Le mutazioni genetiche della sicurezza informatica nel tempo

Транскрипт

1 1 Le mutazioni genetiche della sicurezza informatica nel tempo Angelo Consoli Docente e ricercatore in Sicurezza e Data Communication Responsabile Laboratorio Sicurezza della SUPSI 2 La SICUREZZA é Y2K (millenium bug) ma senza una scadenza!

2 3 Le mutazioni genetiche della sicurezza informatica High Low Intruder Knowledge Attack Sophistication disabling audits self-replicating code password guessing back doors exploiting known vulnerabilities password cracking packet spoofing sniffers sweepers burglaries hijacking sessions stealth / advanced scanning techniques denial of service Cross site scripting distributed attack tools www attacks automated probes/scans GUI network mgmt. diagnostics Attackers Tools [CERT Coordination Center, 4 E necessaria una CULTURA della sicurezza!!! Il management della sicurezza deve evolvere nel tempo attorno a 3 diversi livelli di astrazione: Organizzativo Sistemi e applicazioni Infrastrutture di rete Organization Systems Networks

3 5 L origine delle minacce e dei problemi di sicurezza 6 Alcune tipologie di minacce Sicurezza dei sistemi e delle reti Sicurezza dei servizi (applicazioni, database) Mobile phones Virus Malware Trojan e affini Ingegneria sociale Sbadataggine (non solo di utenti) Mancanza di sensibilizzazione

4 7 Alcuni link utili Avvisi di minacce: Secunia advisories MELANI: Centrale d annuncio CH, con anche rapporti su evoluzione/tendenza Enciclopedia di virus e minacce con anche rapporti e tendenze News sulle minaccie: un must! Security Top Risks and Threats analysis 8 La sindrome del ma questo non succederà a me

5 9 e i suoi effetti 10 Sistemi di protezione e loro applicazione

6 11 L'interesse, le attività e il posizionamento della SUPSI Angelo Consoli Docente di Sicurezza e Data Communication Ricercatore Responsabile Laboratorio Sicurezza della SUPSI 12 Interessi, attività e posizionamento della SUPSI in ingegneria informatica Partecipazione alla rete di competenza CH in IT security Attività di ricerca Conferenze ed eventi Reti di competenza IT Security Progetti di ricerca Conferenze ed eventi

7 13 in ingegneria informatica La sicurezza informatica nella formazione di base Concetti teorici Studi di caso Esperienze in laboratorio Prodotti open source Prodotti proprietari (eterogeneità delle marche e soluzioni!) Piccoli progetti su temi di attualità La sicurezza informatica nel programma di formazione : Master of Advanced Studies in Computer Science (MACS) Certificate of Advanced Studies (CAS) in sicurezza informatica Partecipazione al master coordinato da tutte le SUP a livello svizzero Master of Science in Engineering 14 La sicurezza informatica nella formazione

8 15 La sicurezza informatica nella formazione 16 La sicurezza informatica nella formazione Evoluzione dell offerta formativa negli ultimi 12 anni

9 17 Rete di competenza CH ICT-Net: la rete di competenza in Information and Communication Technology Centro di competenza in Security and Privacy Security Management Reti di competenza Biometrics Cryptology Database security Networks and Systems security / Intrusion detection Anonymity IT-Forensics Web and Application security Security Audits and Consultancy 18 Attività di ricerca Progetti di ricerca A livello svizzero (programma svizzero KTI) A livello europeo (programmi europei (FP)) Mandati diretti dall industria Progetti di ricerca I partners Aziende attive nel settore della sicurezza informatica Aziende con idee innovative nel settore delle tecnologie e che necessitano delle competenze che SUPSI puó offrire Università della Svizzera Italiana

10 19 Attività di ricerca Alcuni progetti di ricerca: Progetti di ricerca Secure Networking Evaluation Board Generic development platform for secure wireless communication. Combine expertise in cryptography algorithm implementation and wireless communication. EVO Evolutionary Virtual Office Innovative working platform based on VPN technologies, particularly interesting for SMEs Web Minore Piattaforma securizzata nella quale minori e genitori possono giocare ed apprendere un uso consapevole e sicuro di internet. SENACA Senior Health Academy Für alle, die mit der Gesundheit zu tun haben. Für Gesundheitskompetenz und bewusste Prävention. 20 Conferenze, corsi esterni ed eventi Partecipazione a conferenze su temi legati alla sicurezza La sicurezza dei sistemi informativi La sicurezza nelle reti di comunicazione Sicurezza e QoS nei sistemi VoIP La sicurezza dei sistemi complessi Conferenze ed eventi Organizzazione di corsi specifici presso altri atenei Invito alla realizzazione congiunta di corsi di formazione per conto di altri atenei

11 21 Grazie dell attenzione! Reti di competenza IT Security Progetti di ricerca Conferenze ed eventi 22 Esperienze qui presenti VoIP Sniffing Da HTTPS a HTTP ARP poisoning (Man in the middle) Tunnel ICMP Attacchi wireless attacco a applicazioni web Facebook phishing Violazione della sicurezza delle infrastrutture Tests di vulnerabilità Esperienze in Laboratorio di Sicurezza VPN tunnels System Hardening Honeypot Sniffing di protocolli insicuri WEBMITM Attacco a password di Windows Attacco a switch e sistemi operativi Vulnerabilità di Windows tramite IE Vulnerabilità dei SO non aggiornati Violazione della sicurezza perimetrale Attacco a Windows Mobile Cifratura del sistema operativo o di partizioni Altre