Presentazione standard di PowerPoint...i criminali informatici •hacker/hacking = insieme di metodi...
Transcript of Presentazione standard di PowerPoint...i criminali informatici •hacker/hacking = insieme di metodi...
IT SECURITY
LA SICUREZZA INFORMATICA
CONCETTI DI SICUREZZA CAPITOLO 1
DISTINGUERE TRA DATI E INFORMAZIONI.
DATO: ELEMENTO INFORMATIVO (SIMBOLO, NUMERO, TESTO) CHE DEVE ESSERE ELABORATO. ES.: MARIO
INFORMAZIONE: INSIEME DI DATI COMPRENSIBILI. ES.: MARIO ROSSI, VIA ITALIA, 33
I CRIMINI INFORMATICI
SI TRATTA DI ATTIVITÀ CRIMINALE EFFETTUATA CON L’UTILIZZO DEGLI STRUMENTI INFORMATICI.
RIENTRANO IN QUESTA TIPOLOGIA:
LA FRODE
IL FURTO DI DATI/IDENTITÀ
L’ACCESSO NON AUTORIZZATO AI SISTEMI INFORMATICI
INTERCETTAZIONE ILLECITA DI DATI/COMUNICAZIONI
RIPRODUZIONE NON AUTORIZZATA
DIFFUSIONE DI VIRUS/MALWARE
DANNEGGIAMENTO, CANCELLAZIONE, ALTERAZIONE DEI DATI
I CRIMINALI INFORMATICI
• HACKER/HACKING = INSIEME DI METODI UTILIZZATI PER ACCEDERE A UN SISTEMA HARDWARE
O SOFTWARE PER ESPLORARLO, MODIFICARLO, ADATTARLO ALLE PROPRIE ESIGENZE.
• L’HACKING ETICO = SFRUTTA LE COMPETENZE DEGLI HACKER PER SCOPI LECITI: MIGLIORARE
LA SICUREZZA DI UN SISTEMA EVIDENZIANDONE I PUNTI DEBOLI.
• CRACKER = CHI ACCEDE IN MODO ILLEGALE NEI SISTEMI INFORMATICI PER CARPIRE DATI,
DANNEGGIARE I SISTEMI; PER AVERE UN VANTAGGIO. QUESTA ATTIVITÀ CRIMINALE SI CHIAMA
CRACKING.
LE MINACCE AI DATI
NATURALI
• CALAMITÀ NATURALI
• ERRORE UMANO INVOLONTARIO
DELIBERATE
• ATTACCHI INFORMATICI
• PERSONALE/FORNITORI/CLIENTI CHE
HANNO ACCESSO AI SISTEMI INFORMATICI
• COPIA NON AUTORIZZATA DI DATI
IL CLOUD COMPUTING
TECNOLOGIE CHE PERMETTONO DI ELABORARE, ARCHIVIARE E MEMORIZZARE DATI GRAZIE
ALL’UTILIZZO DI RISORSE HARDWARE E SOFTWARE DISTRIBUITE NELLA RETE (SERVER REMOTO)
VANTAGGI
Riduzione dei costi
(meno infrastrutture,
meno costi per il
personale…)
SVANTAGGI
Perdita del controllo dei
dati
Possibili problemi per la
violazione della privacy
LA SICUREZZA DELLE INFORMAZIONI
PER ESSERE CONSIDERATE SICURE LE INFORMAZIONI DEVONO AVERE QUESTE CARATTERISTICHE:
• DISPONIBILITÀ = LE RISORSE DEVONO ESSERE DISPONIBILI ALLE PERSONE AUTORIZZATE NEL
MOMENTO IN CUI SERVONO
• INTEGRITÀ = LE INFORMAZIONI DEVONO ESSERE CORRETTE, COMPLETE, COERENTI E
AFFIDABILI – NON DEVONO ESSERCI MANOMISSIONI NÉ MODIFICHE NON AUTORIZZATE
• CONFIDENZIALITÀ O RISERVATEZZA = SOLO LE PERSONE AUTORIZZATE POSSONO
ACCEDERVI; LE INFORMAZIONI VANNO PROTETTE SIA DURANTE LA COMUNICAZIONE, SIA
DURANTE LA TRASMISSIONE
LA TUTELA DELLA PRIVACY IL D.L.196/2003 AFFERMA CHE CHIUNQUE HA DIRITTO ALLA PROTEZIONE DEI DATI PERSONALI
CHE LO RIGUARDANO.
I PRINCIPI DEL D.L. 196/2003 HANNO PER OGGETTO:
• LA TRASPARENZA (COMUNICARE LE FINALITÀ, LE PROCEDURE ADOTTATE, LE MODALITÀ DI
CONTESTAZIONE)
• LA LEGITTIMITÀ (SOLO PER SCOPI LEGITTIMI E CHE NON VIOLINO I DIRITTI DELLA PERSONA
INTERESSATA)
• LA PROPORZIONALITÀ (RICHIESTA DATI)
L’ART. 4 DEL DL DEFINISCE I TERMINI DI
INTERESSATO = PERSONA A CUI SI RIFERISCONO I DATI PERSONALI
RESPONSABILE = CHI È PREPOSTO AL TRATTAMENTO DEI DATI PERSONALI (PERSONA FISICA O
GIURIDICA)
L’INGEGNERIA SOCIALE (SOCIAL ENGINEERING)
Insieme di pratiche messe in atto da malintenzionati che
manipolano psicologicamente le persone per procurarsi
password e codici. Il social engineer studia i sistemi di
comunicazione aziendali, manda e-mail, telefona, si finge
un utente inesperto…
LE TECNICHE MESSE IN ATTO
• TELEFONATE
• PHISHING (E-MAIL INGANNEVOLE)
• SHOULDER SURFING (SPIARE DIRETTAMENTE)
• SKIMMING (CLONARE LE CARTE DI CREDITO/BANCOMAT)
• DUMPSTER DIVING (FRUGARE NELLA SPAZZATURA)
• EAVESDROP (ORIGLIARE)
• WIRETAP (INTERCETTAZIONI)
LA SICUREZZA DEI FILE
• ATTIVARE LE MACRO (WORD, EXCEL) SOLO SE SICURI DELLA PROVENIENZA.
• INSERIRE PASSWORD PER I DOCUMENTI DIGITALI, PER I FILE COMPRESSI
LA CRITTOGRAFIA
Codice segreto utilizzato per cifrare i messaggi e per
impedire il tentativo di accesso non autorizzato.
Crittografia
simmetrica
password
Crittografia
asimmetrica
Chiave pubblica
(del destinatario) Chiave privata
Utilizzata dal
mittente per
codificare
Utilizzata dal
destinatario per
decodificare
Disponibili attraverso un ID digitale