2010-03-16SicurezzaToPrint - Gazzetta...

23/03/2010

1

� Aspetti tecnico procedurali per l’adeguamento alla misure minime di sicurezza

informatica prescritte dall’Allegato “B” del D.lgs. 196/2003 e Disciplinare Tecnico

Rete Privacy della Provincia di Treviso Chemello Dott. Ing. Nicola

Nicola Chemello

Iscr. Albo ing. TV pos. A3362

Collaborazione con Polizia postale

Sicurezza informatica

23/03/2010

Chemello Dott. Ing. Nicola - www.securcube.net-

2

A.A.A.A. CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: CORSO DI AGGIORNAMENTO: Sicurezza e privacy

B.B.B.B. CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE CORSO DI AGGIORNAMENTO PER IL RESTANTE PERSONALEPERSONALEPERSONALEPERSONALE

Sicurezza e privacy Limitare i rischi nell’utilizzo del PC

C.C.C.C. VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER VERIFICA MIRUSE MINIME PREVISTE + PROCEDURE PER L’ADEGUAMENTOL’ADEGUAMENTOL’ADEGUAMENTOL’ADEGUAMENTO

Consulenza per la verifica dei requisiti minimi con il rilascio di attestazione di conformità secondo quanto previsto dalla normativa rilasciato dall’esperto informatico iscritto all’ Albo degli Ingegneri della provincia di Treviso

23/03/2010 Chemello Dott. Ing. Nicola -

www.securcube.net- 3

23/03/2010

2

Sicurezza informatica

� Primo incontro o Pericoli

o Adempimenti per la privacy

� Secondo incontro o Top 10 sicurezza

o Navigazione sicura - Social network – P2P

o DPS: suggerimenti operativi

Slide consegnati alla fine del secondo corso



�


www.securcube.net-

5

� Prevenire è meglio che curare

� Un computer deve proteggere i dati personali, le informazioni, le attività le attività le attività le attività svoltesvoltesvoltesvolte.



23/03/2010

3

� Mantenere i dati e garantendo continuità al lavoro garantendo continuità al lavoro garantendo continuità al lavoro garantendo continuità al lavoro dei dipendenti degli istituti scolastici, dei docenti e degli studenti. Al riparo dalla più disparate insidie.

� L'errato trattamento dei dati personali come previsto dalla Legge sulla Privacy comporta sanzioni che vanno dalla multa fino alla reclusione. Non si tratta cioè di semplici e costosi malfunzionamenti, ma di reatireatireatireati.



�

Cosa può succedere?


www.securcube.net-

8

� Blocco dei sistemi, resi inutilizzabili da virus,danni fisici o attacchi di pirati informatici.

� Rallentamento dei sistemi

� Danno di immagine (perdita credibilità e fiducia)

� Modifica,il furto o addirittura la perdita totale di informazioni importanti

� Corresponsabilità nei reati informatici



23/03/2010

4

�


www.securcube.net-

10

� Botnet � Spam. ovvero la posta elettronica "spazzatura" � Attacchi informatici � L'uso non autorizzato di identità digitale � Accesso abusivo ad Internet � Furto vero e proprio (risorse) � Worm. � Spamdexing. � Text message truffa; � Insider.

Fonti:Microsoft + Cisco 2009 Midyear Security Report



� bot (da roBOT) o zombie.

� Modalità di controllo dei client: IRC o P2P



23/03/2010

5

� Lo spamming è l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali).

� Il principale scopo dello spamming è la pubblicità,

� 180 miliardi di messaggi spam vengono inviati ogni giorno rappresentando oltre il 90% del traffico e-mail.



� rischi e/o violazioni dei dati



� rubare dati con cui falsificare un documento di identità cartaceo e fare truffe e debiti

� creare falsi profili con cui fare acquisti su internet

� diffamare altre persone

http://www.anti-phishing.it/wp-content/uploads/2009/10/identity-fraud.jpg



23/03/2010

6

http://gis.washington.edu/phurvitz/professional/ssh_ESRI_2000/p1972.gif



http://www.techiesouls.com/wp-content/uploads/2008/07/stolen-laptop.jpg



� malware in grado di autoreplicarsi.

� Il worm è simile ad un virus, ma non necessita di legarsi ad altri eseguibili per diffondersi.

� modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina

� tenta di replicarsi sfruttando Internet

http://2.bp.blogspot.com/_RQy6cQPHSjc/RyrMT7Ym1hI/AAAAAAAAAVg/BzDxhACLKJU/s400/virusalert.jpg



23/03/2010

7

� ha infettato 9 milioni di computer al 22 gennaio 2009

� Secondo gli esperti è la peggior infezione da quella del 2003 chiamata SQL Slammer.

http://blogs.technet.com/photos/mmpcblog/images/3181836/original.aspx



Azioni il cui fine è l'acquisizione di visibilità nei motori di ricerca utilizzando metodologie e/o tecniche ritenute illecite o comunque apertamente in contrasto con i termini d'uso dei motori di ricerca.

o l'uso di testo nascosto,

o pagine web il cui unico obiettivo è l'acquisizione di visibilità (dette doorway pages

o sviluppo di contenuti non destinati agli utenti

http://www.dollarshower.com/wp/wp-content/upl/2008/12/blackhat-seo.jpg



4,1 miliardi di abbonamenti ai telefoni cellulari in tutto il mondo

Furto identità, phishing, virus, ...

http://img186.imageshack.us/img186/8373/smsaz7.jpg



23/03/2010

8

� Quando l’attacco nasce dall’interno

http://www.filebuzz.com/software_screenshot/full/36461-insider.jpg





�

Codice in materia di protezione dei dati personali


www.securcube.net-

24

23/03/2010

9

Il "Garante per la protezione dei dati personali"

è un’autorità amministrativa indipendente istituita dalla c.d. legge sulla privacy, la n. 675 del 31 dicembre 1996, per

assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il assicurare la tutela dei diritti e delle libertà fondamentali ed il rispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personalirispetto della dignità nel trattamento dei dati personali. Con la

redazione del Codice in materia di protezione dei dati personali (meglio noto comeCodice della privacy), approvato

con D. Lgs. 30 giugno 2003, n. 196.



� La sicurezza informatica è al centro del Codice in materia di protezione dei dati personali.

� Ogni istituto scolastico deve dotarsi di adeguati sistemi di accesso ai dati, di credenziali per il trattamento degli stessi e aggiornare costantemente i sistemi di protezione

� Il dirigente scolastico rischia di incorrere in sanzioni penali



La persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od

organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine alle finalità, alle modalità del trattamento

di dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza;



23/03/2010

10

� È la persona fisica, la persona giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento di dati personali;

� In generale il titolare del trattamento, ovvero il dirigente scolastico, ha l'opzione di nominare uno o più responsabili, ad esempio: o uno o più responsabili del sistema informativo che si occupano della

funzionalità della rete, compresi i dispositivi di sicurezza (firewall e filtri). Ove disponibile nominare il docente che ha seguito la formazione C2 del progetto FORTIC;

o uno o più responsabili del trattamento dei dati riservati con compiti di monitoraggio del rispetto delle vigenti disposizioni in materia di trattamento dei dati (procedure, password, copie di salvataggio, ecc.). Di consueto viene nominato il DSGA.

� Il responsabile del sistema informativo e della sicurezza informatica non può essere considerato responsabile del trattamento dei dati personali in assenza di un atto formale di nominaatto formale di nominaatto formale di nominaatto formale di nomina in cui siano per iscritto elencati i suoi nuovi compiti.



� INCARICATO: le persone fisiche autorizzate a compiere operazioni di trattamento dal titolare o dal responsabile;

� INTERESSATO: la persona fisica, la persona giuridica, l'ente o l'associazione cui si riferiscono i dati personali;



� Stendere il Documento Programmatico sulla Sicurezza (DPS), � Descrivere la situazione attuale (censimento e aggiornamento

dei trattamenti) � Trattare analisi dei rischi � Stabilire la distribuzione dei compiti � Stabilire gli incaricati e tenere la lista aggiornata � Descrivere le misure approntate � Descrivere la distribuzione delle responsabilità � Descrivere le procedure per il ripristino dei dati � Descrivere i piani di formazione interna � Descrivere gli interventi che si intendono attuare per adeguarsi

alla normativa 23/03/2010


30

23/03/2010

11

� Gestione delle credenziali di autenticazione (Password, token o dispositivi biometrici);

� Protezione della sessione di lavoro; � Profilazione dei privilegi per l'accesso; � Aggiornamento dei programmi per prevenire vulnerabilità e correggere

difetti del software; � Protezione dei supporti rimuovibili; � Adozione di misure idonee per assicurare l'integrità e disponibilità dei

dati; � Salvataggio e ripristino dei dati; � Ripristino dei dati e sistemi salvati; � Difesa dagli accessi abusivi; � Analisi dei rischi informatici; � Relazione di conformità dell'installatore per adozione di misure minime; � Formazione specifica degli incaricati.



� Nominare uno o più responsabili della sicurezza e del trattamento dei dati (ove disponibile il docente che ha seguito la formazione C2 del progetto FORTIC);

� Nominare gli incaricati;

� Fare il censimento dei trattamenti nell'organizzazione per potere effettuare le notifiche;

� Emanare un regolamento sul trattamento, la comunicazione e la diffusione dei dati (DPS);

� Predisporre l'informativa;

� Adottare un piano per aumentare le misure di sicurezza e predisporre il Documento Programmatico per la Sicurezza.

23/03/2010


32

L'interessato o la persona presso la quale sono raccolti i dati personali sono previamente informati oralmente o per iscritto circa: a) le finalità e le modalità del trattamento cui sono destinati i dati; b) la natura obbligatoria o facoltativa del conferimento dei dati; c) le conseguenze di un eventuale rifiuto di rispondere; d) i soggetti o le categorie di soggetti ai quali i dati personali possono essere

comunicati o che possono venirne a conoscenza in qualità di responsabili o incaricati, e l'ambito di diffusione dei dati medesimi;

e) i diritti di cui all'articolo 7; f) gli estremi identificativi del titolare e, se designati, del rappresentante nel

territorio dello Stato ai sensi dell'articolo 5 e del responsabile. Quando il titolare ha designato più responsabili è indicato almeno uno di essi, indicando il sito della rete di comunicazione o le modalità attraverso le quali è conoscibile in modo agevole l'elenco aggiornato dei responsabili. Quando è stato designato un responsabile per il riscontro all'interessato in caso di esercizio dei diritti di cui all'articolo 7, è indicato tale responsabile.



23/03/2010

12

Consentono al direttore scolastico di evitare la responsabilità penale � ALLEGATO B ALLEGATO B ALLEGATO B ALLEGATO B

(http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184) � Sistema di autenticazione informatica � Sistema di autorizzazione � Altre misure di sicurezza

o I dati personali sono protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione protetti contro il rischio di intrusione e dell'azione di programmidi programmidi programmidi programmi di cui all'art. 615-quinquies del codice penale, mediante l'attivazione di idonei strumenti elettronici da aggiornare con cadenza almeno semestrale.

o Gli aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi aggiornamenti periodici dei programmi per elaboratore volti a prevenire la vulnerabilità di strumenti elettronici e a correggerne difetti sono effettuati almeno annualmente. In caso di trattamento di dati sensibili o giudiziari l'aggiornamento è almeno semestrale.

o Sono impartite istruzioni organizzative e tecniche che prevedono il salvataggio dei dati salvataggio dei dati salvataggio dei dati salvataggio dei dati con frequenza almeno settimanale.

23/03/2010


34

� Al fine di acquisire consapevolezza e visibilità sul livello di esposizione al rischio del proprio patrimonio informativo ed avere una mappa preliminare dell'insieme delle possibili contromisure di sicurezza da realizzare.

L'analisi dei rischi consiste in: o individuazione di tutte le risorse del patrimonio informativo;

o identificazione delle minacce a cui tali risorse sono sottoposte;

o identificazione delle vulnerabilità

o definizione delle relative contromisure.



� Predisporre un documento che illustri il patrimonio informativo dell'istituto con particolare riferimento ai trattamenti dei dati sensibili: o Descrizione: indicare brevemente il contenuto del bene o Locazione: indicare l'ufficio, il contenitore, il personal computer in cui si trova il bene trattato

o Tipologia: indicare se Personale/Sensibile/Anonimo o Supporto: indicare se Cartaceo o Informatico o Operatori: indicare i nomi delle persone che vi hanno accesso

e alle ulteriori risorse: o Hardware o Software o Apparecchiature di comunicazione o Servizi o Apparecchiature per l'ambiente



Descrizione Locazione Tipologia Supporto Operatori Responsabile

23/03/2010

13

� LE RISORSE HARDWARE

� LE RISORSE CONNESSE IN RETE

� I DATI TRATTATI

� I SUPPORTI DI MEMORIZZAZIONE



� Le vulnerabilità del sistema informativo possono essere potenzialmente sfruttate qualora si realizzasse una delle minacce indicate nel punto precedente. In particolare le vulnerabilità devono essere ricercate nei seguenti fattori: o infrastrutture;

o hardware;

o software;

o comunicazioni;

o personale;

o documenti cartacei.





Infrastruttura Hardware Comunicazioni

Mancanza di protezione fisica dell'edificio (porte finestre ecc.)

Mancanza di sistemi di rimpiazzo

Linee di comunicazione non protette

Mancanza di controllo di accesso

Suscettibilità a variazioni di tensione

Giunzioni non protette

Linea elettrica instabile Suscettibilità a variazioni di temperatura

Mancanza di autenticazione

Locazione suscettibile ad allagamenti

Suscettibilità a umidità, polvere, sporcizia

Trasmissione password in chiaro

Suscettibilità a radiazioni elettromagnetiche

Mancanza di prova di ricezione/invio

Manutenzione insufficiente

Presenza di linee dial-up (con modem)

Carenze di controllo di configurazione (upate/upgrade dei sistemi)

Traffico sensibile non protetto

Gestione inadeguata della rete

Connessioni a linea pubblica non protette

23/03/2010

14



Documenti cartacei Software Personale

Locali documenti non protetti Interfaccia uomo-macchina complicata Mancanza di personale

Carenza di precauzioni nell'eliminazione Mancanza di identificazione / autenticazione Mancanza di supervisione degli esterni

Non controllo delle copie Mancanza del registro delle attività (log) Formazione insufficiente sulla sicurezza

Errori noti del software Mancanza di consapevolezza

Tabelle di password non protette Uso scorretto di hardware/software

Carenza/Assenza di password management Carenza di monitoraggio

Scorretta allocazione dei diritti di accesso Mancanza di politiche per i mezzi di comunicazione

Carenza di controllo nel caricamento e uso di software

Procedure di reclutamento inadeguate

Permanenza di sessioni aperte senza utente

Carenza di controllo di configurazione

Carenza di documentazione

Mancanza di copie di backup

Incuria nella dismissione di supporti riscrivibili

� Azioni che si propongono al fine di annullare o di limitare le vulnerabilità e di contrastare le minacce,

� contromisure di carattere fisico contromisure di carattere fisico contromisure di carattere fisico contromisure di carattere fisico

� contromisure contromisure contromisure contromisure di carattere proceduraledi carattere proceduraledi carattere proceduraledi carattere procedurale

� contromisure contromisure contromisure contromisure di carattere di carattere di carattere di carattere elettronico/informaticoelettronico/informaticoelettronico/informaticoelettronico/informatico



�


www.securcube.net-

42

23/03/2010

15

� L’uso scorretto del pc evidenzia le sue criticità in rete

� Policy di utilizzo o sottoscrizione del Codice di autoregolamentazione Internet e Minori del ministero dell'Innovazione e delle Tecnologie (www.mininnovazione.gov.it)

� Adozione di una "netiquette". regole scritte, rese note e apposte in ogni aula.

� Utilizzo di browser che filtrano la navigazione per bloccare contenuti non adatti all'età dei giovani navigatori

� Sito dell'Osservatorio Tecnologico per la scuola del Miur (www.osservatoriotecnologico.it/internet/bambini_rete.htm).

23/03/2010


43

http://wiki.osservatoriotecnologico.it/index.php/Proxy_Squid

non bisogna però dimenticarsi di operare in conformità alle norme in vigore riguardanti la privacy



� RIDURRE I RISCHI DOVUTI ALLE MINACCE ESTERNE O AI BLOCCHI DI SISTEMA

MIGLIORA LE ATTIVITÀ DIDATTICHE E LA SICUREZZA DEGLI ISTITUTI


www.securcube.net-

45

23/03/2010

16

� 1. Assicurare i PC dal punto di vista fisico; � 2. Utilizzare un antivirus aggiornato; � 3. Eseguire regolari backup del PC; � 4. Utilizzare password forti e cambiarle regolarmente; � 5. Adottare il sistema di cifratura per le informazioni più importanti;

� 6. Navigare in Rete in modo prudente; � 7. Installare un firewall; � 8. Usare la posta elettronica in maniera sicura; � 9. Aggiornare il sistema periodicamente; � 10. Proteggere le connessioni.



� Furto (anche dei componenti) � Manomissione � server posti in apposite stanze,

o Eventualmente soluzioni organizzative alternative (es. armadi chiusi e appositamente allestiti) che offrano le medesime garanzie di sicurezza;

� accesso ai locali server protetto tramite la chiusura a chiave � la chiave custodita da personale incaricato della custodia dal responsabile/ dirigente (normalmente presso le segreterie);

� il personale incaricato della custodia delle chiavi è tenuto a riporle in un luogo non agevolmente accessibile da altri.



Accesso di personale interno della strutturaAccesso di personale interno della strutturaAccesso di personale interno della strutturaAccesso di personale interno della struttura

Possono accedere ai locali in cui sono presenti uno o più sistemi server solo:

� il dirigente/responsabile del trattamento;

� l’amministratore del sistema;

� il personale della struttura che deve accedervi per l’espletamento dei compiti propri, per le necessità di gestione e manutenzione dei sistemi (ad es. il personale preposto al cambio giornaliero delle cassette di backup), dei locali e degli impianti nonché per attività di pulizia ed affini ed altre attività comunque indispensabili.

23/03/2010


48

23/03/2010

17

Accesso di personale esterno alla Accesso di personale esterno alla Accesso di personale esterno alla Accesso di personale esterno alla strutturastrutturastrutturastruttura � il locale viene aperto dal personale custode delle chiavi; � ciascun intervento è annotato su un apposito registro conservato nella

stanza del server recante data e orario dell’intervento (inizio-fine), tipo di intervento, nome, cognome del tecnico intervenuto/Ditta o struttura, firma;

� al termine dell’intervento, l'incaricato della custodia della chiave provvede alla chiusura dei locali; o nessun soggetto estraneo può accedere ai sistemi server se non accompagnato dal

personale. o non c'èl a necessità di effettuare quotidianamente le operazioni di pulizia nella

stanza contenente il server: le giornate in cui il personale addetto alle pulizie accede alla medesima sono programmate, anche al fine dell’apertura del locale;

o è preferibile che le operazioni di pulizia si svolgano quando è presente il personale addetto alla custodia della chiave, che provvede personalmente all’apertura;

o ove non sia possibile la presenza del personale addetto alla custodia della chiave, in quanto l’intervento di pulizia si svolge al di fuori dell’orario di servizio per altre cause ostative, in via eccezionale, il locale rimane aperto al fine di consentire l’ingresso del personale addetto, limitatamente ai periodi in cui è stato programmato l'intervento di pulizia.



Protezione dei dati dal rischio di perdita dovuta ad eventi fisici

� Contromisure per il rischio di incendio

� Contromisure per le anomalie nell'alimentazione elettrica

� Contromisure per altri eventi (allagamenti, crolli ecc.)



� Un antivirus è un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi come worm, trojan e dialer.

http://www.av-comparatives.org/



23/03/2010

18

� FATE IL BACKUP!!

� Il valore aggiunto delle informazioni memorizzate nel vostro sistema informativo è superiore al valore dell'investimento iniziale per l'infrastruttura (hardware + software), diventa diventa diventa diventa quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.quindi strategico conservare questo patrimonio.

I guasti hardware, l'imperizia dell'operatore, i virus sono le cause più frequenti di perdita delle informazioni.

� gestione delle copie di sicurezza dei dati, l'efficacia dipende da una corretta pianificazione del sistema informatico e delle procedure.



� Caso Caso Caso Caso A PC stand A PC stand A PC stand A PC stand alonealonealonealone

� Caso Caso Caso Caso B rete peer to B rete peer to B rete peer to B rete peer to peerpeerpeerpeer

� Caso Caso Caso Caso C rete con C rete con C rete con C rete con serverserverserverserver

� Caso Caso Caso Caso D rete mistaD rete mistaD rete mistaD rete mista



Quando vi accorgete che qualcosa non funziona con i vostri dati probabilmente è già tardi, il problema potrebbe già essere stato trasferito nelle copie rendendole inutili; si rende quindi necessario prevedere una procedura di backup più “robusta”.

Considerazioni di carattere generaleConsiderazioni di carattere generaleConsiderazioni di carattere generaleConsiderazioni di carattere generale o Conservate i dischi (cd, floppy) che fanno parte della dotazione di ogni vostro personal computer, incluso l'eventuale disco di ripristino generato durante l' installazione del sistema operativo.

o Conservate le copie originali di tutti i programmi applicativi utilizzati.

o L'esistenza di tali supporti è indispensabile nel caso in cui si debba ripristinare l'intero sistema operativo e il software applicativo.

23/03/2010


54

23/03/2010

19

� http://www.microsoft.com/italy/athome/security/privacy/password.mspx

� Lunghezza adeguata

� Combinazione di lettere, numeri e simboli.(meno sono i tipi di caratteri utilizzati nella password, più è importante aumentarne la lunghezza)

� Utilizzo dell'intera tastiera



Strategie da evitare

� Evitare sequenze o caratteri ripetuti.

� Evitare sostituzioni di caratteri con numeri o simboli simili.

� Non utilizzare il nome di accesso.

� Non utilizzare parole presenti sul vocabolario di una qualsiasi lingua.

� Non utilizzare la stessa password per più account

� Non utilizzare gli archivi online.

� Non utilizzare le date di nascita



� http://www.microsoft.com/italy/athome/security/privacy/password_checker.mspx



23/03/2010

20





� La "Sicurezza" è un processo che deve garantire la riservatezza delle comunicazioni, l'integrità di dati e applicazioni (modificabili solo da coloro che ne hanno la titolarità), la disponibilità continua del sistema. (Tratto da Repubblica Affari & Finanza)

� Cosa vogliamo proteggere e da chi?

� Per mezzo delle reti locali si "trattano" dati che non vengono considerati pubblici e che di conseguenza debbono essere protetti, ovvero garantire le seguenti proprietàproprietàproprietàproprietà: o Confidenzialità

• I dati devono poter essere esaminati solamente dagli addetti al loro trattamento.

o Integrità • I dati non devono essere alterati, sia che risiedano stabilmente su un solo sistema (stand alone), sia che vengano trasmessi.



23/03/2010

21

� Protezione da malintenzionati

� Ogni computer collegato in rete può essere soggetto di tentativi di connessione effettuati da soggetti che utilizzano altri computer collegati alla rete.

� La La La La difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque difesa dagli attacchi di questo tipo è comunque assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto assicurata solo se viene data puntuale applicazione a tutto il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui il complesso delle regole di sicurezza qui elencate. IL elencate. IL elencate. IL elencate. IL FIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZAFIREWALL DA SOLO NON è SICUREZZA



� http://antiphishing.poste.it/





23/03/2010

22







23/03/2010

23



� LAN o Accesso fisico

o DHCP

� VPN

� WIFI o Sicurezza wireless



�

Rischi di sicurezza per i dispositivi rimovibili


www.securcube.net-

69

23/03/2010

24

Il costo di una chiavetta USB può essere insignificante ma il valore dei dati in essa contenuti potrebbe non essere quantificabile

� Perdita della sicurezza dei dati

USB come trojan

� Introduzione di malware nella rete aziendale (dolo/colpa)

http://www.enisa.europa.eu/doc/pdf/publications/Secure%20USB%20drives_180608.pdf



�


www.securcube.net-

71

� possibili contatti con adulti che vogliono conoscere e avvicinare bambini o ragazzi (adescamento)

� videogiochi violenti e diseducativi

� pubblicità ingannevoli

� scorrette informazioni su ricerche scolastiche, diete, ecc.

� scarico di musica o film coperti da diritti d’autore

� virus informatici in grado di infettare computer e cellulari

� rischio di molestie o maltrattamenti da coetanei (bullismo)

� uso eccessivo di Internet/cellulare (dipendenza tecnologica)



23/03/2010

25

� il il il il 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, 91% dei minori naviga in Rete e il 27% utilizza le chat, mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet mentre quasi l’80% di essi affronta il mondo di Internet senza la supervisione di un genitoresenza la supervisione di un genitoresenza la supervisione di un genitoresenza la supervisione di un genitore.

� più più più più di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti di un ragazzo su 10 dichiara di avere avuto contatti “pericolosi” sul Web“pericolosi” sul Web“pericolosi” sul Web“pericolosi” sul Web: di questi minori, il 75% non parla poi in casa con i propri genitori di tali incontri sgraditi , per vergogna o perchè “i genitori non capirebbero”. Fonte: Polizia Postale e delle Comunicazioni nelle scuole secondarie italiane,

� Un altro dato: più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la più della metà dei minori italiani tramite la Rete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografiaRete ha accesso al mondo della pornografia....





� Dite ai vostri figli di non fornire dati personali � Controllate quello che fanno i vostri figli quando sono collegati e quali sono i loro interessi. � Collocate il computer in una stanza di accesso comune e cercate di usarlo qualche volta

insieme ai vostri figli. � Non permettetegli di usare la vostra carta di credito senza il vostro permesso. � Controllate periodicamente la "cronologia" dei siti web visitati. � Cercate di stare vicino ai vostri figli quando creano profili legati ad un nickname per usare

programmi di chat. � Insegnategli a non accettare mai di incontrarsi personalmente con chi hanno conosciuto in rete, � Leggete le e-mail con i vostri figli, controllando ogni allegato al messaggio. � Dite loro di non rispondere quando ricevono messaggi di posta elettronica di tipo volgare, � Spiegate ai vostri figli che può essere pericoloso compilare moduli on line e dite loro di farlo

solo dopo avervi consultato. � Stabilite quanto tempo i vostri figli possono passare navigando su Internet. � Esistono particolari software, facilmente reperibili su internet, che impediscono l'accesso a siti

non desiderati

http://www.poliziadistato.it/articolo/1107-Qualche_consiglio_per_i_genitori



23/03/2010

26

http://www.microsoft.com/italy/athome/security/children/kidtips13-17.mspx

http://aiuto.alice.it/informazioni/sicurezza_in_rete/index.html

http://www.ilfiltro.it/test





� http://www.youtube.com/t/safety?hl=it



23/03/2010

27

� Atti di bullismo e di molestia effettuati tramite mezzi elettronici come l'e-mail, la messaggeria istantanea, i blog, i telefoni cellulari, i cercapersone e/o i siti web

Confronto Confronto Confronto Confronto tra cyberbullismo e tra cyberbullismo e tra cyberbullismo e tra cyberbullismo e bullismobullismobullismobullismo

l'uso dei mezzi elettronici conferisce al cyberbullismo alcune caratteristiche proprie:

o Anonimato del molestatore

o Difficile reperibilità

o Indebolimento delle remore etiche

o Assenza di limiti spaziotemporali



Incontro di sensibilizzazione sul tema, proposto dalla Rete Privacy della provincia di Treviso

� Le Le Le Le cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)cause del cyberbullismo (psicologo)

� Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)Cosa si rischia (dottore in giurisprudenza)

� Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere Aspetti tecnici per la prevenzione (ingegnere dell’informazione)dell’informazione)dell’informazione)dell’informazione)



�


www.securcube.net-

81

23/03/2010

28

� Social network = piazza virtuale in cui ci si ritrova condividendo con altri fotografie, filmati, pensieri, indirizzi, numeri di telefono, …

� Facebook

� I Social network sono strumenti che danno l'impressione di uno spazio personale o di piccola comunità.





� Facebook, myspace, Hi5, Flickr, Skyrock, Friendster, Tagged, LiveJournal, Orkut, Fotolog, Bebo.com, LinkedIn, Badoo.com, Multiply, Imeem, Ning, Last.fm, Twitter, MyYearbook, Vkontakte, aSmallWOrld, Windows Live, Xiaonei, Netlog, ...



23/03/2010

29

� Il Garante per la privacy ha creato una breve guida

� L'obiettivi: o spunti di riflessione

o consigli per tutelare la nostra identità, i nostri dati personali

� La forma di tutela più efficace è comunque sempre l'autotutela, cioè la gestione attenta dei propri dati personali



� A volte, accettando di entrare in un social network, viene concesso all'impresa che gestisce il servizio la licenza di usare senza limiti di tempo il materiale che viene inserito online (foto, video, chat, pensieri, …)

� Ti taggo, posso farlo??

� Il mio hobby: andare a pesca. Pubblicità ad hoc?



L’8% dei teenager tra i 15 e i 17 anni posta in Rete foto che lo foto che lo foto che lo foto che lo ritraggono nudoritraggono nudoritraggono nudoritraggono nudo o in pose sexy, pratica seguita anche dal 4% dei minori tra i 12 e i 14 anni

Fonte: Save The Children e Adiconsum



23/03/2010

30

� Marketing illegale su Facebook: (Maxi risarcimento in America per Facebook: 711 milioni di dollari in danni riconosciuti al social network da un tribunale della California, per le attività di spamming illegale effettuate da un utente)



� Stesso nome, stessa persona?

� Il mio codice fiscale?

� La mia password?



�


www.securcube.net-

90

23/03/2010

31





� Legge sul diritto d'autore così come modificata da L. 248/2000, dal recepimento, nel 2003, della Direttiva Europea sul Copyright, e dalla legge Urbani del 2004, poi modificata nel 2005.

� Attualmente: o chi scarica semplicemente senza condividere in rete opere protette da diritto d'autore (ipotesi marginale e non legata nella pratica all'uso di programmi P2P), commette un illecito ma non un reato ed è punito con una sanzione amministrativa (art. 174 L. 633/41)

o chi condivide in rete opere protette da diritto d'autore al fine di trarne profitto (ovvero ipoteticamente tutti coloro che fanno uso di programmi di P2P in modo illecito) commette un reato, punito con la reclusione da sei mesi a tre anni e con una multa (art. 171 -bis comma 2 L. 633/41)

o chi condivide in rete per uso non personale e per fini di lucro opere protette da diritto d'autore, commette un reato oggetto di pesanti sanzioni penali e pecuniarie (reclusione da sei mesi a tre anni e multa per arrivare fino alla reclusione da uno a 4 anni e multa) (art.171-ter e art.171-ter, comma 2, lett. a-bis L. 633/41)

23/03/2010


93

23/03/2010

32

� Distribuiva musica pirata tramite File Sharing (P2P), Italiano condannato» un giovane è stato condannato a 3660 euro di multa (2660 dei quali in conversione della parte penale del processo quantificabile in 2 mesi e 10 giorni di reclusione) per aver scambiato file tramite P2P

� l'articolo 174-bis legge n. 633/1941 prevede, oltre la sanzione penale, anche una sanzione amministrativa pecuniaria pari al doppio del prezzo di mercato dell'opera o del supporto oggetto della violazione, in misura comunque non inferiore a euro 103,00.



� Materiale «fake» + software indesiderato

� malware

� Condivisione dell’intero disco



�


www.securcube.net-

96

23/03/2010

33

� Guida Sicurezza EDU – Microsoft � http://www.emuleitalia.net/fora/index.php?topic=23117.0;wap2 � http://www.bitcity.it/news/9597/report-cisco-2009-sulla-sicurezza-cresce-la-pericolosita-degli-attacchi-

informatici.html � Social network: attenzione agli effetti collaterali [Garante per la protezione dei dati personali] � www.garanteprivacy.it � www.mininnovazione.gov.it � www.osservatoriotecnologico.it/internet/bambini_rete.htm � http://wiki.osservatoriotecnologico.it/index.php/Proxy_Squid � http://www.bitcity.it/news/9597/report-cisco-2009-sulla-sicurezza-cresce-la-pericolosita-degli-attacchi-

informatici.html � Cisco 2009 Midyear Security Report � http://www.garanteprivacy.it/garante/doc.jsp?ID=1557184 � http://www.garanteprivacy.it/garante/doc.jsp?ID=1387522 � http://www.sicurezza.provincia.tn.it/index.php/Misure2 � http://www.av-comparatives.org/ � http://www.microsoft.com/italy/athome/security/privacy/password.mspx � http://it.wikipedia.org/wiki/P2p � http://www.savethechildren.it � http://www.enisa.europa.eu/doc/pdf/publications/Secure%20USB%20drives_180608.pdf



�


www.securcube.net-

98

� www.securcube.net www.nicolachemello.com

[email protected]

2010-03-16SicurezzaToPrint - Gazzetta...

Documents

Transcript of 2010-03-16SicurezzaToPrint - Gazzetta...