Coordinamento Servizi Informatici Bibliotecari di Ateneo
	Università degli Studi di Lecce

Sicurezza

Sicurezza informatica significa garantire: confidenzialità, integrità e disponibilità dei dati e del sistema.

Confidenzialità:	informazione accessibile in lettura solo a chi è autorizzato, protetta contro letture accidentali o dolose di terze parti non autorizzate
Integrità:	informazione modificabile solo secondo modalità consentite da chi è autorizzato, protetta contro possibili alterazioni accidentali o dolose di terze parti non autorizzate
Disponibilità:	tutte le risorse hw e sw del sistema sempre accessibili a chi è autorizzato, escludendo i casi di guasti

   Rete Internet

• Rete di computer non omogenei interconnesi per favorire scambio di dati e uso di risorse di calcolo
• Progettata per un ambiente amichevole
• Intrinsecamente insicura
• Basata sulla suite di protocolli TCP/IP
• Sistema in evoluzione con crescente complessità
• Alcuni tra i servizi offerti:
  • collegamento remoto (telnet, rlogin)
  • trasferimento file (ftp, fetch, ... )
  • posta elettronica (smtp, sendmail, ... )
  • world wide web (http, gopher, ... )
  • commercio elettronico
  • video on demand
  • ...

  Incidenti

• Incidente è una violazione di
  • confidenzialità
    copiare dati riservati, intercettare la posta elettronica
  • integrità
    falsificare dati riservati e messaggi di posta, alterare pagine web
  • disponibilità
    rendere la rete o parte dei suoi componenti inutilizzabili (Denial of Service, bombing)
• Circa il 30% delle società canadesi e statunitensi vittime di incidenti informatici
• Costo medio di un incidente valutato in 100000 $
• Danni economici e di immagine (siti web “modificati” della CIA, DoJ, ... )
• Cracking da “sport” elitario a sport di massa grazie al WWW
  • Chiunque può diventare un hacker
• In Italia: minima parte degli incidenti verificatisi riportati al CERT­IT
• Media corrente circa 3 incidenti a settimana
• Maggior parte degli incidenti dovuta a inadeguatezza dei gestori dei sistemi connessi
• L’intrusore accede direttamente al sistema (solitamente come root) e può eseguirvi comandi di ogni sorta (attacco attivo)
• L’intrusore cerca di compromettere il funzionamento del sistema dall’esterno ( attacco passivo)
• L’intrusore satura le connessioni esterne del server con connessioni fasulle impedendo il servizio delle richieste esterne (denial of service)
• spesso combinati

  Attacchi

• Attacco attivo
  • acquisizione dei diritti e privilegi di altri utenti
  • uso dei diritti acquisiti per compiere operazioni non autorizzate
  • cancellazione delle tracce
• Attacco passivo
  • sniffing (intercettazione) del traffico sulla rete per raccogliere password
• Denial of Service
  • saturazione delle risorse di rete quali connessioni e buffer per i messaggi
• Acquisizione di privilegi e diritti
  • usando password altrui
    • indovinate per tentativi
    • dictionary attack su file di password
    • intercettate con sniffing
  • sfruttando debolezze nel codice del S.O. e dei programmi in uso
    • privilegi di superuser
• Furto di password
  
  • si provano le password banali o di default
  • si sostituisce il programma login di sistema con un altro che cattura la password “in chiaro”
  • si intercetta il traffico tra terminale e server
  • si preleva il file /etc/passwd e lo si analizza per decifrare le password
    
• Bachi del sistema operativo
  • programmi che eseguono con i privilegi di root
  • si provoca una situazione anomala che il programma non è in grado di gestire e si passa il controllo ad un proprio programma
    • buffer overflow sui parametri di input
    • scrittura/creazione di file speciali
    • esecuzione di script
• Codice maligno o rogue: programma o parte di programma che causa effetti indesiderati di proposito
  • virus: programma (residente o transitorio) che diffonde il codice maligno attaccandosi a programmi corretti
  • cavallo di Troia: programma che ha un effetto secondario ignoto oltre a quello primario
  • worm: programma che si replica autonomamente e si diffonde via rete
• Codice maligno:
  • bombe logiche/a tempo: codice maligno che si attiva in particolari condizioni
  • coniglio: programma che si replica al solo scopo di esaurire le risorse
  • trapdoor/backdoor: accesso nascosto ad un programma garantendo speciali privilegi
  • covert channels: programmi che comunicano la loro informazione a terze parti non autorizzate a riceverla
    

• Proteggersi è possibile
  • consapevolezza
  • politica di sicurezza
  • personale addestrato
  • controllo continuo
• Politica di sicurezza
  • chi può operare
  • che cosa può fare
  • come può operare
  • su quali dati
  • diritti e privilegi
  • responsabilità
• Strumenti per proteggersi
  • sicurezza delle password (crack, passwd+, shadow, s/Key)
  • integrità e vulnerabilità del sistema (COPS, tiger, tripwire, swatch, watcher)
  • sicurezza in rete (ISS, SATAN, gabriel, tcp wrapper)
  • privilegi (sudo, osh)
• Strumenti per controllare l’attività
  • logging
  • auditing
• Crittografia
  • per proteggere i dati (cfs, stego)
  • per proteggere la posta (PGP, PEM)
  • per proteggere il traffico di connessione (Stel, SSH)
  • non protegge dai bachi di sitema
• Firewall
  • per definire un perimetro “sicuro”
  • per selezionare il traffico in ingresso
  • per bloccare/permettere l’accesso a/da siti e servizi
  • non protegge dagli insiders
  • non garantisce l’integrità dei dati ricevuti
  • non autentica la sorgente dei messaggi
  • non garantisce le connessioni dial­up

  CERT-IT

• Computer Emergency Response Team Italiano
• Dal 1994 assisite gli utenti italiani della rete Internet in caso di incidente informatico
• Dal 1995 riconosciuto presso il FIRST, Forum of Incident Response and Security Teams
• Costituito da docenti, ricercatori e studenti del DSI e da esperti esterni
• Punto di riferimento super partes per chi si occupa di sicurezza
• FIRST: consorzio internazionale di computer incident response and security teams che collaborano per la gestione degli incidenti e la loro prevenzione
• Cert di vendor, istituzioni governative, provider, enti di ricerca e accademici
• Coordinamento della gestione degli incidenti
• Diffusione di informazioni e tool
• http://www.first.org
• Attività svolte:
  • ricerca e sviluppo
  • incident handling e diffusione di informazione
  • promozione nuove tecnologie
  • consulenze su security policy e security architectures
  • tutorial e formazione

• In caso di incidente
  • contattare il CERT­IT via web http://security.dsi.unimi.it
  • o via mail cert­it@security.dsi.unimi.it
  • chiave PGP per informazioni confidenziali
  • analisi dei log
  • individuazione della tecnica di attacco
  • recovery del sistema colpito
  • massima riservatezza sulle informazioni relative agli incidenti

   

Prof.ssa Emilia Rosti
CERT­IT - Dipartimento di Scienze dell’Informazione - Università degli Studi di Milano
Via Comelico 39/41, 20135 MILANO
Tel. 02 55006.258; fax 02 55006.253
e-mail: rose@dsi.unimi.it