Introduzione alla Introduzione alla ICT SecurityICT Security

Appunti per la cl. V sez. HA cura del prof. Ing. Mario Catalano

Cosa è la SecurityCosa è la Security??

Procedure che proteggono Supporti elettronici o cartacei Hardware, software e reti

Protegge da danni, furti o modifiche Protegge i beni e le risorse da

Errori umani Intrusi dall’esterno Impiegati disonesti Sabotaggio tecnico

Necessità di security

La crescita di Internet e delle applicazioni client/server sta trasportando sempre di più gli affari in rete. Questo comporta grosse perdite se i dati vengono alterati o rubati.

L’Internetworking è ottimo per la condivisione di dati ma riduce la security.

Occorre proteggersi da un attacco al proprio account o network.

Disaster recovery.

Statistiche sugli attacchi Chi attacca è?

Un impiegato in carica : 81% Un ex impiegato : 6% Esterni : 13%

Cosa fanno? Furto di denaro : 44% Furto di informazioni : 16% Danno al software : 16% Alterazione di informazioni : 12% Furto di servizi : 10% Trasgressione : 2%

Livelli di SecurityLivelli di Security

L’US Department of Defense (DoD) ha definito 7 livelli di security per i S.O. dei computer

I livelli sono usati per definire i differenti livelli di protezione per hardware, software, e per le informazioni registrate.

Il sistema è complementare: i livelli più alti includono le funzionalità dei livelli più bassi

AA

BB

CC

DD

Livelli di Security: Livelli di Security: Classe “D”Classe “D”

D1 è la più bassa forma di sicurezza disponibile

Una valutazione D1 non è stata mai assegnata perchè, essenzialmente, indica la completa mancanza di security

DD

Livelli di Security: Livelli di Security: Classe “C”Classe “C”

C1 è il più basso livello di security. Il sistema ha controllo di read/write su file e directory e autenticazione tramite user login.

C2 implementa una funzione per registrare gli eventi security-related e fornisce una protezione più forte sui file chiave del sistema, come il file delle password.

CC

Livelli di Security: Livelli di Security: Classe “B”Classe “B”

B1 supporta security multi-level, come secret e top secret: un utente non può modificare le permissions su file o directory.

B2 richiede che ogni oggetto e file sia etichettato in accordo al suo livello di sicurezza.

B3 estende i livelli di security fino al livello dell’hardware di sistema: per esempio, i terminali possono solo connettersi tramite cavi affidabili e hardware di sistema specializzato per assicurarsi che non ci siano accessi non autorizzati.

BB

Livelli di Security: Livelli di Security: Classe “A”Classe “A”

A1 è il più alto livello di security.

La progettazione del sistema deve essere matematicamente verificata; tutto l’hardware e il software devono essere stati protetti durante la spedizione per prevenire alterazioni.

AA

Disaster Recovery: Politica di BackupDisaster Recovery: Politica di Backup

Creare una politica di backup. Ci sono 2 ragione per il backups.

Ripristino dalla cancellazione accidentale di file.

Ripristino da disastri. Seguite la politica ed effettuate il backup

regolarmente. Verificare i backup a intervalli. Tenere i backups in altro luogo.

Tipi di Attacco: Furto o modificaTipi di Attacco: Furto o modifica

Esempio: in un ufficio aperto, trafficato c’è accesso a risorse finanziarie via rete. Come proteggersi?

Occorre fare un’Analisi dei rischi (Risks analysis) Quali sono i rischi potenziali? Chi vuole vedere questi dati? Chi vuole cambiare questi dati? Sono possibili attacchi dall’interno?

Occorre creare una politica di security: Proteggere l’area dai “passanti”.

Avere una buona passwords e screen saver con password.

Tipi di attacco: PASSWORDTipi di attacco: PASSWORD

Utilizzando tool facilmente accessibili (hacker tools) la vostra password può facilmente essere scoperta e qualcuno può usarla o usare il vostro account per portare altri attacchi.

Prevenire gli attacchi alla password

Buone password (non solo lettere, ma anche numeri e segni di interpunzione, almeno 8 caratteri, maiuscole e minuscole…)

Cambiarle spesso Osservate qual e’ stato l’ultimo accesso con il

vostro account Controllate se ci sono nuovi file o se ne sono

stati modificati altri o se CI SONO COSE CHE NON FARESTE SOLITAMENTE.

Cose da NON fare per una buona PASSWORD NON usate il login in ogni forma (com’è, al contrario, in

maiuscolo, raddoppiato...). NON usate il vostro nome, cognome, quello dei vostri

figli, moglie, fidanzata in nessuna forma. NON usate altre informazioni che possono essere

facilmente ottenute su voi (patente, numero telefonico...). NON usate una password di tutti numeri, lettere... NON usate parole di senso compiuto. NON usare password più corte di 6 caratteri.

Per avere una “buona” Password…

Usate password con lettere maiuscole/minuscole mischiate.

Usate password con caratteri non alfabetici (numeri o segni di interpunzione).

Usate password facili da ricordare, in modo da non doverle scrivere.

Tipi di attacco: Denial of Service Tipi di attacco: Denial of Service (Servizio Negato)(Servizio Negato) Esempio: improvvisamente il vostro mail server diventa

irraggiungibile. Accade così anche ad altri servizi Internet.

Attacchi di questo tipo si avvantaggiano di problemi inerenti TCP/IP, e possono causare il malfunzionamento di alcuni servizi di rete.

I più gravi possono mettere K.O. l’intera rete Un firewall può bloccare molti degli attacchi “denial of

service” Un router può essere usato per bloccare “a mano”

l’indirizzo IP dal quale il DoS è partito Attacchi “Denial of service” sono difficili da fermare.

Tipi di attacchi: Virus (Sintomi)Virus (Sintomi)

Comportamenti irregolari Cattive prestazioni Attività strane Perdita di file o directory

Tipi di attacchi: Virus (essere Virus (essere preparati…)preparati…) Avere un buon backup Scansione di tutti i supporti, file, mail... Scansione del vostro sistema

giornalmente con un buon antivirus.

Tipi di attacco: SNIFF (“soffiare la Tipi di attacco: SNIFF (“soffiare la password”)password”) Siate sicuri che i computer pubblicamente accessibili siano

protetti Non lasciate che gli utenti vi installino programmi Fate in modo che gli utenti si “firmino” per l’utilizzo Autenticate l’utente prima di permettergli l’utilizzo del PC

Questo vi aiuterà a tener traccia di chi ha fatto cosa se qualcosa dovesse accadere

Avere una security policy vi renderà possibile prendere azioni contro chi usa gli sniffer.

Contattate gli utenti della lista e obbligateli a cambiare password Iniziate a monitorare la lista di utenti per vedere se qualcuno tenta di

accedere usando tali account

Stabilire una Security PolicyStabilire una Security Policy

La prima regola della security è fondamentale: qualunque cosa non sia esplicitamente vietata, è autorizzata.

Una buona security policy dovrebbe partire negando tutti gli accessi e quindi espressamente autorizzare quelli necessari.

Occorre considerare gli obiettivi e la missione del sistema da proteggere.

Security Policy: cosa fare?Security Policy: cosa fare?

Create una lista di beni che devono essere protetti: Hardware, Software, Dati, Documentazione…

Comunicate la politica agli utenti Agli utenti dovrebbe essere detto qual è

l’accettabile uso della politica al momento in cui acquisiscono il loro account.

Security Policy: Analisi dei rischi.

Utilizzo non autorizzato Servizi non disponibili Furto di dati Altro Quali sono i rischi?

Che tipo di dati occorre proteggere? Da cosa?

Esaminare tutti i rischi e assegnare un livello di severità. Questo processo coinvolge decisioni a livello di costo

relativamente a quello che occorre proteggere.

Una semplice politica di security: Una semplice politica di security: AuditingAuditing Usate i tool del sistema per controllare i

log files. Controllare gli orari inusuali di accesso

degli utenti. Controllare i luoghi di accessi inusuali. Controllare i login falliti. Controllare i messaggi di errore.

Un ultimo consiglio:

Alla fine di tutto il processo…rivederlo! Se non lo fate, si può essere superati dagli

ultimi metodi di “penetrazione”. A intervalli, occorre comunque rivedere e

rivalutare i rischi. Le cose cambiano spesso... e

velocemente!