Sicurezza informatica PDF

Preview

Summary

Download Sicurezza informatica PDF

Description

INTRODUZIONE Cos’è la sicurezza? La sicurezza è un concetto molto vasto che è strettamente legato al concetto di DEPENDABILITY (affidabilità, fedeltà), cioè la possibilità di usare correttamente il sistema.

DEPENDABILITY include diversi concetti:  

  N.B.

AVAILABILITY: quando il sistema è disponibile a fornire un servizio. RELIABILITY: probabilità che il sistema fallisca (abbia un guasto). Una definizione di reliability (affidabilità) è stata data da ITU-T (International Telecomunications Union) nella raccomandazione E.800 che la definisce come: “l’abilità di un sistema ad essere in grado di svolgere una funzione richiesta in determinate condizioni ad un dato istante, o meglio, in un dato intervallo di tempo.” MAINTABILITY: quando è semplice modificare e riparare il sistema. SAFETY: sicurezza (nessun rischio) per l’ambiente e gli utenti. Reliability  Availability ma non vale l’opposto ( = implica)

“UMBRELLA TERM” (per la Dependability): introdotto da IFIP WG10.4; definisce il concetto di dependability come: “l’affidabilità, in senso vasto, di un sistema di calcolo che permette…..manca parte” Secondo tale definizione, la dependability include:    

RELIABILITY AVAILABILITY SAFETY SECURITY

Un’altra classificazione della dependability considera la security come un concetto che, invece di essere incluso nella dependability, ha alcuni attributi in comune. AVAILABILITY RELIABILITY SAFETY

ATTRIBUTES

CONFIDENTIALITY INTEGRITY MAINTAINABILITY FAULT PREVENTION

DEPENDABILITY

FAULT REMOVAL

MEANS

FAULT TOLERANCE FAULT FORECASTING FAULTS

THREATS

ERRORS FAILURES

1|Pagina

La security ha come attributi AVAILABILITY,CONFIDENTIALITY e INTEGRITY. È bene però considerare come attributo di security anche SAFETY. Tale classificazione è stata fatta da “Laprie et al.” che introduce altri due attributi di dependability:  

CONFIDENTIALITY: la possibilità di nascondere una comunicazione a persone non autorizzate. INTEGRITY: l’integrità dei dati, ossia che i dati non vengano o non siano compressi.

Un classico tipo di attacchi alla availability è il DoS (Denial of Service attack) che letteralmente vuol dire “negazione del servizio” tramite l’esaurimento delle risorse di un sistema che fornisce un servizio fino a renderlo incapace di fornirlo. Oltre che ad una azione deliberata, ci si può riferire anche ad una azione accidentale, dovuta ad esempio per una errata configurazione. Ad esempio un virus rientra in questa categoria. Gli altri due concetti allo stesso livello degli attributi sono: 

MEANS: i mezzi con i quali si può ottenere una dependability. Sono sostanzialmente l’identificazione dei FAULT, ossia i guasti tramite: 1- una prevenzione (FAULT PREVENTION) 2- una rimozione (FAULT REMOVAL) 3- la tolleranza di alcuni di essi piuttosto che altri (FAULT TOLERANCE) 4- la previsione (FAULT FORECASTING)



THREATS: le minacce alla dependability. Esse sono: 1- FAILURE: si verifica quando il servizio non corrisponde alla specifiche iniziali dello stesso. 2- ERROR: quella parte dello stato di un sistema che è atta a provocare una failure (fallimento). 3- FAULT: è la causa di un errore (guasto).

In dettaglio definisco i FAULT come causa di errori che possono provocare FAILURES. La risoluzione dei problemi deve concentrarsi sui FAULT perche sennò potrebbe non portare risultati.

FAULT  ERROR  FAILURE

2|Pagina

VULNERABILITA’, MINACCIA E ATTACCO VULNERABILITA’ : debolezza intrinseca di un sistema MINACCIA : potenziale violazione di sicurezza, che diventa realtà quando si presentano le circostanze, le capacità, le azioni o gli eventi che possono aprire una breccia nella sicurezza e infliggerne danni. Vale a dire che una minaccia è un potenziale pericolo che potrebbe sfruttare una vulnerabilità. (potenziali attacchi) ATTACCO : assalto al sistema di sicurezza che deriva da una minaccia intelligente; cioè un tentativo deliberato per eludere i servizi di sicurezza e violare le politiche di sicurezza di un sistema. Gli attacchi alla sicurezza si dividono in: 

ATTACCHI PASSIVI: sono commessi al monitoraggio e all’intercettazione delle trasmissioni al fine di carpire informazioni sul traffico o sul contenuto di messaggi (TRAFFIC ANALYSIS il cui obiettivo è quello di scoprire l’esistenza della comunicazione tra due peer di una rete (es. timing attack), SPYWARE, ecc.). Tali attacchi sono molto difficili da individuare perché non implicano alcuna modifica dei dati. È possibile prevenire da tali attacchi attraverso la CRITTOGRAFIA.



ATTACCHI ATTIVI: implicano una qualche modifica al flusso dei dati o la creazione di un falso flusso e possono essere suddivisi in quattro categorie: 1- MASQUERADE, ossia quando un’entità finge di essere un’entità diversa; 2- REPLAY, ossia l’intercettazione passiva di dati e la loro successiva ritrasmissione atta a generare un effetto non autorizzato. Prevede 3 attacchi (1 passivo e 2 attivi) intercettazione, copia, impersonificazione;

3|Pagina

3- MODIFICA DEI MESSAGGI, ossia la modifica di alcune porzioni di un messaggio legittimo; 4- DoS, ossia la negazione e l’impedimento del normale utilizzo (autorizzazione) di una o più funzionalità di un sistema. Gli attacchi passivi sono difficili da rilevare ma sono disponibili misure per impedire che abbiano successo. Quelli attivi invece sono difficili da prevenire ma quello che si fa in genere è cercare di rilevarli e ripristinare il sistema.

Gli antivirus possono essere visti come IDS (Intrusion Detection Systems). L’IDS può avere due approcci: 

SIGNATURE-BASED (firma): identifico un pattern che rappresenta l’intrusione assimilabile ad un certo virus; SVANTAGGI: Zero-Day attack sono attacchi basati sulla conoscenza di quell’attacco; può essere fatto da chi ha creato il malware oppure da chi è molto aggiornato.



ANOMALY-BASED: non è utilizzabile in caso di virus, si basa sulla descrizione di un sistema che funziona normalmente; qualsiasi pattern che si discosta da un comportamento normale viene identificato come anomalia. (es. home banking con utente che controlla prima il saldo e il massimo bonifico possibile, tipico comportamento di un attaccante). [Sistema OPT codice temporaneo inviato dalle banche] SVANTAGGI: può avere molti falsi positivi, ma è tollerabile (visto che parliamo soprattutto di banche)

La soluzione ideale sarebbe combinare i due approcci.

4|Pagina

Introduciamo due concetti importanti legati alla Dependability:  

BUSINESS CONTINUITY: ossia continuità nel tempo di un servizio, bisogna garantire la corretta fruizione. DISASTER RECOVERY: ossia il recupero da eventi catastrofici disastrosi, come il fuoco, l’acqua, che potrebbero danneggiare o distruggere parti del sistema.

Nel caso in cui sia necessaria una DISASTER RECOVERY, la BUSINESS CONTINUITY potrebbe (sicuramente) non essere garantita a causa, appunto, di un disastro avvenuto. Esistono delle compagnie (solamente esse) capaci e specializzate nel recupero di dati importanti. È dunque necessario un piano per scongiurare l’interruzione della continuità, che prevede, ad esempio, il posizionamento di server di riserva in una locazione diversa (e distante) da quelli originari in modo da copiare i dati recuperati, in questi server e riprendere la fruizione dei servizi in tempi relativamente brevi. BUSINESS CONTINUITY PLAN: è uno standard (www.bs25999.com) che definisce un piano di sicurezza per garantire la continuità di un sistema. È un documento composto da due parti:  

Part 1: principles and Terms; Part 2: requirements, che prevede che venga usato il DEMING CYCLE, ossia un ciclo di operazioni da fare: PLAN  DO  CHECK  ACT

INCIDENT RESPONSE PLAN: pianifica le operazioni da fare in risposta al verificarsi di un incidente.

SECURITY AXIOMS Esistono diversi assiomi riguardanti la sicurezza informatica: 1- La sicurezza assoluta non esiste. 2- Security è sempre un problema economico. 3- Il livello di difesa dovrebbe essere costante. 4- Un attaccante non supera la sicurezza, la bypassa. 5- No approccio “Secure by Obscure” (nascondere le politiche di sicurezza). 6- Security dovrebbe essere semplice ma non troppo. 7- Non più dei privilegi necessari. 8- La sicurezza è parte del progetto originale. 9- La sicurezza andrebbe testata in ambito ostile, svantaggioso. 10- La sicurezza è un compromesso tra usabilità e invasività. 11- Non sottostimate le vostre risorse (anche i paranoici hanno nemici). 12- Una politica di sicurezza aziendale è difficile, ma necessaria. 13- La sicurezza ha un forte impatto organizzativo. 14- La sicurezza potrebbe apparire come una burocrazia senza senso, ma i protocolli devono essere rigidi. 15- La politica di sicurezza dovrebbe tener conto del tipo di organizzazione. 16- La sicurezza delle informazioni deve essere abbinata ad altri aspetti (ad esempio sicurezza logica, sicurezza fisica, affidabilità, ecc.).

5|Pagina

SECURITY MANAGMENT Per quanto riguarda la gestione della sicurezza (SECURITY MANAGEMENT) , vi è un piano che regola le varie parti da gestire: BUSINESS SECURITY PLAN: L’obiettivo è quello di produrre un piano di sicurezza aziendale. Il business security plan è un documento costituito da un insieme di attività che devono essere svolte durante il corso dell’anno: 

POLICY, è la politica da definire per il controllo dell’accesso, un insieme di metodologie che ci permettono di stabilire quale utente può accedere ad un dato oggetto ( riguarda accessi sia fisici sia informatici). Dichiara risorse, utenti, tipi di controlli, obiettivi e responsabilità.



CURRENT STATE (stato corrente), voglio analizzare la situazione attuale nell’ottica della sicurezza informatica, cioè voglio effettuare una valutazione del rischio (rischio inteso non come probabilità di evento negativo ma come un valore economico collegato alla sicurezza informatica o ai guasti accidentali). Per fare Risk analysis (QUANTITATIVA) dobbiamo analizzare la vulnerabilità e le responsabilità:

R=GxP Dove

G= gravità dell’impatto P= probabilità dell’evento

La valutazione è di tipo annuale, bisognerà vedere quali misure di sicurezza adottare e valutare il costo dell’operazione sulla base dell’esperienza passata (anche di altre società). La gravità è il valore economico delle conseguenze dell’evento, dipende dalla qualità della dipendability del sistema. Vediamo un esempio: INTRUSIONE CON IMPATTO = 50.000 € PROBABILITA’ P = 0,2  il RISCHIO sarà = 5.000 € Il rischio tiene conto anche dell’impatto dell’evento. Facendo analisi quantitativa sappiamo a quali rischi andiamo incontro, calcoliamo il valore economico, decidiamo se vale la pena controllare tale rischio e eventualmente decidere se occuparcene da soli oppure affidare tale compito a terzi (aziende esterne specializzate in uno specifico settore). COSTO DELLA PROTEZIONE = 1.000 €  PROBABILITA’ = 0,1 (è dimezzata)  il RISCHIO diventerà = 10.000 – 5.000 – 1.000 = 4.000 € Guadagno perché prima dell’intervento avrei perso 10.000 € mentre adesso 6.000 € In questo caso la protezione è accettabile. Se il costo per la protezione fosse stato maggiore del rischio, non sarebbe convenuto adottare la sicurezza. Una parte del rischio può essere esternato (OUTSOURCING).

6|Pagina

Per diminuire il rischio potremmo diminuire la gravità dell’impatto aumentando la business continuity. 

REQUIREMENTS (requisiti), specifici obiettivi della sicurezza, come availability e confidentiability. Analisi dei requisiti in relazione alle contromisure che abbiamo deciso di adottare; tali requisiti implementano le contromisure.



CONTROL, misure di protezione.



ACCOUNTABILITY, eviterò in tutti i modi che chi opera una procedura possa condividere le proprie credenziali d’accesso con altri, ed eviterò che il singolo utente sia l’unico a conoscenza delle proprie credenziali (io proprietario dell’azienda fornisco al dipendente un username e una password decidendo se devono rimanere fisse oppure possono essere modificate, ma ovviamente tale modifica deve essermi comunicata). Esistono dei sistemi che obbligano il tracciamento delle attività anche degli amministratori. Un buon livello di accountability deve essere garantito almeno a livello utente.



GANTT



MONITORING & AUDIT, monitoraggio sulle strategie scelte, se, quindi, le contromisure adottate sono state implementate come volevo. AUDIT è più orientato al controllo, strategie di verifica anche con sorgenti esterne, società che verificano la sicurezza del mio sistema.

CONTROLLI I controlli possono essere di 3 tipi: 

FISICO: o Controllo all’accesso, usare delle porte che si aprono con dei beig e solo chi lo possiede può farne accesso; posso implementare anche un eventuale tracciamento di entrate e uscite; o Protezione dal fuoco; o Protezione dall’acqua; o Protezione dei cavi della rete; o Protezione dalle fughe di onde elettromagnetiche (es. wifi), posso adottare degli schermi elettromagnetici; o Caduta di tensione (UPS e generatori di corrente), lo scopo dell’UPS è quello di mantenere attivo il sistema fino all’avvio dei generatori di corrente, ha infatti una durata che va dai 30 ai 60 minuti; o Vandalismo, gli accessi devono essere controllati, parliamo quindi anche di porte e finestre della stanza dove si trovano i nostri dati; o Intercettazione di informazioni, documenti cartacei, wiping (cancellazione sicura dei dati), degaussing (se facendo il wiping c’è qualche blocco non accessibile metto il disco all’interno di un forte campo elettromagnetico), prevenzione emissione elettromagnetiche; o Backup ed Disaster Recovery.

7|Pagina



PROCEDURALE: o Identificazione dei visitatori; o Discipline for badges; o Password Managment (settare parametri come durata della password, come cambiare tale password ed eventualmente se è possibile riutilizzarla); o Antivirus Managment; o Backup (essendo controllo procedurale mi indica come gestire il backup); o Disposal of documents and supports; o Data cleaning in case of maintenance, manutenzione sulle macchine, prima della quale andrebbe fatta, se possibile, una pulizia);

PASSWORD: potrei anche avere una password molto robusta, ma se l’attacco viene lanciato direttamente al sistema (che è debole) allora non solo verrà scoperta la mia password ma anche quelle degli altri utenti. KEYLOGGER: malware in grado di tracciare cosa viene digitato sulla tastiera; oggi è anche in grado di avere degli screen ogni tot secondi dello schermo (riuscendo cosi ad elidere la sicurezza dei tastierini su schermo).



TECNICO: o Autenticazione; o Access control; o Audit (logging); o Accuracy,es. temporal syncronization, correct data entry (corretta immissione dei dati) o Service reliability; o Secure data trasmission.

8|Pagina

STANDARDS PER LA SICUREZZA L’uso di standard permette di ottenere certificazioni sulla sicurezza e permette un’interoperabilità tra i sistemi. Esistono tre tipi di standard nell’ambito di Information Security:   

Standard per il BUSINESS SECURITY. Standard per le FUNZIONALITA’ DEI PRODOTTI. Standard per la VALUTAZIONE DI UN SISTEMA (quanto è sicuro?)

STANDARD FOR BUSINESS SECURITY 

ISO/IEC TR 13335: pubblicato tra il 1996 e il 2001, contiene 5 parti in cui vengono date delle modalità con cui operare (oggi è obsoleto).



ISO/IEC 17799 – BS 7799: è nato da un iniziativa inglese. BS 7799 ha due parti, la prima è incorporata nello standard ISO/IEC 17799, mentre la seconda no e fornisce le linee guida per una completa gestione della sicurezza ( Information Security Management System – ISMS). Più in particolare vedremo che: o

ISO/IEC 17799 confluisce in ISO/IEC 27002, il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica: 1. Politiche di sicurezza (Security Policy):  forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza. 2. Sicurezza organizzativa (Security Organization):  controllo della sicurezza delle informazioni in seno all'azienda;  mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le terze parti;  monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata conferita in outsource. 3. Controllo e classificazione dei beni (Asset Classification and Control):  mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione. 4. Sicurezza del personale (Personnel Security):  Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;  accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro normale;  per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti. 5. Sicurezza fisica e ambientale (Physical and Environmental Security):  impedire l'accesso, il danneggiamento e l'interferenza di persone non autorizzate all'interno del flusso delle informazioni del business;  impedire perdita, danni o l'assetto del sistema e l'interruzione delle attività economiche a seguito di danneggiamenti; 9|Pagina

 impedire la manomissione o il furto delle informazioni. 6. Gestione di comunicazioni e operazioni (Communications and Operations Management):  accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione;  minimizzare il rischio di guasti dei sistemi;  proteggere l'integrità dei software e delle informazioni;  mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione;  garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;  prevenire danni ai beni e le interruzioni alle attività economiche;  impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni. 7. Controllo di accesso (Access Control):  per controllare l'accesso alle informazioni;  per impedire l'accesso non autorizzato ai sistemi d'informazione;  per accertare la protezione dei servizi in rete;  per impedire l'accesso non autorizzato nel calcolatore;  per rilevare le attività non autorizzate;  per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete. 8. Sviluppo e manutenzione di sistemi (System Development and Maintenance):  accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema;  per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione;  per proteggere riservatezza, autenticità e l'integrità delle informazioni;  per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema. 9. Gestione continuità operativa (Business Continuity Management):  neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti. 10. Adeguatezza (Compliance):  evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;  per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema. o

BS 7799 confluisce in ISO/IEC 27001, è utilizzata soprattutto nella gestione della sicurezza delle grandi aziende; è una norma che introduce le linee guida per la pianificazione delle attività, il così detto modello ISMS il quale è basato sul DEMING CYCLES PDCA (Plan, ...