LA SICUREZZA INFORMATICA



Documenti analoghi
VIDEOSORVEGLIANZA E CERTIFICAZIONE

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

I dati in cassaforte 1

PROGRAMMA CORSI PRIVACY 2013

La gestione della sicurezza nei rapporti con i fornitori esterni, G. Pontevolpe

Sicurezza informatica in azienda: solo un problema di costi?

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

SICUREZZA INFORMATICA

Il nuovo codice in materia di protezione dei dati personali

La sicurezza nella società digitale e nuovi modelli d uso ICT per la Pubblica Amministrazione

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Università degli Studi di Pisa Dipartimento di Informatica. NAT & Firewalls

Requisiti di controllo dei fornitori esterni

Faber System è certificata WAM School

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

PON FSE - Competenze per lo sviluppo Asse II Capacità istituzionale - Obiettivo H

Politica per la Sicurezza

PROFILO FORMATIVO Profilo professionale e percorso formativo

SICUREZZA INFORMATICA MINACCE

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Il glossario della Posta Elettronica Certificata (PEC) Diamo una definizione ai termini tecnici relativi al mondo della PEC.

PIANO PER LA SICUREZZA DEI DOCUMENTI INFORMATICI

Sommario IX. Indice analitico 331

ALLEGATO Esempio di questionario per la comprensione e valutazione del sistema IT

LINEE GUIDA PER LA PREDISPOSIZIONE DEL DOCUMENTO DI PROGETTO DEL SISTEMA DI GIOCO

VALUTAZIONE DEL LIVELLO DI SICUREZZA

Agenti Mobili Intelligenti e Sicurezza Informatica Utilizzare un nuovo paradigma applicativo per la realizzazione di sistemi informatici sicuri.

Audit & Sicurezza Informatica. Linee di servizio

L importanza di una corretta impostazione delle politiche di sicurezza

PEC un obbligo che semplifica

Le attività OASI per la sicurezza dei dati e dei sistemi, e per la compliance alle normative. Servizi Consulenza Formazione Prodotti

IT Security 3 LA SICUREZZA IN RETE

Documento Programmatico sulla sicurezza

Dott. Alessandro Rodolfi. Università degli Studi di Milano

INFORMATIVA SUL DIRITTO ALLA PRIVACY PER LA CONSULTAZIONE DEL SITO WEB

Sicurezza dei Sistemi Informatici Introduzione

Protezione delle informazioni in SMart esolutions

INFORMATICA GENERALE - MODULO 2 CdS in Scienze della Comunicazione. CRISTINA GENA cgena@di.unito.it

Identità e autenticazione

Domande e risposte su Avira ProActiv Community

La sicurezza delle reti

MANUALE DELLA QUALITA Revisione: Sezione 4 SISTEMA DI GESTIONE PER LA QUALITA

La soluzione software per Avvocati e Studi legali

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Soluzioni per archiviazione sicura di log di accesso server Windows. PrivacyLOG

La CASSAFORTE DIGITALE per

Proposte concernenti le strategie in materia di sicurezza informatica e delle telecomunicazioni per la pubblica amministrazione

Sicurezza nelle applicazioni multimediali: lezione 9, firewall. I firewall

Guida operativa per redigere il Documento programmatico sulla sicurezza (DPS)

Centro Tecnico per la Rete Unitaria della Pubblica Amministrazione

Le Soluzioni Tango/04 per adempiere alla normativa sugli amministratori di sistema

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo

CitySoftware PROTOCOLLO. Info-Mark srl

14 giugno 2013 COMPETENZE E QUALIFICHE DELL INSTALLATORE DI SISTEMI DI SICUREZZA. Ing. Antonio Avolio Consigliere AIPS All right reserved

Servizi di Sicurezza Informatica. Antivirus Centralizzato per Intranet CEI-Diocesi

MANUALE DELLA QUALITÀ Pag. 1 di 6

Lo scenario: la definizione di Internet

Gli standard e la certificazione di sicurezza ICT

LA SOLUZIONE. EVOLUTION, con la E LA TECNOLOGIA TRASPARENTE IL SOFTWARE INVISIBILE INVISIBILE ANCHE NEL PREZZO R.O.I. IMMEDIATO OFFERTA IN PROVA

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

INDICAZIONI GENERALI

Riconoscibilità dei siti pubblici: i domini della Pa e le regole di.gov.it

Gli aggiornamenti della normativa italiana e Il Codice dell Amministrazione digitale dlgs 82/05

Continuità operativa e disaster recovery nella pubblica amministrazione

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

SOFTWARE PER LA RILEVAZIONE PRESENZE SUL WEB

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

Protezione. Protezione. Protezione. Obiettivi della protezione

Sistemi Informativi e Sistemi ERP

Prof. Filippo Lanubile

PROTOCOLLO INFORMATIZZATO, PROTOCOLLO INFORMATICO E GESTIONE DOCUMENTALE. Maggio 2006

ALYFA.NET (Company profile)

Business continuity per la PA, G. Pontevolpe

Gestione in qualità degli strumenti di misura

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

Altre misure di sicurezza

SISTEMI RIS/PACS: AGGIORNAMENTI SUL TEMA

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Regione Piemonte Portale Rilevazioni Crediti EELL Manuale Utente

1 Presentazione progetti in modalità completamente digitale Descrizione delle modalità di presentazione dei progetti

Provincia Autonoma di Bolzano Disciplinare organizzativo per l utilizzo dei servizi informatici, in particolare di internet e della posta

e-government La Posta Elettronica Certificata

DPCM 31 OTTOBRE 2000 (G. U , SERIE GENERALE, N. 272) REGOLE TECNICHE PER IL PROTOCOLLO INFORMATICO DI CUI AL DECRETO DEL PRESIDENTE DELLA

MINISTERO DELL INTERNO ISTITUTO PER LA VIGILANZA Dipartimento della Pubblica Sicurezza CONVENZIONE

CARTA DEI SERVIZI. Premessa:

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

DURC Client 4 - Guida configurazione Firma Digitale. DURC Client 4.1.7

PRIVACY. Federica Savio M2 Informatica

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

Liceo Tecnologico. Indirizzo Informatico e Comunicazione. Indicazioni nazionali per Piani di Studi Personalizzati

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

Gestione della Sicurezza Informatica

La soluzione software per CdA e Top Management

IT SECURITY: Il quadro normativo di riferimento e la Certificazione BS ISO/IEC 17799

Intervento al Corso Università digitale. Filippo D Arpa. 14 Novembre 2011

Presidenza del Consiglio dei Ministri

Università degli Studi di Parma Dipartimento di Fisica La sicurezza aziendale a 360 La sicurezza periferica e ambientale

Transcript:

LA SICUREZZA INFORMATICA Ing. Gianfranco Pontevolpe CNIPA e-mail: pontevolpe@cnipa.it Programma Introduzione alla sicurezza La sicurezza di Internet Le protezioni 2 1

Programma Introduzione alla sicurezza La sicurezza di Internet Le protezioni 3 I servizi on line: le aspettative dei cittadini Fruibilità (interoperabilità) Efficienza Sicurezza affidabilità dello strumento elettronico tutela nei confronti di possibili truffe Utilizzo corretto delle informazioni (privacy) 4 2

Il compito di assicurare la sicurezza Riservatezza Integrità Disponibilità In quali condizioni? 5 Tre esempi in condizioni di normale operatività (sicurezza operativa) a fronte di atti dolosi (lotta al cyber crime) in presenza di eventi calamitosi (disaster recovery) 6 3

Sicurezza operativa Protezione nei confronti di problemi dovuti a errori eventi imprevisti comportamenti imprevisti Problematiche riconducibili a casi conosciuti Misure di tipo preventivo Obblighi legali (privacy) 7 Lotta al cyber crime Protezione nei confronti di problemi dovuti a azioni dimostrative (hacker) truffe sabotaggi/terrorismo Imprevedibilità del crimine (informatico e tradizionale) Importanza dell azione di polizia (computer forensic) 8 4

Disaster recovery Gestione di situazioni di emergenza Salvaguardia nei confronti di eventi calamitosi eventi eccezionali situazioni di fermo forzato e prolungato 9 La gestione della sicurezza Prima Durante Dopo Prevenzione protezioni disincentivazione Contrasto rilevamento filtro Recupero restore indagini 10 5

Le soluzioni problemi operativi cyber crime eventi eccezionali prevenzione Contingency plan Prove Siti di recovery Business continuity contrasto recupero Attivazione del piano di DR Gestione del disastro Rientro 11 La sicurezza negli anni 80 e 90 Protezione fisica degli elaboratori Perimetrazione logica del sistema informativo La sicurezza è compito degli addetti ai lavori, agli utenti viene solo chiesto di usare correttamente gli strumenti informatici 12 6

Il nuovo modello di sicurezza Ciò che caratterizza i sistemi odierni è la frequenza e l importanza degli scambi informativi con le realtà esterne I sistemi informativi non possono più essere gestiti con logica feudale Occorre modificare il modello di sicurezza basato sulla chiusura e sviluppare nuove forme di garanzie e tutele con il coinvolgimento di tutti coloro che partecipano a processi informatici 13 Programma Introduzione alla sicurezza La sicurezza di Internet Le protezioni 14 7

Due aspetti del problema Sicurezza della rete Internet Sicurezza dei sistemi connessi ad Internet 15 Il modello della rete a livelli applicazione trasporto rete data-link fisico TCP/IP 16 8

il modello della rete a livelli Dati utente applicaz. trasporto rete data-link Intestaz. Ethernet Intestaz. IP Intestaz. IP Intestaz. TCP Intestaz. TCP Intestaz. TCP Intestaz. applicaz. messaggio Intestaz. applicaz. segmento TCP Intestaz. applicaz. datagram IP Intestaz. applicaz. Dati utente Dati utente Dati utente Dati utente Coda Ethernet 14 Byte 20 Byte 20 Byte 4 Byte 17 Esempi di tecniche di attacco alla rete Previsione del numero di sequenza Dirottamento del protocollo TCP Attacchi a desincronizzazione attiva Attacco a dirottamento con postdesincronizzazione Tempesta di pacchetti TCP ACK 18 9

esempi di tecniche di attacco alla rete Attacco a desincronizzazione iniziale Attacco a desincronizzazione con dati nulli IP spoofing Spoofing dei messaggi di posta elettronica Hyperlink spoofing 19 Le minacce Accidentali Intenzionali Passive Attive 20 10

Attacchi: Sniffing CARTOLINA Tutte le persone che maneggiano una cartolina possono decidere di leggere il messaggio!!!! 21 Le misure di sicurezza ISO 7498-2 Identificazione ed autenticazione Controllo accessi Riservatezza Integrità Non ripudio 22 11

La gestione della sicurezza Prima Durante Dopo Prevenzione protezioni disincentivazione Contrasto rilevamento filtro Recupero restore indagini Misure di sicurezza Disciplina (cultura della sicurezza) Monitoraggio Audit trail Routing alternativo 23 La sicurezza della rete Internet Riservatezza Integrità Disponibilità 24 12

Due aspetti del problema Sicurezza della rete Internet Sicurezza dei sistemi connessi ad Internet 25 Un problema di fondo Raggiungibilità Apertura Accesso controllato Chiusura 26 13

Le vulnerabilità utilizzabili per gli attacchi Errori nelle configurazioni Errori nel software Errori umani Caratteristiche/vulnerabilità intrinseche dei sistemi 27 I problemi visibili Hacker (defacement) Hacker etico Cracker Phreacker DoS (Denial of Service) Virus/worm 28 14

I problemi non visibili Lettura di mail Lettura di documenti Mascheramento del sito Sabotaggio Furto di identità Furto dei n. di carte di credito 29 I sistemi connessi ad Internet Rete Privata Server Internet 10.34.230.3 432560 Firewall/ Router traduttore di indirizzi Provider 30 15

Minacce: Accessi indesiderati al sistema uso improprio e modifica dolosa delle informazioni accesso non autorizzato ai sistemi conoscenza fraudolente della password corruzione mascheramento utilizzo dei buchi del software lettura e decodifica dei dati durante il transito tra i sistemi celata partecipazione ad un processo comunicativo analisi statistica dei flussi di dati 31 Minacce: Accessi indesiderati al sistema danni al sistema informativo sabotaggi bombe logiche cavalli di troia mascheramento del login virus falsi update del software inserimento di informazioni non congruenti overflow di messaggi interruzione del collegamento stress dei sistemi 32 16

Minacce: Accessi indesiderati al sistema Per le aziende: esposizione a tutti i rischi derivanti dall apertura del sistema informativo possibilità di uso improprio del mezzo Internet da parte dei dipendenti Per gli utenti nuove truffe informatiche Per la collettività raccolta, da parte di privati, di informazioni statistiche di natura economica, sociale, politica, religiosa, ecc. 33 Gli attacchi Mascheramento Replay Modifica del messaggio Denial of Service Trapdoor Cavallo di Troia 34 17

Gli strumenti che utilizza l attaccante Hacker Software reperibile sulla Rete Altri truffatori Qualunque strumento 35 Attacchi WEB Spoofing IP Address 36 18

I firewall sono apparati in grado di filtrare il traffico di rete secondo criteri definiti dall utente consentono di ridurre il livello di apertura del sistema informativo senza rinunciare ai servizi comunicativi utili per l azienda mantengono traccia del traffico in ingresso ed uscita sono efficaci se l interazione tra le due reti è limitata 37 Configurazione tipica di un firewall Protezione mediante firewall Internet decine di migliaia di reti, milioni di utenti area insicura firewall sistema informativo aziendale area dmz firewall area sicura LAN e WAN 38 19

Configurazione tipica di un firewall Protezione mediante firewall Internet decine di migliaia di reti, milioni di utenti area insicura sistema informativo aziendale firewall area dmz area sicura LAN e WAN 39 Le 20 vulnerabilità più critiche per la sicurezza di Internet 1) Installazioni predefinite dei sistemi operativi e delle applicazioni 2) Account senza pw o con pw deboli 3) Backup inesistenti o incompleti 4) Numero elevato di porte aperte 5) Pacchetti non filtrati per determinare il corretto indirizzo in ingresso e in uscita 6) 7) 40 20

Programma Introduzione alla sicurezza La sicurezza di Internet Le protezioni 41 Le linee guida dell OCSE 9 principi essenziali I governi hanno il compito di diffondere la cultura della sicurezza Tutti (anche gli utenti occasionali) devono contribuire all attuazione e gestione della sicurezza Rispetto dei principi etici e democratici, libera circolazione delle informazioni, protezione adeguata dei dati personali, apertura e trasparenza 42 21

Punti salienti delle linee guida dell OCSE Coinvolgimento degli utenti Cultura della sicurezza Sensibilizzazione e responsabilità Cooperazione Etica e democrazia Aspetti operativi (Valutazione dei rischi, Progettazione e realizzazione, Gestione della sicurezza, Riesame) 43 La cultura della sicurezza Nuovo approccio mentale e comportamentale nell uso di sistemi informativi e reti Deriva dalla consapevolezza dei rischi Si ottiene attraverso opportuni piani di sensibilizzazione e formazione Si traduce in attenzione agli aspetti di sicurezza applicazione di norme e procedure collaborazione nella soluzione dei problemi 44 22

Dalla sicurezza dei prodotti a quella dei processi Finora l attenzione si è rivolta soprattutto alla sicurezza dei prodotti che realizzano le protezioni, con metodi e standard che forniscono una fotografia della sicurezza L attuale modello di erogazione dei servizi informatici sposta l attenzione verso i processi organizzativi: occorre verificare se vi siano o meno i presupposti per la corretta gestione della sicurezza nel tempo 45 Le soluzioni organizzative problemi operativi cyber crime eventi eccezionali prevenzione Consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Contingency plan Prove Siti di recovery Business continuity contrasto Call center/trouble ticketing CERT Quadrature Incident management recupero Procedure di restore Incident management Indagini (forensic) Attivazione del piano di DR Gestione del disastro Rientro 46 23

L organizzazione per la sicurezza La direttiva del Ministro per l'innovazione e le Tecnologie del 16 gennaio 2002 prevede l attivazione delle necessarie iniziative per posizionarsi sulla base minima di sicurezza Nell allegato alla direttiva viene definito un sistema di gestione della sicurezza che ciascuna amministrazione dovrà calare nella propria struttura La gestione della sicurezza deve avere come obiettivi: la definizione delle strategie generali di sicurezza (politica di sicurezza) la formalizzazione delle regole e delle procedure il controllo del rispetto delle norme di sicurezza (auditing) la gestione dei problemi di sicurezza (incident management) 47 Gli strumenti tecnici Sicurezza fisica Sicurezza logica identificazione ed autenticazione gestione delle utenze/single signon controllo degli accessi (RBAC, TBAC) cifratura dei dati (SSL) vpn protezioni dinamiche (IDS, antivirus, ecc) audit trail 48 24

Le soluzioni Organizzazione Architettura Prodotti specifici problemi operativi cyber crime eventi eccezionali prevenzione contrasto recupero Consapevolezza dei rischi Norme comportamentali Procedure Config./aggiornam. sistemi Sistemi operativi evoluti Controllo accessi Perimetrazione ( Fw ) Ridondanza Autenticazione robusta Protezione messaggi in rete Call center/trouble ticketing CERT Quadrature Incident management Sistemi di tracciatura IDS/antivirus Procedure di restore Incident management Indagini (forensic) Analisi e correlazione log Contingency plan Prove Siti di recovery Business continuity Attivazione del piano di DR Gestione del disastro Rientro 49 SSL Protetto con SSL (128 bit) 50 25

La protezione dei dati in rete: SSL Permette l autenticazione del server e garantisce l integrità e la riservatezza dei dati trasmessi Limiti: il protocollo verifica soltanto che il sito corrisponda a quello dichiarato nel certificato i dati sono cifrati durante il percorso in rete, ma in chiaro sul PC e sui server assorbe risorse elaborative per cui è utilizzato solo nella fase di immissione di userid e password 51 Le carte elettroniche (smart card) E' simile ad un badge magnetico cui è stato aggiunto un microprocessore che controlla dei programmi permanentemente memorizzati in una ROM ed altri tipi di memorie (RAM, EPROM), alcune delle quali sono programmabili dall'utente autorizzato Nell'area di memoria a sola lettura (ROM) è presente il Sistema Operativo della carta Le dimensioni tipiche di tali aree sono di kilobyte per ROM ed EPROM (8-64) A ciascuna smart card è associato un codice (PIN) che ne abilita l'uso 52 26

Autenticazione con smart card Le smart card possono essere impiegate per sistemi di autenticazione robusti Possono contenere al loro interno codici di accesso segreti Possono realizzare algoritmi sofisticati di autenticazione, basati su chiavi asimmetriche La Carta Nazionale dei Servizi è una smart card per l autenticazione in rete che si basa su chiavi asimmetriche 53 Virtual Private Network Può essere realizzata con soluzioni software hardware Le funzioni VPN sono offerte da router firewall prodotti specifici 54 27

Protezioni dinamiche Le regole di protezione si adeguano automaticamente ai metodi di attacco Fanno riferimento ad un data base centrale che il prodotto scarica periodicamente 55 protezioni dinamiche Antivirus Antispamming IDS filtraggio dei siti Internet 56 28

Limiti degli IDS Grande quantità di informazioni aggiuntive E necessario un esperto che sia in grado di intraprendere opportune azioni Possibili disservizi per falsi positivi Rilevano solo gli attacchi tipici di Internet Ci stanno attaccando? 57 Gli audit-trail GLI AUDIT-TRAIL TENGONO TRACCIA DI TUTTI GLI ACCESSI EFFETTUATI DAGLI UTENTI FILE LOG PROVIDER PROVIDER 58 29

gli audit-trail Prodotti da diversi sitemi Router Firewall Sistemi operativi Vari obiettivi Tuning Accounting Sicurezza 59 La gestione degli audit-trail Selezione/attivazione Spedizione Conservazione Protezione Analisi Correlazione Interpretazione 60 30

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back