica. Sicurezza di Sistema. Ing. Gianluca Caminiti

Corso di Sicurezza Informatica. Sicurezza di Sistema. Ing. Gianluca Caminiti Corso di Sicurezza Informatica Sicurezza di Sistema Ing. Gianluca Caminiti Intrusioni e Gestione delle password Sommario Intrusioni Rilevazione delle intrusioni Prevenzione delle intrusioni Gestione delle

Dettagli

Prof. Filippo Lanubile

Prof. Filippo Lanubile Firewall e IDS Firewall Sistema che costituisce l unico punto di connessione tra una rete privata e il resto di Internet Solitamente implementato in un router Implementato anche su host (firewall personale)

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Problemi legati alla sicurezza e soluzioni

Problemi legati alla sicurezza e soluzioni Corso DOMOTICA ED EDIFICI INTELLIGENTI UNIVERSITA DI URBINO Docente: Ing. Luca Romanelli Mail: romanelli@baxsrl.com Accesso remoto ad impianti domotici Problemi legati alla sicurezza e soluzioni Domotica

Dettagli

Controllo remoto di SPEEDY

Controllo remoto di SPEEDY UNIVERSITÀ DI BRESCIA FACOLTÀ DI INGEGNERIA Dipartimento di Elettronica per l Automazione Laboratorio di Robotica Avanzata Advanced Robotics Laboratory Corso di Robotica (Prof. Riccardo Cassinis) Controllo

Dettagli

Seminario Teoria dei Codici - Elezioni elettroniche

Seminario Teoria dei Codici - Elezioni elettroniche Seminario Teoria dei Codici - Elezioni elettroniche Daniele Venzano (venza@iol.it) 10 settembre 2003 Sommario Il seminario è diviso in due parti, nella prima verranno esposti alcuni protocolli di complessità

Dettagli

REMUS REference Monitor for Unix Systems

REMUS REference Monitor for Unix Systems REMUS REference Monitor for Unix Systems http://remus.sourceforge.net/ Massimo Bernaschi IAC-CNR, CNR, Roma Luigi V. Mancini Dipartimento di Informatica Università La Sapienza di Roma Collaboratori: Ivano

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali

PROGETTO - Ingegneria del Software. Università degli Studi di Milano Polo di Crema. Corso di laurea in Scienze Matematiche, Fisiche e Naturali Università degli Studi di Milano Polo di Crema Corso di laurea in Scienze Matematiche, Fisiche e Naturali INFORMATICA Corso di Ingegneria del Software progetto IL SISTEMA CALENDAR Presentato al dott. Paolo

Dettagli

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 18 febbraio 2014. Usa questa pagina per la brutta, staccala, non consegnarla.

Cognome: Nome: Matricola: Sicurezza dei sistemi informatici e delle reti 18 febbraio 2014. Usa questa pagina per la brutta, staccala, non consegnarla. Usa questa pagina per la brutta, staccala, non consegnarla. 1 Usa questa pagina per la brutta, staccala, non consegnarla. 2 Tempo a disposizione: 70 minuti. Libri e appunti chiusi. Vietato comunicare con

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI

TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI TECNOLOGIE E PROGETTAZIONE DI SISTEMI INFORMATICI E DI TELECOMUNICAZIONI Confronto tra ISO-OSI e TCP/IP, con approfondimento di quest ultimo e del livello di trasporto in cui agiscono i SOCKET. TCP/IP

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

Gestione e sicurezza nelle reti di calcolatori

Gestione e sicurezza nelle reti di calcolatori Reti di calcolatori Gestione e sicurezza nelle reti di calcolatori Samuel Rota Bulò DAIS Università Ca Foscari di Venezia Gestione e sicurezza R14.1 Gestione della rete Controllo e monitoring della rete,

Dettagli

Modulo 9. Sicurezza nei sistemi Unix Utenti e gruppi in Unix (1/2)

Modulo 9. Sicurezza nei sistemi Unix Utenti e gruppi in Unix (1/2) Pagina 1 di 11 Sicurezza nei sistemi Unix Utenti e gruppi in Unix (1/2) In questa lezione tratteremo di alcuni concetti di sicurezza tipici dei sistemi Unix. In particolare, questi sistemi definiscono

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.

Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3. Settore delle carte di pagamento (PCI) Standard di protezione dei dati (DSS) Riepilogo delle modifiche di PCI DSS dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente documento contiene un

Dettagli

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet)

firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) <gottardi@ailinux.org> firecmp Loadable Kernel Module A u t h o r : Giuseppe Gottardi (overet) Version: 1.0 Giuseppe Gottardi (overet), laureando in Ingegneria Elettronica presso l Università Politecnica

Dettagli

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova

Dipartimento di Informatica e Scienze dell Informazione. OpenSSH. Simon Lepore. Corso di Sicurezza. DISI, Universita di Genova Dipartimento di Informatica e Scienze dell Informazione OpenSSH Simon Lepore Corso di Sicurezza DISI, Universita di Genova Via Dodecaneso 35, 16146 Genova, Italia http://www.disi.unige.it 1 Contenuti Introduzione...3

Dettagli

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci

CORSO DI RETI SSIS. Lezione n.2. 2 Novembre 2005 Laura Ricci CORSO DI RETI SSIS Lezione n.2. 2 Novembre 2005 Laura Ricci IL DOMAIN NAME SYSTEM (DNS) Indirizzi IP poco adatti per essere memorizzati da utenti umani è prevista la possibiltà di associare nomi simbolici

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

CdL MAGISTRALE in INFORMATICA

CdL MAGISTRALE in INFORMATICA 05/11/14 CdL MAGISTRALE in INFORMATICA A.A. 2014-2015 corso di SISTEMI DISTRIBUITI 7. I processi : il naming Prof. S.Pizzutilo Il naming dei processi Nome = stringa di bit o di caratteri utilizzata per

Dettagli

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address

Classe bit: 0 1 2 3 4 8 16 24 31. 0 net id host id. 1 0 net id host id. 1 1 0 net id host id. 1 1 1 0 multicast address CAPITOLO 11. INDIRIZZI E DOMAIN NAME SYSTEM 76 Classe bit: 0 1 2 3 4 8 16 24 31 A B C D E 0 net id host id 1 0 net id host id 1 1 0 net id host id 1 1 1 0 multicast address 1 1 1 1 0 riservato per usi

Dettagli

Implementazione del File System

Implementazione del File System Implementazione del file system Implementazione del File System Struttura del file system. Realizzazione del file system. Implementazione delle directory. Metodi di allocazione. Gestione dello spazio libero.

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

Elementi sull uso dei firewall

Elementi sull uso dei firewall Laboratorio di Reti di Calcolatori Elementi sull uso dei firewall Carlo Mastroianni Firewall Un firewall è una combinazione di hardware e software che protegge una sottorete dal resto di Internet Il firewall

Dettagli

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com

NETASQ V9: PKI & Controllo accessi. Presentation Marco Genovese Presales engineer marco.genovese@netasq.com NETASQ V9: PKI & Controllo accessi Presentation Marco Genovese Presales engineer marco.genovese@netasq.com Alcuni concetti Alcuni concetti prima di incominciare per chiarire cosa è una PKI e a cosa serve

Dettagli

Capitolo 8 La sicurezza nelle reti

Capitolo 8 La sicurezza nelle reti Capitolo 8 La sicurezza nelle reti Reti di calcolatori e Internet: Un approccio top-down 4 a edizione Jim Kurose, Keith Ross Pearson Paravia Bruno Mondadori Spa 2008 Capitolo 8: La sicurezza nelle reti

Dettagli

Architetture e strumenti per la sicurezza informatica

Architetture e strumenti per la sicurezza informatica Università Politecnica delle Marche Architetture e strumenti per la sicurezza informatica Ing. Gianluca Capuzzi Agenda Premessa Firewall IDS/IPS Auditing Strumenti per l analisi e la correlazione Strumenti

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Firewall Intrusion Detection System

Firewall Intrusion Detection System Firewall Intrusion Detection System Damiano Carra Università degli Studi di Verona Dipartimento di Informatica Parte I: Firewall 2 Firewall! I Firewall di rete sono apparecchiature o sistemi che controllano

Dettagli

Manuale d esercizio «File Transfer Client» File Delivery Services

Manuale d esercizio «File Transfer Client» File Delivery Services Manuale d esercizio «File Transfer Client» File Delivery Services Editore Posta CH SA Tecnologia dell informazione Webergutstrasse 12 CH-3030 Berna (Zollikofen) Contatto Posta CH SA Tecnologia dell informazione

Dettagli

ALGORITMI CRITTOGRAFICI E FIRMA DIGITALE

ALGORITMI CRITTOGRAFICI E FIRMA DIGITALE ALGORITMI CRITTOGRAFICI E FIRMA DIGITALE LA SICUREZZA INFORMATICA...2 Classificazione dei meccanismi di sicurezza...3 TECNICHE DI SICUREZZA DEI DATI...4 LA CRITTOGRAFIA...4 Che cos è la Crittografia? E

Dettagli

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza Esigenza della sicurezza La sicurezza nei sistemi informatici Nasce dalla evoluzione dei Sistemi Informatici e del contesto nel quale operano Maggiore importanza nei processi aziendali Dalla produzione

Dettagli

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela Crittografia e sicurezza delle reti Alberto Marchetti Spaccamela Crittografia e sicurezza Sicurezza e crittografia sono due concetti diversi Crittografia tratta il problema della segretezza delle informazioni

Dettagli

TCP/IP. Principali caratteristiche

TCP/IP. Principali caratteristiche TCP/IP Principali caratteristiche 1 TCP/IP Caratteristiche del modello TCP/IP Struttura generale della rete Internet IL MONDO INTERNET Reti nazionali e internazionali ROUTER Rete Azienade ROUTER ROUTER

Dettagli

Recente aumento della diffusione di virus Malware

Recente aumento della diffusione di virus Malware Recente aumento della diffusione di virus Malware Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente Malware che hanno come scopo principale

Dettagli

Sicurezza in Internet

Sicurezza in Internet Sicurezza in Internet Mario Cannataro cannataro@unicz.it 1 Sommario Internet, Intranet, Extranet Servizi di filtraggio Firewall Servizi di sicurezza Autenticazione Riservatezza ed integrità delle comunicazioni

Dettagli

Modulo 8. Architetture per reti sicure Terminologia

Modulo 8. Architetture per reti sicure Terminologia Pagina 1 di 7 Architetture per reti sicure Terminologia Non esiste una terminologia completa e consistente per le architetture e componenti di firewall. Per quanto riguarda i firewall sicuramente si può

Dettagli

Funzionamento del protocollo FTP

Funzionamento del protocollo FTP Alunno:Zamponi Claudio Numero matricola:4214118 Corso: Ingegneria Informatica Funzionamento del protocollo FTP L'FTP, acronimo di File Transfert Protocol (protocollo di trasferimento file), è uno dei protocolli

Dettagli

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione

Sicurezza della comunicazione. Proprietà desiderabili. Segretezza. Autenticazione Sicurezza della comunicazione Proprietà desiderabili Segretezza Autenticazione 09CDUdc Reti di Calcolatori Sicurezza nelle Reti Integrità del messaggio Segretezza Il contenuto del messaggio può essere

Dettagli

La sicurezza nel Web

La sicurezza nel Web La sicurezza nel Web Protezione vs. Sicurezza Protezione: garantire un utente o un sistema della non interazione delle attività che svolgono in unix ad esempio i processi sono protetti nella loro esecuzione

Dettagli

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Il File System È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Le operazioni supportate da un file system sono: eliminazione di dati modifica

Dettagli

Informatica per la comunicazione" - lezione 13 -

Informatica per la comunicazione - lezione 13 - Informatica per la comunicazione" - lezione 13 - Funzionamento di una password" 1: l utente tramite il suo browser richiede l accesso a una pagina del server; 2: il server richiede il nome utente e la

Dettagli

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa.

Firewall. Alfredo De Santis. Maggio 2014. Dipartimento di Informatica Università di Salerno. ads@dia.unisa.it http://www.dia.unisa. Firewall Alfredo De Santis Dipartimento di Informatica Università di Salerno ads@dia.unisa.it http://www.dia.unisa.it/professori/ads Maggio 2014 Pacchetti I messaggi sono divisi in pacchetti I pacchetti

Dettagli

DNS-Tunneling. Reference to. Ettore di Giacinto Luca Montunato http://www.pilug.org

DNS-Tunneling. Reference to. Ettore di Giacinto Luca Montunato http://www.pilug.org DNS-Tunneling Reference to Ettore di Giacinto Luca Montunato http://www.pilug.org Se, in un sistema, è possibile trasmettere bits ad un altro, ed esso risponde a questa trasmissione, è praticamente impossibile

Dettagli

Capitolo 8 La sicurezza nelle reti

Capitolo 8 La sicurezza nelle reti Capitolo 8 La sicurezza nelle reti Reti di calcolatori e Internet: Un approccio top-down 4 a edizione Jim Kurose, Keith Ross All material copyright 1996-2007 J.F Kurose and K.W. Ross, All Rights Reserved

Dettagli

Crittografia e Protocolli di Sicurezza

Crittografia e Protocolli di Sicurezza Crittografia e Protocolli di Sicurezza Ing. Emilio Spinicci 07/04/2004 1 Argomenti della lezione Introduzione Principi di Crittografia Protocolli di Sicurezza Attacchi ai Protocolli di Sicurezza 07/04/2004

Dettagli

Protezione dei Dati Digitali: Scenari ed Applicazioni

Protezione dei Dati Digitali: Scenari ed Applicazioni Protezione dei Dati Digitali: Scenari ed Applicazioni 1 Sommario Parte I : Scenari Parte II : La Teoria Parte III: La Pratica 2 Parte I: Scenari 3 Applicazioni quotidiane (1/2) Transazioni finanziarie

Dettagli