Post on 16-Feb-2019
Conoscenza e consapevolezza
Pier Luca Montessoro
Università degli Studi di Udine
Dalla Internet delle persone…
…alla Internet delle cose
Internet delle persone
Internet delle cose
persone che comunicano con persone
persone che comunicano con cose (servizi)
cose che comunicano con cose
Internet delle persone
Internet delle cose
Ma, dal punto di vista della sicurezza…
Internet delle persone
Internet delle cose
persone che ingannano persone
Internet delle persone
Internet delle cose
persone che ingannano persone
cose che ingannano persone
Internet delle persone
Internet delle cose
persone che ingannano persone
cose che ingannano persone
cose che ingannano cose
PERSONE
CHE INGANNANO
PERSONE
Stanley Mark Rifkin
COSE
CHE INGANNANO
PERSONE
COSE CHE INGANNANO COSE
COSA FANNO
(DAVVERO)
I NOSTRI
COMPUTER,
TABLET,
SMARTPHONE,
SMART TV, …?
• Rapporto CLUSIT 2015:
– +83% malware per dispositivi mobili dal 2013
al 2014 (Kindsight Security Labs H1 2014
Malware Report)
– 16000 attacchi DDOS
a clienti Fastweb nel 2014
PAPÀ, DAMMI IL CELL CHE TI INSTALLO UNA NUOVA APP
FANTASTICA!
Dati personali di 70 milioni di clienti 40 milioni di carte di credito Danni superiori a 150 milioni di dollari
IL BUG
HEARTBLEED
Colpiti Dropbox, Google, Yahoo e probabilmente Facebook, Twitter, Apple
Numeri e password di carte di credito Numeri di cellulare Social Security Number di 47mila dipendenti Dati aziendali Comunicazioni e-mail dei dirigenti Film
2014 Mondo virtuale, danni reali…
Ransomware:
cryptolocker
550.000 attachi/mese
(dati Symantec
7/2014 - 6/2015)
Vittime eccellenti…
https://www.theguardian.com/technology/2016/nov/28/
passengers-free-ride-san-francisco-muni-ransomeware
Vittime eccellenti…
In equilibrio tra tecnologia e comportamenti
È una questione di fiducia…
... e di buon senso
Phishing Phishing
Ciao, lavoro per la tua banca, stiamo
aggiornando i sistemi. Mi serve il tuo bancomat e il
tuo PIN. Grazie per la collaborazione...
LATUABANCA
Due dimensioni della fiducia
• Fiducia negli strumenti, negli sviluppatori e nei
fornitori degli strumenti, conoscenza e
consapevolezza dei limiti delle tecnologie
– hardware, sofware, reti, ecc.
• Fiducia nei servizi, negli sviluppatori e nei gestori
dei servizi, conoscenza e consapevolezza di
regole e rischi
– gestione dei dati e utilizzo delle informazioni
Una memoria da elefante…
Accettate caramelle
dagli sconosciuti?
Accettate caramelle
dagli sconosciuti?
Caramelle elettroniche Caramelle elettroniche
Legate
con il lucchetto
la vostra
bicicletta?
Legate
con il lucchetto
la vostra
bicicletta?
Chiudete a chiave la vostra abitazione? Chiudete a chiave la vostra abitazione?
Prevenzione guidata dalla conoscenza... Prevenzione guidata dalla conoscenza...
L'ignoranza non è un diritto L'ignoranza non è un diritto
Non tutto è possibile,
non tutto è fattibile,
non tutto è facile
Non tutto è possibile,
non tutto è fattibile,
non tutto è facile
Le leggi e i regolamenti servono e vanno rispettati Le leggi e i regolamenti servono e vanno rispettati
E ora, due passi nel futuro…
La dura verità
• Un progettista deve trovare TUTTE le vulnerabilità
del suo sistema
• Un hacker deve trovarne SOLO UNA
• Il progettista viene inevitabilmente sconfitto
(Mike Muller, CTO, ARM, "The Ugly Truth", IoT Security Summit 2015)
Un nuovo contesto
• No "control-alt-del"
• No "riformatta il disco e reinstalla il sistrma operativo"
• Servono
– architetture intrinsecamente sicure
(sarà realmente possibile?)
– serie politiche di migrazione/aggiornamento
Recenti attacchi
basati su IoT
http://www.networkworld.com/article/3168763/
security/university-attacked-by-its-own-vending-
machines-smart-light-bulbs-and-5-000-iot-devices.html
https://www.theguardian.com/technology/2016/nov/03/
cyberattack-internet-liberia-ddos-hack-botnet
L'esercito dei buoni
L'esercito dei buoni
L'esercito dei buoni
L'esercito dei buoni
...benvenuti al corso
Sicurezza Informatica!
...benvenuti al corso
Sicurezza Informatica!
Pier Luca Montessoro - www.montessoro.it
E quindi...