Sicurezza nei Sistemi Informatici (A-L) Giuseppe F. Italiano italiano@disp.uniroma2.it Anno Accademico 2006/07

Documenti analoghi
Sicurezza Informatica. Gianluigi Me Anno Accademico 2011/12

Sicurezza in Internet. Criteri di sicurezza. Firewall

Tipologie e metodi di attacco

Sicurezza in Internet

Sicurezza nei Sistemi Distribuiti

Sicurezza nei Sistemi Distribuiti

Problematiche correlate alla sicurezza informatica nel commercio elettronico

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

INFORMATION TECNOLOGY. a cura di Alessandro Padovani padoale@libero.it

Protezione della propria rete

SICUREZZA. Sistemi Operativi. Sicurezza

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

La sicurezza nelle comunicazioni Internet

Violazione dei dati aziendali

e quindi di navigare in rete. line può essere limitato a due persone o coinvolgere un ampio numero

La sicurezza al di là del firewall. INTOIT Networks srl Via Gaslini Monza (MI) Tel sales@intoit.

Operating System For Key

Protezione delle informazioni in SMart esolutions

Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione

IT Security 3 LA SICUREZZA IN RETE

Sicurezza informatica in azienda: solo un problema di costi?

SCENARI D'UTILIZZO DELLE NUOVE SOLUZIONI. Fabrizio Cassoni Content Security Manager

La sicurezza nelle reti di calcolatori

Dalla connessione ai social network. Federico Cappellini

Virus informatici Approfondimenti tecnici per giuristi

Approfondimento di Marco Mulas

L iniziativa OAI ed i primi dati raccolti per il Rapporto 2010

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

SICUREZZA INFORMATICA MINACCE

Elementi sull uso dei firewall

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Identità e autenticazione

2 Dipendenza da Internet Tipi di dipendenza Fasi di approccio al Web Fine del corso... 7

Metodologie Informatiche Applicate al Turismo 7. Aspetti di sicurezza nell reti

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

Sicurezza a livello IP: IPsec e le reti private virtuali

COMUNICAZIONE E CONDIVISIONE PROTETTE. Protezione per server, e collaborazione

Introduzione a Internet e cenni di sicurezza. Dott. Paolo Righetto 1

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

L avvocato hacker. Genova, 15 marzo Prof. Giovanni Ziccardi Università degli Studi di Milano

La sicurezza informatica. Luca Filippi

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela

Sicurezza nelle applicazioni multimediali: lezione 7, sicurezza dei protocolli. Sicurezza dei protocolli (https, pop3s, imaps, esmtp )

La sicurezza in banca: un assicurazione sul business aziendale

Suggerimenti per rendere la PMI più sicura

Capire i benefici di una rete informatica nella propria attività. I componenti di una rete. I dispositivi utilizzati.

EasyPROtection. La soluzione software per Commercialisti e Consulenti Fiscali. DATI E DOCUMENTI PROTETTI Sempre. Ovunque.

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

SICUREZZA INFORMATICA

LA SICUREZZA INFORMATICA SU INTERNET NOZIONI DI BASE SU INTERNET

Sophos. Premessa. Con l evoluzione delle minacce, il controllo è fondamentale. Un offerta completa e sicura. Un servizio esclusivo

Sicurezza nei Sistemi Informativi

Politica per la Sicurezza

La sicurezza nelle reti di calcolatori

cin>>c8 s.r.l. Analisi del Dominio Pagina 1 di 7 Analisi del Dominio

Sommario. Introduzione alla Sicurezza Web

Modulo 12 Sicurezza informatica

Sommario Prefazione... xiii Diventa esperto in sicurezza... xiii Capitolo Codici nocivi... 1

Requisiti di controllo dei fornitori esterni

Connessioni sicure: ma quanto lo sono?

Active Directory. Installatore LAN. Progetto per le classi V del corso di Informatica

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

Troppe Informazioni = Poca Sicurezza?

azienda, i dipendenti che lavorano fuori sede devono semplicemente collegarsi ad un sito Web specifico e immettere una password.

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Come funzione la cifratura dell endpoint

Man-in-the-middle su reti LAN

PROFILO FORMATIVO Profilo professionale e percorso formativo

Certificati digitali con CAcert Un'autorità di certificazione no-profit

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

La SICUREZZA nelle transazioni telematiche ON-LINE

Sicurezza: credenziali, protocolli sicuri, virus, backup

Glossario servizi di Sicurezza Informatica offerti

Sicurezza Informatica

La sicurezza nei servizi online di Poste Italiane. Roma, 8 maggio 2006

LA FORZA DELLA SEMPLICITÀ. Business Suite

Windows Vista, il nuovo sistema operativo Microsoft che cerca le giuste risposte ai quesiti di sicurezza

Internet e posta elettronica. A cura di Massimiliano Buschi

Indirizzo IP statico e pubblico. Indirizzo IP dinamico e pubblico SEDE CENTRALE. Indirizzo IP dinamico e pubblico. Indirizzo IP dinamico e privato

Firma digitale Definizione

La soluzione software per Avvocati e Studi legali

La sicurezza nel commercio elettronico

Introduzione a Windows XP Professional Installazione di Windows XP Professional Configurazione e gestione di account utente

Wireless Network Esercitazioni. Alessandro Villani

LA BUSINESS INTELLIGENCE MOBILE: MAI STATA COSÌ BELLA, CHIARA, FACILE.

Introduzione alla Sicurezza Informatica

Sicurezza Reti: Problematiche

La CASSAFORTE DIGITALE per

La sicurezza nel Web

VPN: connessioni sicure di LAN geograficamente distanti. IZ3MEZ Francesco Canova

Firma digitale: aspetti tecnologici e normativi. Milano,

POLITICHE DI GESTIONE DELLE COMUNICAZIONI E LORO IMPLEMENTAZIONE

I SÌ e i NO della sicurezza informatica

SIAR. Sistema Informativo Agricolo Regionale

Considerazioni sui server

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Hardware delle reti LAN

Sicurezza dei Sistemi Informatici Introduzione

Si S curezza a sw w net Il c orr r e r tto design del t uo s istema i nform r atico una soluzione

Sicurezza del dominio

Transcript:

Sicurezza nei Sistemi Informatici (A-L) italiano@disp.uniroma2.it Anno Accademico 2006/07

Pagina Web del Corso gauguin.info.uniroma2.it/~italiano/teaching/security Contiene tutto (o quasi) sul corso Lucidi, link, informazioni sull esame

Libro di testo Menezes, van Oorschot, Vanstone Handbook of Applied Cryptography CRC Press Disponibile on-line (link sulla pagina Web) Altri testi consigliati sulla pagina Web

Esame Consiste in una prova scritta + progetto Proposte di progetto saranno disponibili sulla pagina Web

Organizzazione del Corso Lezioni (piu o meno tradizionali) Guest lectures

11th Annual 2006 CSI/FBI Report CSI (Computer Security Institute) & San Francisco FBI hanno intervistato 615 computer security practitioners in aziende, agenzie governative, istituzioni finanziarie, istituzioni mediche e università. 2006 Computer Crime and Security Survey Sunto disponibile su: http://www.gocsi.com/

2006 CSI/FBI Report (cont.) Perdite finanziarie quantificate: $ 52,494,290 in 2006 Report $ 130,104,542 in 2005 Report $ 141,496,560 in 2004 Report $ 201,797,340 in 2003 Report $ 455,848,700 in 2002 Report $ 377,828,700 in 2001 Report $ 265,589,940 in 2000 Report $ 120,240,180 media prima del 2000

2006 CSI/FBI Report (cont.) Perdite finanziarie quantificate per rispondente: $ 167,713 in 2006 Report $ 203,606 in 2005 Report $ 526,010 in 2004 Report

2003 CSI/FBI Report (cont.)

Summary Sicurezza informatica non è una moda ma una questione seria Alti rischi e perdite ($$$) Quanta sicurezza? Studenti vs. orso Insicurezza della mia piattaforma può recare danni a me ma anche ad altri Non sono molte le organizzazioni (individui) che hanno piani di sicurezza e/o adottano tecniche e policy per migliorare la sicurezza: Crittografia (Privacy, Integrity, Authentication,...) Politiche (Auditing, Security Management,...) Soluzioni (Firewall, Antivirus, Intrusion Detection System, Network Scanner,...)

Cosa si vuole rendere sicuro Riservatezza dei dati presenti nei sistemi Riservatezza della comunicazione Controllo dei sistemi e delle reti Integrità dell informazione Il livello di servizio offerto L identità di chi accede ai servizi Privacy

Cosa può accadere? L informazione sui nostri sistemi può essere compromessa Gen. 2000, un hacker penetra nei sistemi della CDUniverse, sottrae 300,000 numeri di carta di credito e informazioni sui clienti; altri hackers ottengono accesso ai dati della Egghead.com. Luglio 2001, un hacker riesce ad sottrarre i dati sui guadagni della JDS earnings prima che vengano rilasciati. Gen. 2002, un hacker penetra nei sistemi della Online Resources (software finanziario); usa questi sistemi per accedere ad una banca di NY che viene ricattata

Cosa può accadere? La comunicazione può essere compromessa Nel XVI secolo, Maria Stuarda fu decapitata dopo che i suo messaggi segreti furono decifrati (dimostrando che complottava contro Elisabetta I). Nella seconda guerra mondiale, molti U-boat tedeschi furono distrutti dopo che gli Inglesi riuscirono a decifrare i messaggi che utilizzavano la macchina Enigma. Oggi, il sistema Carnivore analizza milioni di messaggi di email al giorno.

Cosa può accadere? I nostri sistemi possono essere compressi Febbraio 2000, ICQ userid, PIN hijacked per un riscatto Agosto 2001, Code Red infetta 359.000 server in 14 ore Scandisce la rete alla ricerca di server IIS vulnerabili; rallenta i server; lascia backdoor per gli hacker Molti altri virus prendono il controllo del sistema operativo, inviano messaggi. I sistemi compromessi possono essere utilizzati per attaccare altri siti sensibili

Cosa può accadere? I nostri dati possono essere alterati. Settembre 1999, i siti del NASDAQ e dell AMEX vengono violati; gli hacker aprono dei propri account di email. Ottobre 99, un Worm svuota interi archivi al Pentagono. Ottobre 2000, hacker Pro-Israeliani e pro-palestinesi (e- Jihad) violano decine di siti; i visitatori del sito di Hamas sono dirottati su un sito porno. Aprile 2001, il sito della British Telecom site è violato due volte in tre giorni gli hacker protestano contro la sospensione del servizio ADSL Luglio 2001, un gruppo di hacker viola 679 siti in un minuto

Cosa può accadere? Il nostro servizio può essere interrotto. Settembre 1996: Panix, un ISP di NY, subisce un attacco di tipo Denial of Service (DoS) basato su SYN flooding Maggio 1999, il virus Melissa virus manda in crash molti servers di e-mail si diffonde replicandosi verso i primi 50 contatti di Outlook Febbraio 2000: attacco Mafiaboy di tipo Distributed Denial of Service (DDoS): Yahoo, CNN, ebay, Amazon non disponibili per più di 3 ore. Attacchi vari a siti istituzionali (Ministero della Giustizia).

Altre informazioni sugli attacchi Numero degli attacchi gli USA sono i primi nel mondo per il numero assoluto Israele è in testa per il numero di attacchi per abitante circa il 45% degli attacchi sono critici. Gran parte delle maggiori società sono attaccate continuamente (specialmente le società finanziarie). Molti attacchi sono semplici scansioni alla ricerca di nodi vulnerabili Molti utenti sono sempre connessi (ad esempio tramite ADSL) da sistemi altamente insicuri i dispositivi wireless (cellulari o palmari) iniziano ad essere interessati da virus

Come possiamo proteggerci? Segretezza delle informationi sui propri sistemi Segretezza della comunicazione Controllo dei nostri sistemi e reti Integrità dei dati Denial of Service Autenticità dei partner nella comunicazione Privacy Uso esteso della crittografia Controllo degli Accessi (hardware, software, sistema, applicazioni) Autenticazione (password, certificazione, biometrica) Virtual Private Networks Sistemi per la rilevazioni delle intrusioni Ridondanza delle strutture Cultura della riservatezza

Strumenti commerciali disponibili Crittografia RSA Security, F-Secure, Certicom Autenticazione Verisign, Entrust, Baltimore, società biometriche hi-tech Autorizzazione, Autenticazione ed Amministrazione (3A) Computer Associates, IBM Tivoli, BMC Software Software Anti-Virus Network Associates (McAfee), Symantec (Norton) Firewalls Checkpoint, Cisco, CA, Microsoft Intrusion Detection ISS, Cisco, NFR VPN Hardware Nokia, Nortel, Intel Public Key Infrastructure (PKI) Entrust, Baltimore, IBM (VeriSign)

Programma del corso Crittografia breve storia, convenzionale e a chiave pubblica (gestione e distribuzione delle chiavi in altro modulo) Autenticazione Sistemi base, challenge-response, autenticazione di sistemi ed utenti Sicurezza delle Communicazioni IPSec, VPN, sicurezza del Web, sicurezza dell email. Incidenti e contromisure firewalls, tripwire, sistemi di controllo e gestione delle intrusioni

Computer Security: An Overview

Modello di comunicazione sicura Alice Bob

Esempio Trusted Server Alice Comm(Bob) PubK(Bob) PubK(Alice) Bob PrivK(Alice) Encrypt Decrypt Sign PrivK(Alice) ( Alice ) Sign PrivK(Bob) ( Bob ) Decrypt Encrypt PrivK(Bob) Gen Sess Key Encrypt Encrypt Enc PubK(Bob) (SessK) Enc SessK (Message) Decrypt Decrypt

Modello di accesso sicuro Identifica e filtra le richieste di informazioni

Attacchi alla sicurezza

Esempi di Attacco Intrusione Eavesdropping Impersonificazione Virus / Worm Denial of Service Man-in-the-middle Reflection attack Replay attack Password cracking Corruzione di dati/codici Attribuzione fraudolenta/ripudiazione

Meccanismi Uso specifico di algoritmi, protocolli, e procedure per rilevare e difendersi da attacchi. Esempi Cifrare l informazione Autenticare gli utenti usando qualcosa che possiedono qualcosa che sanno, oppure qualcosa che sono Rilevare e rendere inoffensivi i virus, e le intrusioni Creare e gestire sistemi e procedure per il controllo degli accessi Molti meccanismi usano la Crittografia

Servizi di Sicurezza Confidenzialità Autenticazione Integrità Non-ripudiazione Controllo degli Accessi Disponibilità del servizio

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back