Seminiario di Informatica

Andrea Barilli

sommario

Elementi di SicurezzaSistemi Operativi e SmartPhone Raspberry PI Professione informatico DomandeVarie ed Eventuali

professioni informatiche tlc telecomunication operator, manager management architect manager, businness manager

formation formator

help desk help desk opeartor, coordianator percorsi accademiciphd/ post doc/ ricercatore, professore,

in italia

il livello di preparazione degli operatori itc in italia é medio alto

remunerazione decisamente sotto la media europea scarsa comprensione delle competenze del settore

informatica vista come costo, non come una risorsa in cui investire

informatica vista come problema, non come strumenti per produrre meglio, piu' velocemente. informatica é una scienza, non un prodotto.

percorso di formazione continua

le tecnologie informatiche sono in continua evoluzione, questo impone un continuo percorso di formazione

- le aziende difficilmente pagano corsi presupposto di conoscenza - le risorse sono sottopagate presupposto di non competenza

- si impara lavorando di piu' straordinari non sempre pagati

mercato

il mercato ict é in espansionei contratti sono atipicino stabilitá

stipendi bassi

pericolo di fuga all'estero per ogni mente che va all'estero l'italia perde un investimento prezioso

professioni informatiche su cui puntare

iOS / Android developper network and system security web-oriented developper system administrator

virtualization manager

COSA VUOL DIRE

S I C U R E Z Z A ???

Sicurezza

La sicurezza (dal latino "sine cura": senza preoccupazione) può essere definita come la "conoscenza che l'evoluzione di un sistema non produrrà stati indesiderati" La CONOSCENZA è fondamentale poiché un SISTEMA può evolversi senza dar luogo a stati indesiderati, ma non per questo esso può essere ritenuto sicuro. Solo una conoscenza di tipo scientifico, basata quindi su osservazioni ripetibili, può garantire una valutazione sensata della sicurezza

Sicurezza Informatica

La Sicurezza informatica è quella branca dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono confidenzialita'

integrita'

disponibilita'

scenario: Internet e Reti Telematiche

Problema: vige una silente anarchia

● poche regolamentazioni/leggicaotica e difficile determinazione del territorio di applicazione

● chi si presenta non sempre e' chi ci si aspettala fiducia a prescindere e' una cattiva consigliera

● le informazioni tra A e B passano per altri n nodi

bisogno di sicurezza?

In un mondo dominato dalle comunicazioni globali, dovebuona parte delle informazioni sono digitalizzate etrasmesse per via telematica, la sicurezza sta pian pianodiventando un aspetto da non trascurare e, maggiore e' ilvalore delle informazioni in gioco, tanto piu' diventa unfattore di estrema rilevanza.

sfortunatamente anche le informazioni che sembrano di poco conto rivestono un ruolo importante, tanto da doverle preservare.

bisogno di sicurezza?

Ma ne ho veramente bisogno? Ho dati sensibili da proteggere? C'e' qualcuno che vorrebbe impossessarsene? C'e' qualcuno che vorrebbe spacciarsi per me? Potrei essere il mezzo per arrivare ad altri obiettivi?

Sicurezza nel software

l'uomo per sua natura e' un essere imperfetto portato ad errare

i programmi sono scritti dall'uomo e sono passibili di errori

● sintattici "il mano"● semantici "il melo ha peli del naso in caso fu"● runtime, operazioni non lecite come la divisione per 0● logici: causati da scelte fatte nell’algoritmo● strutturali e di progettazione.

gli insiemi di errori non si sommano ma si moltiplicano tra di loro

bugs

identifica un errore di un programma (ma anche un difetto hardware) che causa un comportamento imprevisto I bug in un programma possono essere gravi a tal punto da rendere vulnerabile ad attacchi informatici esistono decine di tecniche per abbassare il numero dei bug, ma e' praticamente impossibile azzerarli.

Individuazione

esistono aziende specializzate nello scovare problemi di sicurezza (quasi tutti riconducibili a errori) e' piu' difficile scovare gli errori nel codice chiuso

anche se scovati, non tutti i bug vengono documentati per evitare attacchi di massa per evitare perdite di immagine

Strada da seguire

Si ottiene una discreta politica di sicurezza quando siarriva ad un compromesso tra

Confidentiality (Confidenzialita')

Integrity (Integrita')

Availavility (Disponibilita')

Confidenzialita'

lo scambio di dati tra un mittente e uno o piu' destinatarideve risultare:

riservato (autenticazione)

segreto (crittografia)

dati identificazione timestamp crittografia

Integrita'

bisogna garantire che i dati scambiati tra piu' entita'restino intatti e vengano protetti da eventuali alterazioni;le modifiche potranno essere effettuate soltanto secondole policy dettate dal sistema, quindi rilevate e segnalatei dati dovranno essere quindi:

non modificabili (dati intatti)

modificabili da utenti o servizi aventi i permessi

garantiti da un controllo di rilevazione e correzione degli errori

Disponibilita'

bisogna tutelare l'operativita' del sistema; il sistema e lerisorse dovranno essere garantite ai legittimi utilizzatori enon dovranno presentarsi forme di non accessibilita'(denial of service) a queste ultime.In questo caso oltre ai dati entrano in gioco le risorse chedovranno garantire:

stabilita'

operativita'

velocita'

Tipologie di attacco

Sociale

Remoto

Locale

Fisico

Trashing, Phishing, Social Engineering ...

DoS, MITM attacks, spoofing, worms,remote exploits...

local exploits, DoS locali, rootkit, varie tecniche di privilege escalation..

lockpicking, furto deidispositivi di storage,disattivazione fisica

Tipologie di Attaccante

Il curioso

Il malizioso

La concorrenza

Lo sfruttatore

obbiettivi di un attacco Curiosita', Sfida, Ambizione, Vanita'

Conoscenza delle strutture dati di un sistema (DB e UTENTI)

Alterazione dei dati di un sistema Creare danni visibili (es. modifica di pagine web), per fama Attivazione di servizi non autorizzati (ircd, bot, ...) Sfruttamento di risorse (banda, disco,cpu) x repository illegali Sfruttamento di risorse per attacchi di tipo Dos || DDoS Utilizzo del sistema come base d'attacco verso altri sistemi

storia di un attacco tipo

1) Acquisizione delle informazioni sull'obiettivo (whois, interrogazione dei ns, google, traceroute, trashing, social engineering, ...)

2) Acquisizione delle informazioni sul tipo di OS (xprobe, p0f, netcraft, ...).

3) Acquisizione delle informazioni sullo stato dei servizi attivi (nmap, nessus, nikto, ecc..) 4) Ricerca di vulnerabilita' di un determinato servizio (google, bugtraq, ecc..)

storia di un attacco tipo

5) Lancio dell'attacco

exploit unprivileged exploit privileged software software

attacco remoto break in

attacco locale accesso locale accesso locale non privilegiato privilegiato privilege escalation

e la tipologia piu' pericolosa?

Sociale

Remoto

Locale

Fisico

Trashing, Phishing, Social Engineering ...

DoS, MITM attacks, spoofing, worms,remote exploits...

local exploits, DoS locali, rootkit, varie tecniche di privilege escalation..

lockpicking, furto deidispositivi di storage,disattivazione fisica

Social Engineering

per ingegneria sociale si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. Questa tecnica è anche un metodo improprio per ottenere informazioni rilevanti (password, nomi, account), come lo sono violenza tortura e ricatti, ma a differenza di queste il bersaglio da le informazioni che servono all'attaccante di sua spontanea volonta' e senza che ne sia costretto

l' ingegnere sociale

Se un CRACKER non trova bug da sfruttare l'unico modo che ha per procurarsi le informazioni e' quello di attuare un attacco di ingegneria sociale. Un ingegnere sociale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.

è molto bravo a nascondere la propria identità, fingendosi un'altra persona: cosi' riesce a ricavare informazioni che non potrebbe ottenere con la sua identità reale. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.

tecniche di social engineering

raccogliere le informazioni, in tutti i modi, tutte le informazioni sono utili.

presentarsi credibili, sicuri

presentarsi come altre persone

richiesta di aiuto>fare in modo che la vittima aiuti il carnefice

proposta di aiuto>l'attaccante finge di aiutare il bersaglio

phishing

è una attività illegale che sfrutta una tecnica di Ingegneria Sociale e' utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del Furto di IDENTITA' mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di email fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

attacco phishing

1. l'attaccante spedisce un messaggio email che simula, grafica contenuto, quello di una istituzione nota al destinatario (banca, provider, aste online).

2. l'email contiene avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account).

3. l'email invita il destinatario a seguire un link,al fine di risolvere il problema del punto 2

4. il link fornito porta a una copia fittizia simile al sito ufficiale, controllato dal phisher, allo scopo di ottenere dal destinatario dati personali con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

perche' tutto questo funziona?

L'uomo è solitamente portato a fidarsi del prossimo Socialità insita nell'istinto umano Non si conosce il valore intrinseco delle informazioni, soprattutto quelle che si considerano di poco conto Se si viene raggirati con classe, le controdifese arrivano sempre tardivamente

Trashing

E' una tecnica ri ricera di dati sensibili tuffandosi direttamente nell'immondizzia. piatti ambinti dei trasher ricevute di trasazioniricevute carte di creditodocumenti interni di una aziendascontrini, addebiti, che possano essere utilizzati come pontiper carpire identita' , stili di vita, abitudini.

in italia quanto siamo furbi?

da una intervista Adiconsum. identia' scippata per 1 italiano su 4

frodi piu' frequenti: sottoscrizione contratti online senza accorgerseneacquisto di beni mai recapitatiaddebiti per prodotti mai richiestiattacchi phishing il 55 % non conosceva il problema prima dell'intervistail 35 % non adotta precauzioniil 44 % non sa cosa fare per poteggersi.

ciao sono Adria

ho freddo, sono una bella gnocca, sono giovane e straniera

ho bisogno di aiuto

invia foto/ contatti/ un eseguibile

offerta specialevisualizzazione contenutiprezzi scontati, clausole poco chiare

possibilitá di guadagni

download di programmi interessanti

download di programmi preliminari

offerte di pagamento con voucher o beni di consumo

trading finaziario, offerta di xxx $ di bonus a fronte di pagamento di x$ buono entrata

la difesa

Prevenire

Individuare

Reagire

correzione bug software, autenticazione sicura, strong password,firewall, crittografia, uso intelligente di permessi, intelligenza e attenzione verso gli attacchi sociali

monitoraggio della rete, IDS, analisi di log, file integrity checker, ...

security menagement

la sicurezza e' 1 processo non 1prodotto

Catene di S.Antonio

Facebook

Sistemi Operativi ed evoluzione dei calcolatori

adattamento dei SO alle esigenze future

Sistemi Operativi

è l'insieme di routine e strutture dati responsabile del controllo e della gestione dei componenti hardware che costituiscono un computer e dei programmi che su di esso vengono eseguiti. Il sistema operativo mette anche a disposizione dell'utente una interfaccia software (grafica o testuale) per accedere alle risorse hardware (dischi, memoria, I/O in generale) del sistema. Il compito principale del sistema operativo è quello di permettere all'utente, umano o non, di interagire direttamente con la macchina.

Esigenza di Mobilita'

Mobile Phone

PDA

SmartPhones

Tablet

Sistemi Operativi Embedded

perche' uno Smartphone o un Tablet?

Uno smartphone è un dispositivo portatile che abbina funzionalità di gestione di dati (personali non) e di telefono. La caratteristica più interessante degli smartphone è la possibilità di installarvi altri programmi applicativi, che aggiungono nuove funzionalità. Giochi - Navigatori satellitari - notizie -servizi - libri eccOggi esistono smartphone con connessione Gsm/GPRS/EDGE/UMTS/HSDPA, che utilizzano le tecnolologie come Bluethooth/Wi-Fi per la comunicazione o il GPS per la localizzazione e in piu' tantissime altre come riproduzione audio/video, l'accelerometro, capacita' di calcolo da consolle portatile, acceleratore grafico ecc ecc

CONVERGENZA

perche' uno Smartphone o un Tablet?

Moda e Costume gli smartphone sono diventati status simbol (HTC, iPhone)

Perche' si ha sempre avuto un palmare ora le dimensioni ridotte e le funzioni telefoniche li rendono piu' allettanti per chi e' palmare-dipendente

Altre Prestazioni meno ingombranti dei NetBook offorono processori veloci, gps, alta connettivita', interfacce facili da usare e un bacino di programmi immenso

sono piccoli gioelli

sia per le prestazioni, sia per la quantita' di tecnologia racchiusa, sia dal prezzo non proprio polare questi piccoli computer portatili in alcuni casi sono proprio dei gioielli MA LE COSE STANNO CAMBIANDO

Concorrenza Altissima

sono nati dei veri e propri modelli di businnes atti a migliorare questo settore, un tempo di nicchia ora si affaccia al pubblico con standar qualitativi altissimi

+ concorrenza => + qualita' => minori prezzi

Classifica dei Produttori 2012

Apple = iPhone e' il modello di punta del settore Samsung = produttore di rilievo nel campo mobile Nokia = costruttore di telefoni per eccellenza. W7. downRIM = BlackBerry e' sinonimo di professionisti. down HTC = produttore di rilievo nei dispositivi mobili, monta Windows 7 e anche Android. da notare che Apple è il produttore più temuto anche se è quello con meno modelli. perché?

android sistema operativo basato suL I N U X

alternativa valida?

comunità attiva diverse case produttrici di telefoni lo installano più target di persone

fenomeno SmartPhones spunti per creare migliori prodotti in altri settori

processori - consumi future implementazioni di tecnologie simili per server PC e notebook che permettano di avere maggiore calcolo con minore consumobatterie piu' resistenti, meno capienti, meno inquinanti. notebookprocessori grafici e schermi migliori prestazioni per proc grafici di nuova concezione monitor lcd piu' leggeri, piu' luminosi, consolle portatili piu' performanti

nuovi modelli di marketing

poteri diritti doveri

lo zio Ben a Peter, in Spiderman «Da un grande potere derivano grandi responsabilità»

responsabilitá (x come si usano)sicurezza, (informazioni)

disponibilitá, (contenuti) your live is on a social network reputazione

Raspberry PI

Raspberry Pi

Perche'?● Per poter giocare imparando● Per poter imparare giocando● Per far rinascere una Commodore Generationma anche:●Per far nascere un nuovo artigianato...

cos'é?● Un computer a tutti gli effetti grande come una carta di credito

non é un super computer, é un computer con prestazioni paragonabili a un pc di 8/10 anni fa

Costa circa 35$

wikipediaL'idea di base è la realizzazione di un dispositivo economico, concepito per stimolare l'insegnamento di base dell'informatica e della programmazione nelle scuoleIl progetto ruota attorno a un System-on-a-chip (SoC) Broadcom BCM2835, che incorpora un processore ARM1176JZF-S a 700 MHz, una GPU VideoCore IV, e 256 o 512 Megabyte di memoria. Il progetto non prevede né hard disk né una unità a stato solido, affidandosi invece a una scheda SD per il boot e per la memoria non volatile.La scheda è stata progettata per ospitare sistemi operativi basati su un kernel Linux o RISC OS

dove nasce?

Lo sviluppo del dispositivo è portato avanti dalla Raspberry Pi Foundation, organizzazione di beneficenza registrata presso la Charity Commission for England and Wales. Il suo scopo è "promuovere lo studio dell'informatica e di argomenti correlati, soprattutto a livello scolastico, e di riportare uno spirito di divertimento nell'apprendimento del computer" La fondazione Raspberry Pi promuoverà principalmente l'apprendimento nel linguaggio di programmazione Python, ma sosterrà anche l'uso del BBC BASIC, del C e del Perl. Saranno disponibili molti altri linguaggi supportati da Linux e ARM.

cosa ci si puo' fare

● Si puo' navigare in rete● Scambiare E-mail● Scrivere testi fogli elettronici etc...ma questo non e' divertente!● Si puo' programmare● Si puo' interfacciare● Si puo' inventare (hardware e software)questo e' divertente!

si suda! si impara! si guadagna !!!

progetti possibili

Antifurto, cancello automaticoMedia Center (server/client)Remote ConsoleLIM (wi remote + proiettore)PABX (centralina telefonica )Domotica Contatore GeigerTermometro ambientale (caldaia-condizionatore) FirewallNAS Access PointWi-Fi projector Sensore Meterologico

domande????

varie ed eventuali

Grazie di Avermi Ascoltato

IN BOCCA AL LUPO PER GLI ESAMI