1
SICUREZZA INFORMATICA RETI DI CALCOLATORI II
Introduzione
Prof. PIER LUCA MONTESSORO Facoltà di Ingegneria Università degli Studi di Udine
2 Questo insieme di trasparenze (detto nel seguito slide) è protetto dalle leggi sul copyright e dalle disposizioni dei trattati internazionali. Il titolo ed i copyright relativi alle slides (ivi inclusi, ma non limitatamente, ogni immagine, fotografia, animazione, video, audio, musica e testo) sono di proprietà degli autori prof. Pier Luca Montessoro e ing. Davide Pierattoni, Università degli Studi di Udine.
Le slide possono essere riprodotte ed utilizzate liberamente dagli istituti di ricerca, scolastici ed universitari afferenti al Ministero della Pubblica Istruzione e al Ministero dell’Università e Ricerca Scientifica e Tecnologica, per scopi istituzionali, non a fine di lucro. In tal caso non è richiesta alcuna autorizzazione.
Ogni altro utilizzo o riproduzione (ivi incluse, ma non limitatamente, le riproduzioni su supporti magnetici, su reti di calcolatori e stampe) in toto o in parte è vietata, se non esplicitamente autorizzata per iscritto, a priori, da parte degli autori.
L’informazione contenuta in queste slide è ritenuta essere accurata alla data della pubblicazione. Essa è fornita per scopi meramente didattici e non per essere utilizzata in progetti di impianti, prodotti, reti, ecc. In ogni caso essa è soggetta a cambiamenti senza preavviso. L’autore non assume alcuna responsabilità per il contenuto di queste slide (ivi incluse, ma non limitatamente, la correttezza, completezza, applicabilità, aggiornamento dell’informazione).
In ogni caso non può essere dichiarata conformità all’informazione contenuta in queste slide.
In ogni caso questa nota di copyright e il suo richiamo in calce ad ogni slide non devono mai essere rimossi e devono essere riportati anche in utilizzi parziali.
Nota di Copyright
3
Perché abbiamo problemi di sicurezza?
4
Sicurezza
Î Misure di carattere informativo e tecnologico tese ad assicurare a ciascun utente autorizzato e a nessun altro tutti e soli i servizi previsti per quell’utente, nei tempi e nelle modalità previste
Î Definizione OSI: insieme delle misure atte a garantire la disponibilità, l’integrità e la riservatezza delle informazioni gestite
5
Sicurezza
Î Disponibilità: garanzia dell’accesso ai dati o alle risorse del sistema
Î Integrità: prevenzione dall’alterazione o manipolazione indebita delle
informazioni
Î Riservatezza: prevenzione dall’utilizzo indebito di informazioni riservate Î Autenticità: garanzia e certificazione
della provenienza dei dati
6
Sicurezza nel computer
dell’utente
7
Sicurezza nel computer dell’utente
8
Sicurezza nel computer dell’utente
Il nostro computer può svolgere attività non desiderate
posso fidarmi del mio sistema HW/SW?
Î Per vulnerabilità/errori nel sistema operativo
Î Per l’imprudenza/ignoranza dell’utente
9
Sicurezza nella rete
10
Sicurezza della comunicazione
Autenticazione Segretezza
Integrità del messaggio
Proprietà desiderabili
Può anche essere desiderabile la segretezza del fatto stesso che sia avvenuta una comunicazione tra due persone (proprietà meno ovvia)
Segretezza
Il contenuto del messaggio può essere letto soltanto dal destinatario (proprietà banale)
Autenticazione
Come faccio ad essere certo dell’identità della persona
con cui comunico?
Î Autenticazione del mittente Î Autenticazione del destinatario
Servono:
13
Integrità del messaggio
Come posso garantire che il messaggio ricevuto sia esattamente quello inviato (e non sia stato modificato
da qualcuno?)
ti amo Bob Bob
Alice
14
Integrità del messaggio
Come posso garantire che il messaggio ricevuto sia esattamente quello inviato (e non sia stato modificato
da qualcuno?)
Alice
Trudy Bob
ti amo Bob
odioti Bob
15
Sicurezza per chi?
Î Apparati dell’infrastruttura di rete (es. server DNS, router, ecc.) Î Utenti (persone)
Î Falle nella sicurezza
dell’infrastruttura possono essere veicolo di attacchi alle attività degli utenti
16
Vulnerabilità della rete
Î Non pensati per la sicurezza!
I protocolli di Internet nascono negli anni ’60
17
Vulnerabilità della rete
Î Violazione della segretezza mediante sniffer
Broadcast di livello 2
Î Incertezza del mittente (IP spoofing)
Indirizzi IP non autenticati
Î Possibile alterazione dei messaggi Informazioni trasmesse in chiaro
18
DoS: Denial of Service
Attacchi orientati ad impedire il normale funzionamento dei sistemi
Vulnerabilità della rete
19
posso fidarmi di chi ha progettato e gestisce la rete?
Vulnerabilità della rete
20
OK, ma perché???
I nemici:
Î Complessità Î Interazione Î Compatibilità Î Fattore umano
da “Sicurezza Informatica”, A. Ghirardini
21
Complessità
Programmi complessi, con molti moduli scritti da tanti programmatori diversi
Comunicazioni tra i moduli attraverso canali noti e non noti Gli utenti vogliono
sistemi facili da utilizzare
posso fidarmi di chi ha sviluppato il software?
22
Interazione
Comunicazioni tra i
programmi all’interno di un computer
Comunicazioni tra computer attraverso la rete
Compatibilità
Con sistemi già esistenti,
sviluppati prima che sorgessero le esigenze di sicurezza
Con i sistemi di rete esistenti, in massima parte non gestiti da noi Esigenza di distribuire e
rendere accessibili dati e informazioni
Fattore umano
Manca un po’ di “buon senso”
Attività frenetiche, non c’è tempo per riflettere/pianificare Mancano politiche
rigorose di sicurezza Il risultato prima di tutto
25
Le minacce
26
Virus informatici, spyware, key logger & C.
Canali di “infezione”:
Î copie illegali di software (specie se
“crackato”)
Î siti web “a rischio”
(tipicamente per download illegali)
Î file in allegato alle e-mail
Î password deboli o, ancor peggio, assenti
27
Conseguenze
“Contagio” di altri computer con cui scambiate i dati
Perdita o danneggiamento dei vostri dati Uso del vostro computer e della vostra rete da parte di terzi, per esempio per deposito file (attenzione alle tariffazioni a volume!)
Consumo di risorse vostre o di terzi (“DenialOfService”)
Perdita di riservatezza dei vostri dati e delle vostre password di accesso
28
Vulnerabilità dei programmi e dei sistemi operativi
Programmi scritti dagli hacker possono sfruttare via rete le vulnerabilità del software
Conseguenze: introduzione di virus, spyware, ecc. nel vostro sistema ATTENZIONE: questi programmi funzionano automaticamente. Non si tratta di attacchi mirati, ma diretti a TUTTI i computer collegati in rete
29
Posso fidarmi della rete Internet?
Ovviamente NO!
30
Phishing
31
Phishing
Home Poste Italiane <http://www.poste.it/>
<http://www.poste.it/privati/> <http://www.poste.it/imprese/>
4<http://www.poste.it/img/tb/fine.gif>
<http://www.poste.it/>
Gentile membro Poste Italiane,
Grazie ai recenti trasferimenti illegali di conti elettronici, il tuo conto BancoPosta e' stato bloccato per la tua sicurezza. Questo e' stato fatto per assicurare il tuo conto e le tue informazioni private. Come misura di sicurezza,vi consigliamo di collegarti al vostro Conto BancoPosta e cambiare il tuo codice di accesso
Il nostro sistema ti aiuterà rapidamente a cambiare il tuo codice di accesso. Il tuo conto non sarà sospeso in questo caso, però , se invece, 48 ore dopo aver ricevuto questo messaggio, il tuo conto non verrà confermato, ci riserviamo il diritto di sospendere la tua registrazione Poste Italiane.
Poste Italiane è autorizzato a fare qualsiasi tipo di operazione affinche anticipi le fraude.
Fare click qui per cambiare il tuo codice di accesso
<http://amaltea.estratel.com.mx/myposte/>
Considerazioni migliori,
Il reparto sicurezza
Trojan!!!
32
Spam
Ricezione di e-mail non desiderate (pubblicità, phishing, virus. ecc.) Indirizzi dei mittenti falsificati
Enorme dispendio di risorse (tempo di connessione, spazio sui dischi, tempo dell’utente)
Soluzione (parziale): programmi antispam
nel servizio di posta sul proprio computer
33
Port scan, DOS e altri attacchi di rete Nei moderni sistemi operativi molti programmi “ascoltano” la rete
Programmi di attacco via rete inviano sequenze di dati forgiate
appositamente per mandare in crisi il nostro sistema
Soluzione (parziale): firewall dispositivo hardware (es.
nell’access point) servizio del provider
software nel proprio computer
34
Firewall
Internet flusso dati pericoloso, bloccato
rete domestica
flusso dati sicuro, lasciato passare
Problema:
compromesso tra funzionalità, semplicità di gestione e sicurezza
Prevenzione
guidata dalla conoscenza
Linee guida
Î L’ignoranza non è un diritto Î Non tutto è possibile Î Non tutto è fattibile
Î Non tutto è facile Î I regolamenti servono e vanno rispettati
37
Phishing
Se uno sconosciuto, per strada, vi dice di lavorare per la vostra banca, gli credete?
Î Il mittente dell’e-mail non è autenticato!
Î Il server a cui vi si chiede di fornire i dati assomiglia a (ma non è) quello originale
38
Virus, spyware
Accettereste caramelle da sconosciuti?
Î Freeware/shareware
Î Software e dati provenienti da file sharing peer-to-peer
39
Autenticazione
Chiudete a chiave la vostra abitazione?Î Password non banali Î Protezione dei dati relativi ai
propri account
Î Gestione dei propri account
Î Protezione della propria rete wireless
40
Archiviazione
Mai fatto la fotocopia di un documento importante?
Î Politica di backup
Î Salvaguardia delle copie (protezione fisica e logica)
41
Verso sistemi sicuri...
una questione di fiducia
42
Trusted computing
www.trustedcomputing.org Î Garanzie di integrità del sistema
Î Possibilità di controllo remoto Î Digital Right Management
Î Monopolio È già il 1984?
43
Skype
Non c’entra, tranne per il fatto che è estremamente “sicuro”
Î Codice cifrato Î Protocollo cifrato
Di chi mi fido?
Î Sorgenti segreti
44
E quindi...
45
Î HW, SW e servizi vengono progettati sempre peggio!
Î Attenzione ai servizi non richiesti e non strettamente indispensabili Î Non solo tecnologia, ma
metodologia e gestione
Progettare la sicurezza
Î Sistemisti: massima attenzione all’utente!
Î Utenti: date retta ai sistemisti!
46
Protezione dalle false autenticazioni
Î Imporre che a ciascun login sia associata una persona fisica Î Controllare che i login attivi siano
sempre tutti e soli quelli necessari Î Mantenere una lista degli utenti
cancellati
Î Imporre l’uso di password non banali, possibilmente con scadenza
Î Prevedere autenticazione dei server e dei servizi (es. certificati)
Protezione dagli accessi illegali
Î Limitare il numero di connessioni simultanee per ciascun utente Î Rilevare i login falliti e prevedere
meccanismi automatici di blocco degli account
Î Limitare gli orari in cui è accessibile la rete
Î Limitare gli indirizzi MAC autorizzati per ogni utente
Î Limitare l’accesso fisico alle postazioni di lavoro
Protezione del computer dell’utente
Î Utilizzare esclusivamente prodotti certificati
Î Installare solo software originale prelevato da confezioni sigillate Î Educare gli utenti alla chiusura della
sessione di lavoro quando abbandonano la stazione
Î Impedire l’utilizzo (disabilitare o rimuovere) di lettori di CD-ROM, DVD, floppy disk e memory pen
Î Utilizzare e mantenere aggiornato un sistema anti-virus commerciale
49
Protezione dagli attacchi via rete e alla rete stessa
Î Proteggere fisicamente l’accesso a cavi, apparati di rete e server
Î Scegliere protocolli sicuri
Î Proteggere la rete interna mediante firewall
Î Cifrare il traffico a livello applicativo o a livello di rete
Î Controllare rigidamente gli account per l’amministrazione remota, disabilitando i default
50
Protezione dalle perdite di dati
Î Studiare e attivare una politica di backup periodico e automatico
Î Controllare periodicamente, a campione, la leggibilità dei dati nei backup
Î Conservare i backup in luogo sicuro, separato da quello che ospita i server
51
Proteggiamoci (I)
Î Creare e utilizzare un account non privilegiato: NON lavorare normalmente come amministratore
Î Utilizzare le password e sceglierle non banali
Î Installare solo software originale o freeware referenziato
Î Utilizzare e mantenere aggiornato un sistema anti-virus commerciale Î Attivare le scansioni dell’antivirus nei
periodi in cui non si usa il computer
52
Proteggiamoci (II)
Î Utilizzare software anti spyware (es. Ad- Aware, Spybot, ecc.)
Î Controllare attentamente le informazioni relative ai certificati digitali
Î Abilitare le protezioni previste dal sistema operativo (firewall ecc.)
Î Disabilitare o proteggere con crittografia e password la manutenzione remota
Î Mantenere aggiornato il sistema operativo (eventualmente con gli aggiornamenti automatici)
53
Proteggiamoci (III)
Î Diffidare degli Internet Cafè (che software è stato installato?)
Î Diffidare degli HotSpot non protetti (in Italia fuori legge dopo il “decreto Pisanu”) Î Se vogliamo/dobbiamo fare operazioni a
rischio, utilizziamo un account utente diverso da quello di lavoro, o, meglio, un altro computer