Gennaio 2006 Domenico de Biase 1 Sicurezza Informatica.

gennaio 2006gennaio 2006 Domenico de BiaseDomenico de Biase 11

Sicurezza InformaticaSicurezza Informatica


Sicurezza InformaticaSicurezza Informatica

1.1. Tutti i programmi contengono degli erroriTutti i programmi contengono degli errori

2.2. I grandi programmi contengono più errori di I grandi programmi contengono più errori di quelli piccoliquelli piccoli

3.3. Un programma importante per la sicurezza ha Un programma importante per la sicurezza ha degli errori nella sicurezzadegli errori nella sicurezza

4.4. Se non si esegue un programma non c’è modo Se non si esegue un programma non c’è modo di sapere se contiene erroridi sapere se contiene errori

5.5. Le macchine esposte devono eseguire il minor Le macchine esposte devono eseguire il minor numero possibile di programmi; quelli che numero possibile di programmi; quelli che devono essere eseguiti devono essere i più devono essere eseguiti devono essere i più piccoli possibilipiccoli possibili

6.6. molte macchine non possono soddisfare i molte macchine non possono soddisfare i requisiti di sicurezza, quindi bisogna isolarle requisiti di sicurezza, quindi bisogna isolarle dietro un firewall.dietro un firewall.


Sicurezza informatica: le politicheSicurezza informatica: le politiche

Tutto quello che non è Tutto quello che non è esplicitamente permesso è esplicitamente permesso è proibitoproibito

adottata sui dispositivi di gestione della rete adottata sui dispositivi di gestione della rete e sui servere sui server

Tutto quello che non è Tutto quello che non è esplicitamente proibito è esplicitamente proibito è permessopermesso

adottata sui PC clientadottata sui PC client


Sicurezza informatica: classi di Sicurezza informatica: classi di attaccoattacco

Furto di passwordFurto di password al momento del collegamento remotoal momento del collegamento remoto rubando il file delle password e poi rubando il file delle password e poi

decrittandolo con appositi programmidecrittandolo con appositi programmi rimedirimedi

• non inviare password in chiaro non inviare password in chiaro • Usare metodi di autenticazioneUsare metodi di autenticazione• nascondere file passwordnascondere file password• non usare password banalinon usare password banali• dare scadenza alle passworddare scadenza alle password



Con inganno (phishing, social Con inganno (phishing, social engineering)engineering)

si invia messaggio (via telefono, e-mail, si invia messaggio (via telefono, e-mail, fax...) che chiede di effettuare una azione fax...) che chiede di effettuare una azione potenzialmente pericolosapotenzialmente pericolosa

• inviare/modificare passwordinviare/modificare password• eseguire programma sconosciuto che chiede eseguire programma sconosciuto che chiede

passwordpassword rimedirimedi

• autenticare accuratamente le richiesteautenticare accuratamente le richieste• curare la formazione!!curare la formazione!!



Bachi e clandestiniBachi e clandestini approfittare di un errore nel sw per approfittare di un errore nel sw per

inserirsi e compiere azioni indesiderate inserirsi e compiere azioni indesiderate sul sistemasul sistema

allegare ai messaggi di posta elettronica allegare ai messaggi di posta elettronica programmi che aprono le porte o programmi che aprono le porte o spediscono informazioni riservatespediscono informazioni riservate

rimediorimedio• segnare il software con le procedure di segnare il software con le procedure di

autenticazioneautenticazione• non lanciare programmi sconosciuti con i non lanciare programmi sconosciuti con i

privilegi di amministratoreprivilegi di amministratore



Fallimento della autenticazioneFallimento della autenticazione esempioesempio

• server che valida le richieste in base all’indirizzo server che valida le richieste in base all’indirizzo da cui provengono. Se si utilizza quell’indirizzo da cui provengono. Se si utilizza quell’indirizzo si viola il sistemasi viola il sistema

• Sql injection: stringa magica=“’ or ‘a’=‘a”Sql injection: stringa magica=“’ or ‘a’=‘a” rimediorimedio

• usare sistemi di autenticazione sofisticatiusare sistemi di autenticazione sofisticati I sistemi che devono garantire un livello I sistemi che devono garantire un livello

più elevato di sicurezza (vedi bancomat) più elevato di sicurezza (vedi bancomat) richiedono almeno due fattori, tipicamente:richiedono almeno due fattori, tipicamente:

• Qualcosa che si conosce (codice)Qualcosa che si conosce (codice)• Qualcosa che si possiede (carta)Qualcosa che si possiede (carta)



Fallimento del protocolloFallimento del protocollo si sfrutta la conoscenza del protocollo a si sfrutta la conoscenza del protocollo a

basso livellobasso livello difficile da realizzaredifficile da realizzare rimedio:rimedio:

• usare la crittografiausare la crittografia



Diffusione di informazioniDiffusione di informazioni alcuni protocolli tendono a distribuire alcuni protocolli tendono a distribuire

informazioni sulla struttura interna della informazioni sulla struttura interna della reterete

• finger, DNS, e-mailfinger, DNS, e-mail rimedirimedi

• usare un firewall per impedire l’uscita di usare un firewall per impedire l’uscita di pacchetti indesideratipacchetti indesiderati

• configurare bene i serverconfigurare bene i server



Negazione del servizioNegazione del servizio si tenta di impedire l’uso di un particolare si tenta di impedire l’uso di un particolare

servizio.servizio. esempiesempi

• riempire disco di posta per bloccare sistemariempire disco di posta per bloccare sistema• rallentare o impedire la connessione inviando rallentare o impedire la connessione inviando

falsi ICMP Destination Unreachable o falsi falsi ICMP Destination Unreachable o falsi broadcastbroadcast

rimediorimedio• filtrare le richieste (difficile capire se si è in filtrare le richieste (difficile capire se si è in

questo caso o in presenza di guasto del questo caso o in presenza di guasto del sistema)sistema)


Sicurezza informatica: problemi Sicurezza informatica: problemi TCP/IPTCP/IP

• TCPTCP le porte < 1024 le porte < 1024 dovrebberodovrebbero essere affidabili essere affidabili

• UDPUDP la sostituzione degli indirizzi è più semplice la sostituzione degli indirizzi è più semplice

di TCP non essendoci gestione della di TCP non essendoci gestione della connessione quindi l’indirizzo del mittente connessione quindi l’indirizzo del mittente non è affidabilenon è affidabile

• SMTP (basato su TCP)SMTP (basato su TCP) mittente non affidabilemittente non affidabile pericolo di negazione del serviziopericolo di negazione del servizio diffusione delle informazioni in caso di destinatario diffusione delle informazioni in caso di destinatario

sconosciutosconosciuto


Sicurezza informatica: TCP/IP (SMTP)Sicurezza informatica: TCP/IP (SMTP)

Estensioni MIME possono portare Estensioni MIME possono portare • esecuzione programmi pericolosi direttamente esecuzione programmi pericolosi direttamente

o indirettamenteo indirettamente• a condurre azioni sconsideratea condurre azioni sconsiderate

Content-Type: Message/External-bodyContent-Type: Message/External-body

name=“.rhosts”;name=“.rhosts”;

site=“ftp.unni.org”;site=“ftp.unni.org”;

access-type=“anon-ftp”;access-type=“anon-ftp”;

directory=“.”directory=“.”

Content-Type: text/plainContent-Type: text/plain

Sostituisce al file .rhosts della direttrice Sostituisce al file .rhosts della direttrice corrente quello prelevato dal sito (in modo corrente quello prelevato dal sito (in modo trasparente)trasparente)


Sicurezza informatica: problemi TCP/IPSicurezza informatica: problemi TCP/IP

• Telnet Telnet (basato su TCP)(basato su TCP) non sempre è possibile lavorare su non sempre è possibile lavorare su

macchine affidabilimacchine affidabili• usare telnet sicuro (RFC 1416)usare telnet sicuro (RFC 1416)

scambio password è inaffidabilescambio password è inaffidabile• usare meccanismi di crittografiausare meccanismi di crittografia


Sicurezza informatica: problemi TCP/IPSicurezza informatica: problemi TCP/IP

WWW/FTPWWW/FTP lato clientlato client

• i documenti ricevuti possono contenere ordini di i documenti ricevuti possono contenere ordini di attivazione di programmi (visualizzatori, Java, attivazione di programmi (visualizzatori, Java, activex...) che possono creare problemiactivex...) che possono creare problemi

• il formato MIME può nascondere insidieil formato MIME può nascondere insidie lato serverlato server

• Autenticazione, pagine dinamiche e richieste di file Autenticazione, pagine dinamiche e richieste di file possono creare problemi se il software middle-tier è possono creare problemi se il software middle-tier è bacatobacato

• condivisione albero con FTP-anonimocondivisione albero con FTP-anonimo si depongono file nella zona FTP e poi si chiede si depongono file nella zona FTP e poi si chiede

al server di eseguirlial server di eseguirli rimedio: directory di FTP-anonimo scrivibili sono rimedio: directory di FTP-anonimo scrivibili sono

del gruppo ftp e non sono eseguibili da altri del gruppo ftp e non sono eseguibili da altri gruppigruppi

• server web deve girare in un ambiente ristretto per server web deve girare in un ambiente ristretto per evitare problemi specialmente se si usano linguaggi evitare problemi specialmente se si usano linguaggi interpretati come asp, php e scriptinterpretati come asp, php e script


Virus e minacce softwareVirus e minacce software

Minacce softwareMinacce software

Necessitano programmaospite

Non necessitano programma ospite

Botole(trap doors)

BombeLogiche

Cavalli diTroia

Virus BatteriVermi

replicanti


Virus e minacce software: fasiVirus e minacce software: fasi

• fase silentefase silente: virus inattivo, attivato da : virus inattivo, attivato da qualche eventoqualche evento

• fase di propagazionefase di propagazione: si duplica in altri : si duplica in altri programmi che vanno in esecuzione; si programmi che vanno in esecuzione; si mette in aree particolari del discomette in aree particolari del disco

• fase di attivazionefase di attivazione: si attiva per compiere le : si attiva per compiere le azioni programmate. Può essere attivato da azioni programmate. Può essere attivato da un evento esternoun evento esterno

• fase di esecuzionefase di esecuzione: compie le funzioni di : compie le funzioni di danneggiamento e/o disturbodanneggiamento e/o disturbo

• sono spesso progettati per un particolare sono spesso progettati per un particolare s.o. o piattaforma hws.o. o piattaforma hw


Virus e minacce software: tipiVirus e minacce software: tipi

• parassitaparassita: si attacca ad un eseguibile e si replica;: si attacca ad un eseguibile e si replica;• residente in memoriaresidente in memoria: si carica in memoria come : si carica in memoria come

parte di un programma residente;parte di un programma residente;• settore di bootsettore di boot: infetta boot record o MBR;: infetta boot record o MBR;• furtivo (stealth)furtivo (stealth): nato per nascondersi dagli antivirus : nato per nascondersi dagli antivirus

(tecnica più che un tipo)(tecnica più che un tipo)• polimorfico (mutante):polimorfico (mutante): cambia ad ogni infezione cambia ad ogni infezione

anche attraverso tecniche criptograficheanche attraverso tecniche criptografiche• macro virusmacro virus: sono la tipologia in più rapido sviluppo : sono la tipologia in più rapido sviluppo

(due terzi dei virus), indipendenti dalla piattaforma, (due terzi dei virus), indipendenti dalla piattaforma, infettano documenti non eseguibili, si diffondono infettano documenti non eseguibili, si diffondono facilmente, si basano sulle macro di Word (Excel, ...);facilmente, si basano sulle macro di Word (Excel, ...);


FirewallFirewall

• componente situato fra due reti che gode componente situato fra due reti che gode delle seguenti proprietà:delle seguenti proprietà:

tutto il traffico dall’esterno verso l’interno tutto il traffico dall’esterno verso l’interno e viceversa deve passare attraverso il e viceversa deve passare attraverso il firewallfirewall

solo al traffico autorizzato, definito dalle solo al traffico autorizzato, definito dalle politiche di sicurezza locali, è consentito il politiche di sicurezza locali, è consentito il transitotransito

il firewall stesso è immune dalle il firewall stesso è immune dalle penetrazionipenetrazioni


FirewallFirewall

• Zona demilitarizzata (DMZ): sottorete Zona demilitarizzata (DMZ): sottorete di macchine che forniscono servizi per di macchine che forniscono servizi per compensare gli effetti dei filtri.compensare gli effetti dei filtri.

porta filtrata porta filtrata

esterno internoServer web,ftp...


FirewallFirewallcontrollo del serviziocontrollo del servizio: determina tipi di servizio Internet : determina tipi di servizio Internet

accessibili dall’interno e dall’esterno filtrando il accessibili dall’interno e dall’esterno filtrando il traffico sulla base degli indirizzi e delle portetraffico sulla base degli indirizzi e delle porte

controllo direzionecontrollo direzione: dei flussi di dati: dei flussi di daticontrollo utentecontrollo utente: accesso al servizio da parte di utenti : accesso al servizio da parte di utenti

interni ed esterniinterni ed esternicontrollo comportamentocontrollo comportamento: come sono usati i servizi: come sono usati i servizi

limitilimiti:: non può impedire l’aggiramento ad esempio non può impedire l’aggiramento ad esempio

attraverso un modemattraverso un modem non può impedire attacchi dall’internonon può impedire attacchi dall’interno non può proteggere dal trasferimento di non può proteggere dal trasferimento di

programmi o file infetti da virusprogrammi o file infetti da virus


Firewall: filtri di pacchettoFirewall: filtri di pacchetto

• Selezione basata su datagram IPSelezione basata su datagram IP• semplici e poco costosisemplici e poco costosi• non sempre molto efficacinon sempre molto efficaci• primo livello di sicurezzaprimo livello di sicurezza• facilmente realizzabile con i routerfacilmente realizzabile con i router


VPNVPN

Le Le Virtual Private NetworkVirtual Private Network, specialmente se , specialmente se basate su protocollo SSL si stanno basate su protocollo SSL si stanno imponendo come soluzioni per la creazione imponendo come soluzioni per la creazione di extranet. Hanno buone prestazioni di di extranet. Hanno buone prestazioni di sicurezza. Non richiedono l’installazione di sicurezza. Non richiedono l’installazione di software lato client (di solito impiegano una software lato client (di solito impiegano una applet java o un controllo ActiveX). Possono applet java o un controllo ActiveX). Possono essere usate in quasi tutte le situazioni essere usate in quasi tutte le situazioni (dietro fw, nat, proxy). Supportano un (dietro fw, nat, proxy). Supportano un ristretto numero di protocolli basati su TCP ristretto numero di protocolli basati su TCP e UDP.e UDP.


Strumenti per la raccolta di Strumenti per la raccolta di informazioniinformazioni

Internet Service RegistrationInternet Service Registration: registrazione e manutenzione delle : registrazione e manutenzione delle informazioni relative agli indirizzi IP. informazioni relative agli indirizzi IP. www.ripe.netwww.ripe.net (europa), (europa), www.apnic.netwww.apnic.net (asia-pacific), (asia-pacific), www.arin.netwww.arin.net (america), (america), www.lacnic.netwww.lacnic.net (latin america) (latin america)

Domain Name SystemDomain Name System: registrazione locale e globale delle : registrazione locale e globale delle informazioni relative alla associazione IP-hostname. Servizi informazioni relative alla associazione IP-hostname. Servizi whois,whois, www.dnsstuff.comwww.dnsstuff.com, , www.network-tools.comwww.network-tools.com www.visualroute.chwww.visualroute.ch (tracciamento indirizzi IP) (tracciamento indirizzi IP)

Naming conventionsNaming conventions: il modo in cui un’azienda decide di chiamare : il modo in cui un’azienda decide di chiamare gli host che forniscono servizi può svelare il servizio e la località.gli host che forniscono servizi può svelare il servizio e la località.

EmailEmail: le informazioni contenute in ogni singola email pubblica e : le informazioni contenute in ogni singola email pubblica e l’analisi degli header delle email può rivelare informazioni l’analisi degli header delle email può rivelare informazioni riservate (per esempio: mandare una mail a riservate (per esempio: mandare una mail a [email protected])[email protected]).

Motori di ricercaMotori di ricerca: molto utili per cercare materiale riguardante : molto utili per cercare materiale riguardante l’azienda e i suoi dipendenti. Spesso restituiscono documenti, l’azienda e i suoi dipendenti. Spesso restituiscono documenti, pagine scadute e non più raggiungibili dal sito. pagine scadute e non più raggiungibili dal sito. www.netcraft.comwww.netcraft.com (per esempio cercare: filetype:doc azienda “confidential”)(per esempio cercare: filetype:doc azienda “confidential”)


Come si protegge una Come si protegge una azienda ?azienda ?

Controllare le informazioni pubblicamente disponibiliControllare le informazioni pubblicamente disponibili Identificare una naming convention non troppo Identificare una naming convention non troppo

esplicativa per i sistemi/reti/servizi esposti all’esternoesplicativa per i sistemi/reti/servizi esposti all’esterno Controllare periodicamente le informazioni che escono Controllare periodicamente le informazioni che escono

dall’azienda e finiscono sui motori di ricercadall’azienda e finiscono sui motori di ricerca Verificare la presenza di informazioni sensibili in Verificare la presenza di informazioni sensibili in

newsgroup o forumnewsgroup o forum Mantenersi in contatto con le comunità di hacker e Mantenersi in contatto con le comunità di hacker e

con i siti dedicati alla sicurezza. con i siti dedicati alla sicurezza. www.securiteam.comwww.securiteam.com, , www.zone-h.orgwww.zone-h.org, , www.securityfocus.comwww.securityfocus.com, , www.packetstormsecurity.orgwww.packetstormsecurity.org, , www.k-otik.comwww.k-otik.com


Come mi proteggo io ?Come mi proteggo io ?

Personal firewall (quello di XP va Personal firewall (quello di XP va benissimo)benissimo)

Antivirus (Norton o avg)Antivirus (Norton o avg) Antispyware (ADAware, SpyBot)Antispyware (ADAware, SpyBot) Service pack e patch sempre Service pack e patch sempre

aggiornatiaggiornati Blocco dei servizi e dei device non Blocco dei servizi e dei device non

necessari.necessari.

Gennaio 2006 Domenico de Biase 1 Sicurezza Informatica.

Documents

Transcript of Gennaio 2006 Domenico de Biase 1 Sicurezza Informatica.