“SICUREZZA INFORMATICA”“SICUREZZA INFORMATICA”

Gabriele Torresan

Roma, 17 maggio 2012

2

LA “NON SICUREZZA”DELLE RETI

LA “NON SICUREZZA”DELLE RETI

1. Rischio di INTERCETTAZIONE

2. Rischio di FALSIFICAZIONE

3. Rischio di IMPERSONAZIONE

3

SENZA SPERANZA?SENZA SPERANZA?

• Attività culturale e di formazione

• Tutela tecnologica

• Tutela giuridica

4

CHI E’ IL NOSTRO NEMICO?CHI E’ IL NOSTRO NEMICO?

• “Hacker” o “cracker”?

• Tecno-vandali

N.B.: oltre il 50% dei crimini informaticisi è perpetrata all’interno dell’organizzazioneda membri della stessa

5

“defacing”“defacing”

Microsoft UK website

6

I VIRUS INFORMATICII VIRUS INFORMATICI

• E’ un programma…

• …che si nasconde nel nostro computer…

• …che poi si diffonde in altri computer…*

• …che infine si manifesta!

*contagio attraverso FD/mails/pen-drive/…

7

VARIANTI “INFIDE” DI VIRUSVARIANTI “INFIDE” DI VIRUS

• False e-mails

• Connessioni telefoniche costose

• E-mails fraudolente (phishing)

8

Esempio di falsa e-mailEsempio di falsa e-mail

9

Esempio di phishingEsempio di phishing

10

LA SICUREZZALA SICUREZZA

“La sicurezza è robusta quanto una catena: cioè quanto il suo anello più debole!”

Modello Applicazione

Aggiornamento Verifica

11

ANALISI DELLE MINACCEANALISI DELLE MINACCE

Minaccia 1 Minaccia 2 … Minaccia n

Risorsa 1

Risorsa 2

…

Risorsa mRischio n

per m

Probabilitàdi

accadimento

Impattosulla

risorsa

EsempioEsempio

• Risorsa: Archivio dati contabili• Minacce:

– Cancellazione erronea singola operazione– Cancellazione involontaria archivio– Danneggiamento disco su server a causa di calamità

(fenomeno atmosferico, incendio, allagamento, ecc.)– Furto server– Attacco esterno via web con inquinamento dati– Attacco interno con inquinamento dati

12

13

CATEGORIE DI DIFESECATEGORIE DI DIFESE

• FISICHE– Accorgimenti di tipo “materiale”: anti-intrusione,

antifurti, antincendio, ecc.

• LOGICHE– Strumenti di controllo, protezione, identificazione,

autorizzazione: firewall, antivirus, crittografia, intrusion-detector, controlli euristici, ecc.

• ORGANIZZATIVE– Procedure, modalità operative, responsabilità:

password, architettura e diritti di rete, modalità di accesso ai dati ed alle risorse, ecc.

14

SCELTA E CURA DI PASSWORDSCELTA E CURA DI PASSWORD

• Riserbo

• Originalità

• Cambio frequente !Dictionary

attack !

700.000 parole

15

SCELTA E CURA DI PASSWORDSCELTA E CURA DI PASSWORD

Facciamo due conti:• password di 8 caratteri alfanumerici• 26+26+10+8 = 70 simboli diversi• 70 x 70 x 70 x 70 x 70 x 70 x 70 x 70 =

708 = 576.480.100.000.000 pw diverse• 576.480.100.000.000 / 100.000 tentativi/sec

= 5.764.801.000 secondi• 5.764.801.000” / 60 = 96.080.016 minuti• 96.080.016’ / 60 = 1.601.333 ore• 1.601.333h / 24 = 66.722 giorni• 66.722g / 365 = 182 anni

EsempiEsempi

Congregazione Suore del Cuore Addolorato di Maria – 1875

CSdCAdM-75

Professione Permanente: 12 ottobre ‘95PP:12o95

Gabriele TORRESANG4br13l3 T0RR3S4N

16

17

CONCLUSIONICONCLUSIONI

• Internet = libertà

• Dimensione planetaria vuoto normativo remoto può danneggiare tutta l’umanità

• Ogni organizzazione dovrà adottare un modello continuamente verificato

• La sicurezza non è un “prodotto” ma è una “cultura”!