Roma, 17 maggio 2012 “SICUREZZA INFORMATICA” Gabriele Torresan LA “NON SICUREZZA” DELLE RETI 1. Rischio di INTERCETTAZIONE 2. Rischio di FALSIFICAZIONE 3. Rischio di IMPERSONAZIONE 2 SENZA SPERANZA? • Attività culturale e di formazione • Tutela tecnologica • Tutela giuridica 3 CHI E’ IL NOSTRO NEMICO? • “Hacker” o “cracker”? • Tecno-vandali N.B.: oltre il 50% dei crimini informatici si è perpetrata all’interno dell’organizzazione da membri della stessa 4 “defacing” Microsoft UK website 5 I VIRUS INFORMATICI • E’ un programma… • …che si nasconde nel nostro computer… • …che poi si diffonde in altri computer…* • …che infine si manifesta! *contagio attraverso FD/mails/pen-drive/… 6 VARIANTI “INFIDE” DI VIRUS • False e-mails • Connessioni telefoniche costose • E-mails fraudolente (phishing) 7 Esempio di falsa e-mail 8 Esempio di phishing 9 LA SICUREZZA “La sicurezza è robusta quanto una catena: cioè quanto il suo anello più debole!” Modello Applicazione Aggiornamento Verifica 10 ANALISI DELLE MINACCE Minaccia 1 Minaccia 2 … Minaccia n Risorsa 1 Risorsa 2 … Risorsa m Probabilità di accadimento Impatto sulla risorsa Rischio n per m 11 Esempio • Risorsa: Archivio dati contabili • Minacce: – Cancellazione erronea singola operazione – Cancellazione involontaria archivio – Danneggiamento disco su server a causa di calamità (fenomeno atmosferico, incendio, allagamento, ecc.) – Furto server – Attacco esterno via web con inquinamento dati – Attacco interno con inquinamento dati 12 CATEGORIE DI DIFESE • FISICHE – • LOGICHE – • Accorgimenti di tipo “materiale”: anti-intrusione, antifurti, antincendio, ecc. Strumenti di controllo, protezione, identificazione, autorizzazione: firewall, antivirus, crittografia, intrusion-detector, controlli euristici, ecc. ORGANIZZATIVE – Procedure, modalità operative, responsabilità: password, architettura e diritti di rete, modalità di accesso ai dati ed alle risorse, ecc. 13 SCELTA E CURA DI PASSWORD • Riserbo • Originalità • Cambio frequente ! Dictionary attack ! 700.000 parole 14 SCELTA E CURA DI PASSWORD Facciamo due conti: • password di 8 caratteri alfanumerici • 26+26+10+8 = 70 simboli diversi • 70 x 70 x 70 x 70 x 70 x 70 x 70 x 70 = 708 = 576.480.100.000.000 pw diverse • 576.480.100.000.000 / 100.000 tentativi/sec = 5.764.801.000 secondi • 5.764.801.000” / 60 = 96.080.016 minuti • 96.080.016’ / 60 = 1.601.333 ore • 1.601.333h / 24 = 66.722 giorni • 66.722g / 365 = 182 anni 15 Esempi Congregazione Suore del Cuore Addolorato di Maria – 1875 CSdCAdM-75 Professione Permanente: 12 ottobre ‘95 PP:12o95 Gabriele G4br13l3 TORRESAN T0RR3S4N 16 CONCLUSIONI • Internet = libertà • Dimensione planetaria vuoto normativo remoto può danneggiare tutta l’umanità • Ogni organizzazione dovrà adottare un modello continuamente verificato • La sicurezza non è un “prodotto” ma è una “cultura”! 17