it security / 1 - concetti di sicurezzauna persona (white hat hacker) con il permesso dei suoi...

IT Security / 1 IT Security / 1 -- Concetti di sicurezzaConcetti di sicurezzaprof. Salvatore prof. Salvatore DimartinoDimartino

IT Security IT Security -- 1.1 Minacce ai dati1.1 Minacce ai datiprof. Salvatore Dimartino

1.1.1 Distinguere tra dati e informazioni.1.1.1 Distinguere tra dati e informazioni.

I dati sono rappresentazioni di eventi, fatti o oggetti non ancora sottoposte ad elaborazione. I dati possono essere numeri, date, testi, immagini, suoni, ecc.Le informazioni sono l’insieme di più dati opportunamente correlati ed interpretati in un certo contesto, fatto che li rende significativi per chi li riceve.Da queste definizioni discende che il dato ha la caratteristica fondamentale della oggettività, mentre l’informazione è soggettiva, in quanto destinata ad un certo utente, in un determinato momento, per un certo scopo.Il dato può essere anche definito come "la registrazione, tramite uno speciale codice, di un aspetto della realtà". I dati hanno bisogno di essere interpretati per fornire conoscenza: di per sé, quindi, i dati non forniscono informazione. L'insieme di dati, invece, opportunamente organizzati, può dare informazione.L'informazione può essere anche definita come "la percezione di un insieme di dati, attraverso un processo di interpretazione personale soggettiva". Esempio: "212”, "Mario“, “[email protected]” sono dei dati, di per sé non significano nulla, ma in risposta alla domanda:

"Qual è l'interno e l’e-mail di Mario?“l’aggregazione dei dati dà l’informazione cercata.

Dati (Data), Informazioni (Information), Conoscenza (Knowledge) e Saggezza (Wisdom), compongono ilsistema piramidale DIKW o Catena della Conoscenza

Nuova ECDL - IT Security 1 PROF. SALVATORE DIMARTINO 3

mailto:[email protected]

1.1.2 Comprendere 1.1.2 Comprendere i termini «crimine informatico» e «i termini «crimine informatico» e «hackinghacking».».

Il crimine informatico è un’attività illegale che, utilizzando reti, Internet o appositi programmi o computer, tende ad arrecare danno a privati, enti, istituzioni, stati, aziende e alle loro strutture informatiche.

Esempi di crimine informatico includono: la duplicazione non autorizzata di CD musicali e DVD film protetti da copyright; la duplicazione non autorizzata di programmi protetti da copyright; la manomissione dei supporti fisici di memorizzazione dei dati; l’intercettazione di dati in transito in una rete di trasmissione; commercio di codici d’accesso avuti in modo illegale; l’accesso a banche dati o a informazioni riservate; il tentativo di carpire dati sensibili di utenti; la cancellazione o l’alterazione dei dati; la contraffazione e il furto di identità; frodi legate all’ingegneria sociale; l’interruzione di servizi telematici (DOS); spionaggio industriale; diffusione di malware.


1.1.2 Comprendere i termini «crimine informatico» e «1.1.2 Comprendere i termini «crimine informatico» e «hackinghacking».».

Hacking – (to hack = intaccare) Implica l’uso esperto del computer e della rete per ottenere l’accesso a sistemi informatici senza autorizzazione. L’hacker può voler alterare programmi e dati contenuti nel computer attaccato, usarne le risorse oppure semplicemente dimostrare di essere riuscito ad accedervi.Hacking etico - Implica l’attacco al sistema di sicurezza di un computer effettuato da una persona (white hat hacker) con il permesso dei suoi proprietari per rilevare le vulnerabilità che potrebbero essere sfruttate da un hacker malevolo (black hathacker).Cracking di password – (to crack = rompere) Implica il recupero di password da dati che sono stati memorizzati o inviati ad un sistema informatico. Questo può avvenire manualmente, cercando di indovinare la password, oppure usando del software o altre tecniche. Il fine è ottenere un tornaconto personale.Cracking di software - Implica la disattivazione o l’eliminazione di alcune funzioni del software che vengono considerate indesiderabili dal cracker del software, ad esempio la protezione contro la copia, i numeri di serie, le chiavi hardware, i controlli di data (software “pirata”).

L’attività di cracking è quindi un’attività criminosa e fraudolentache utilizza in negativo metodologie e tecniche dell’hacking.


1.1.2 Comprendere i termini «crimine informatico» e «1.1.2 Comprendere i termini «crimine informatico» e «hackinghacking».».

La repressione dei crimini informatici è attuata in Italia attraverso:

la Polizia delle comunicazioni

il CNAIPIC (Centro Nazionale Anticrimine Informatico

per la Protezione delle Infrastrutture Critiche).

La repressione dei crimini informatici è attuata in Europa attraverso:

EC3 (European Cybercrime Center)

un apposito centro dell’EUROPOL (European Police Office) focalizzato

sui crimini ad opera di gruppi organizzati a scopo di frode online,

adescamento in rete e lo sfruttamento sessuale dei bambini, nonché gli

attacchi a infrastrutture critiche e sistemi informativi della UE.


1.1.3 Riconoscere le minacce dolose e accidentali ai dati provocate 1.1.3 Riconoscere le minacce dolose e accidentali ai dati provocate da singoli individui, fornitori di servizi, organizzazioni esterne.da singoli individui, fornitori di servizi, organizzazioni esterne.

Il fattore umano rappresenta una minaccia ai dati generalmente sottovalutato, invece costituisce in modo doloso o colposo una delle minacce più diffuse e imprevedibili. Impiegati/Dipendenti - potrebbero rubare dati aziendali accedendo alla Intranet,

quali informazioni su nuovi prodotti, passandoli alla concorrenza (vicenda Ferrari-McLaren Formula 1, 2007) oppure manomettere dati o renderli inaccessibili come ritorsione per una (presunta) ingiusta punizione, una mancata promozione o pre-mio economico, un’imminente risoluzione del rapporto di lavoro (licenziamento).

Fornitori di servizi – accedendo tramite la Extranet potrebbero perdere o distruggere importanti dati aziendali oppure carpire informazioni riservate e utilizzarle a danno dell’azienda stessa con cui collaborano.

Persone esterne - potrebbero accedere al sistema informatico aziendale e rubare o eliminare dati importanti e strategici. Da intrusioni esterne ci si difende con opportune apparecchiature di rete (Firewall) e dotando la rete Wi-Fi di chiavi di protezione; da intrusioni da parte di ospiti interni ci si difende evitando di farli circolare in zone o in uffici in cui potrebbero sbirciare password o dati riservati (shoulder surfing).

In definitiva, ricordare che il fattore umano non è mai escludibile a priori (pecunia non olet) ma può avere conseguenze imprevedibili e molto gravi.


1.1.4 1.1.4 Riconoscere le minacce ai dati provocate da circostanze Riconoscere le minacce ai dati provocate da circostanze straordinarie, quali fuoco, inondazioni, guerre, terremoti.straordinarie, quali fuoco, inondazioni, guerre, terremoti.

Altri tipi di minacce ai dati non direttamente legate alle ICT (Information and Communication Technology) sono quelle provocate da circostanze straordinarie che dipendono direttamente dall’ambiente e includono vari eventi naturali e catastrofici imprevisti quali: incendi, inondazioni, terremoti, maremoti, frane, crolli, esplosioni, guerre, attentati, sommosse, terrorismo, ecc.Come proteggere i dati da queste minacce? Conservare i dati : in località geologicamente stabili (assenza di frane, smottamenti; basso rischio sismico e idro-geologico; lontano dal mare e da canali soggetti a inondazioni) in edifici sicuri (costruiti secondo norme antincendio eantisismiche, adottando standard di sicurezza per impianti elettrici, di rete, antincendio, di emergenza) in paesi “tranquilli” (assenza o basso rischio di conflitti economici, territoriali, sociali, politici, sindacali, etnici, razziali, religiosi, ecc.)

Questi accorgimenti non garantiscono una sicurezza assoluta ma, unitamente a: effettuazione di frequenti e multiple copie di sicurezza (backup) da conservare in luoghi fra di loro distanti e sicuri (casseforti ignifughe, cloud), un piano di intervento detto Disaster Recovery Plan, predisposto dal Responsabile della Sicurezza, inserito all’interno di un più generale Business Continuity Plan

possono ridurre al minimo la portata del danno e i tempi di ripartenza dei servizi (p.e. adottando un sistema informatico sostitutivo). Quanto detto incide fortemente sui costi!


1.1.5 1.1.5 Riconoscere le minacce ai dati provocate dall’uso del Riconoscere le minacce ai dati provocate dall’uso del cloudcloud compucompu--tingting, quali controllo dei dati, potenziale perdita di riservatezza (privacy, quali controllo dei dati, potenziale perdita di riservatezza (privacy).).

Il cloud computing è un modello di utilizzo delle risorse informatiche tramite Internet, quali le risorse di elaborazione e di archiviazione, risorse che vengono assegnate all’utentedinamicamente e in modo automatico in base alle sue richieste.

Quando una risorsa viene rilasciata da un utente diventa disponibile per un altro utente. L'utente paga solo il servizio che utilizza e per il tempo in cui lo impiega.Tuttavia, il cloud computing espone gli utenti ad alcuni rischi: utilizzando un contratto di cloud computing l’azienda perde il controllo sui dati

fisici, dato che è quasi impossibile stabilire dove siano realmente immagazzinati; i dati sono memorizzati nei sistemi informatici dell’azienda che fornisce il servizio,

spesso in una nazione diversa da quella dell’utente quindi adotta una diversa legislazione, pertanto il fornitore del servizio può comportarsi in modo scorretto e usare i dati personali per propri fini, diversi da quelli dichiarati dall’azienda che usa il servizio e che ha raccolto i dati;

i dati non viaggiano solo all’interno della LAN aziendale ma attraverso Internet e mediante sistemi wireless, quindi possono essere intercettati.

La memorizzazione di dati sensibili su sistemi cloud espone l’utente a potenzialiproblemi di violazione della privacy o pericoli di spionaggio industriale. In questi contesti la crittografia può essere d’aiuto.


IT Security IT Security -- 1.2. Valore delle informazioni1.2. Valore delle informazioniprof. Salvatore Dimartino

1.2.1 Comprendere le caratteristiche fondamentali della sicurezza delle 1.2.1 Comprendere le caratteristiche fondamentali della sicurezza delle informazioni, qualiinformazioni, quali: confidenzialità, integrità, disponibilità.: confidenzialità, integrità, disponibilità.

Per quanto riguarda la sicurezza informatica ( indicata anche con il neologismo cybersecurity), le informazioni devono avere tre caratteristiche fondamentali: la confidenzialità, l’integrità e la disponibilità.La Confidenzialità o Riservatezza deve garantire che l’informa-zione sia disponibile solo agli utenti autorizzati, quindi le informa-zioni devono essere protette sia durante la loro memorizzazioneche durante la trasmissione ad altri.L’Integrità deve garantire che le informazioni non possano esse-re modificate o aggiornate se non da operazioni autorizzate, quin-di le informazioni vanno difese da manomissioni e modifiche nonautorizzate; se però dovesse accadere dobbiamo poterlo rilevare. La Disponibilità deve garantire che le informazioni siano a dispo-sizione delle persone autorizzate quando e dove servono.

Le proprietà prima elencate e sintetizzate dalla sigla CID o RID costituiscono la base a partire dalla quale vengono svolte tutte le successive valutazioni di sicurezza quali le analisi delle minacce, delle vulnerabilità e del rischio associato alle risorse (asset) informatiche, al fine di proteggerli da possibili attacchi (interni o esterni) che potrebbero provocare danni (diretti o indiretti) di notevole impatto, ovvero superiori ad una determinata soglia di tollerabilità, fino a mettere a repentaglio la funzionalitàstessa dell’azienda o dell’ente, ma anche la sua credibilità quindi il suo business.


1.2.1 Comprendere le caratteristiche fondamentali della sicurezza delle 1.2.1 Comprendere le caratteristiche fondamentali della sicurezza delle informazioni, qualiinformazioni, quali: confidenzialità, integrità, disponibilità.: confidenzialità, integrità, disponibilità.

Per completare l’argomento relativo alla sicurezza informatica bisogna introdurre altri due concetti, legati strettamente ai precedenti: la autenticità, il non ripudio.L’ Autenticazione o Autenticità è la protezione che offre la certezza della sorgente, della destinazione e del contenuto del messaggio. ◦ esempio di violazione: la spedizione di una e-mail da parte di un pirata informatico che si

maschera, facendo credere che il mittente dell’e-mail sia una persona conosciuta al destinatario, cercando di dar valore al contenuto (sicuramente fraudolento) del messaggio.

Il Non ripudio è la protezione che offre la certezza che chi spedisce (non ripudio del mittente) e chi riceve (non ripudio del destinatario) non possano negare di avere, rispettivamente, inviato e ricevuto il messaggio.Esempi presi dalla vita di tutti i giorni:◦ in una raccomandata con ricevuta di ritorno il

sistema postale garantisce il non ripudio da parte del destinatario, il quale firma di personala ricevuta di ritorno;

◦ l’autenticazione della firma da parte di un pubblico ufficiale si garantisce il non ripudio del mittente, oltre alla sua autenticità.

Esempi di violazione del non ripudio:◦ firma falsa,◦ carta intestata falsa.


1.2.2 Comprendere i motivi per proteggere le informazioni personali, 1.2.2 Comprendere i motivi per proteggere le informazioni personali, quali evitare il furto di identità o le frodi, mantenere la riservatezza.quali evitare il furto di identità o le frodi, mantenere la riservatezza.

Le informazioni personali comprendono tutti quei dati relativi ad un individuo che ne permettono l'identificazione e che ne possono rivelare stili di vita, abitudini, convinzioni politiche o religiose, salute, amicizie, situazione economica e patrimoniale, dati che riguardano la vita privata (privacy) di una persona.Se un estraneo si impossessa dell’ account (utente e password) che un’altra persona possiede per accedere ad un sistema informatico, la sicurezza dei dati del sistema è a rischio e l’intera organizzazione può subire danni.Il ”furto” di identità è una forma di frode o truffa, avente per oggetto l'identità di un'altra persona, mediante il quale un soggetto finge di essere qualcun altro, assumendo l'identità di quella persona, al fine di accedere alle sue risorse o di ottenere credito o altri benefici spendendo il nome altrui.

Per evitare tali inconvenienti bisogna custodire con la massima attenzione le proprie credenziali di accesso ad un sistema informatico, ricordando di scegliere una password:

- sufficientemente lunga (almeno 8/10 caratteri)- complessa (maiuscole, minuscole, numeri, simboli)- diversa fra un servizio e l’altro (Facebook non può esseretrattato come il proprio conto corrente on line!)

- apparentemente priva di senso e non riferibile alla persona- da cambiare periodicamente (ogni 60/90 giorni)- che va trattata con la massima riservatezza


1.2.3 Comprendere i motivi per proteggere informazioni di lavoro su computer 1.2.3 Comprendere i motivi per proteggere informazioni di lavoro su computer e e dispodispo--sitivi sitivi mobili, quali: evitare furti, utilizzi fraudolenti, perdite accidentali di mobili, quali: evitare furti, utilizzi fraudolenti, perdite accidentali di dati, sabotaggidati, sabotaggi..

Il furto d’identità è un problema per il singolo utente ma soprattutto per le aziende.

A livello privato bisogna essere consapevoli del problema e porre attenzione alle soluzioni di protezione necessarie.

A livello aziendale il problema è aggravato dal numero di utenti coinvolti, dalla quantità e qualità di dati riservati, dall’elevato numero di programmi usati e dall’elevato livello di integrazione. L’informazione è una risorsa strategica dell’azienda, la sua forza dipende dal modo come gestisce le informazioni in suo possesso e come ne trae profitto. Alla base di tutto quindi, per ragioni commerciali o legali, c’è la protezione delle informazioni, a garanzia dei rapporti con clienti, fornitori, enti, Pubblica Amministrazioni e altri.In particolare la protezione dei dati dei clienti o di tipo finanziario è ancora più rilevante in quanto ogni azienda è penalmente responsabile di un loro uso illegale. ( direttiva 95/46/CE, Legge 675/1996, D.Lgs. 196/2003 “Codice della privacy”, direttiva Commissione europea 25/01/2012, D.L.5 del 09/02/2012 )Particolare attenzione deve essere data ai dispositivi mobili, che possono essere facilmente rubati o smarriti; inoltre per limitare usi fraudolenti e sabotaggi è bene che ogni dipendente sia abilitato ad accedere solo ai dati di sua competenza (livelli differenziati di account), con accessi controllati (log), limitati nel tempo (durante l’orario d’ufficio), tramite dispositivi mobili «riconosciuti» dal sistema di sicurezza.


1.2.4 Identificare i principi comuni per la protezione, conservazione e controllo dei dati 1.2.4 Identificare i principi comuni per la protezione, conservazione e controllo dei dati e della riservatezza, quali: trasparenza, scopi legittimi, proporzionalità delle misure in e della riservatezza, quali: trasparenza, scopi legittimi, proporzionalità delle misure in rapporto ai danni.rapporto ai danni.

Privacy - tutte le volte che ci vengono chiesti dati personali ci viene richiesta anche una autorizzazione al loro utilizzo che specifica: obiettivi e modalità di trattamento nonché il responsabile di tali operazioni. Pertanto abbiamo il diritto di controllare che le informazioni che ci riguardano vengano gestite e viste solo per gli scopi che sono stati dichiarati al momento della richiesta di autorizzazione ma anche il diritto di verificare che ciò avvenga. Alla base della norma vi sono 3 principi fondamentali:1) la trasparenza – devono essere• dichiarate le procedure adottate per il rispetto delle regole;• comunicate le modalità di contestazione;• manifesta e dichiarata la raccolta dati;• descritti i motivi e le finalità;

2) la legittimità degli scopi - la raccolta ed il trattamento sono consentiti solo se:• perseguono fini legittimi,• non violano i diritti dell’interessato;

3) la proporzionalità delle misure in rapporto ai possibili danni – i dati raccolti devono essere:• adeguati, pertinenti e non eccedenti,• accurati e mantenuti aggiornati.

Equilibrio privacy (D.Lgs.196/2003) - trasparenza (D.Lgs. 33/2013): bit.ly/2gQkhrr


1.2.5 Comprendere i termini “soggetti dei dati” e “controllori dei dati”, e come si 1.2.5 Comprendere i termini “soggetti dei dati” e “controllori dei dati”, e come si applicano nei due casi i principi di protezione, conservazione e controllo dei dati e della applicano nei due casi i principi di protezione, conservazione e controllo dei dati e della riservatezza.riservatezza.

Il D.Lgs. 196/2003 all’articolo 4 definisce i seguenti termini:i) "interessato", la persona fisica cui si riferiscono i dati personali;g) "responsabile", la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi

altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

Diritti dell’interessato:• essere informato sull'esistenza di dati personali e di averne comunicazione in forma chiara;• conoscere l'origine di tali dati, le finalità e modalità del trattamento, gli estremi del titolare

del trattamento e i soggetti ai quali possono essere comunicati tali dati;• ottenere cancellazione, aggiornamento, rettifica e integrazione dei dati;• opporsi, per motivi legittimi, al trattamento dei propri dati personali a fini di invio di materiale

pubblicitario o di vendita diretta o per ricerche di mercato o comunicazioni commerciali.Doveri del responsabile: deve attenersi ai seguenti principi• Principio di necessità – la raccolta dati deve essere giustificata dalla loro necessità.• Principio di finalità – non è consentito l’uso dei dati per finalità che vanno oltre quelle per le

quali i dati sono stati raccolti.• Principio di conservazione - i dati raccolti devono essere conservati per un tempo non

superiore al necessario per gli scopi per i quali sono raccolti.• Principio di sicurezza – i dati devono essere conservati in modo sicuro e al riparo da

intrusioni esterne; sono obbligatorie misure di sicurezza come protezioni: fisiche, procedurali, tecniche, da intrusioni, da perdite di dati.

Esempio di informativa sulla privacy: bit.ly/2i2KKzX


1.2.6 Comprendere l’importanza di attenersi alle linee guida e alle 1.2.6 Comprendere l’importanza di attenersi alle linee guida e alle politiche per politiche per l’uso dell’ICT l’uso dell’ICT e come fare per ottenerle.e come fare per ottenerle.

Le Linee Guida forniscono uno standard che deve essere seguito dagli utenti e assicurano una posizione chiara su come dovrebbe essere usata l’ICT per: attuare le operazioni di gestione dei sistemi informatici; assicurare la protezione dei dati aziendali.

La definizione delle politiche per l’uso delle ICT si articola su 3 livelli: politica di sicurezza aziendale, come l’azienda intende proteggere i dati; politica di sicurezza per il sistema informatico, come proteggerlo da attacchi; politica di sicurezza tecnica, cosa l’azienda intende proteggere.

Una volta definito come e cosa proteggere, si stabiliscono le Linee Guide per l’uso delle risorse ICT, definendo con esattezza:

o organigramma con ruoli e mansioni,o compiti e responsabilità,o procedure e strumenti,o tempi e luoghi.


Note legaliNote legali

Il concetto giuridico di sicurezza informatica è collegato a quel complesso di accorgimenti tecnici e organizzativi che mirano a tutelare i beni giuridici della Confidenzialità, dell’Integrità e della Disponibilità delle informazioni registrate (su dischi, cloud, banda magnetica, ecc.) o veicolate (rete interna, Wi-Fi, Internet) da dispositivi informatici.L’accesso non autorizzato a un sistema informatico da parte di un estraneo, il cosiddetto “pirata informatico”, può essere equiparato alla violazione di domicilio. In tal caso, la vittima del reato può appellarsi all’art. 615 ter della legge 547/93 che sancisce l’inviolabilità del proprio domicilio. Infatti, il sistema informatico costituisce, rispetto alla persona, una “espansione” della sua soggettività.Diverso aspetto assume, invece, la duplicazione di dati e di programmi; in tal caso il reato può rientrane nella vasta sfera della violazione del diritto d’autore.Gli autori di programmi software sono garantiti dalla medesima legge che tutela gli autori di opere letterarie, ossia la legge 633/1941 sul diritto d’autore. Sono inoltre tutelati ai sensi della Convenzione di Berna sulla protezione delle opere letterarie e artistiche, ratificata e resa esecutiva con la legge 399/1978. Nel D.Lgs. 518/1992 viene definitivamente sancito che anche i software prodotti da un autore possiedono la medesima tutela riconosciuta alle altre opere d’autore, Capo III, sezione IV, articolo 64 bis/ter/quater.


IT Security IT Security -- 1.3 Sicurezza personale1.3 Sicurezza personaleprof. Salvatore Dimartino

1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali 1.3.1 Comprendere il termine “ingegneria sociale” e le sue implicazioni, quali accesso non autorizzato a sistemi informatici, raccolta non autorizzata di accesso non autorizzato a sistemi informatici, raccolta non autorizzata di informazioni, frodi.informazioni, frodi.

L’ ingegneria sociale si riferisce alla manipolazione delle persone, che vengono portate ad eseguire delle azioni o a divulgare informazioni riservate (ad esempio le credenziali di accesso a servizi riservati), invece di utilizzare tecniche di hacking per ottenere le stesse informazioni.L’ingegneria sociale (social engineering) opera seguendo un procedimento articolato in 3 fasi:

1. raccolta di informazioni – si raccolgono le informazioni che possono essere riservateo di valore;

2. verifica delle informazioni – si verifica la correttezza delle informazioni acquisite;

3. utilizzo delle informazioni –◦ frodi - uso di informazioni raccolte per

commettere atti fraudolenti;

◦ accesso a sistemi informatici - accesso a informazioni riservate.


1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate 1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, telefoniche, phishingphishing, , shouldershoulder surfing (surfing (spiare alle spalle), spiare alle spalle), al fine di carpire al fine di carpire informazioni personali.informazioni personali.

Chiamate telefoniche - ingannare qualcuno a proposito della propria identità durante una telefonata per ottenere informazioni di valore; si utilizzano riferimenti realmente esistenti per convincere la vittima ad “abbassare la guardia” e fornire spontaneamente informazioni riservate (pretexting).

Phishing - ingannare qualcuno a proposito della propria identità attraverso la posta elettronica, chiedendo di collegarsi ad un sito che riproduce quello vero di un servizio bancario/postale per ottenere le credenziali di accesso e poter sottrarre denaro. Il whaling (da “whale” balena) è una forma sofisticata di phishing per ottenere l'accesso a informazioni di rilevante valore economico e commerciale perpetrato a carico di senior executive e altre persone di profilo elevato nel business o nel management.

Shoulder surfing - usare l’osservazione diretta per ottenere informazioni, al fine di un utile personale, sbirciando alle spalle una persona dopo averne conquistata la fiducia.


L'ingegneria sociale (dall'inglese “Social engineering” ) è quel ramo della sicurezza delle informazioni che si occupa di manipolare psicologicamente delle persone al fine di compiere azioni o carpire informazioni riservate.

1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate 1.3.2 Identificare i metodi applicati dall’ingegneria sociale, quali chiamate telefoniche, telefoniche, phishingphishing, , shouldershoulder surfing (surfing (spiare alle spalle), spiare alle spalle), al fine di carpire al fine di carpire informazioni personali.informazioni personali.


Tentativo diTentativo diphishingphishing

1.3.3 Comprendere il termine “furto di identità” e le sue implicazioni 1.3.3 Comprendere il termine “furto di identità” e le sue implicazioni personali, finanziarie, lavorative, legali.personali, finanziarie, lavorative, legali.

Il furto di identità consiste nell’assumere l’identità di un’altra persona per un guadagno personale.

Quindi consiste nell’ottenere indebitamente le informazioni personali di un soggetto al fine di sostituirsi in tutto o in parte al soggetto stesso e compiere azioni illecite in suo nome o ottenere credito tramite false credenziali. Questo può portare al furto o all’abuso di informazioni personali, di lavoro o legali.

Il criminale ha bisogno di questi dati per attuare la frode: nome, cognome, indirizzo, luogo e data di nascita numero del rapporto titoli della banca codice fiscale, numero di telefono o del cellulare numero della carta di credito, del conto corrente altre informazioni: nomi dei genitori, luogo di lavoro

Pericoli del furto d’identità: credenziali rubate… usate per accedere a sistemi di pagamento danno economico; posta elettronica, inviare messaggi tendenziosi problemi di lavoro; social network, pubblicare fatti e foto personali perdita di riservatezza; social network, inviare pensieri e opinioni false perdita di credibilità.


1.3.4 Identificare i metodi applicati per il furto di identità, quali acquisire informazioni a 1.3.4 Identificare i metodi applicati per il furto di identità, quali acquisire informazioni a partire da oggetti e informazioni scartati (information partire da oggetti e informazioni scartati (information divingdiving); uso di dispositivi ); uso di dispositivi fraudolenti di lettura (fraudolenti di lettura (skimmingskimming); inventare uno scenario pretestuoso (); inventare uno scenario pretestuoso (pretextingpretexting).).

Il furto di identità si attua utilizzando le seguenti strategie: Trashing (dumpster diving o information diving) – rovistare nei

cestini della spazzatura delle vittime alla ricerca di bollettini, ricevute, bozze di documenti contenti informazioni importanti, credenziali bancarie, password, resoconti, corrispondenza, scontrini di acquisto con carta di credito, ecc.

Skimming - clonazione di una carta di credito o di debito attraverso l’apparecchiatura elettronica utilizzata negli esercizi commerciali per pagare i beni acquistati. I dati che vengono raccolti, sono poi trasmessi a organizzazioni criminali per la loro clonazione.

Pretexting – si usa uno scenario inventato (il pretesto) per indurre la vittima a dare le informazioni volute. Nel pretexting, fatto spesso telefonicamente, il truffatore finge di essere un rappresentante della banca, un poliziotto o un agente assicurativo per guadagnare la fiducia dell’interlocutore ed indurlo a fornire le informazioni volute.

Eavesdrop - consiste nell’origliare, cioè ascoltare una conversazione di nascosto, un dialogo sottovoce, o un colloquio segreto.

Wiretap - intercettazione, si attua attraverso il telefono ma soprattutto tramite mezzi di messaggistica istantanea, VoIP e posta elettronica con strumenti di sniffing del traffico, hacking del canale di comunicazione, utilizzo di microspie, ecc.


BIBLIOGRAFIA: Kevin David Mitnick, L'arte dell'inganno, Milano, Feltrinelli Editore, 2002Kevin David Mitnick, L'arte dell'intrusione, Milano, Feltrinelli Editore, 2006

IT Security IT Security -- 1.4 Sicurezza dei file1.4 Sicurezza dei fileprof. Salvatore Dimartino

1.4.1 Comprendere gli effetti di attivare/disattivare le impostazioni di 1.4.1 Comprendere gli effetti di attivare/disattivare le impostazioni di sicurezza relative alle macro.sicurezza relative alle macro.

Una macro è una porzione di codice eseguibile inserita all’interno di un documento da parte del suo creatore allo scopo di automatizzare alcune operazione ripetute frequentemente, operazioni che non hanno associato di default un pulsante nell’applicazione.

I documenti di Word, Excel, PowerPoint, Access o di Open Office possono contenere codice incorporato scritto in un linguaggio di programmazione noto come Visual Basic for Applications (VBA).

Le macro create da noi non costituiscono mai un rischio per la sicurezza. Al contrario, i creatori di virus informatici possono scrivere codice VBA dannoso e incorporarlo, sotto forma di macro, in un documento Office particolarmente “utile” e poi distribuirlo online.

Abilitare una macro ne assicura l’esecuzione, ma potrebbe provocare dei danni al computer se la provenienza del file non è nota.

Disabilitare una macro ne assicura la mancata esecuzione, ma potrebbe impedire l’utilizzo di tutte le funzionalità presenti in un file.


1.4.1 Comprendere gli effetti di attivare/disattivare le impostazioni di 1.4.1 Comprendere gli effetti di attivare/disattivare le impostazioni di sicurezza relative alle macro.sicurezza relative alle macro.

Gestire le impostazioni di sicurezza delle macro in Microsoft Office:1. pulsante Office (vers. 2007) oppure File (vers. superiori)2. clic sul pulsante Opzioni 3. clic sulla voce Centro protezione4. clic sul pulsante Impostazioni Centro protezione…5. si scegli il livello di protezione desiderato

6. infine, clic sul pulsante OK


all’apertura di un file

(di Access) contenente una macro

Nella cartella Modulo5 apri i file e attiva le macro:-) file calendario.xlsm con macro-) file liberta.docm con macro e attiva la macro con ALT+0-) chiudi i file senza salvare

1.4.2 Comprendere i vantaggi e i limiti della cifratura. Comprendere l’importanza 1.4.2 Comprendere i vantaggi e i limiti della cifratura. Comprendere l’importanza di non divulgare o di non perdere la password, la chiave o il certificato di cifratura.di non divulgare o di non perdere la password, la chiave o il certificato di cifratura.

La cifratura o crittazione è l'operazione tramite la quale si nascondono le informazioni ed è effettuata tramite un apposito cifrario; nei computer è effettuata da appositi algoritmi. Famoso è il cosiddetto «cifrario di Cesare» con chiave 3.Un po’ di terminologia:o Il testo chiaro è il messaggio da cifrare.o Il testo cifrato o crittogramma è il messaggio trasformato in modo da non essere più

comprensibile ad una semplice lettura.o La decrittazione è la conversione di un testo cifrato in un testo chiaro.o La crittoanalisi è la pratica del rivelare ciò che la crittografia tenta di nascondere.

Ogni sistema crittografico ha degli elementi di base: o un algoritmo di codifica, che è l’insieme delle regole per passare dal messaggio in chiaro a

quello criptato,o un algoritmo di decodifica, per passare dal messaggio criptato a quello in chiaro, o una o più chiavi, che vengono usate dagli algoritmi sopra citati per criptare e poi per

decriptare il messaggio stesso.

Gli algoritmi di crittografia possono essere classificati come simmetrici, anche detti a chiave segreta (o privata): usano la stessa chiave per

codificare e decodificare;

asimmetrici, anche detti a chiave pubblica: usano due chiavi distinte una per codificare e una per decodificare.


Nella cartella Modulo5: esegui il programma CodDecod.exe

Nella cartella Modulo5: apri il file CesareMultichiave.xlsx

Internet/rete


La crittografia simmetrica o "a chiave segreta", utilizza una chiave comune e il medesimo algoritmo crittografico per la codifica e la decodifica dei messaggi. In sostanza, due utenti che desiderano comunicare devono accordarsi su di un algoritmo e su di una chiave comune. Es. fra access point e tablet/smartphone.

Punti di forza dei sistemi a chiave segreta:o algoritmi veloci (DES, 3DES, RC-4, IDEA), richiedono poche risorse di calcolo;o ottimo rapporto velocità/sicurezza.

Punti critici dei sistemi a chiave segreta:o necessità di cambiare spesso la chiave segreta per evitare il rischio che venga scoperta;o sicurezza dell’algoritmo (DES adottato dal governo USA nel 1976 fu «rotto» nel 1999);o sicurezza nella distribuzione della chiave segreta.

Problema della trasmissione della chiave:o Se non c‘è un modo sicuro di trasmettere la chiave, chi se ne impossessa può leggere il

messaggio. E se c'è un modo sicuro per trasmettere la chiave, perché non si usa per trasmettere il messaggio stesso?


Testo in chiaro

Mittente

Testo criptato

cifratura decifraturaTesto in chiaro

Destinatario

ConfidenzialitàAlice Bob

Internet/rete


La crittografia asimmetrica "a chiave pubblica" o "a chiave doppia" usa una chiave pubblica, nota a tutti, per criptare e un'altra chiave, privata e segreta, per decriptare:o la mia chiave privata può "aprire" solo ciò che è stato "chiuso" con la mia chiave pubblica;o è impossibile dedurre una chiave conoscendo l'altra;o la chiave privata è segreta e non viene scambiata nella comunicazione;o la stessa chiave pubblica è usata da tutti gli utenti;o se A e B vogliono comunicare, ognuno deve avere una coppia di chiavi (pubblica, privata).


Testo in chiaro

Mittente

Testo criptato


Destinatario

Confidenzialità

Testo in chiaro

Mittente

cifraturaTesto

criptato+

Codicecontrollo

decifratura Testo in chiaro

Destinatario

Confidenzialità +Autenticità mittente + Integrità dei dati

Alice Bob

Bob Alice

Internet/rete


Punti di forza:o B invia la risposta a A, che sia B è assicurato dal fatto che il messaggio è decifrato dalla

sua chiave pubblica, inoltre il codice di controllo ne impedisce le alterazioni.Punti critici della crittografia asimmetrica :

a) chiunque può far finta di essere A e trasmettere a B un messaggio in codice, utilizzando la sua chiave pubblica perché è pubblicamente disponibile;

b) se la risposta inviata ad A viene intercettata dall’utente D, anche lui legge il messaggio decifrandolo con la chiave pubblica di B.


Testo in chiaro

Mittente

Testo criptato


Destinatario

Confidenzialità

Testo in chiaro

Mittente

cifraturaTesto

criptato+

Codicecontrollo

decifratura Testo in chiaro

Destinatario

Confidenzialità +Autenticità mittente + Integrità dei dati

Alice? Bob

Bob

Alice

Devil

a)

b)

GGRRRR!


SOLUZIONE ? - Il messaggio da Alice a Bob viene cifrato due volte1. Alice cripta il testo in chiaro con la propria chiave privata, pertanto il crittogramma prodotto

garantisce: Confidenzialità, Autenticità del mittente e Integrità dei dati (grazie al codice di controllo)

2. Alice cripta di nuovo il risultato precedente con la chiave pubblica di Bob, in tal modo solo Bob potrà aprirlo con la sua chiave privata, ma si troverà un altro crittogramma che potrà leggere in chiaro usando la chiave pubblica di Alice, ed è certo che scrive Alice!


Testo in chiaro

Mittente

1^ cifratura 2^ cifratura

Testo criptato

+Codice

controllo

Testo in chiaro

Destinatario

Confidenzialità +Autenticità mittente + Integrità dei datiAlice

Bob

Testo criptato

+Codice

controllo

1^ decifratura

Testo criptato

+Codice

controllo

2^ decifratura

Mi ha scritto Alice


Problema della crittografia asimmetrica:o i processi di codifica/decodifica sono caratterizzati da elaborazioni complesse, quindi

comportano tempi lunghi quando si devono trattare grandi quantità di dati.

Quando il problema è quello della segretezza si ricorre all’uso del sistema simme-trico, molto più veloce (circa mille volte), avendo però cura che la trasmissione della chiave venga criptata con il sistema asimmetrico, che ne garantisce la segretezza.Quando la cifratura viene fatta su iniziativa dell’utente, che ne definisce la chiave, se si perde la chiave il file non può più essere usato, è quindi necessario proteggere la chiave ma anche non perderla.La coppia di chiavi viene rilasciata da una Autorità di Certificazione, che invia al richiedente un Certificato elettronico. Sia la chiave segreta che il certificato devono essere protetti, valgono in questo caso tutte le regole che si applicano per la protezione delle password.

Riepilogo:

Vantaggi + i dati cifrati non possono essere letti senza una chiave+ solo il destinatario autorizzato può leggere il messaggio

Limiti - se viene persa la chiave di cifratura, i dati non sono più utilizzabili- la sicurezza della cifratura è basata sulla segretezza della chiave



Codice di controlloEsempio del Codice Fiscale: i primi 15 caratteri rappresentano i dati anagrafici del soggetto, il 16^ carattere (8 bit) ha funzione di controllo dei primi quindici caratteri. È determinato da un opportuno calcolo (algoritmo) matematico. Tuttavia è un controllo «debole» perché il metodo scopre un singolo errore, ma se si commettono più errori il controllo può dare esito positivo!.Per i file si usa un algoritmo detto hash o digest che trasforma dei dati di lunghezza arbitraria (messaggio) in una stringa binaria di dimensione fissa chiamata «impronta del messaggio».La funzione di hash ideale deve avere tre proprietà fondamentali:• deve essere semplice calcolare un hash da qualunque tipo di dato;• deve essere impossibile risalire al testo che ha portato ad un dato hash;• deve essere improbabile che due messaggi differenti, anche simili, abbiano lo stesso hash.

Un'importante applicazione delle funzioni crittografiche di hash è nella verifica dell'integrità di un messaggio. Infatti è possibile verificare se sono stati compiute modifiche al messaggio confrontando il suo hash prima e dopo la trasmissione.

In pratica: WinRar usa un digest detto CRC32 (Cyclic Redundancy Check 32 bit) formato da 4 byte; MD5 è un algoritmo che produce un output di 16 byte (128 bit), ad esempio è usato per controllare il corretto download di una immagine .iso di una distribuzione Linux; i sistemi usati per i certificati digitali, la firma digitale, i protocolli SSL/TLS, ecc. sono i metodi della famiglia SHA-x (Secure Hash Algorithm), il più comune e veloce è SHA-1 che restituisce un’impronta di 20 byte (160 bit), mentre il più lento ma ad oggi non «bucato» è SHA-256 o SHA-512.


Nella cartella Modulo5: esegui i programmi TestCodFisc.exe e TestPiva.exe

Nella cartella Modulo5: esegui il programma Vedi-rar.cmd per visualizzare dei file compressi RAR e relativo CRC, esegui il programma WinMD5.exe per calcolare il codice MD5 di qualsiasi file.

1.4.3 Cifrare un file, una cartella, una unità disco.1.4.3 Cifrare un file, una cartella, una unità disco.

MS-Windows in alcune versioni permette di cifrareun file o un’intera cartella o selezionare il file/cartella;o clic destro;o dal menu contestuale si sceglie Proprietà;o nella scheda Generale clic sul pulsante Avanzate;o si spunta la voce «Crittografa contenuto per…»;o OKo OK - si chiudono tutte le finestre aperte, confermando

le operazioni.


1.4.3 Cifrare un file, una cartella, una unità disco.1.4.3 Cifrare un file, una cartella, una unità disco.

Per la crittografia di un intero disco, Windows mette a disposizione la funzionalità BitLocker. Per attivarla, nelle edizioni di Windows che la supportano, basta :o Pannello di controllo, Sistema e sicurezza, Crittografia unità BitLocker;o la finestra di dialogo mostra le unità su cui è possibile attivare la funzionalità;o clic sul link Attiva BitLocker avvia la procedura guidata;o verrà chiesta la password di cifratura e la modalità di salvataggio della chiave per

recuperare il contenuto dell’unità se si dimenticasse la password.


1.4.4 Impostare una password per file quali: documenti, fogli di 1.4.4 Impostare una password per file quali: documenti, fogli di calcolo, file compressi.calcolo, file compressi.

Uno dei sistemi più diffusi e semplici per proteggere un documento consiste nell’impostare una protezione del file dall’apertura e/o dalla modifica mediante una password. Nel primo caso non sarà possibile aprirlo se non si digita la password corretta, mentre nel secondo caso sarà possibile aprirlo, almeno in sola lettura, ma non modificarlo se non si inserisce l’opportuna password. 1 - Proteggere documenti di MS Office1. pulsante Office (v. 2007) o File (v. superiori)2. clic su Salva con nome 3. scegli il tipo di documento4. accanto a Salva, clic su Strumenti 5. clic su Opzioni generali …6. inserire la password di apertura e/o

quella di modifica7. dopo OK, confermare le password8. infine, salvare il documento.


Nella cartella Modulo5 apri i seguenti file:-) figli.docx con password di lettura: 1234-) insegnamento.docx con password di modifica: 5678


2 - Proteggere documenti di MS Office1. pulsante Office (v. 2007) o File (v. superiori)2. Prepara o Informazioni/Autorizzazioni3. Crittografa/proteggi documento o con password4. inserire la password 5. dopo OK, confermare la password6. infine, salvare il documento.

3 – Proteggere celle di MS Excel1. selezionare le celle da non proteggere2. clic destro sulle celle, scegli Formato celle…3. pannello Protezione4. togliere la spunta su Bloccata5. scheda Revisione6. pulsante Proteggi foglio7. assegnare un’eventuale password 8. confermare la password9. OK


2007

2010

2013

Nella cartella Modulo5 apri i seguenti file:-) dolore.docx con chiave di crittografia: qwer-) derivate.xlsx ha il foglio bloccato, puoi solo modificare le caselle con lo sfondo verde; segui i passaggi del blocco per rimuoverlo e usa psw: asdf


4 – Proteggere file compressi con WinRar1. eseguire WinRar2. individuare e selezionare i file3. premere il pulsante Add4. scegliere il nome del file5. premere il pulsante Set password...6. digitare la password7. OK, per la password8. OK, per la creazione

Aprendo il file compresso, al suo interno saranno visibili i documenti compressi con un asterisco * alla fine del nome per indicare che quel documento è protetto da password.Se tentiamo di scompattare i file ci viene richiesta la password.


Nella cartella Modulo5 :-) apri il file compresso.rar protetto, scompattare i file al suo interno usando la password: zxcv-) attivare WinRar e comprimere in nuovo file docs.rar tutti i file di Word assegnando la password: pippo


5 – Proteggere file compressi con 7Zip

1. eseguire 7Zip

2. individuare e selezionare i file

3. premere Aggiungi

4. scegliere il nome del file

5. digitare la password

6. ridigitare password

7. OK, per la creazione


Nella cartella Modulo5 :-) apri il file it.7z, scompattare i file e le cartella al suo interno-) attivare 7Zip e comprimere in un nuovo file docs.7z tutti i file di Word assegnando la password: pluto

Bufale o fatti reali ?Bufale o fatti reali ?


FINEFINE


IT Security / 1 IT Security / 1 -- Concetti di sicurezzaConcetti di sicurezza

it security / 1 - concetti di sicurezzauna persona (white hat hacker) con il permesso dei suoi...

Documents