Conoscenza e consapevolezza

Pier Luca Montessoro

Università degli Studi di Udine

Dalla Internet delle persone…

…alla Internet delle cose

Internet delle persone

Internet delle cose

persone che comunicano con persone

persone che comunicano con cose (servizi)

cose che comunicano con cose

Internet delle persone

Internet delle cose

Ma, dal punto di vista della sicurezza…

Internet delle persone

Internet delle cose

persone che ingannano persone

Internet delle persone

Internet delle cose

persone che ingannano persone

cose che ingannano persone

Internet delle persone

Internet delle cose

persone che ingannano persone

cose che ingannano persone

cose che ingannano cose

PERSONE

CHE INGANNANO

PERSONE

Stanley Mark Rifkin

COSE

CHE INGANNANO

PERSONE

COSE CHE INGANNANO COSE

COSA FANNO

(DAVVERO)

I NOSTRI

COMPUTER,

TABLET,

SMARTPHONE,

SMART TV, …?

• Rapporto CLUSIT 2015:

– +83% malware per dispositivi mobili dal 2013

al 2014 (Kindsight Security Labs H1 2014

Malware Report)

– 16000 attacchi DDOS

a clienti Fastweb nel 2014

PAPÀ, DAMMI IL CELL CHE TI INSTALLO UNA NUOVA APP

FANTASTICA!

Dati personali di 70 milioni di clienti 40 milioni di carte di credito Danni superiori a 150 milioni di dollari

IL BUG

HEARTBLEED

Colpiti Dropbox, Google, Yahoo e probabilmente Facebook, Twitter, Apple

Numeri e password di carte di credito Numeri di cellulare Social Security Number di 47mila dipendenti Dati aziendali Comunicazioni e-mail dei dirigenti Film

2014 Mondo virtuale, danni reali…

Ransomware:

cryptolocker

550.000 attachi/mese

(dati Symantec

7/2014 - 6/2015)

Vittime eccellenti…

https://www.theguardian.com/technology/2016/nov/28/

passengers-free-ride-san-francisco-muni-ransomeware

Vittime eccellenti…

In equilibrio tra tecnologia e comportamenti

È una questione di fiducia…

... e di buon senso

Phishing Phishing

Ciao, lavoro per la tua banca, stiamo

aggiornando i sistemi. Mi serve il tuo bancomat e il

tuo PIN. Grazie per la collaborazione...

LATUABANCA

Due dimensioni della fiducia

• Fiducia negli strumenti, negli sviluppatori e nei

fornitori degli strumenti, conoscenza e

consapevolezza dei limiti delle tecnologie

– hardware, sofware, reti, ecc.

• Fiducia nei servizi, negli sviluppatori e nei gestori

dei servizi, conoscenza e consapevolezza di

regole e rischi

– gestione dei dati e utilizzo delle informazioni

Una memoria da elefante…

Accettate caramelle

dagli sconosciuti?

Accettate caramelle

dagli sconosciuti?

Caramelle elettroniche Caramelle elettroniche

Legate

con il lucchetto

la vostra

bicicletta?

Legate

con il lucchetto

la vostra

bicicletta?

Chiudete a chiave la vostra abitazione? Chiudete a chiave la vostra abitazione?

Prevenzione guidata dalla conoscenza... Prevenzione guidata dalla conoscenza...

L'ignoranza non è un diritto L'ignoranza non è un diritto

Non tutto è possibile,

non tutto è fattibile,

non tutto è facile

Non tutto è possibile,

non tutto è fattibile,

non tutto è facile

Le leggi e i regolamenti servono e vanno rispettati Le leggi e i regolamenti servono e vanno rispettati

E ora, due passi nel futuro…

La dura verità

• Un progettista deve trovare TUTTE le vulnerabilità

del suo sistema

• Un hacker deve trovarne SOLO UNA

• Il progettista viene inevitabilmente sconfitto

(Mike Muller, CTO, ARM, "The Ugly Truth", IoT Security Summit 2015)

Un nuovo contesto

• No "control-alt-del"

• No "riformatta il disco e reinstalla il sistrma operativo"

• Servono

– architetture intrinsecamente sicure

(sarà realmente possibile?)

– serie politiche di migrazione/aggiornamento

https://www.youtube.com/watch?v=MK0SrxBC1xs

Recenti attacchi

basati su IoT

http://www.networkworld.com/article/3168763/

security/university-attacked-by-its-own-vending-

machines-smart-light-bulbs-and-5-000-iot-devices.html

https://www.theguardian.com/technology/2016/nov/03/

cyberattack-internet-liberia-ddos-hack-botnet

L'esercito dei buoni

L'esercito dei buoni

L'esercito dei buoni

L'esercito dei buoni

...benvenuti al corso

Sicurezza Informatica!

...benvenuti al corso

Sicurezza Informatica!

Pier Luca Montessoro - www.montessoro.it

E quindi...