Alessandro Tanasi - [email protected]@tanasi.it 1La sicurezza informatica nello studio legale Alessandro Tanasi [email protected]

Alessandro Tanasi - [email protected] 1La sicurezza informatica nello studio legale

Alessandro Tanasi

[email protected]

http://www.tanasi.it

La sicurezza informatica La sicurezza informatica

nello studio legalenello studio legale


Introduzione

La dipendenza dalla tecnologia comporta problemi di

sicurezza di informazioni e dei sistemi informativi, si deve

mantenere e controllare:

Riservatezza: il corretto livello di confidenzialità

Integrità: evitate la loro manomissione o la loro perdita

Disponibilità: risorse sempre pronte per l'uso

in alcuni casi anche:

AAA: autenticazione, autorizzazione e registrazione

Non repudiation: non si possono negare le proprie azioni

società dipendente dalla tecnologia definizione di sicurezza informatica gli obbiettivi dell'elaborazione dei dati


Chi è a rischio?

Potenzialmente può incorrere in problemi di sicurezza

informatica chiunque:

Sia connesso a internet o in generale a una rete

Legga la posta elettronica

Abbia dati importanti di cui non dispone di copia

Installi programmi

...praticamente... tutti!

le imprese non comprendono il rischio, nemmeno a

crimine commesso non si investe in sicurezza informatica


La minaccia?

Hacker [1] [2]: una persona che si impegna nell'affrontare

sfide intellettuali per aggirare o superare le limitazioni che

gli vengono imposte e aumentare la propria conoscenza

Cracker [1] [3]: colui che entra abusivamente in sistemi

altrui allo scopo di danneggiarli o di trarne profitto

falsi miti imposti dai media la differenza tra hacker e cracker

[1] http://catb.org/jargon/

[2] http://it.wikipedia.org/wiki/Hacker

[2] http://en.wikipedia.org/wiki/Hacker

[3] http://it.wikipedia.org/wiki/Cracker

[3] http://en.wikipedia.org/wiki/Black_hat


La minaccia concreta

Truffe, in particolare spam e phishing

Attacchi automatizzati e script kiddies (vandali inesperti)

Virus e spyware: il 99% delle società usa un programma

antivirus, l'82% di queste sono state colpite da virus[1]

Abusi: l'80% delle società riporta che un lavoratore ha

abusato dell'accesso a internet, ad esempio scaricando

materiale pornografico o protetto da copyright[1]

Attacchi mirati condotti da professionisti (pagati)

[1] CSI/FBI Computer Crime and Security Survey, 2003 http://www.security.fsu.edu/docs/FBI2003.pdf

truffatori e criminali in cerca di facili guadagni programmi automatici e dilettanti attacchi professionali


Esempio di phishing

Caro membro di Banca Intesa,

Per i motivi di sicurezza abbiamo sospeso il vostro conto di

operazioni bancarie in linea a Banca Intesa. Dovete

confermare che non siete una vittima del furto di identità

per ristabilire il vostro conto.

Dovete scattare il collegamento qui sotto e riempire la

forma alla seguente pagina per realizzare il processo di

verifica.

http://www.bancaintesa.it/verifica_profilo/index.htm

<http://210.177.151.135/strike/pictures/intesa/index.html>


Nel dettaglio.. la maggior parte dei danni e' causata dai virus (blu) l'attacco “umano” professionale e' raro (rosso)


Strumenti

La matematica: la crittografia

archiviazione di dati cifrati e firma digitale

autenticazioneautenticazione e non ripudio

realizzazione di comunicazioni sicure su canale

insicuro

Investimenti in tecnologia (apparati di protezione e

autenticazione, filtri sui contenuti, aggiornamenti)

Analisi e definizione dei rischi

Personale (punto debole) e formazione

tecniche matematiche (crittografia) finanziamenti per strutture e personale formazione del personale


Formazione

La formazione dovrebbe aiutare a comprendere l'uso e lo

scopo degli strumenti informatici

Come gestire gli allegati?

Perchè alcuni siti sono pericolosi?

Chi può accedere a quali informazioni e in che modo?

La formazione aiuta il personale a prendere consapevolezza

delle problematiche e dei rischi, aumenta la produttività e

diminuisce gli incidenti informatici

training sulle tecnologie e i mezzi formazione del buon senso nel personale


Livelli di sicurezza

La sicurezza è un processo che richiede investimenti costanti,

azioni correttive risultanti da una scelta di compromesso tra

esigenze dell'utente e impegno richiesto, in coerenza con lo

scenario, l'identificazione e valutazione adeguata dei rischi.

Eliminazione del rischio per quanto

possibile dalla tecnologia

Sicurezza? Cosa?

Comprensione del pericolo

e sua riduzioni

con azioni proporzionali

Che informazioni tratto?

Chi è interessato a queste

informazioni?

Rispetto la Legge?

Quale livello di sicurezza

voglio garantire?

valutazione di un livello di sicurezza adeguato la sicurezza è un processo la sicurezza si costruisce ogni giorno


Livelli a cui il problema èaffrontato

Livelli a cui il problema èaffrontato

Problematiche

Livelli di problemi diversi, tutti devono essere affrontati:

Comprensione del problema

Comprensione del problema

Sicurezza fisicaSicurezza fisica

Accesso al mondoAccesso al mondo

Rete internaRete interna

Host (computer)Host (computer)

Applicazione (programma)Applicazione (programma)

Sicurezza fisica

(accesso ai locali)

Sicurezza di rete e

infrastrutture

Sicurezza dell'host

(computer)

sicurezza affrontata a vari livelli tutti insieme contribuiscono il sistema e' debole quanto il suo livello più debole


Sicurezza Fisica

Password su post-it

Documenti cestinati

Documenti visibili

Eccessi di fiducia

Terminali accesi senza

utenti

Perchè ricorrere a una complicata violazione informatica

quando quello che ci serve è appoggiato su una scrivania?

cose ovvie e semplici esempi di errori tipici


Ambiente di lavoro

Controllo dell'accesso ai locali, policy (regole) di accesso

Trattare nel modo dovuto i documenti (ad es. in cartelline)

Non lasciare informazioni nei rifiuti

Attenzione a come vengono portati dati fuori dall'ufficio

Porre attenzione ai piccoli dettagli dei computer (segni di

scasso)

Prevenzione di incendi, allagamenti ecc.

..e molto altro..

Le cose ovvie spesso vengono trascurate perchè

date per scontate!

un minimo di sorveglianza controllo sul flusso dell'informazione e sul suo

trattamento furti di informazione


Social Engineering

Le persone danno fiducia al contesto di una conversazione

Mancanza di paranoia in particolare nella routine quotidiana

Mancanza di training del personale, mancanza di sanzioni, in

generale mancanza di buon senso

Sono un Tecnico Telecom, devo

fare un controllo sulla linea

Prego, entri pure,

ci vuole molto?

Social Engineering [1]

: ottenere

informazioni confidenziali

manipolando e ingannando le

persone con imbrogli ad arte

[1] http://www.securityfocus.com/infocus/1527

facilitato dalla scarsa malizia permette la raccolta di informazioni semplice da mettere in atto


Sicurezza dell'host

Virus Melissa: 6,7 miliardi di dollari di danni

Un sistema Windows collegato a internet senza essere

protetto dopo pochi minuti è già compromesso

Abitudine di cliccare su “avanti” senza leggere

Configurazioni errate

Accessi non controllati

Sistemi installati e mai configurati

errori comuni dell'utente debolezza di sistemi operativi e applicazioni continua attività maligna proveniente da internet


Il fattore umano

Non aprire email ingenuamente

Non eseguire programmi di cui non è certa la provenienza

Utilizzo improprio del ambiente lavorativo (ad es. p2p)

Scelta di password deboli mai cambiate

Installazione di programmi di cui non si conosce l'uso

Semplicemente bisogna usare del buon senso!

La sicurezza di un singolo computer viene violata in

particolare a causa di errori umani

causa la maggior parte delle violazioni la soluzione più efficace è usare il buon senso


Virus

Circa 40 nuovi virus e worm vengono creati ogni giorno

In 10 minuti un virus può infettare oltre 400000 hosts nel mondo

Spesso un virus espone i dati contenuti nel sistema

alta virulenza necessità di programmi di difesa attiva e passiva i programmi di difesa devono essere aggiornati

Virus, worm [1]

: un programma che si replica e si

diffonde autonomamente

[1]: http://en.wikipedia.org/wiki/Computer_virus

Contromisure: installare un antivirus e un programma anti

spyware che devono essere mantenuti costantemente

aggiornati (almeno giornalmente).


Gli aggiornamenti

Perchè sono importanti gli aggiornamenti? (di tutti i software)

tempo0

uscita

patch

installazione

uscita di una vulnerabilità o di

un virus, tutti sono vulnerabili

rilascio e diffusione di un

aggiornamento

installazione

dell'aggiornamento da parte

dell'utente

tempo che può esser ridotto

periodo di rischio

perchè è importante aggiornare subito quanto è lungo il periodo di rischio


Firewall

Firewall [1]: strato che si interpone tra l'host (o la rete) e il

mondo esterno bloccando l'attività di rete non voluta

[1]: http://en.wikipedia.org/wiki/Firewall_%28networking%29

Protegge l'host dallo sfruttamento delle sue vulnerabilità

(del sistema operativo, delle applicazioni)

Permette solo il traffico prescelto

Permette di circoscrivere servizi

Difende il perimetro

internet è una fonte di traffico maligno non esporre le vulnerabilità dell'host al mondo ci permette di controllare il traffico dalla rete all'host


Sicurezza dell'Host

Aggiornare il sistema operativo e le applicazioni

Disabilitare i controli ActiveX di Internet Explorer

Disabilitare i servizi non necessari (ad es. MSN)

Pianificare dei backup del sistema (...e farli.. ma farli)

...ma il tutto deve essere bilanciato tra sicurezza e

usabilità

Mantenere il proprio computer aggiornato, facendo

scansioni, manutenzione e backup periodici.

Tutto questo non previene gli errori umani!

host non aggiornati sono vulnerabili servizi non utilizzati sono un punto d'ingresso in più essere sempre pronti alla disfatta facendo dei backup


Sintomi di violazione

Rallentamenti del sistema

Uso anomalo della rete (alto traffico) e suoi rallentamenti

Comparsa di file sospetti, icone e programmi non voluti

Malfunzionamento di programmi (in particolare antivirus)

Tutto quello che è diverso dal normale se non sono stati

apportati cambiamenti

Uso eccessivo della CPU e del Hard Disk

Eventi strani nei log (registri delle attività)

come accorgersi di una intrusione sintomi da riconoscere


Disaster Recovery

E' avvenuto un incidente informatico, cosa fare?

In caso di disastro cosa fare?

Pensare alle principali evenienze

Pianificare una risposta ad esse

Descrivere la risposta in appositi

manuali con un linguaggio semplice

i disastri accadono sicuramente (prima o poi) non facciamoci trovare impreparati

Esempi:

Pianificazione dei backup

Pianificazione di chi chiamare in caso di collasso del

collegamento a internet


Sicurezza di rete

Per cosa viene usata la nostra banda?

Cosa può fare un malintenzionato dalla nostra rete?

Se la nosta rete viene usate per spedire spam?

... e il phishing? ... e il p2p?

conoscenza dell'utilizzo che viene fatto definire cosa è un utilizzo normale riconoscimento delle anomalie


Rete

In una rete usata da più persone si deve disporre di:

AAA – Autenticazione, Autorizzazione, Registrazione

Possibilità di filtraggio

Possibilità di monitoraggio

Esempi:

Sapete chi utilizza la vostra rete Wi-Fi?

Sapete chi accede ai vostri documenti condivisi?

la rete è una risorsa il suo utilizzo deve essere regolato

amministratore

ladro

di dati


Monitoraggio di rete

Monitoraggio dell'utilizzo da parte del dipendente (proxy) e

eventuale blocco automatico

Monitoraggio delle risorse (grafici utilizzo banda ecc..)

Monitoraggio del contenuto del traffico

monitoraggio qualitativo monitoraggio quantitativo ipotesi sul traffico alla ricerca di anomalie

In ambiti particolari:

Sitemi di rilevamento delle

intrusioni (IDS)

Sistemi di prevenzione delle

intrusioni (IPS)


Comunicazioni Sicure

I dati inviati in chiaro possono

essere intercettati

email

web (non https)

chat

messaggistica

problema dell'intercettazione utilizzo della crittografia verificare di utilizzare un canale sicuro

Utilizzo della crittografia per rendere incomprensibile la

comunicazione

Siti web protetti (https, certificati digitali)

comunicazioni sicure (ad es. chat che utilizzano SSL o

altro)

Crittografia e firma digitale nelle email


Negazione di servizio

Denial of Service (DoS): attacco mirato all'interruzione

dell'erogazione di un servizio

attacco informatico

errore umano

problema tecnico

necessità di

strutture ridondate

Pezzi di ricambio

Dati replicati

Collegamenti ridondanti

Alimentazione controllata (UPS)

interrompere il servizio è un danno economico prevedere alcuni tipi di interruzione essere pronti a reagire


Enterprise.. o oltre..

Sistemi per il rilevamento delle violazione sul singolo host

(HIDS, auditing) e per l'apprendimento (honeypots)

Sistemi per il monitoraggio della rete (monitoring, auditing),

rilevazione e prevenzioni delle attività ostili (NIDS, IPS)

dove la sicurezza viene messa al primo posto dove tutto deve funzionare a cosa guardare per sognare

Sistemi di sorveglianza e

controlli d'accesso

Aggiornamento costante di

strutture e personale

Simulazioni e penetration test

periodici

Professionisti specializzatiAT&T NOC


Software

Antivirus

NortonAVGClamav

Firewall

ZoneAlarm iptables

Anti spyware / anti trojan

SpybotAd-Awarechkrootkit

selezione di software per la protezione del ufficio selezione di software per le sicurezze avanzate

HIDS

TripwireSamhain

NIDS

SnortMonitoraggio e scanning

nmapnessusethereal

Su ogni computer collegato ad una rete è necessario un antivirus, un firewall,

un

anti spyware e aggiornamenti costanti come minimo per riuscire a

sopravvivere

nel mondo di internet


Links

http://it.wikipedia.org/wiki/Sicurezza_informatica

http://www.sikurezza.org/

http://www.sikurezza.org/archivio.html#lex/

http://www.securityfocus.com/

http://www.cybercrimes.it/

http://www.dia.unisa.it/professori/masucci/sicurezza/index.htm

http://www.interlex.it/

http://www.garanteprivacy.it


Conclusioni

Dopo tutto questo (gran mal di testa):

La sicurezza è un processo da eseguire ogni giorno

strutturato a livelli

La tecnologia non protegge host e reti da errori umani e in

particolare dalle persone malintenzionate

L'uso del buon senso è fondamentale

...questa è appena la punta dell'iceberg; l'importante non è

conoscere la soluzione ma avere la consapevolezza che

esistono delle problematiche diverse e un problema

sicurezza informatica

la tecnologia aiuta ma non basta la tecnologia non protegge dagli errori umani la conoscenza del problema è fondamentale


Pubblicità Progresso

Il panorama italiano della sicurezza informatico è molto

legato alla Legge in materia

Le problematiche tecnologiche cambiano rapidamente

Le Leggi in materia devono essere costantemente adeguate

Voi sarete i legislatori del domani, rendetevi conto del

problema, confrontatevi con i tecnici in modo da ottenere

una visione globale da ambo le parti del problema

...e esigete che i tecnici (tipicamente elitari) vi aiutino

dandovi risposte concrete.

ultimamente sono stati fatti grandi passi avanti ma lavorando insieme il mondo si può migliorare ancora


Domande


Licenza

Questo documento viene rilasciato sotto licenza Alcoolware, la

quale non è altro che una normale licenza Creative Commons

Attribute-NonCommercial-ShareALike [1] ma con l'aggiunta

che se mi incontrate dobbiamo andare a bere qualcosa.

In sintesi è liberamente distribuibile per usi non commerciali,

copiabile e modificabile purchè citiate l'autore e la fonte.

Se volete distribuire questo documento sul vostro sito siete

pregati per favore di comunicarmelo in modo che possa

spedirvi le nuove versioni.

[1] http://creativecommons.org/licenses/by-nc-sa/2.0/


Slides

Le slides di questa presentazione sono già disponibili su:

http://www.tanasi.itPer informazioni:

[email protected]

Documents

Alessandro Tanasi - [email protected]@tanasi.it 1La sicurezza informatica nello studio legale Alessandro Tanasi [email protected]