Sicurezza nel PC Appunti per le classi seconde Decalogo della SICUREZZA Usare un buon antivirus 2. Usare un firewall 3. NON aprire ingenuamente allegati di posta elettronica 4. NON eseguire ingenuamente programmi di ogni tipo 5. Applicare sempre le più recenti patch 6. Prestare la massima attenzione al funzionamento anomalo del sistema operativo 7. Disabilitare Java, JavaScript ed ActiveX 8. Disabilitare le funzionalità di scripting nei client di posta elettronica 9. Fare un backup regolare di tutti i dati sensibili 10. Creare un disco di boot 1. FIREWALL... Dispositivi software o hardware posti a protezione dei punti di interconnessione esistenti tra una rete privata interna (ad es. una Intranet) ed una rete pubblica esterna (ad. es. Internet) oppure tra due reti differenti. Firewall software Sono vere e proprie applicazioni ed, in quanto tali, possono essere affetti da imperfezioni con la differenza che i firewall rappresentano l'ultimo baluardo di difesa per cui se un aggressore riesce a superare questa barriera sfruttando una sua vulnerabilità specifica egli può avere pieno accesso al sistema protetto e compiere di conseguenza ogni tipo di attività. BISOGNA AGGIORNALI SCARICANDO TUTTE LE PATCH RILASCIATE DAL PRODUTTORE! Firewall software: ESEMPIO ZoneAlarm tre livelli di protezione predefiniti (Basso,Medio,Alto) flessibilità e facilità di configurazione analisi in tempo reale dei tentativi di connessione verso l'esterno produzione di file di log ANTIVIRUS Ogni giorno nel mondo vengono creati e diffusi nuovi virus sempre più sofisticati ed in possesso di tecniche offensive evolute in grado di attaccare un sistema e renderlo instabile fino a provocarne il malfunzionamento o il blocco totale. Con l'avvento dell'era telematica i veicoli di una possibile infezione virale si sono enormemente moltiplicati ed il pericolo non è più rappresentato soltanto dai classici virus ma anche da una nuova classe di codice nocivo costituita da CAVALLI DI TROIA BLACKDOOR Un BUON antivirus Il primo requisito fondamentale è rappresentato dalla presenza di un motore di scansione in grado di ricercare all'interno dei file la presenza di particolari sequenze di byte che possono essere sintomo tipico di codice nocivo Funzionalità di base verifica della integrità del settore di boot, del Master Boot Record (MBR) e dei file di sistema durante la fase iniziale di avvio del sistema; scansione in tempo reale della memoria e dei file e degli allegati alla posta; capacità di individuazione delle altre tipologie di codice nocivo; possibilità di creare dischetti di emergenza; rilascio da parte del produttore di frequenti aggiornamenti del file delle firme; Funzionalità avanzate possibilità di programmare scansioni del file system ad intervalli regolari; distribuzione centralizzata degli aggiornamenti (utile soprattutto in un ambiente di rete); possibilità di effettuare gli aggiornamenti attraverso Internet; capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia; Il file delle Firme Generalmente il funzionamento degli antivirus si basa sulla presenza di un motore di scansione che, operando in background, disassembla in tempo reale i vari file e ricerca all'interno degli stessi la presenza di determinate sequenze di byte che costituiscono l'impronta digitale identificativa di un virus. Pertanto, considerata la frequenza con la quale i nuovi virus vengono messi in circolazione, l'aggiornamento periodico del file delle definizioni diventa fondamentale per garantire l'individuazione e ove possibile la rimozione anche dei virus più recenti. VIRUS Qualsiasi porzione di codice che si installa all'interno di un programma host al fine di utilizzare quest'ultimo come mezzo di propagazione. meccanismo di propagazione Virus di tipo PARASSITA Virus del settore di avvio Cavalli di troia Basa tutta la sua potenza sull'inganno in quanto è un programma che dichiara di svolgere determinate funzioni, per di più di utilità, ma che in realtà compie sul sistema dell'utente, e ad insaputa di quest'ultimo, una serie di operazioni dannose che possono essere le più svariate. CARATTERISTICHE PRINCIPALI • Massima diffusione • Approfittamento della fiducia dell'utente • LIMITAZIONE: devono essere attivati dall'utente Worm Simile a un virus con la sola differenza che un worm non si riproduce localmente ma semplicemente si propaga attraverso sistemi differenti. È definito come “frammenti di codice autonomi ed indipendenti che esistono solo in memoria consumando le risorse del sistema ed auto-propagandosi”. Meccanismi di PROPAGAZIONE MACRO ALLEGATO DI POSTA Un altro mezzo di diffusione del codice nocivo è rappresentato dal WEB ed in questo caso il pericolo assume principalmente la forma di programmi che vengono scaricati dagli innumerevoli archivi software esistenti in rete. VULNERABILITÀ dei software L'espressione vulnerabilità è da intendere in senso lato per indicare la presenza di errori di programmazione, difetti o anche di semplici mancanze che producono un impatto più o meno decisivo sulla sicurezza del sistema in cui essa viene eseguita. Infatti l'enorme diffusione degli strumenti informatici unita con la problematica menzionata ha determinato il prodursi di un nuovo scenario in cui il fulcro è costituito dalle informazioni che devono essere tutelate e protette a prescindere dal fatto che esse risiedano su un grande server web di carattere pubblico o sul personal computer di un individuo qualsiasi. Il codice nascosto nei tag html Un utente Internet può inconsciamente eseguire script maligni quando naviga tra collegamenti ipertestuali di cui non conosce l'origine presenti all'interno di pagine web, di messaggi di posta elettronica oppure di newsgroup. Si tratta di una forma di attacco particolarmente subdola poiché usando una tecnica chiamata "cross-site scripting" un aggressore può, in alcune circostanze, riuscire ad incorporare all'interno di pagine web generate dinamicamente (come ad esempio quelle prodotte da un qualsiasi motore di ricerca) dei collegamenti ipertestuali contenenti script maligni opportunamente nascosti all'interno dei comuni tag html. COSA COMPORTA TUTTO CIÓ??? Ciò può comportare: l'accesso completo a qualsiasi informazione, comprese quelle di carattere confidenziale, fornite al server web; l'invio contestuale di informazioni confidenziali anche ad altre pagine o siti web; l'alterazione dell'apparenza o del normale funzionamento delle pagine web; la rivelazione di dati usati da particolari meccanismi di autenticazione dal momento che l'esecuzione dello script può precedere l'instaurazione di una connessione protetta; l'avvelenamento dei cookies in modo da rendere l'attacco di tipo persistente ; l'accesso non autorizzato da parte dell'aggressore ai un server web vulnerabile posto all'interno della intranet in cui si trova il client tramite la costruzione di URL; dati di stessa ad hoc Vulnerabilità dei cookies Sicuramente uno dei meccanismi più delicati insiti nella navigazione in rete è rappresentato dai cookies attraverso i quali i vari siti web riescono non soltanto a personalizzare l'esperienza di navigazione dell'utente ma soprattutto a riconoscere quando egli torna a far visita alle pagine del sito. Peraltro proprio i cookie di tipo PERMANENTE, soprattutto se utilizzati per finalità di autenticazione, sono quelli che presentano le maggiori vulnerabilità poiché, essendo persistenti, un aggressore potrebbe riuscire ad acquisirne una copia ed assumere successivamente l'identità on-line di un altro individuo. Vulnerabilità della posta elettronica Categorie di rischi Contraffazione delle intestazioni dei messaggi di posta elettronica ("email spoofing") Esecuzione di codice arbitrario attraverso i messaggi di posta Attacchi tramite gli allegati di posta elettronica.