Upload
raimonda-stella
View
224
Download
1
Embed Size (px)
Citation preview
Alessandro Tanasi - [email protected] 1La sicurezza informatica nello studio legale
Alessandro Tanasi
http://www.tanasi.it
La sicurezza informatica La sicurezza informatica
nello studio legalenello studio legale
Alessandro Tanasi - [email protected] 2La sicurezza informatica nello studio legale
Introduzione
La dipendenza dalla tecnologia comporta problemi di
sicurezza di informazioni e dei sistemi informativi, si deve
mantenere e controllare:
Riservatezza: il corretto livello di confidenzialità
Integrità: evitate la loro manomissione o la loro perdita
Disponibilità: risorse sempre pronte per l'uso
in alcuni casi anche:
AAA: autenticazione, autorizzazione e registrazione
Non repudiation: non si possono negare le proprie azioni
società dipendente dalla tecnologia definizione di sicurezza informatica gli obbiettivi dell'elaborazione dei dati
Alessandro Tanasi - [email protected] 3La sicurezza informatica nello studio legale
Chi è a rischio?
Potenzialmente può incorrere in problemi di sicurezza
informatica chiunque:
Sia connesso a internet o in generale a una rete
Legga la posta elettronica
Abbia dati importanti di cui non dispone di copia
Installi programmi
...praticamente... tutti!
le imprese non comprendono il rischio, nemmeno a
crimine commesso non si investe in sicurezza informatica
Alessandro Tanasi - [email protected] 4La sicurezza informatica nello studio legale
La minaccia?
Hacker [1] [2]: una persona che si impegna nell'affrontare
sfide intellettuali per aggirare o superare le limitazioni che
gli vengono imposte e aumentare la propria conoscenza
Cracker [1] [3]: colui che entra abusivamente in sistemi
altrui allo scopo di danneggiarli o di trarne profitto
falsi miti imposti dai media la differenza tra hacker e cracker
[1] http://catb.org/jargon/
[2] http://it.wikipedia.org/wiki/Hacker
[2] http://en.wikipedia.org/wiki/Hacker
[3] http://it.wikipedia.org/wiki/Cracker
[3] http://en.wikipedia.org/wiki/Black_hat
Alessandro Tanasi - [email protected] 5La sicurezza informatica nello studio legale
La minaccia concreta
Truffe, in particolare spam e phishing
Attacchi automatizzati e script kiddies (vandali inesperti)
Virus e spyware: il 99% delle società usa un programma
antivirus, l'82% di queste sono state colpite da virus[1]
Abusi: l'80% delle società riporta che un lavoratore ha
abusato dell'accesso a internet, ad esempio scaricando
materiale pornografico o protetto da copyright[1]
Attacchi mirati condotti da professionisti (pagati)
[1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI2003.pdf
truffatori e criminali in cerca di facili guadagni programmi automatici e dilettanti attacchi professionali
Alessandro Tanasi - [email protected] 6La sicurezza informatica nello studio legale
Esempio di phishing
Caro membro di Banca Intesa,
Per i motivi di sicurezza abbiamo sospeso il vostro conto di
operazioni bancarie in linea a Banca Intesa. Dovete
confermare che non siete una vittima del furto di identità
per ristabilire il vostro conto.
Dovete scattare il collegamento qui sotto e riempire la
forma alla seguente pagina per realizzare il processo di
verifica.
http://www.bancaintesa.it/verifica_profilo/index.htm
<http://210.177.151.135/strike/pictures/intesa/index.html>
Alessandro Tanasi - [email protected] 7La sicurezza informatica nello studio legale
Nel dettaglio.. la maggior parte dei danni e' causata dai virus (blu) l'attacco “umano” professionale e' raro (rosso)
Alessandro Tanasi - [email protected] 8La sicurezza informatica nello studio legale
Strumenti
La matematica: la crittografia
archiviazione di dati cifrati e firma digitale
autenticazioneautenticazione e non ripudio
realizzazione di comunicazioni sicure su canale
insicuro
Investimenti in tecnologia (apparati di protezione e
autenticazione, filtri sui contenuti, aggiornamenti)
Analisi e definizione dei rischi
Personale (punto debole) e formazione
tecniche matematiche (crittografia) finanziamenti per strutture e personale formazione del personale
Alessandro Tanasi - [email protected] 9La sicurezza informatica nello studio legale
Formazione
La formazione dovrebbe aiutare a comprendere l'uso e lo
scopo degli strumenti informatici
Come gestire gli allegati?
Perchè alcuni siti sono pericolosi?
Chi può accedere a quali informazioni e in che modo?
La formazione aiuta il personale a prendere consapevolezza
delle problematiche e dei rischi, aumenta la produttività e
diminuisce gli incidenti informatici
training sulle tecnologie e i mezzi formazione del buon senso nel personale
Alessandro Tanasi - [email protected] 10La sicurezza informatica nello studio legale
Livelli di sicurezza
La sicurezza è un processo che richiede investimenti costanti,
azioni correttive risultanti da una scelta di compromesso tra
esigenze dell'utente e impegno richiesto, in coerenza con lo
scenario, l'identificazione e valutazione adeguata dei rischi.
Eliminazione del rischio per quanto
possibile dalla tecnologia
Sicurezza? Cosa?
Comprensione del pericolo
e sua riduzioni
con azioni proporzionali
Che informazioni tratto?
Chi è interessato a queste
informazioni?
Rispetto la Legge?
Quale livello di sicurezza
voglio garantire?
valutazione di un livello di sicurezza adeguato la sicurezza è un processo la sicurezza si costruisce ogni giorno
Alessandro Tanasi - [email protected] 11La sicurezza informatica nello studio legale
Livelli a cui il problema èaffrontato
Livelli a cui il problema èaffrontato
Problematiche
Livelli di problemi diversi, tutti devono essere affrontati:
Comprensione del problema
Comprensione del problema
Sicurezza fisicaSicurezza fisica
Accesso al mondoAccesso al mondo
Rete internaRete interna
Host (computer)Host (computer)
Applicazione (programma)Applicazione (programma)
Sicurezza fisica
(accesso ai locali)
Sicurezza di rete e
infrastrutture
Sicurezza dell'host
(computer)
sicurezza affrontata a vari livelli tutti insieme contribuiscono il sistema e' debole quanto il suo livello più debole
Alessandro Tanasi - [email protected] 12La sicurezza informatica nello studio legale
Sicurezza Fisica
Password su post-it
Documenti cestinati
Documenti visibili
Eccessi di fiducia
Terminali accesi senza
utenti
Perchè ricorrere a una complicata violazione informatica
quando quello che ci serve è appoggiato su una scrivania?
cose ovvie e semplici esempi di errori tipici
Alessandro Tanasi - [email protected] 13La sicurezza informatica nello studio legale
Ambiente di lavoro
Controllo dell'accesso ai locali, policy (regole) di accesso
Trattare nel modo dovuto i documenti (ad es. in cartelline)
Non lasciare informazioni nei rifiuti
Attenzione a come vengono portati dati fuori dall'ufficio
Porre attenzione ai piccoli dettagli dei computer (segni di
scasso)
Prevenzione di incendi, allagamenti ecc.
..e molto altro..
Le cose ovvie spesso vengono trascurate perchè
date per scontate!
un minimo di sorveglianza controllo sul flusso dell'informazione e sul suo
trattamento furti di informazione
Alessandro Tanasi - [email protected] 14La sicurezza informatica nello studio legale
Social Engineering
Le persone danno fiducia al contesto di una conversazione
Mancanza di paranoia in particolare nella routine quotidiana
Mancanza di training del personale, mancanza di sanzioni, in
generale mancanza di buon senso
Sono un Tecnico Telecom, devo
fare un controllo sulla linea
Prego, entri pure,
ci vuole molto?
Social Engineering [1]
: ottenere
informazioni confidenziali
manipolando e ingannando le
persone con imbrogli ad arte
[1] http://www.securityfocus.com/infocus/1527
facilitato dalla scarsa malizia permette la raccolta di informazioni semplice da mettere in atto
Alessandro Tanasi - [email protected] 15La sicurezza informatica nello studio legale
Sicurezza dell'host
Virus Melissa: 6,7 miliardi di dollari di danni
Un sistema Windows collegato a internet senza essere
protetto dopo pochi minuti è già compromesso
Abitudine di cliccare su “avanti” senza leggere
Configurazioni errate
Accessi non controllati
Sistemi installati e mai configurati
errori comuni dell'utente debolezza di sistemi operativi e applicazioni continua attività maligna proveniente da internet
Alessandro Tanasi - [email protected] 16La sicurezza informatica nello studio legale
Il fattore umano
Non aprire email ingenuamente
Non eseguire programmi di cui non è certa la provenienza
Utilizzo improprio del ambiente lavorativo (ad es. p2p)
Scelta di password deboli mai cambiate
Installazione di programmi di cui non si conosce l'uso
Semplicemente bisogna usare del buon senso!
La sicurezza di un singolo computer viene violata in
particolare a causa di errori umani
causa la maggior parte delle violazioni la soluzione più efficace è usare il buon senso
Alessandro Tanasi - [email protected] 17La sicurezza informatica nello studio legale
Virus
Circa 40 nuovi virus e worm vengono creati ogni giorno
In 10 minuti un virus può infettare oltre 400000 hosts nel mondo
Spesso un virus espone i dati contenuti nel sistema
alta virulenza necessità di programmi di difesa attiva e passiva i programmi di difesa devono essere aggiornati
Virus, worm [1]
: un programma che si replica e si
diffonde autonomamente
[1]: http://en.wikipedia.org/wiki/Computer_virus
Contromisure: installare un antivirus e un programma anti
spyware che devono essere mantenuti costantemente
aggiornati (almeno giornalmente).
Alessandro Tanasi - [email protected] 18La sicurezza informatica nello studio legale
Gli aggiornamenti
Perchè sono importanti gli aggiornamenti? (di tutti i software)
tempo0
uscita
patch
installazione
uscita di una vulnerabilità o di
un virus, tutti sono vulnerabili
rilascio e diffusione di un
aggiornamento
installazione
dell'aggiornamento da parte
dell'utente
tempo che può esser ridotto
periodo di rischio
perchè è importante aggiornare subito quanto è lungo il periodo di rischio
Alessandro Tanasi - [email protected] 19La sicurezza informatica nello studio legale
Firewall
Firewall [1]: strato che si interpone tra l'host (o la rete) e il
mondo esterno bloccando l'attività di rete non voluta
[1]: http://en.wikipedia.org/wiki/Firewall_%28networking%29
Protegge l'host dallo sfruttamento delle sue vulnerabilità
(del sistema operativo, delle applicazioni)
Permette solo il traffico prescelto
Permette di circoscrivere servizi
Difende il perimetro
internet è una fonte di traffico maligno non esporre le vulnerabilità dell'host al mondo ci permette di controllare il traffico dalla rete all'host
Alessandro Tanasi - [email protected] 20La sicurezza informatica nello studio legale
Sicurezza dell'Host
Aggiornare il sistema operativo e le applicazioni
Disabilitare i controli ActiveX di Internet Explorer
Disabilitare i servizi non necessari (ad es. MSN)
Pianificare dei backup del sistema (...e farli.. ma farli)
...ma il tutto deve essere bilanciato tra sicurezza e
usabilità
Mantenere il proprio computer aggiornato, facendo
scansioni, manutenzione e backup periodici.
Tutto questo non previene gli errori umani!
host non aggiornati sono vulnerabili servizi non utilizzati sono un punto d'ingresso in più essere sempre pronti alla disfatta facendo dei backup
Alessandro Tanasi - [email protected] 21La sicurezza informatica nello studio legale
Sintomi di violazione
Rallentamenti del sistema
Uso anomalo della rete (alto traffico) e suoi rallentamenti
Comparsa di file sospetti, icone e programmi non voluti
Malfunzionamento di programmi (in particolare antivirus)
Tutto quello che è diverso dal normale se non sono stati
apportati cambiamenti
Uso eccessivo della CPU e del Hard Disk
Eventi strani nei log (registri delle attività)
come accorgersi di una intrusione sintomi da riconoscere
Alessandro Tanasi - [email protected] 22La sicurezza informatica nello studio legale
Disaster Recovery
E' avvenuto un incidente informatico, cosa fare?
In caso di disastro cosa fare?
Pensare alle principali evenienze
Pianificare una risposta ad esse
Descrivere la risposta in appositi
manuali con un linguaggio semplice
i disastri accadono sicuramente (prima o poi) non facciamoci trovare impreparati
Esempi:
Pianificazione dei backup
Pianificazione di chi chiamare in caso di collasso del
collegamento a internet
Alessandro Tanasi - [email protected] 23La sicurezza informatica nello studio legale
Sicurezza di rete
Per cosa viene usata la nostra banda?
Cosa può fare un malintenzionato dalla nostra rete?
Se la nosta rete viene usate per spedire spam?
... e il phishing? ... e il p2p?
conoscenza dell'utilizzo che viene fatto definire cosa è un utilizzo normale riconoscimento delle anomalie
Alessandro Tanasi - [email protected] 24La sicurezza informatica nello studio legale
Rete
In una rete usata da più persone si deve disporre di:
AAA – Autenticazione, Autorizzazione, Registrazione
Possibilità di filtraggio
Possibilità di monitoraggio
Esempi:
Sapete chi utilizza la vostra rete Wi-Fi?
Sapete chi accede ai vostri documenti condivisi?
la rete è una risorsa il suo utilizzo deve essere regolato
amministratore
ladro
di dati
Alessandro Tanasi - [email protected] 25La sicurezza informatica nello studio legale
Monitoraggio di rete
Monitoraggio dell'utilizzo da parte del dipendente (proxy) e
eventuale blocco automatico
Monitoraggio delle risorse (grafici utilizzo banda ecc..)
Monitoraggio del contenuto del traffico
monitoraggio qualitativo monitoraggio quantitativo ipotesi sul traffico alla ricerca di anomalie
In ambiti particolari:
Sitemi di rilevamento delle
intrusioni (IDS)
Sistemi di prevenzione delle
intrusioni (IPS)
Alessandro Tanasi - [email protected] 26La sicurezza informatica nello studio legale
Comunicazioni Sicure
I dati inviati in chiaro possono
essere intercettati
web (non https)
chat
messaggistica
problema dell'intercettazione utilizzo della crittografia verificare di utilizzare un canale sicuro
Utilizzo della crittografia per rendere incomprensibile la
comunicazione
Siti web protetti (https, certificati digitali)
comunicazioni sicure (ad es. chat che utilizzano SSL o
altro)
Crittografia e firma digitale nelle email
Alessandro Tanasi - [email protected] 27La sicurezza informatica nello studio legale
Negazione di servizio
Denial of Service (DoS): attacco mirato all'interruzione
dell'erogazione di un servizio
attacco informatico
errore umano
problema tecnico
necessità di
strutture ridondate
Pezzi di ricambio
Dati replicati
Collegamenti ridondanti
Alimentazione controllata (UPS)
interrompere il servizio è un danno economico prevedere alcuni tipi di interruzione essere pronti a reagire
Alessandro Tanasi - [email protected] 28La sicurezza informatica nello studio legale
Enterprise.. o oltre..
Sistemi per il rilevamento delle violazione sul singolo host
(HIDS, auditing) e per l'apprendimento (honeypots)
Sistemi per il monitoraggio della rete (monitoring, auditing),
rilevazione e prevenzioni delle attività ostili (NIDS, IPS)
dove la sicurezza viene messa al primo posto dove tutto deve funzionare a cosa guardare per sognare
Sistemi di sorveglianza e
controlli d'accesso
Aggiornamento costante di
strutture e personale
Simulazioni e penetration test
periodici
Professionisti specializzatiAT&T NOC
Alessandro Tanasi - [email protected] 29La sicurezza informatica nello studio legale
Software
Antivirus
NortonAVGClamav
Firewall
ZoneAlarm iptables
Anti spyware / anti trojan
SpybotAd-Awarechkrootkit
selezione di software per la protezione del ufficio selezione di software per le sicurezze avanzate
HIDS
TripwireSamhain
NIDS
SnortMonitoraggio e scanning
nmapnessusethereal
Su ogni computer collegato ad una rete è necessario un antivirus, un firewall,
un
anti spyware e aggiornamenti costanti come minimo per riuscire a
sopravvivere
nel mondo di internet
Alessandro Tanasi - [email protected] 30La sicurezza informatica nello studio legale
Links
http://it.wikipedia.org/wiki/Sicurezza_informatica
http://www.sikurezza.org/
http://www.sikurezza.org/archivio.html#lex/
http://www.securityfocus.com/
http://www.cybercrimes.it/
http://www.dia.unisa.it/professori/masucci/sicurezza/index.htm
http://www.interlex.it/
http://www.garanteprivacy.it
Alessandro Tanasi - [email protected] 31La sicurezza informatica nello studio legale
Conclusioni
Dopo tutto questo (gran mal di testa):
La sicurezza è un processo da eseguire ogni giorno
strutturato a livelli
La tecnologia non protegge host e reti da errori umani e in
particolare dalle persone malintenzionate
L'uso del buon senso è fondamentale
...questa è appena la punta dell'iceberg; l'importante non è
conoscere la soluzione ma avere la consapevolezza che
esistono delle problematiche diverse e un problema
sicurezza informatica
la tecnologia aiuta ma non basta la tecnologia non protegge dagli errori umani la conoscenza del problema è fondamentale
Alessandro Tanasi - [email protected] 32La sicurezza informatica nello studio legale
Pubblicità Progresso
Il panorama italiano della sicurezza informatico è molto
legato alla Legge in materia
Le problematiche tecnologiche cambiano rapidamente
Le Leggi in materia devono essere costantemente adeguate
Voi sarete i legislatori del domani, rendetevi conto del
problema, confrontatevi con i tecnici in modo da ottenere
una visione globale da ambo le parti del problema
...e esigete che i tecnici (tipicamente elitari) vi aiutino
dandovi risposte concrete.
ultimamente sono stati fatti grandi passi avanti ma lavorando insieme il mondo si può migliorare ancora
Alessandro Tanasi - [email protected] 33La sicurezza informatica nello studio legale
Domande
Alessandro Tanasi - [email protected] 34La sicurezza informatica nello studio legale
Licenza
Questo documento viene rilasciato sotto licenza Alcoolware, la
quale non è altro che una normale licenza Creative Commons
Attribute-NonCommercial-ShareALike [1] ma con l'aggiunta
che se mi incontrate dobbiamo andare a bere qualcosa.
In sintesi è liberamente distribuibile per usi non commerciali,
copiabile e modificabile purchè citiate l'autore e la fonte.
Se volete distribuire questo documento sul vostro sito siete
pregati per favore di comunicarmelo in modo che possa
spedirvi le nuove versioni.
[1] http://creativecommons.org/licenses/by-nc-sa/2.0/
Alessandro Tanasi - [email protected] 35La sicurezza informatica nello studio legale
Slides
Le slides di questa presentazione sono già disponibili su:
http://www.tanasi.itPer informazioni: