Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi

Sintesi sugli aspetti di Sicurezza nel Sistema

InformativoGli elementi della

professionalità della sicurezza

Sintesi sugli aspetti di Sicurezza nel Sistema

InformativoGli elementi della

professionalità della sicurezza

Prof. Daniele PulciniUniversità degli Studi di Roma “La Sapienza”

Genova, 22 Febbraio 2005

Prof. Daniele PulciniUniversità degli Studi di Roma “La Sapienza”

Genova, 22 Febbraio 2005

QuickTime™ e undecompressore TIFF (LZW)

sono necessari per visualizzare quest'immagine.

Prof. Daniele Pulcini - Università degli Studi di Roma “La Sapienza” - Genova 22 Febbraio 2005 - [email protected]

1

LA SICUREZZALA SICUREZZA


La Sicurezza nei sistemi informativiLa Sicurezza nei sistemi informativi

La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire l’erogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e l’accesso ai servizi, dall’altra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso.

Possiamo indicare quale “crimine” scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo.

La Sicurezza rappresenta un punto critico nei sistemi informativi attuali, a causa di nuove tecnologie aperte impiegate per garantire l’erogazione dei servizi offerti da aziende pubbliche e private, e facilitare attraverso i processi di e-government il funzionamento delle strutture organizzative e tecniche. Queste tecnologie aperte, se da una parte hanno reso anche più flessibile la comunicazione e l’accesso ai servizi, dall’altra hanno aperto varchi verso il mondo esterno che possono essere utilizzati in modo fraudolento e criminoso.

Possiamo indicare quale “crimine” scatenante la mancanza di cultura della sicurezza informatica cui corrisponde un mancato adeguamento nel settore della sicurezza informatica. Questa situazione è stata riscontrata nella maggior parte delle aziende, private e pubbliche oggetto di numerose indagini condotte dal sistema universitario. Gli enti spesso non si rendono effettivamente conto dei potenziali rischi che possono generarsi in un Sistema Informativo.


Sicurezza: consapevolezza e formazioneSicurezza: consapevolezza e formazione

La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.

La consapevolezza, la formazione, il continuo aggiornamento professionale e lo scambio di informazioni tra enti pubblici e privati, tra le comunità di settore e tra i cittadini-utenti, sono gli strumenti più efficaci per far fronte ai problemi della sicurezza informatica.


Obiettivi delle politiche della SicurezzaObiettivi delle politiche della Sicurezza

•Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini.

•Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano.

•Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dell’ICT.

•Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.

•Diffondere la cultura della Sicurezza Informatica presso le Aziende, la Pubblica Amministrazione e i cittadini.

•Partecipare alla elaborazione di leggi, norme e regolamenti che coinvolgono la Sicurezza Informatica, sia a livello comunitario che italiano.

•Contribuire alla definizione di percorsi di formazione per la preparazione e la certificazione delle figure professionali operanti nel settore della sicurezza nel mondo dell’ICT.

•Promuovere l'uso di metodologie e tecnologie che consentano di migliorare il livello di sicurezza delle varie realtà.


I costi dei crimini informaticiI costi dei crimini informatici

QuickTime™ e undecompressore TIFF (Non compresso)



2

SOLUZIONI E PRIVACYSOLUZIONI E PRIVACY


Quali soluzioni, quale privacyQuali soluzioni, quale privacy

Ancora oggi, molte delle organizzazioni sia pubbliche che private sono convinte che l’installazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato. Altre organizzazioni sono maggiormente informate ed hanno una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ma il timore di un sistema che possa “monitorare” tutto quello che accade in rete filtrando ed analizzzando tutti i dati in transito, genera il timore di veder controllato il proprio lavoro o addirittura violata la privacy. E’ dunque necessario individuare soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo le norme vigenti.

Ancora oggi, molte delle organizzazioni sia pubbliche che private sono convinte che l’installazione di un antivirus sia la soluzione a tutti i problemi di Sicurezza Informatica e quindi affrontano il problema in modo inadeguato. Altre organizzazioni sono maggiormente informate ed hanno una consapevolezza maggiore dei problemi inerenti la Sicurezza Informatica, ma il timore di un sistema che possa “monitorare” tutto quello che accade in rete filtrando ed analizzzando tutti i dati in transito, genera il timore di veder controllato il proprio lavoro o addirittura violata la privacy. E’ dunque necessario individuare soluzioni di sicurezza idonee che rappresentino una garanzia adeguata di privacy secondo le norme vigenti.


3

TEMI DELLA SICUREZZATEMI DELLA SICUREZZA


Gli “argomenti” della sicurezzaGli “argomenti” della sicurezza

Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti:

1. Riservatezza;2. Autenticazione/non disconoscimento;3. Integrità dei dati;4. Alta affidabilità del servizio erogato.

Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali.

Le principali problematiche in merito alla Sicurezza nei Sistemi Informativi sono collegate ai seguenti argomenti:

1. Riservatezza;2. Autenticazione/non disconoscimento;3. Integrità dei dati;4. Alta affidabilità del servizio erogato.

Queste problematiche possono essere affrontate utilizzando lo schema sintetico che seguirà e risolte poi in modo più complesso attraverso una analisi dettagliata dei parametri concernenti la definizione della sicurezza e la loro applicazione ai modelli reali.


Cosa stiamo proteggendo, introduzione ai “beni informatici”Cosa stiamo proteggendo, introduzione ai “beni informatici”

Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, è bene soffermarci per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere lo scopo prefissatoci.

Prima di passare ad analizzare le problematiche di sicurezza strettamente legate all'utilizzo di un particolare sistema operativo, è bene soffermarci per capire cosa stiamo proteggendo e quali siano in linea di massima i mezzi a nostra disposizione per raggiungere lo scopo prefissatoci.


Cosa stiamo proteggendo, principali beni dei sistemi informaticiCosa stiamo proteggendo, principali beni dei sistemi informatici

Parlando di sistemi informatici, a volte si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie:

Parlando di sistemi informatici, a volte si è portati a limitare quello che è il reale campo d'applicazione della parola bene, associandola esclusivamente a tre categorie:

1) Hardware: l'apparecchiatura;

2) Software: i programmi necessari al funzionamento dell'apparecchiatura e utilizzati per l'elaborazione delle informazioni;

3) Dati: le informazioni gestite dai programmi;

A questi, che rappresentano i beni principali, si devono aggiungere:

4) Supporti memorizzazione possono contenere il software ed i dati;

5) Reti permettono l'interconnessione dei vari sistemi consentendo quindi lo scambio di informazioni;

6) Accessi la possibilità che viene data ai soggetti di utilizzare il bene ed i meccanismi di fruizione.

7) Individui chiave pensate, per esempio, a quanto tempo e quante risorse economiche occorrono per preparare adeguatamente un valido amministratore di sistema oppure un operatore specializzato nell'uso di un determinato programma.


Cosa stiamo proteggendo, rappresentazione graficaCosa stiamo proteggendo, rappresentazione grafica

HardwareHardware SoftwareSoftware

DatiDati

Supporti di memorizzazione

Supporti di memorizzazione

RetiReti

AccessiAccessi

Individui chiave(operatori e sistemisti)

Individui chiave(operatori e sistemisti)


Obiettivi della sicurezza informaticaObiettivi della sicurezza informatica

La sicurezza informatica ha, come obiettivo principale, quello di: garantire, riducendo i rischi, un adeguato grado di protezione dei beni, mediante l’attuazione di un progetto di sicurezza globale che, partendo dalla definizione di una politica di sicurezza, tenga conto di tutti gli aspetti del problema e pervenga ad un livello di protezione, organizzativo ed informatico, che possa essere monitorato nel tempo. Per raggiungere quello che è l'obiettivo principale, occorre garantire che il bene mantenga inalterate nel tempo queste proprietà:• Sicurezza/riservatezza (Confidentiality);• Integrità (Integrity);• Disponibilità (Availability).

La sicurezza informatica ha, come obiettivo principale, quello di: garantire, riducendo i rischi, un adeguato grado di protezione dei beni, mediante l’attuazione di un progetto di sicurezza globale che, partendo dalla definizione di una politica di sicurezza, tenga conto di tutti gli aspetti del problema e pervenga ad un livello di protezione, organizzativo ed informatico, che possa essere monitorato nel tempo. Per raggiungere quello che è l'obiettivo principale, occorre garantire che il bene mantenga inalterate nel tempo queste proprietà:• Sicurezza/riservatezza (Confidentiality);• Integrità (Integrity);• Disponibilità (Availability).


Obiettivi della sicurezza informaticaObiettivi della sicurezza informatica

Disponibilità Integrità

Sicurezza

I beni sono sempre accessibili agli utenti autorizzati

I beni sono accessibili solo agli utenti autorizzati

I beni possono essere modificati solo dagli utenti autorizzati o solo nel modo

consentito


Definizione di rischio e di sicurezzaDefinizione di rischio e di sicurezza

Tutte quelle “circostanze potenziali” che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio.

La sicurezza totale infatti è un’astrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.

Tutte quelle “circostanze potenziali” che possono causare un danno rappresentano un rischio. E' da notare che, come abbiamo visto prima, parlando della sicurezza informatica, un progetto o un programma di sicurezza, per quanto integrati non azzerano mai il relativo rischio.

La sicurezza totale infatti è un’astrazione e come tale non esiste nella realtà. Si deve allora seguire la logica secondo cui un progetto di sicurezza ha l'obiettivo di ridurre il rischio.


Rischi per un sistema informaticoRischi per un sistema informatico

Rischi per un sistema informatico Vediamo adesso schematicamente quali sono i rischi relativi ad un sistema informatico. I colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sull’utenza dei servizi e sulla privacy.

Rischi per un sistema informatico Vediamo adesso schematicamente quali sono i rischi relativi ad un sistema informatico. I colori indicano i settori interessati dal rischio e i rischi sono ordinati per gravità degli effetti sull’utenza dei servizi e sulla privacy.

INTERRUZIONE

INTERCETTAMENTO

MODIFICA

CONTRAFFAZIONE

HardwareHardware SoftwareSoftware

DatiDati

Un bene viene tolto dal sistema, non è più disponibile oppure è inutilizzabile

Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene.

Un’entità (un programma, un sistema informatico) non autorizzata ottiene l’accesso ad un bene e lo manomette

Un’entità (un programma, un sistema informatico) non autorizzata potrebbe costruire degli oggetti contraffatti all’interno del sistema informativo.


Vulnerabilità, introduzione 1Vulnerabilità, introduzione 1

In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo. Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione.

In pratica, per causare un danno basterà sfruttare una vulnerabilità del sistema informativo. Ma che cosa si intende per vulnerabilità? Semplicemente una debolezza di cui servirsi per raggiungere gli scopi prefissati, presente nel sistema operativo, nelle procedure di sicurezza, nei software e soprattutto nei controlli interni o nell'implementazione.



Quando si parla di vulnerabilità, la prima cosa che viene in mente è, chiaramente, il difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Possiamo dire sicuramente che, anche con un software perfettamente realizzato, perfettamente progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate.

Quando si parla di vulnerabilità, la prima cosa che viene in mente è, chiaramente, il difetto del software. Non necessariamente però una vulnerabilità è solo un difetto del software. Possiamo dire sicuramente che, anche con un software perfettamente realizzato, perfettamente progettato, implementato e configurato, un sistema informatico può comunque essere vulnerabile. Per esempio, potremmo avere un dipendente di un'azienda che ha accesso a sistemi critici che un bel giorno….. passa ad un concorrente ma allo stesso tempo le sue credenziali per l'accesso non vengono cancellate.



Da quanto detto discende la definizione di vulnerabilità. La frase "può essere sfruttata", naturalmente presuppone che vi sia la volontà esplicita di violare qualche cosa, in senso generale a violare la politica di sicurezza, che indica che cosa si può e che cosa non si può fare all’interno di un sistema informativo. Una vulnerabilità è quindi tale se ci permette di fare qualche cosa che altrimenti non dovremmo poter fare. Da questo deriva che il problema è quindi da inquadrare in senso generale piuttosto che limitatamente ai difetti nel software. Infatti, prendendo in esame i principali componenti di un sistema informatico, possiamo facilmente associarvi una serie di vulnerabilità:

Da quanto detto discende la definizione di vulnerabilità. La frase "può essere sfruttata", naturalmente presuppone che vi sia la volontà esplicita di violare qualche cosa, in senso generale a violare la politica di sicurezza, che indica che cosa si può e che cosa non si può fare all’interno di un sistema informativo. Una vulnerabilità è quindi tale se ci permette di fare qualche cosa che altrimenti non dovremmo poter fare. Da questo deriva che il problema è quindi da inquadrare in senso generale piuttosto che limitatamente ai difetti nel software. Infatti, prendendo in esame i principali componenti di un sistema informatico, possiamo facilmente associarvi una serie di vulnerabilità:


Vulnerabilità, lo standard CVEVulnerabilità, lo standard CVE

Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per:

1.fornire un "linguaggio comune" per la definizione formale del problema;2.facilitare la condivisione dei dati tra:

• Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); • Strumenti di verifica (Assessment); • Archivi di vulnerabilità; • Ricercatori;• Gruppi per la gestione degli incidenti.

3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili.

Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza.

Per quanto riguarda le vulnerabilità del software è stato definito uno standard di fatto denominato CVE (Common Vulnerabilities and Exporures) per:

1.fornire un "linguaggio comune" per la definizione formale del problema;2.facilitare la condivisione dei dati tra:

• Intrusion Detection Systems (sistemi per il rilevamento delle instrusioni); • Strumenti di verifica (Assessment); • Archivi di vulnerabilità; • Ricercatori;• Gruppi per la gestione degli incidenti.

3.permettere lo sviluppo di strumenti di sicurezza migliorati ed interoperabili.

Le vulnerabilità universali definite nel CVE sono quelle vulnerabilità che sostanzialmente sarebbero tali in qualsiasi politica di sicurezza. Viceversa, le exposures, sono delle violazioni solo in certe politiche di sicurezza. Per esempio il fatto che certe informazioni siano disponibili attraverso un servizio che fornisce più informazioni di quante dovrebbe, potrebbe essere o meno una violazione ad una politica di sicurezza.


Vulnerabilità, ciclo di vita - 1Vulnerabilità, ciclo di vita - 1

Un altro concetto fondamentale parlando di vulnerabilità è rappresentato dal ciclo di vita. Cosa vuol dire ciclo di vita di una vulnerabilità? Prendiamo per esempio un sistema informativo con una sua vulnerabilità, non è nota, ma esiste perchè il sistema è stato progettato in modo imperfetto. I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due:

Un altro concetto fondamentale parlando di vulnerabilità è rappresentato dal ciclo di vita. Cosa vuol dire ciclo di vita di una vulnerabilità? Prendiamo per esempio un sistema informativo con una sua vulnerabilità, non è nota, ma esiste perchè il sistema è stato progettato in modo imperfetto. I problemi cominciano a nascere quando la vulnerabilità viene scoperta ed inizia quella che viene chiamata, finestra di esposizione, cioè il periodo in cui la vulnerabilità in qualche modo può essere sfruttata per causare un danno. I casi sono due:



1. La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione. In pratica, la vulnerabilità verrà comunicata a chi è in grado di correggerla, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi. Cosa importante è che la vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch), ma quando quest'ultima sarà installata su un sistema. Questo è un problema che si è visto moltissimo soprattutto in questi ultimi anni, perchè molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate.

1. La vulnerabilità è stata scoperta da qualcuno interessato ad eliminarla e quindi ci si può aspettare che si vada su una strada che porterà alla fine a una correzione. In pratica, la vulnerabilità verrà comunicata a chi è in grado di correggerla, verranno realizzate le apposite correzioni e queste poi saranno apportate ai singoli sistemi. Cosa importante è che la vulnerabilità in un determinato software si potrà considerare corretta non quando sarà rilasciata la correzione (patch), ma quando quest'ultima sarà installata su un sistema. Questo è un problema che si è visto moltissimo soprattutto in questi ultimi anni, perchè molti degli attacchi diffusi in modo massiccio, spesso sfruttavano delle vulnerabilità note da tempo per le quali le correzioni erano già disponibili ma che semplicemente non erano state applicate.



2. la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla. Questa è una situazione spiacevole perchè potenzialmente questa vulnerabilità potrebbe continuare ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla , fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata. E' stata la diffusione indiscriminata di informazioni circa le vulnerabilità che ha permesso di definire un vero e proprio ciclo di vita delle stesse, comprendente una “finestra di esposizione variabile” in base alla logica perseguita.

2. la vulnerabilità viene scoperta da qualcuno, non interessato a correggerla, ma interessato a sfruttarla. Questa è una situazione spiacevole perchè potenzialmente questa vulnerabilità potrebbe continuare ad essere utilizzata e sfruttata anche diffusamente senza che ne venga a conoscenza chi deve correggerla , fino a quando qualcuno vedendo come è stato attaccato il suo sistema, non si rende conto di quale è stata la strada utilizzata. E' stata la diffusione indiscriminata di informazioni circa le vulnerabilità che ha permesso di definire un vero e proprio ciclo di vita delle stesse, comprendente una “finestra di esposizione variabile” in base alla logica perseguita.


Vulnerabilità, processi - 1Vulnerabilità, processi - 1

Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica:

la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; la casa produttrice del software corregge il problema; viene applicata la correzione.

Mentre nel secondo caso la conoscenza della vulnerabilità rimane limitata allo scopritore e quindi la sua diffusione pubblica dipende da quest'ultimo, nel primo si può assistere ad un comportamento ciclico, come è stato messo in evidenza dal CERT/CC. In pratica:

la vulnerabilità viene scoperta da un ricercatore o comunque qualcuno dotato di ottime conoscenze nella materia; viene reso pubblico il metodo per sfruttarla, di solito utilizzando un linguaggio di scripting; il codice di scripting viene portato in un linguaggio maggiormente diffuso ed inserito all'interno di applicazioni di facile utilizzo (input obbiettivo > esegui azione) si ha la distribuzione capillare dell'applicazione e quindi lo sfruttamento della vulnerabilità; la casa produttrice del software corregge il problema; viene applicata la correzione.


Vulnerabilità, processi - 2Vulnerabilità, processi - 2

Nella realtà, si assiste di solito ad una serie di processi simili a quello evidenziato, che, a volte, interessano aspetti diversi dello stesso software. Da qui i ben noti problemi di aggiornamento, legati all'applicazione dell'ultima correzione disponibile, che impegnano il responsabile alla sicurezza di un sistema.

Nella realtà, si assiste di solito ad una serie di processi simili a quello evidenziato, che, a volte, interessano aspetti diversi dello stesso software. Da qui i ben noti problemi di aggiornamento, legati all'applicazione dell'ultima correzione disponibile, che impegnano il responsabile alla sicurezza di un sistema.


Vulnerabilità, metodi di difesaVulnerabilità, metodi di difesa

Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che

"la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001).

Per ridurre o prevenire lo sfruttamento di una vulnerabilità si rende necessaria un'opera di controllo mediante l'applicazione di particolari misure protettive rappresentate da azioni, dispositivi, procedure o tecniche. Naturalmente bisogna fare particolare attenzione al fatto che

"la sicurezza è un processo, non un prodotto, e come tale ha molti componenti, che devono essere affidabili e ben studiati e, soprattutto, collaborare fra loro. Infatti, l'efficacia del sistema di sicurezza dipende in modo essenziale da come i vari componenti collaborano fra di loro. A volte i punti deboli sono costituiti proprio dalle interfacce fra i componenti. Un sistema di sicurezza può essere paragonato a una catena, composta da vari anelli, ciascuno dei quali influisce in modo determinante sulla sua resistenza. Come in qualsiasi catena, la forza del sistema di sicurezza corrisponde a quella del suo componente più debole" (Schneier B., Sicurezza Digitale, Tecniche Nuove, Milano, 2001).


Principali controlliPrincipali controlli

I principali controlli a nostra disposizione sono:

Crittografia

Controlli software

Controlli hardware

Politiche disicurezza

Controllifisici

Dati inintellegibili contro: IntercettamentoModificaContraffazione

Dispositivi crittografici:HardwareSmartcard

Sono i controlli più semplici, meno onerosi ed a volte più efficaci da implementare.

Controlli interni al programmaControlli del sistema operativoControlli in fase di sviluppo

Creazione di regoleFormazioneAmministrazione


Efficacia dei controlliEfficacia dei controlli

QuickTime™ e undecompressore TIFF (Non compresso)


Affinche i controlli siano efficaci bisogna considerare:


4

SOLUZIONISOLUZIONI


La sicurezza dei sistemi informativiQuadro sintetico problema- rischio - soluzioneLa sicurezza dei sistemi informativiQuadro sintetico problema- rischio - soluzione

PROBLEMA RISCHIO SOLUZIONE

Qualificazione del personale- Controllo della produttività- Violazione della privacy

- Consulenza organizzativa;- Corsi di formazione;

Riservatezza delle comunicazioni deidati

Intercettazione ed eventuale modifica,cancellazione, copia dei dati.

Crittografia:- Applicativa (SSL)- Comunicazione IP SEC (VPN)

Riservatezza della gestione dei daticentralizzata: “Storage”

- Furto di dati;- lettura dell’Hard disk;

NAS= Network Area Storage (hardware dedicato pergestire dati)

Integrità del dato: salvaguardia delpatrimonio informatico

- Perdita dei dati anche parziale

- I l NAS gestisce anche l’integrità ed il DisasterRecovery- Antivirus- Backup

Alta affidabilità: poter garantire lacontinuità del servizio secondo ilService Level Agreement.

- Avere le macchine funzionanti, ma non riusciread erogare il servizio- Non poter garantire degli S.L.A- Avere forti investimenti in piattaforme HW e SWcon alti costi di gestione- Essere dipendente da un Vendor- Non avere un piattaforma di test- Avere un single point of failure

- Bilanciatore di rete per Firewall e server- Ridondanza di Firewall

Controllo accessoAccessi da identità non autorizzate

• Siste ma di validazione• Protezion i perimetral i (Firewall)

Monitoraggi o dei tentativ i di violazione Intrusio ne tentat a e riuscita. No n segnalata I .D.S .= Intrusio n detectio n System

Verific a dell a vulnerabilit à del sistemainformativo

Sistem i informativ i e d i sicurezz a no n efficienti Penetratio n test


Professionalità della sicurezzaProfessionalità della sicurezza

La professionalità della sicurezza si costruisce sempre sulla base di esperienze concrete e di soluzioni e metodologie ampiamente diffuse. In questo ambito la proposta formativa nel campo delle tecnologie open assume un ruolo decisamente rilevante. Nella “composizione” interculturale della figura professionale, devono essere forniti gli elementi necessari per comprendere le differenze che esistono tra il software libero ed il software proprietario per ciò che concerne la sicurezza. Devono essere comprese inoltre le metodologie "open” rese disponibili dal mercato, frutto della collaborazione di esperti del settore, frutto della collaborazione in rete, che come vedremo è fondamentale per una visione operativa della sicurezza.

La professionalità della sicurezza si costruisce sempre sulla base di esperienze concrete e di soluzioni e metodologie ampiamente diffuse. In questo ambito la proposta formativa nel campo delle tecnologie open assume un ruolo decisamente rilevante. Nella “composizione” interculturale della figura professionale, devono essere forniti gli elementi necessari per comprendere le differenze che esistono tra il software libero ed il software proprietario per ciò che concerne la sicurezza. Devono essere comprese inoltre le metodologie "open” rese disponibili dal mercato, frutto della collaborazione di esperti del settore, frutto della collaborazione in rete, che come vedremo è fondamentale per una visione operativa della sicurezza.


Professionalità della sicurezzaProfessionalità della sicurezza

La professionalità nel settore ICT ed in modo particolare per la sicurezza si costruisce attraverso percorsi specifici ed attraverso l’adozione di metodologie didattiche adeguate ai temi oggetto della formazione. Un ruolo strategico può essere giocato dalla FAD, dalla formazione a distanza, per definire uno standard di livello nazionale ed europeo e per fornire strumenti adeguati a tutti i discenti. Questo tipo di formazione è inoltre adeguata alla dinamicità della sicurezza, che è in continua evoluzione. I contenuti didattici, estesi ai discenti universitari ed ai professionisti, possono garantire una cultura della sicurezza informatica necessaria ad una società moderna che ruota attorno alla dematerializzazione dei documenti.

La professionalità nel settore ICT ed in modo particolare per la sicurezza si costruisce attraverso percorsi specifici ed attraverso l’adozione di metodologie didattiche adeguate ai temi oggetto della formazione. Un ruolo strategico può essere giocato dalla FAD, dalla formazione a distanza, per definire uno standard di livello nazionale ed europeo e per fornire strumenti adeguati a tutti i discenti. Questo tipo di formazione è inoltre adeguata alla dinamicità della sicurezza, che è in continua evoluzione. I contenuti didattici, estesi ai discenti universitari ed ai professionisti, possono garantire una cultura della sicurezza informatica necessaria ad una società moderna che ruota attorno alla dematerializzazione dei documenti.


BibliografiaBibliografia

Riferimenti• AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997;• Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998;• Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997;• Statistiche delle vulnerabilità del software su SecurityFocus.com - http://www.securityfocus.com/vulns/stats.shtml• Common Vulnerabilities and Exposures - http://cve.mitre.org• ICAT Metabase (CVE Vulnerability Search Engine) - http://icat.nist.gov• CERT/CC (originariamente Computer Emergency Response Team) - http://www.cert.org

Riferimenti• AA. VV., Osservatorio sulla criminalità informatica. Rapporto 1997, FrancoAngeli, Milano, 1997;• Rosario Marasco, La sicurezza informatica, Jackson Libri, Milano, 1998;• Charles P. Pfleeger, Security in Computing, Prentice-Hall, Upper Saddle River, 1997;• Statistiche delle vulnerabilità del software su SecurityFocus.com - http://www.securityfocus.com/vulns/stats.shtml• Common Vulnerabilities and Exposures - http://cve.mitre.org• ICAT Metabase (CVE Vulnerability Search Engine) - http://icat.nist.gov• CERT/CC (originariamente Computer Emergency Response Team) - http://www.cert.org

Documents

Sintesi sugli aspetti di Sicurezza nel Sistema Informativo Gli elementi della professionalità della sicurezza Prof. Daniele Pulcini Università degli Studi