Introduzione alla ICT Security

1
Introduzione alla ICT Security

• Appunti per la cl. V sez. H
• A cura del
• prof. Ing. Mario Catalano

2
Cosa è la Security?

• Procedure che proteggono
• Supporti elettronici o cartacei
• Hardware, software e reti
• Protegge da danni, furti o modifiche
• Protegge i beni e le risorse da
• Errori umani
• Intrusi dallesterno
• Impiegati disonesti
• Sabotaggio tecnico

3
Necessità di security

• La crescita di Internet e delle applicazioni
  client/server sta trasportando sempre di più gli
  affari in rete. Questo comporta grosse perdite se
  i dati vengono alterati o rubati.
• LInternetworking è ottimo per la condivisione di
  dati ma riduce la security.
• Occorre proteggersi da un attacco al proprio
  account o network.
• Disaster recovery.

4
Statistiche sugli attacchi

• Chi attacca è?
• Un impiegato in carica 81
• Un ex impiegato 6
• Esterni 13
• Cosa fanno?
• Furto di denaro 44
• Furto di informazioni 16
• Danno al software 16
• Alterazione di informazioni 12
• Furto di servizi 10
• Trasgressione 2

5
Livelli di Security

• LUS Department of Defense (DoD) ha definito 7
  livelli di security per i S.O. dei computer
• I livelli sono usati per definire i differenti
  livelli di protezione per hardware, software, e
  per le informazioni registrate.
• Il sistema è complementare i livelli più alti
  includono le funzionalità dei livelli più bassi

6
Livelli di Security Classe D

• D1 è la più bassa forma di sicurezza disponibile
• Una valutazione D1 non è stata mai assegnata
  perchè, essenzialmente, indica la completa
  mancanza di security

7
Livelli di Security Classe C

• C1 è il più basso livello di security. Il sistema
  ha controllo di read/write su file e directory e
  autenticazione tramite user login.
• C2 implementa una funzione per registrare gli
  eventi security-related e fornisce una protezione
  più forte sui file chiave del sistema, come il
  file delle password.

8
Livelli di Security Classe B

• B1 supporta security multi-level, come secret e
  top secret un utente non può modificare le
  permissions su file o directory.
• B2 richiede che ogni oggetto e file sia
  etichettato in accordo al suo livello di
  sicurezza.
• B3 estende i livelli di security fino al livello
  dellhardware di sistema per esempio, i
  terminali possono solo connettersi tramite cavi
  affidabili e hardware di sistema specializzato
  per assicurarsi che non ci siano accessi non
  autorizzati.

9
Livelli di Security Classe A

• A1 è il più alto livello di security.
• La progettazione del sistema deve essere
  matematicamente verificata tutto lhardware e il
  software devono essere stati protetti durante la
  spedizione per prevenire alterazioni.

10
Disaster Recovery Politica di Backup

• Creare una politica di backup.
• Ci sono 2 ragione per il backups.
• Ripristino dalla cancellazione accidentale di
  file.
• Ripristino da disastri.
• Seguite la politica ed effettuate il backup
  regolarmente.
• Verificare i backup a intervalli.
• Tenere i backups in altro luogo.

11
Tipi di Attacco Furto o modifica

• Esempio in un ufficio aperto, trafficato cè
  accesso a risorse finanziarie via rete. Come
  proteggersi?
• Occorre fare unAnalisi dei rischi (Risks
  analysis)
• Quali sono i rischi potenziali?
• Chi vuole vedere questi dati?
• Chi vuole cambiare questi dati?
• Sono possibili attacchi dallinterno?
• Occorre creare una politica di security
  Proteggere larea dai passanti.
• Avere una buona passwords e screen saver con
  password.

12
Tipi di attacco PASSWORD

• Utilizzando tool facilmente accessibili (hacker
  tools) la vostra password può facilmente essere
  scoperta e qualcuno può usarla o usare il vostro
  account per portare altri attacchi.

13
Prevenire gli attacchi alla password

• Buone password (non solo lettere, ma anche numeri
  e segni di interpunzione, almeno 8 caratteri,
  maiuscole e minuscole)
• Cambiarle spesso
• Osservate qual e stato lultimo accesso con il
  vostro account
• Controllate se ci sono nuovi file o se ne sono
  stati modificati altri o se CI SONO COSE CHE NON
  FARESTE SOLITAMENTE.

14
Cose da NON fare per una buona PASSWORD

• NON usate il login in ogni forma (comè, al
  contrario, in maiuscolo, raddoppiato...).
• NON usate il vostro nome, cognome, quello dei
  vostri figli, moglie, fidanzata in nessuna forma.
• NON usate altre informazioni che possono essere
  facilmente ottenute su voi (patente, numero
  telefonico...).
• NON usate una password di tutti numeri,
  lettere...
• NON usate parole di senso compiuto.
• NON usare password più corte di 6 caratteri.

15
Per avere una buona Password

• Usate password con lettere maiuscole/minuscole
  mischiate.
• Usate password con caratteri non alfabetici
  (numeri o segni di interpunzione).
• Usate password facili da ricordare, in modo da
  non doverle scrivere.

16
Tipi di attacco Denial of Service (Servizio
Negato)

• Esempio improvvisamente il vostro mail server
  diventa irraggiungibile. Accade così anche ad
  altri servizi Internet.
• Attacchi di questo tipo si avvantaggiano di
  problemi inerenti TCP/IP, e possono causare il
  malfunzionamento di alcuni servizi di rete.
• I più gravi possono mettere K.O. lintera rete
• Un firewall può bloccare molti degli attacchi
  denial of service
• Un router può essere usato per bloccare a mano
  lindirizzo IP dal quale il DoS è partito
• Attacchi Denial of service sono difficili da
  fermare.

17
Tipi di attacchi Virus (Sintomi)

• Comportamenti irregolari
• Cattive prestazioni
• Attività strane
• Perdita di file o directory

18
Tipi di attacchi Virus (essere preparati)

• Avere un buon backup
• Scansione di tutti i supporti, file, mail...
• Scansione del vostro sistema giornalmente con un
  buon antivirus.

19
Tipi di attacco SNIFF (soffiare la password)

• Siate sicuri che i computer pubblicamente
  accessibili siano protetti
• Non lasciate che gli utenti vi installino
  programmi
• Fate in modo che gli utenti si firmino per
  lutilizzo
• Autenticate lutente prima di permettergli
  lutilizzo del PC
• Questo vi aiuterà a tener traccia di chi ha fatto
  cosa se qualcosa dovesse accadere
• Avere una security policy vi renderà possibile
  prendere azioni contro chi usa gli sniffer.
• Contattate gli utenti della lista e obbligateli a
  cambiare password
• Iniziate a monitorare la lista di utenti per
  vedere se qualcuno tenta di accedere usando tali
  account

20
Stabilire una Security Policy

• La prima regola della security è fondamentale
  qualunque cosa non sia esplicitamente vietata, è
  autorizzata.
• Una buona security policy dovrebbe partire
  negando tutti gli accessi e quindi espressamente
  autorizzare quelli necessari.
• Occorre considerare gli obiettivi e la missione
  del sistema da proteggere.

21
Security Policy cosa fare?

• Create una lista di beni che devono essere
  protetti Hardware, Software, Dati,
  Documentazione
• Comunicate la politica agli utenti
• Agli utenti dovrebbe essere detto qual è
  laccettabile uso della politica al momento in
  cui acquisiscono il loro account.

22
Security Policy Analisi dei rischi.

• Utilizzo non autorizzato
• Servizi non disponibili
• Furto di dati
• Altro
• Quali sono i rischi?
• Che tipo di dati occorre proteggere?
• Da cosa?
• Esaminare tutti i rischi e assegnare un livello
  di severità.
• Questo processo coinvolge decisioni a livello di
  costo relativamente a quello che occorre
  proteggere.

23
Una semplice politica di security Auditing

• Usate i tool del sistema per controllare i log
  files.
• Controllare gli orari inusuali di accesso degli
  utenti.
• Controllare i luoghi di accessi inusuali.
• Controllare i login falliti.
• Controllare i messaggi di errore.

24
Un ultimo consiglio

• Alla fine di tutto il processorivederlo!
• Se non lo fate, si può essere superati dagli
  ultimi metodi di penetrazione.
• A intervalli, occorre comunque rivedere e
  rivalutare i rischi.
• Le cose cambiano spesso... e velocemente!