Sicurezza dei sistemi
informatici
Appunti preparati dal prof. Ing.
Mario Catalano per gli studenti
dell’ITI “E. Medi” in S. Giorgio a
Cremano (NA)
Il problema della sicurezza in rete
Elevato sviluppo di servizi e tecnologie Internet
Elevate numero di connessioni
Sicurezza Informatica
Acquisire un buon livello
di conoscenza informatica
Garantire
Integrità e
Riservatezza
dei dati
Dotarsi di opportuni strumenti
per tenere alto il livello
di sicurezza
Conservazione dati.
Le informazioni (software, banche dati etc.) memorizzate nei computer
sono esposte a molteplici rischi:
- danneggiamento fisico dei supporti hardware (hard disk, dvd,
memorie USB etc.);
- cancellazioni accidentali dovute ad errore dell’utente;
- cancellazioni dovute a malfunzionamenti del software o ad
attacchi informatici
BACKUP: operazione che copia lo stato del sistema, residente sul disco, su
un supporto esterno, quale altro disco, pen driver, DVD, INTERNET,
ecc… La registrazione (il file) prende anch’essa il nome di “Backup” o
“Immagine”
RESTORE: operazione che copia un precedente stato
del sistema, memorizzato su un supporto esterno, nel
disco di sistema, ripristinandone lo stato
Perché gli attacchi informatici?
Dietro agli attacchi a un sistema si celano motivazioni ben più serie di quello
che si può pensare; molti tentativi di violazione di una rete vengono effettuati
con scopi diversi:





spionaggio industriale
sottrazione di informazioni riservate
vendetta a scopi personali
diffamazione pubblica di un’azienda
guadagno di vantaggi economici
SICUREZZA indica:
salvaguardare la riservatezza dell'informazione:
•
•
– Ridurre a livelli accettabili il rischio che un'entità possa
accedere ai dati senza esserne autorizzata
salvaguardare l'integrità dell'informazione:
– Ridurre il rischio che i dati possano essere
cancellati/modificati a seguito di interventi non
autorizzate o fenomeni non controllabili e prevedere
adeguate procedure di recupero delle informazioni
salvaguardare la disponibilità dell'informazione:
– Ridurre il rischio che possa essere impedito alle entità
autorizzate l'accesso alle informazioni a seguito di
interventi non autorizzate o fenomeni non controllabili
Hacker e Cracker
Un hacker è una persona che
si impegna per aggirare o
superare limitazioni che gli
vengono imposte
Cracker è colui che sfrutta
le proprie capacità (o in
certi casi quelle degli altri)
al fine di distruggere,
ingannare e guadagnare.
Insidie nella sicurezza di rete
1) in un computer multi-utente, uno degli
utenti può assumere l’identità di un altro
utente per carpire informazioni di
quest’ultimo o per spacciarsi per lui
• Per difendersi dai pericoli
– è fondamentale che ogni utente sia
identificato e che le azioni che gli sono
consentite siano decise in funzione di
questa identità
Insidie nella sicurezza di rete
2) i servizi che usano la rete internet si
basano sulla trasmissione di informazioni
che attraversano reti e router non sempre
controllabili
• Per evitare (2) si deve trasmettere in rete
solo informazione criptata cioè
incomprensibile da chi non abbia
l’apposita chiave di decrittazione
Tipologie di attacchi
Vi sono diverse tipologie di attacco che possono essere così
classificate:
•
•
•
•
Acquisizione di informazioni.
Accesso non autorizzato: un intruso ottiene l'accesso ad una
rete, o ad un computer, pur non avendone l'autorizzazione,
ottenendo informazioni riservate, o provocando danni di vario
genere al sistema.
Accesso/modifica/cancellazione delle informazioni.
Denial of Service: l'intruso rende un sistema, un servizio,o
una rete non disponibile esaurendone le risorse di rete.
Luglio 2003
Sicurezza dei dati
Tipologie di attacchi
Gli attacchi possono essere realizzati seguendo diverse tecniche,
quali ad esempio:
• Intercettazioni
• Virus
• Trojan
• Spyware
• Worm
•Spam
• Phishing
•Denial of service
intercettazioni
•
Si dice sniffer un qualsiasi strumento, software o
hardware che raccoglie le informazioni che viaggiano
lungo una rete.
•
Le funzioni tipiche di uno sniffer sono:
– Conversione e filtraggio dei dati e dei pacchetti
– Analisi dei difetti di rete
– Setacciamento di Password e Nomi di Utente
Il primo obiettivo: la Password
•
•
•
Molti utenti hanno una password la cui lunghezza è uguale o inferiore a
6 caratteri.
Molti utenti hanno una password composta solo da lettere minuscole.
Quasi il 50% degli utenti utilizzano nomi, parole presenti nei dizionari o
password banali (cifre consecutive, tasti adiacenti e così via).
Furto di password
al momento del collegamento remoto rubando il file delle password e poi
decrittandolo con appositi programmi
rimedi
non inviare password in chiaro
Usare metodi di autenticazione
nascondere file password
non usare password banali
dare scadenza alle password
gestione delle password
Il primo ostacolo che un cracker deve superato per accedere ad un sistema è quello
dell’autenticazione.
Esistono varie metodologie di autenticazione:
–
–
–
Login e Password: è il metodo più diffuso; se queste non corrispondono a
quelle conservate con quelle conservate nel sistema l’accesso viene
negato.
Carta magnetica: il riconoscimento viene effettuato inserendo la carta in
un apposito lettore e digitando una password.
Biometrie: si tratta di lettori di impronte digitali o vocali, analisi della retina,
analisi della firma.
Crittografia
Difendere la privacy individuale in un’era di crescente computerizzazione sta
diventando un problema cardine, in quanto oggi le nostre vite sono controllate
in molti modi.
Proprio per questi motivi, ed altri ancora, è necessario trovare uno, o più metodi
che ci permettano di immagazzinare, o trasmettere in modo sicuro tutte quelle
informazioni che sono tutelate dal diritto alla privacy, ma anche quelle che, per
qualche motivo personale, o aziendale, sono ritenute “riservate”. Il più diffuso è
la crittografia.
– Crittografia: la scienza di scrivere dei messaggi che
nessuno al di là del vero destinatario potrà leggere (dal
greco kryptós = nascosto e dal tema, sempre greco,
gráphò cioè, scrivere)
Virus,Trojan, Spyware
• I virus sono software
capaci di danneggiare dei
file(documenti) o il sistema
operativo e di
autoreplicarsi, legandosi
ad altri programmi
Virus
I Virus informatici devono penetrare nel programma ospite modificandolo, sia per
riprodursi, sia per danneggiare dati e/o programmi presenti su supporti registrabili;
sono costituiti da poche centinaia di istruzioni per far notare la loro presenza all'utente
del computer.
 Virus di file: Si sostituiscono in parte o completamente ad un programma (.exe,
bat, .com …). Quando viene eseguito il programma, sarà eseguito il virus.
 Virus di boot: Sfruttano il settore di boot o MBR del disco per essere eseguiti ad
ogni avvio della macchina. Risiedono in memoria.
 Virus multipartiti: Sono i più pericolosi e possono infettare sia il settore di avvio dei
dischi che i programmi.
 Virus di macro: Infettano solo file di dati ( e non i programmi) e precisamente quei
file al cui interno possono essere contenute le macro.
Trojan
•
•
•
I trojan sono programmi creati
con il solo scopo di causare
danni più o meno gravi ai
computer su cui sono eseguiti.
Devono il loro nome al fatto che
le funzionalità sono nascoste
all'interno di un programma
apparentemente utile
E’ dunque l'utente stesso che
installando ed eseguendo un
certo programma,
inconsapevolmente, installa ed
esegue anche il codice trojan
nascosto.
Trojan
Cosa sono:
Si camuffano bene, sembrano programmi normali e
magari anche utili, non si replicano, ma ne richiedono
l’esecuzione inconsapevole da parte dell’utente
Come si diffondono:
Tramite Internet (collegamenti peer to peer) ed e-mail
Conseguenze:
Consentono il controllo remoto del PC da
qualcuno via Internet, perdita e furto di dati
ed informazioni personali (IP, Password..)
Spyware
• Uno spyware è un
programma che raccoglie
informazioni riguardanti
l'attività online di un utente
(es: siti visitati, acquisti
eseguiti in rete etc) senza il
suo consenso,
trasmettendole tramite
Internet ad
un'organizzazione che le
utilizzerà per trarne profitto,
solitamente attraverso l'invio
di pubblicità mirata
Spyware
Come si diffondono:
L’installazione può avvenire, sfruttando le
vulnerabilità del browser, visitando pagine Web o
con tecniche di social engineering
Conseguenze:
Invio di pubblicità non richiesta (Spam), modifica
pagina iniziale del browser, la redirezione su falsi
siti di e-commerce (Phishing), l'installazione di
dialer truffaldini, occupazione di memoria,
instabilità del sistema
Worms
Cosa sono:
Frammenti di codice indipendenti ed autonomi che agiscono principalmente in
memoria, non hanno bisogno di legarsi ad altri programmi per diffondersi
Come si diffondono:
Tramite Internet ed e-mail, sfruttando i bug del client di posta e S.O. con
tecniche di social engineering
Conseguenze:
Non mira a danneggiare i dati; crea malfunzionamenti (rallentamento o
blocco) al sistema o peggio a carpire dati ed informazioni personali (IP,
Password..)
CISIA di Napoli
Presidio di Salerno
Virus,Trojan, Spyware: difese
Attraverso gli antivirus e gli antispyware, ossia software
che rilevano ed eliminano queste tipologie di malware:
• Le scansioni vanno fatte frequentemente,
dipendentemente da quanto tempo si passa collegati
su Internet;
• Eliminano solo i malware che riconoscono, gli altri
passano inosservati: per questo occorre aggiornarli
continuamente.
antivirus
Per proteggere il proprio sistema da virus (di vario tipo), trojan, spyware, ecc… è
necessario dotarsi di opportuni SW che rilevano la presenza di strani file all’interno del
sistema, quali:
–
–
Anti-Virus: per file infetti da virus, worm, trojan.
Spyware Detectors: per scovare ed eliminare i programmi spia.
Perché questi SW risultino efficaci devono essere seguite determinate regole:
•
•
•
•
deve essere aggiornato in automatico giornalmente, o settimanalmente
deve rimanere in esecuzione mentre l'utente lavora
deve controllare i Files e i contenitori di messaggi di posta
è opportuno controllare anche tutti i file di dubbia provenienza
Diffusione dei Virus
I virus possono essere trasmessi da un computer all'atro attraverso
lo scambio di archivi (file) quali:
•
Chiavette USB
•
Allegati Ai Messaggi Di Posta Elettronica
•
Documenti Office con Macro
•
File Scaricati dalla Rete o da Internet
•
Programmi “piratati”
•
Pagine Web attive, tramite il browser
•
Documenti Acrobat e programmi Java (aggiornare i plugin!!!)
•
P2P quali Torrent ed eMule
Quando il virus si è installato su un computer, cercherà di
trasmettersi con uno o più di questi mezzi a tutti gli altri
computer che è in grado di raggiungere creando una vera
"epidemia"
Anti Virus e Anti Malware
La migliore difesa contro i virus è ovviamente la prevenzione
che va affrontata sia in termini tecnologici che
comportamentali. In particolare per prevenire i virus occorre
evitare comportamenti rischiosi, quali :
• scambio e download di file sospetti
• installazione di pacchetti non licenziati (copiati insomma)
• apertura degli allegati di posta.
posta Quest'ultima precauzione è
molto importante per difendersi dai macrovirus poiché, se
l'allegato non viene eseguito, il virus rimane latente. Aprire i
messaggi di posta elettronica può diventare causa di
infezione solo se il client di posta è impostato per eseguire
gli allegati in automatico. Per questo motivo è opportuno
disabilitare l'anteprima dei messaggi.
•
•
Aggiornare il software in modo da ridurre le vulnerabilità
al minimo. L'attacco dei virus viene infatti condotto
sfruttando errori nel software o nei protocolli e tutte le
azioni volte a ridurre il numero di errori presenti nei
programmi (come per esempio l'installazione delle
patch)
patch sono forti forme di prevenzione dei virus.
Utilizzare un software antivirus ovvero un software in
grado di identificare, spesso ma non sempre, il
Malware e rimuoverlo prima che entri in azione..
Antispyware
Un antispyware è un programma il cui scopo è quello di cercare ed
eliminare dal sistema, tramite un'apposita scansione, Spyware,, trojan
e altri programmi potenzialmente dannosi.
Le funzioni di questi programmi sono simili a quelle degli antivirus
anche se bisogna stare sempre attenti a non confonderli con essi.
Come gli antivirus, anche gli antispyware necessitano di costante
aggiornamento del database delle definizioni per trovare anche gli
ultimi spyware.
Spam
• Lo Spam è l'invio di grandi quantità di
messaggi indesiderati.
• I più comuni segnali di una mail spam
sono:
• Nessun oggetto della e-mail;
• Testo in inglese o in italiano non
corretto;
• Avete vinto qualcosa 
• Indirizzo di ritorno incompleto;
• E-mail generate dal computer;
• E-mail di ritorno non inviate
dall’utente.
Come difendersi dallo spam?
• Utilizzare filtri anti spam;
• Fare attenzione all’atto di registrazione su siti Internet;
• Assicurarsi che i nostri dati personali non arrivino a società
di cui non conosciamo la provenienza;
• Non cliccare sui link all’interno delle e-mail spam che
invitano a deregistrarsi;
TRUFFE – Phishing
• Il phisher (pescatore)
invia e-mail del tutto simili,
nell'aspetto grafico, a
quelle provenienti da
banche o siti, accessibili
mediante registrazione.
• Nel testo s'invita l'utente, a
causa di problemi tecnici,
a validare l'identificativo
utente, la relativa
password o altri dati
personali.
TRUFFE – Phishing
Cosa è:
Una tecnica utilizzata (cercando a caso) per ottenere le
credenziali (password, Numero di carte di credito, riservate) di
altre persone
Come si diffonde:
Tecniche di social engineering, telefonate, e-mail esca con
grafica di banca, provider web, aste online
Conseguenze:
Furto di identità, numeri di carte di credito
Denial of service
• Diniego di servizio: inibizione a lungo
termine di un servizio. Può essere svolta
sul server, sul client o in rete.
• Si verifica quando un server viene sepolto
sotto un enorme numero di richieste di
servizi che non può trattare e quindi non
riesce più a fare il suo lavoro normale
• E’ difficile da evitare in generale.
Firewall
E’ un software la cui funzionalità principale è quella di
creare – se opportunamente configurato - un filtro (muro)
sulle connessioni entranti ed uscenti.
Firewall
Il Firewall può essere pensato come una coppia di meccanismi: uno serve a
bloccare il traffico in ingresso e l'altro per veicolare quello in uscita dalla
rete.
Possono essere programmati per “controllare”, o bloccare diverse attività quali:
– Permettere solo il passaggio di mail
– Proteggere da login non autenticati dall’esterno
– Bloccare il traffico dall’esterno all’interno e permettere il contrario
Firewall
E’ importante ricordare che un firewall non può proteggere
da attacchi che non vi passano attraverso, quindi non è
sufficiente per realizzare un buon livello di sicurezza.
Politiche e meccanismi
• Una politica di sicurezza è un’indicazione
di cosa è e cosa non è permesso
• Stabilisce regole che possono riguardare:
– le operazioni che si possono usare su certi
dati e l’utente che può usarle
– gli utenti che possono accedere a certi dati.
– eventuali profili di utente con specifici diritti
• Un meccanismo di sicurezza è un metodo
(strumento/procedura) per garantire una
politica di sicurezza
Politiche di sicurezza
• La politica di sicurezza si focalizza su:
– i dati (proteggere)
– le operazioni (controllare)
– gli utenti/profili (controllare)
• Tradizionalmente i SO hanno meccanismi
che proteggono i dati. Oggi diventa più
importante controllare gli utenti
Meccanismi di sicurezza
• Data una politica, che distingue le azioni “sicure” da
quelle “non sicure”, i meccanismi di sicurezza devono
prevenire, scoprire o recuperare da un attacco
• La prevenzione significa che il meccanismo deve
rendere impossibile l’attacco. Esempio: richiesta di
password come autenticazione
• La scoperta significa che il meccanismo è in grado di
scoprire che un attacco è in corso. Si usa solitamente
un monitoraggio delle risorse del sistema, cercando
eventuali tracce di attacchi
• Il recupero da un attacco si può fare in due modi
– Il primo è fermare l’attacco e recuperare/ricostruire la
situazione pre-attacco, ad esempio attraverso copie di
backup
– Il secondo è continuare a far funzionare il sistema
correttamente durante l’attacco (fault-tolerant)
Rintracciabilità
• Impossibile la sicurezza al 100%
• E’ importante riuscire a tenere traccia di chi ha
fatto le azioni che violano la sicurezza :
Rintracciabilità (Auditing)
• L’auditing richiede:
– selezione delle azioni pericolose
– protezione dei file di log
• Inoltre richiede l’autenticazione degli utenti in
modo da poter collegare le azioni pericolose a
chi le ha compiute
FINE