2485_teoria Cap 6_2-Internet 3-Sicurezza Rev 3

1

Università di Urbino – Facoltà di Economia Prof. Bentivoglio Gianfranco

--------- I PERICOLI IN RETE ---------

APPUNTI SULLA SICUREZZA

LE MINACCE I PERICOLI IN RETE

- CHI SONO GLI AGGRESSORI

- VIRUS (VIRUS, WORM, TROJAN)

- NON SOLO VIRUS: “MALWARE” (HOAX, DIALER, SPYWARE,COOKIES, SCAM)

- PERICOLI IN RETE: SNIFFING E KEYLOGGER, SOCIALENGINEERING, PHISHING, IP-SPOOFING, PHARMING, DENIALOF SERVICE, CLOACKING

- SPAMMING

LE DIFESE

- ANTIVIRUS

- ANTISPYWARE

- FIREWALL

- CRITTOGRAFIA, VPN, PASSWORD E FIRMA DIGITALE

- IDS

- AGGIORNAMENTO PROGRAMMI

- BACKUP, UPS, RAID, BUSINESS CONTINUITY

2


Gli aggressori: Hacker e Cracker

HACKER:HACKER: èè una persona che si impegna una persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte.creativamente le limitazioni che gli vengono imposte.La norma non scritta vuole che ogni hacker sia La norma non scritta vuole che ogni hacker sia divertente, non distruttivo e non rechi danno.divertente, non distruttivo e non rechi danno.

CRACKER:CRACKER: indica colui che entra abusivamente in indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli (cracking), sistemi altrui allo scopo di danneggiarli (cracking), lasciare un segno del proprio passaggio, utilizzarli lasciare un segno del proprio passaggio, utilizzarli come teste di ponte per altri attacchi oppure per come teste di ponte per altri attacchi oppure per sfruttare la loro capacitsfruttare la loro capacitàà di calcolo o l'ampiezza di di calcolo o l'ampiezza di banda di rete.banda di rete.

HACKER: in origine, il termine veniva usato soltanto per designare persone di eccezionale bravura ed esperienza nell’ambito dei sistemi informatici. Successivamente è stato esteso per connotare individui che impiegano le loro conoscenze per penetrare nella sicurezza dei sistemi, al fine di accedere a delle informazioni in maniera non autorizzata.

Nel gergo informatico, il termine “hacker” non ha quella connotazione negativa che invece siamo soliti percepire leggendo la stampa non di settore. L’hacker èuna persona che si impegna nell'affrontare sfide intellettuali per aggirare o superare creativamente le limitazioni che gli vengono imposte. La norma non scritta vuole che l’hacker sia divertente, non distruttivo e non rechi danno.

In altre parole gli hacker si limitano a violare la sicurezza dei sistemi senza scopi dolosi, avvertendo spesso gli amministratori di sistema delle vulnerabilitàpresenti nella rete o nel computer dove si sono introdotti.

CRACKER: indica colui che entra abusivamente in sistemi altrui allo scopo di danneggiarli (cracking), per utilizzarli come teste di ponte per altri attacchi oppure per sfruttare la loro capacità di calcolo o l'ampiezza di banda di rete.

I cracker possono essere spinti da varie motivazioni come ad esempio:

• dal guadagno economico (tipicamente coinvolti in operazioni di spionaggioindustriale o in frodi);

• dalla volontà di compiere atti vandalici;

• dall'approvazione all'interno di un gruppo di cracker.

3


Gli aggressori: Script Kiddie e Lamer

SCRIPT KIDDIESCRIPT KIDDIE èè un termine spregiativo, utilizzato un termine spregiativo, utilizzato dagli hacker, per intendere una persona che si diletta a dagli hacker, per intendere una persona che si diletta a seguire pedissequamente le istruzioni, senza capirle, e seguire pedissequamente le istruzioni, senza capirle, e a copiare/modificare leggermente gli script creati da a copiare/modificare leggermente gli script creati da altri, facendo intendere di essere un grande guru altri, facendo intendere di essere un grande guru dell'informatica.dell'informatica.

LAMERLAMER èè un aspirante cracker con conoscenze un aspirante cracker con conoscenze informatiche limitate. Il termine inglese informatiche limitate. Il termine inglese èè dispregiativo.dispregiativo.

LAMER: è un aspirante cracker con conoscenze informatiche limitate. Il termine inglese è dispregiativo e si potrebbe tradurre con “stupidotto”.

Solitamente i lamer, a puro scopo di vandalismo, mandano dei trojan (virus) ad altri utenti al fine di entrare nei loro computer, per poi eventualmente danneggiare o distruggere le informazioni contenute all'interno del PC attaccato. Oppure utilizzano programmi che trovano nel web per attuare attacchi ai siti internet, cancellando tutti i dati che essi contengono e provocando seri danni agli utilizzatori.

SCRIPT KIDDIE (ragazzino degli script): anche in questo caso è un termine spregiativo, utilizzato dagli hacker, per indicare una persona che si diletta a seguire pedissequamente le istruzioni (senza capirle) e a copiare/modificare leggermente gli script creati da altri, facendo intendere di essere un grande guru dell'informatica.

Il termine si sviluppa sul finire degli anni 1990, con la diffusione del personal computer e di Internet.

4


MINACCIA: Virus

UN VIRUS E’ UN PROGRAMMA CHE:

ENTRA IN UN COMPUTER ALL’INSAPUTA ECONTRO LA VOLONTÀ DELL’UTENTE

CONTIENE MECANISMI ATTRAVERSOCUI CERCA DI DUPLICARSI SU ALTRICOMPUTER

CON IL FINE ULTIMO DI CREARE UN DANNO SULCOMPUTER CON CUI ENTRA IN CONTATTO

Cosa è un virus

• un virus è un programma o parte di programma che si installa su uncomputer contro la volontà dell’utente,

• che riesce, in vario modo, a replicare se stesso su altri computer,

• con il fine ultimo di compiere un certo numero di operazioni più o menodannose (si va dalla semplice apparizione di messaggi alla cancellazionedi tutti i dati presenti nell'hard disk).

Non nasce da solo: ci sono persone che, per divertirsi (o, come sostengono i maligni, per far vendere gli antivirus), scrivono questo tipo di programmi.

5


Virus: caratteristiche

1 1 -- COME AVVIENE IL CONTAGIOCOME AVVIENE IL CONTAGIO

3 3 -- COME SI ATTIVACOME SI ATTIVA

4 4 -- QUALI DANNI PROVOCAQUALI DANNI PROVOCA

5 5 -- COME SI PROPAGACOME SI PROPAGA

2 2 -- COME SI NASCONDECOME SI NASCONDE

6


Virus: come avviene il contagio?

SE IL VIRUS È UN PROGRAMMA, PER “CONTAGIARE” UN COMPUTER, DEVE ESSERE....

ESEGUITOESEGUITO

IL PROBLEMA NASCE DAL FATTO CHE SPESSO

NON CI “ACCORGIAMO”

CHE, IN UNA CERTA SITUAZIONE,UN PROGRAMMA VIENE ESEGUITO

IL PROBLEMA NASCE DAL FATTO CHE SPESSOIL PROBLEMA NASCE DAL FATTO CHE SPESSO

NON CI “ACCORGIAMO”NON CI “ACCORGIAMO”

CHE, IN UNA CERTA SITUAZIONE,CHE, IN UNA CERTA SITUAZIONE,UN PROGRAMMA VIENE ESEGUITOUN PROGRAMMA VIENE ESEGUITO

Il virus è un programma

Abbiamo appena affermato che “il virus è un programma”. Se ci è chiaro il significato di questa affermazione, dovrebbe essere anche chiaro il concetto che un virus, per “infettare” un computer, deve essere eseguito.

Noi potremmo manipolare tranquillamente i virus (così come manipoliamo i programmi) purché non vengano eseguiti.

Ma purtroppo il pericolo è proprio in questo fatto. Noi non siamo in grado di conoscere tutti i programmi che vengono eseguiti nel nostro computer (basti pensare al sistema operativo). Ed i virus sfruttano proprio questo aspetto, trovando diverse vie per poter essere eseguiti in automatico, senza che noine abbiamo consapevolezza.

Nei lucidi che seguono, vedremo come i virus possono nascondersi e come possono essere eseguiti senza che noi ce ne rendiamo conto. In particolare esamineremo come l’esecuzione di un “programma virale” possa avvenire:

- tramite l’esecuzione di programmi con estensione diversa da .EXE;

- tramite le macro contenute in vari tipi di “documenti”;

- in fase di accensione del PC, quando il “boot sector” del disco fisso èstato infettato;

- approfittando dei bug (errori) presenti nel sistema operativo e nelleapplicazioni di sistema (ad es. browser e programma per la gestionedella posta elettronica).

7


Virus: il contagio tramite un Programma

QUANDO SI TENTA DI ESEGUIRE ILPROGRAMMA, AL SUO POSTO VIENECARICATO IN MEMORIA ED ESEGUITOIL VIRUS

.EXE.COM.BAT.SCR.PIF.DLL.OVL(.ZIP)

I FILE ESEGUIBILI SONO IDENTIFICATIDALLE ESTENSIONI

ATTENZIONE AL VECCHIO TRUCCO:

DOCUM.TXTPOTREBBE DIVENTARE.....

DOCUM.TXT.EXESE SI DISATTIVA L’OPZIONE:

“NASCONDI ESTENSIONE DEI FILE CONOSCIUTI”

IL VIRUS MODIFICA O SI SOSTITUISCEO SI ACCODA AD UN PROGRAMMA ESEGUIBILE (O AD UNA SUA PARTE)

Il contagio tramite l’esecuzione di un programma

Tutti sanno che l’estensione “.EXE” indica un programma eseguibile. E quindi quasi mai un virus si presenta con questa estensione. Normalmente un virus utilizza estensioni meno note, a cui però sono sempre associati programmi eseguibili:

.COM .BAT .PIF .SCR .DLL .OVL ed altre ancora.

Questo significa, ad esempio, che nel momento in cui installiamo un “salva-schermo” (un file con estensione .SCR), potremmo mandare in esecuzione del codice: se la provenienza di questo “salva-schermo” non è sicura, ma lo abbiamo scaricato dalla rete da un sito sconosciuto, potrebbe facilmente contenere un virus che si installa nel nostro sistema nel momento in cui andiamo ad installare lo screen saver.

Qualche volta, per meglio nascondersi ai programmi antivirus, i virus si presentano in un formato compresso: .ZIP

Una tecnica particolarmente subdola, si basa sul fatto che molti utenti preferiscono non mostrare l’estensione dei file conosciuti (è un’opzione di visualizzazione di Windows). In questo caso, poiché il nome del file contenente il virus assume la forma: “docum.txt.exe”

a questi utenti, quello stesso file appare come se il nome fosse: “docum.txt”.

Poiché l’estensione “.txt” è una di quelle che possono contenere solo testo, l’utente cercherà di aprirlo per vederne il contenuto, senza accorgersi che in realtà eseguirà un programma (perché la vera estensione del file non è “.txt” ma bensì “.exe”).

8


Virus: il contagio tramite un Documento

.DOC.XLS.PPS.MDB......

IL VIRUS SI PUÒ NASCONDERE IN UNFILE DI DATI CHE PUÒ CONTENEREISTRUZIONI ESEGUIBILI (AD ESEMPIO IDOCUMENTI DI WORD, I FOGLI DI EXCELLE PRESENTAZIONI POWER POINT,I DATABASE ACCESS)

QUANDO IL FILE DI DATI VIENE CARICATO,IL VIRUS VIENE ESEGUITO E CARICATO INMEMORIA

I VIRUS DI QUESTO TIPO SONO DETTIMACRO VIRUS

Macro virus

Quando si apre un documento “word” o un foglio “excel” , contenente testo o dati, verrebbe da pensare di poter stare tranquilli. In realtà, anche all’interno di uno di questi documenti, potrebbe essere presente del codice eseguibile, ovvero un particolare programma che viene comunemente chiamato “macro”.

Una “macro” identifica un codice eseguibile associato al documento, che ha lo scopo di automatizzare l'esecuzione di un certo numero di compiti, in modo da semplificarne l’uso. Nel momento in cui noi apriamo il documento (o in fase di chiusura, a seconda di dove è collocata la macro) la macro viene eseguita senza che noi ce ne accorgiamo.

I macro virus infettano le macro presenti all’interno di alcuni tipi di file come ad es. i documenti di Word , i fogli di Excel, le presentazioni di Power Point ed i database Access.

I macro virus, in genere, sono scritti in linguaggio Visual Basic for Applications o in WordBasic. Aprendo un documento “infettato”, mandiamo in esecuzione automatica la macro “infetta”, contagiando tutto il sistema.

Proprio per evitare questo, le ultime versioni di Word, Excel, PowerPoint, Access prevedono la possibilità di attivare un’opzione che impedisce l’esecuzione automatica di macro (a meno che non siano “certificate”).

9


Virus: il contagio tramite il Boot Sector

IL BOOT SECTORBOOT SECTOR È IL PRIMO SETTORE DEL DISCOE CONTIENE UN PICCOLO PROGRAMMA CHEVIENE ESEGUITO QUANDO SI AVVIA IL SISTEMA DA QUEL DISCO

IL VIRUS MODIFICA IL BOOT SECTOR DI UNDISCHETTO E/O DELL'HARD DISK IN MODO CHE,QUANDO SI AVVIA IL SISTEMA DA QUELLA UNITÀ,IL VIRUS VENGA ESEGUITO E CARICATO INMEMORIA.

Boot sector Virus

In un disco, il “boot sector” è la posizione iniziale in cui sono inserite le informazioni di base che descrivono il formato del disco e che contieneun piccolo programma che permette di iniziare la procedura di bootstrap (il processo di avvio) di un calcolatore.

I “boot sector virus” infettano proprio il programma che è memorizzato nel settore di boot. In questo modo vengono eseguiti automaticamente durante il processo di bootstrap, prima ancora del sistema operativo, prendendo il controllo completo del sistema.

Questo tipo di virus, ormai poco diffuso, infetta quindi il boot sector dei dischi (floppy disk o hard disk) invece che i singoli file.

10


Virus: il contagio attraverso bug di S.O.

ALCUNI PROGRAMMI DI S.O. POTREBBEROCONTENERE DEI BUG

AD ESEMPIO ALCUNE FUNZIONI PRESENTI NEL CODICE DELLE PAGINE WEB O ALCUNI PROGRAMMI CHE, SE ESEGUITI CON PARTICOLARI VALORI DEIPARAMETRI PASSATI, VANNO IN ERRORE E PERMETTONO L’ESECUZIONE DI CODICE VIRALE

IN QUESTI CASI, PERALTRO RARI, PER ATTIVARE ILVIRUS È SUFFICIENTE:- APRIRE UNA PAGINA WEB,- APRIRE UN MESSAGGIO DI POSTA- O SEMPLICEMENTE ESSERE CONNESSI ADINTERNET SENZA FIREWALL

Bug del Sistema Operativo e applicazioni di sistema

Come tutti i programmi, anche quelli che compongono il sistema operativo e le applicazioni di sistema che normalmente troviamo nel computer (come ad esempio il browser o il programma per la gestione della posta) potrebbero contenere dei “bug” (ovvero degli errori che, in questo caso, possono creare dei punti di vulnerabilità del sistema operativo).

Proprio a causa di questi bug, alcune parti di codice presente all’interno di questi programmi, se eseguite con valori volutamente errati dei parametri di esecuzione, possono andare in errore aprendo così la porta all’esecuzione di codice virale. In questi casi, purtroppo, l’esecuzione del codice virale, e quindi l’infezione del sistema, si verifica senza nessuna possibilità di controllo da parte dell’utente. Il contagio avviene semplicemente eseguendo funzioni di sistema operativo come:

-apertura di una pagina web

-apertura di un messaggio di posta

- oppure, ancora più semplicemente, il contagio avviene per il fatto stessodi essere connessi in rete senza le dovute protezioni, come antivirus efirewall (v. più avanti).

11


Virus: il contagio tramite un “EXPLOIT”

UN “EXPLOIT” È UN TERMINE USATO PERIDENTIFICARE UN METODO CHE, SFRUTTANDO UNBUG O UNA VULNERABILITÀ, PORTA AL CONTROLLOCOMPLETO DI UN COMPUTER

UN “EXPLOIT REMOTO” È COMPIUTO ATTRAVERSOLA RETE E SFRUTTA LA VULNERABILITÀ SENZAPRECEDENTI ACCESSI AL SISTEMA

Exploit

Un exploit è un termine usato in informatica per identificare un metodo che,sfruttando un bug o una vulnerabilità del sistema operativo, porta alla possibilità di eseguire un programma virale su quel computer.

Ci sono diversi modi per classificare gli exploit. Il più comune è una classificazione a seconda del modo in cui l'exploit contatta l'applicazione vulnerabile:• un “exploit remoto” è compiuto attraverso la rete e sfrutta la vulnerabilitàdei servizi di rete presenti sul sistema;

• un “exploit locale” richiede un preventivo accesso al sistema e solitamentefa aumentare i privilegi dell'utente oltre quelli impostati dall'amministratore.

Gli exploit possono anche essere classificati a seconda del tipo di vulnerabilitàche sfruttano (ad esempio “buffer overflow”, “format string”, ecc).

Lo scopo di molti exploit è quello di prendere i privilegi di amministratore su un sistema; questo può avvenire anche in due fasi, acquisendo prima un accesso al sistema con i minimi privilegi e poi alzandoli fino a quelli di amministratore.

Normalmente un exploit può sfruttare solo una specifica falla e quando questa falla è riparata, l'exploit diventa inutile. Per questo motivo gli hacker non divulgano gli exploit trovati ma li tengono riservati per loro o per la loro community.

12


Virus: importanza dell’aggiornamento del S.O.

AGGIORNAMENTO PROTEZIONE WINDOWS

È stato individuato un problema di protezione relativo all'esecuzione di codice in remoto nel motore di rendering grafico che potrebbe con-sentire a chi effettua un attacco di danneggiare in remoto sistemi basati su Microsoft Windows e di ottenere il controllo su di essi.

Installando questo aggiornamento fornito da Microsoft sarà possibile proteggere il computer.

Al termine dell'installazione, potrebbe essere necessario riavviare il computer.

L’importanza dell’aggiornamento del S.O.

La protezione più importante contro questo tipo di attacco è l’aggiornamento sistematico e tempestivo del Sistema Operativo in modo da apportare le necessarie correzioni ai bug che via via vengono riscontrati.

Nel caso di Windows, la funzione che ci permette di verificare la disponibilità di nuovi aggiornamenti è:

“WINDOWS UPDATE”

13


Virus: come si nasconde ?

PER PROLUNGARE IL PIÙ POSSIBILE LA SUA PERMA-NENZA NEL SISTEMA UN VIRUS DEVE INGEGNARSI PER NASCONDERE LA PROPRIA PRESENZA

STEALTHING

ALCUNI VIRUS CERCANO DI NON ESSERE RILEVATI DA SOFTWARE ANTIVIRUS UTILZZANDO TECNICHE MOLTO SOFISTICATE COME:

POLIMORFISMO

Come si nasconde un virus

Per prolungare il più possibile la sua permanenza nel sistema, un virus deve nascondere la propria presenza:

• sia all’utente,

• sia -e questo è il loro problema principale- ai software antivirus.

A tal fine utilizzano tecniche molto sofisticate per rendere difficile la propria individuazione. Due di queste sono le tecniche di:

• Stealthing

• Polimorfismo.

14


Virus: come si nasconde - Stealthing

IL VIRUS IN QUESTO CASO POSSIEDE UNA PARTESEMPRE RESIDENTE IN MEMORIA CHE MONITORIZZAALCUNE CHIAMATE A FUNZIONI DEL SISTEMAOPERATIVO EFFETTUATE DAI PROGRAMMI.

IN QUESTO MODO, PER ESEMPIO, UN BOOT VIRUSPUÒ VERIFICARE SE UNA APPLICAZIONE CHIEDE DILEGGERE IL SETTORE DI BOOT O L'MBR. IN CASOAFFERMATIVO PROVVEDERÀ PRIMA A RIPULIRE TALI ZONE DAL SUO CODICE E, A LETTURAAVVENUTA, A INFETTARLO NUOVAMENTE.

Virus Stealth

Il virus “stealth” possiede una parte di codice sempre residente in memoria, che controlla le principali chiamate a funzioni del sistema operativo effettuate dai programmi.

In questo modo il virus ha la possibilità di verificare se una l’applicazione antivirus chiede di leggere il file infettato. In caso affermativo, provvederàprima a ripulire il file dal suo codice e, a lettura avvenuta, a infettarlo nuovamente. In questo modo il virus risulterà invisibile (stealth).

Questa tecnica si prestava molto bene all'epoca del DOS e dei primi sistemi Windows in cui non era ben definita una separazione tra programmi e sistema operativo. Oggi, grazie una maggiore protezione degli ambienti, queste tecniche risultano difficili da attuare.

Altro problema di questa modalità di occultamento è che la parte residente in memoria risulta facilmente rilevabile da un software antivirus.

15


Virus: come si nasconde - Polimorfismo

UN VIRUS POLIMORFICO HA LA CAPACITÀ DI CRIPTARE OGNI SUA COPIA IN MODO SEMPRE DIVERSO ATTRAVERSO ALGORITMI VARIABILI.

ALCUNI MOTORI POLIMORFICI PERMETTONO UNAGENERAZIONE “CASUALE” DELLO STESSO VIRUS

LA RILEVAZIONE DELL'INFEZIONE RISULTADECISAMENTE ARDUA

L'UNICO MODO PER UN ANTIVIRUS DI RICONOSCEREIL VIRUS È VENIRE A CONOSCENZA DI TUTTEQUESTE MODIFICAZIONI

Virus Polimorfici

Una delle prime operazioni che un virus esegue prima di infettare un file, èquella di verificare la sua stessa presenza, per evitare una duplice infezione che potrebbe compromettere del tutto la sua funzionalità.

Il virus, per riconoscere se stesso, ricerca nel potenziale file ospite una particolare stringa di codice che lo caratterizza, la cosiddetta “impronta” o ”firma” del virus. Se la stringa è presente significa che il file è gia infetto, nel caso opposto procede con l’infezione. Paradossalmente questa tecnica si rivela un'arma a doppio taglio per il virus perché, in modo analogo, permette ad un software antivirus di riconoscerlo: l’impronta rappresenta l’elemento per capire la presenza o meno del virus stesso.

Per aggirare questo problema i codici maligni più evoluti (“virus polimorfici”) fanno uso della crittografia. Un virus polimorfico ha la capacità di criptare ogni sua copia in modo sempre diverso, attraverso algoritmi variabili. In altre parole, attraverso queste particolari tecniche, il virus può cambiare continuamente alcune parti del suo codice, con lo scopo di rendere molto difficile la sua individuazione da parte degli antivirus.

In questo caso si hanno virtualmente infinite funzioni di codifica e la rilevazione dell'infezione risulta decisamente ardua.

16


Virus: come si attiva ?

DOPO IL PERIODO DI INCUBAZIONE

CASUALMENTE

AL VERIFICARSI DI QUALCHE CONDIZIONEPARTICOLARE, AD ESEMPIO DOPO 10 GIORNI,DOPO 3 VOLTE CHE VIENE ESEGUITO UN CERTOPROGRAMMA, ALLA CANCELLAZIONE DI UNCERTO FILE, ECC)

AL VERIFICARSI DI UNA RICORRENZA (VENERDÌ13 COME NEL CASO DI UN VIRUS FAMOSO).

17


Virus: quali danni ?

EFFETTI FASTIDIOSI, COME MESSAGGISULLO SCHERMO

DANNI IRRIMEDIABILI, COME LA DISTRUZIONEDEI DATI

USO DELLE RISORSE DEL PC (ad es. DoS)

DANNI IMMEDIATI O A TEMPO

18


Virus: come si propaga ?

TRAMITE COPIA DI UN FILE “INFETTO” SU FLOPPYTRAMITE LA RETE (LAN O INTERNET)

TRAMITE ALLEGATI DI POSTA(OGGI IL PERICOLO MAGGIORE DERIVA DAGLIALLEGATI DI POSTA, CHE POSSONO ESSERE“ESEGUIBILI” O CONTENERE DELLE “MACRO”)

UNA VOLTA IN MEMORIA, AL FINE DI DIFFONDERSI, IL VIRUS PROVVEDE SOLITAMENTE AD “INFETTARE”- ALTRI FILE ESEGUIBILI- ALTRI DOCUMENTI- I BOOT SECTOR DI TUTTI I DISCHETTI CHE

VENGONO INSERITI NEL DRIVE.

LA DIFFUSIONE AVVIENE:

19


Le tre tipologie di “Virus”

LE TRE PRINCIPALI CATEGORIE DI VIRUS SONO:- VIRUS VERI E PROPRI, - CAVALLI DI TROIA- WORM

NEL LINGUAGGIO COMUNE SI TENDE AD INDICARE CON IL TERMINE VIRUS TUTTO CIÒ CHE PUÒ, NELLE INTENZIONI DEL SUO IDEATORE, CREARE UN DANNO AD UN SISTEMA INFORMATICO

Tre categorie di Virus

Nel linguaggio comune si tende ad indicare con il termine “virus” un qualsiasi programma che può, nelle intenzioni del suo ideatore, creare un danno ad un sistema informatico. In realtà le tipologie dei virus sono varie e diverso è il loro modo di agire.

A rigore il termine virus andrebbe riservato solo ad una ben determinata categoria. Le tre principali categorie di virus sono:• VIRUS veri e propri• WORM• TROJAN.

20


1° VIRUS vero e proprio

IL VIRUS INSERISCE IL PROPRIO CODICE ALL’INTERNO DI UN ALTRO PROGRAMMA

SONO PARASSITI, SENZA UN PROGRAMMA “OSPITE” NON POSSONO ESISTERE

Virus

Un virus è un programma che si riproduce attraverso altri programmi con i quali viene a contatto. In altre parole infetta un altro programma, sostituendo il proprio codice a quello del programma o, più semplicemente, aggiungendolo a quello del programma.

Un virus attacca alcuni specifici programmi (di norma programmi di sistema operativo eseguiti automaticamente in fase di avvio) oppure particolari tipologie di programmi (ad esempio tutti gli eseguibili con estensione “.com”).

In questo senso può essere definito un “parassita” in quanto non può esistere senza un programma “ospite”.

21


2° WORM

WORM SONO PROGRAMMI CHE SI REPLICANO DA SISTEMA A SISTEMA SENZA SERVIRSI DI UN FILE OSPITE.

CIÒ LI DISTINGUE DAI VIRUS, CHE INVECE SI DIFFONDONO TRAMITE FILE OSPITI INFETTI.

NORMALMENTE UN WORM SI ANNIDA ALL’INTERNO DI UN DOCUMENTO (AD ESEMPIO UN DOCUMENTO WORD O UN FOGLIO EXCEL).

L'INTERO DOCUMENTO, CHE VIAGGIA DA COMPUTER A COMPUTER, È DUNQUE DA CONSIDERARSI IL WORM

Worm

Un worm è simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri programmi per diffondersi. In altre parole è capace di replicarsi, da sistema a sistema, senza servirsi di un file ospite. Un worm non èconsiderato un virus in senso classico perché gli manca una caratteristica essenziale: non è un parassita, non ha bisogno di un portatore ospite, ma si supporta autonomamente durante la replica, che avviene prevalentemente tramite le reti di computer. Sono la moda del momento e la loro diffusione ha raggiunto livelli tali da far pensare che i virus classici siano scomparsi.

Il normale funzionamento dei Worm consiste nel penetrare in un sistema, prenderne il controllo e da lì diffondersi immediatamente su quanti più sistemi possibile, tra quelli presenti in rete. Per fare questo:- può autospedirsi come allegato di posta elettronica nella speranza che

venga aperto dall'ignaro destinatario - oppure può sfruttare qualche particolare vulnerabilità del sistema operativoper introdursi sul PC ad insaputa dell'utente.

Una volta che il worm è penetrato in un sistema, può danneggiarlo o comprometterne la sicurezza.

22


3° CAVALLO DI TROIA o TROJAN

I CAVALLI DI TROIA (O TROJAN HORSE) SONO FILE IMPOSTORI, CHE FINGONO DI ESSERE PROGRAMMI UTILI MA SONO IN REALTÀ PERICOLOSI.

AFFINCHÉ UN CAVALLO DI TROIA POSSA DIFFONDERSI È NECESSARIO CHE L'UTENTE LO INSTALLI SUL PROPRIO COMPUTER, AD ESEMPIO APRENDO UN ALLEGATO DI POSTA ELETTRONICA, O SCARICANDO ED ESEGUENDO UN FILE DA INTERNET.

LO SCOPO DI UN “TROJAN” NON È QUELLO DI REPLICARSI COME I VIRUS O I WORM, MA QUELLO DI PERMETTERE AI PIRATI INFORMATICI O HACKER DI PRENDERE IL CONTROLLO DEL PC DELLA VITTIMA ANCHE DA REMOTO

Cavallo di Troia o (Trojan Horse)

Il Trojan horse, o più semplicemente Trojan, è un software che, fingendo di essere un programma utile, si introduce nel sistema con lo scopo di danneggiarlo o comprometterne la sicurezza, consentendo l'accesso a computer esterni. A differenza dei normali virus non sono in grado di riprodursi.

Il nome deriva dal cavallo che i greci offrirono in dono alla città di Troia: in realtà il famoso cavallo conteneva al suo interno uomini armati. Allo stesso modo un utente pensa che quel programma esegua una determinata funzione utile, mentre, a sua insaputa, esegue una funzione secondaria, volta creare un danno. Il programma è un “Cavallo di Troia”.

Spesso l'azione dannosa del Trojan consiste nell'installare una backdoor(termine che potrebbe essere tradotto in “porta nascosta”), cioè un programma che consente di aprire un accesso nascosto sul computer attaccato, attraverso cui un utente remoto può assumere il totale controllo del sistema (Back Orifice, Netbus, SubSeven sono i più noti).

Recentemente il pericolo di infezioni da Trojan è aumentato notevolmente a causa della diffusione dei programmi peer-to-peer. Il prelevamento diretto di file eseguibili da fonti non sicure, può permettere il diffondersi rapidamente di codice dannoso a tutti gli utenti.

23


Virus: Worm “MyDoom”

COME RICONOSCERLOCOME RICONOSCERLO

• il mittente è un indirizzo fittizio, scelto tra quelli trovatisul computer infetto o attraverso i motori di ricerca

• anche il nome dell'allegato e la sua dimensione sonovariabili

• l’oggetto dell'e-mail può essere uno dei seguenti:- hello- error- click me baby, one more time- delivery failed- Mail System Error - Returned Mail- Message could not be delivered

• il testo del messaggio viene selezionato tra una lista ditesti predefiniti che prevede un discreto numero divarianti, sufficienti a renderlo diverso

Un esempio di Worm: “MyDoom”

“MyDoom” si trasmette attraverso un allegato infetto ad una e-mail e si attiva eseguendo l'allegato presente nell'e-mail stessa. L'e-mail, che proviene da un falso indirizzo, ha come oggetto frasi del tipo: Error, Status, Server Report, Mail Delivery System, hello, hi, ecc.

Il corpo del messaggio prevede un discreto numero di varianti, sufficienti a renderlo ogni volta diverso.

Il documento allegato può avere estensione bat, .exe, .pif, .cmd, .scr o arrivare in archivi .zip.

MyDoom modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer.

Il worm tenta di replicarsi sfruttando la posta elettronica: • il worm ricerca indirizzi e-mail memorizzati nel computer infettato,• ed invia una copia di se stesso come file allegato (attachment) a tutti gli

indirizzi che è riuscito a raccogliere,• mettendo come mittente un indirizzo (scelto a caso) tra quelli trovati(falsificando così l'indirizzo mittente).

Quest’ultimo punto in particolare, crea un fastidioso effetto collaterale di proliferazione di messaggi: alcuni software antivirus, montati tipicamente sui server, respingono il messaggio infetto e notificano il fatto al mittente: ma poiché il mittente è falso, tale notifica arriva ad un destinatario diverso da chi ha realmente inviato la mail e che nulla ha a che fare con l'invio del worm.

24


Virus: Worm “MyDoom”

apertura di una backdoor sulla porta TCP 1034, che potrebbe permettere l'accesso e l'esecuzione non autorizzate di applicazioni sul computer infettato

non appena MyDoom.M viene eseguito su un computer, imposta il registro di configurazione in modo da attivarsi automaticamente ad ogni avvio del sistema

poi esegue una scansione dei dischi fissi alla ricerca di indirizzi email a cui poi autospedirsi

infine esegue delle ricerche sui motori di Google, Lycos, Yahoo! e Altavista al fine di trovare nuovi indirizzi email al quale spedire una copia di se stesso

COSACOSA FAFA

COME SI PROPAGACOME SI PROPAGA

MyDoom

“MyDoom”, oltre ad autoinviarsi ad altri indirizzi e-mail, in modo da propagare l’infezione su altri PC, apre anche una backdoor sul computer infettato, lasciando aperta la possibilità che un aggressore esterno possa prendere il completo controllo del sistema.

Il termine “backdoor”, che in origine era usato per identificare delle "porte di servizio" non documentate, create dai progettisti di un sistema al fine di garantirsi un accesso privilegiato e in grado di scavalcare il normale processo di autenticazione, attualmente designa anche le porte che vengono aperte da alcuni virus e che consentono accessi indebiti da parte di utenti remoti.

Il computer così compromesso, controllato da un aggressore remoto, viene chiamato “Zombie” , in quanto benché sembri funzionare correttamente , in realtà è sotto il completo controllo di un aggressore esterno, che spesso lo usa per sferrare attacchi verso altri computer.

25


Virus come allegato

da: [email protected]

a: [email protected]

oggetto: Confirmation <KEY:2838>

Your password was changed successfully!

++++++ User-Service: http://www.temac.dk

++++++ MailTo: [email protected]

*-*-* Anti_Virus: No Virus was found

*-*-* TISCALI- Anti_Virus Service

*-*-* http://www.tiscali.it

allegato: temac9.doc.zip (57,1 KB)

Worm Sober

Questa e-mail è stata spedita dal worm “Sober”.

L’allegato usa la tecnica della doppia estensione: se l’utente ha disattivato la visualizzazione della estensione per i tipi file conosciuti, vede un file “.doc”invece del “.zip”.

Il testo del messaggio utilizza tutti gli accorgimenti possibili per indurre il destinatario ad aprire l'allegato e quindi ad attivare il worm stesso.

26


Virus: “G-KORGO”

COME PROTEGGERSICOME PROTEGGERSI

• A differenza della gran parte dei worm, Korgo nonarriva via email, ma si intrufola nel computer senzache l'utente debba far altro che essere connesso aInternet, sfruttando una più o meno nota vulnerabilitàdi una parte del S.O. (in questo caso del Local SecurityAuthority Subsystem Service (LSASS)

• attraverso Windows Update, installare la patch Microsoftcontro la vulnerabilità del sistema LSASS

COME RICONOSCERLOCOME RICONOSCERLO

Worm “Korgo”

La tipologia di worm che sfrutta i bug (“exploit”) di sistema è forse la piùsubdola:

• bug del client di posta (come Outlook Express), per eseguirsiautomaticamente al momento della visualizzazione del messaggio e-mail;

• bug dei sistemi operativi in modo da diffondersi automaticamente a tutti icomputer vulnerabili connessi in rete.

Il worm “Korgo” appartiene a questa categoria. Non è necessario cliccare su nessun allegato per essere infettati da questo worm, in quanto Korgo si esegue automaticamente sui computer che non hanno provveduto ad aggiornare il sistema operativo Windows con le specifiche patch.

A tale scopo sfrutta una vulnerabilità critica nella Local Security Authority(LSA) di Windows 2000 e Windows XP (un buffer overflow, sfruttabile da remoto, che permette al worm di eseguire il proprio codice nocivo sul sistema).

27


MINACCIA: NON SOLO VIRUS

BUFALE (HOAX)BUFALE (HOAX)

DIALERDIALER

SPYWARESPYWARE

COOKIESCOOKIES

TRUFFE VIA INTERNET (SCAM)TRUFFE VIA INTERNET (SCAM)

SNIFFINGSNIFFING

. . . . .. . . . .

Oggi si parla genericamente di

MALWAREcontrazione della frase MALicious softWARE

(software dannoso).

Malware

Ma le insidie non vengono solo dai virus. Oggi si utilizza il termine Malware (contrazione della frase “malicious software” = software dannoso) per indicare genericamente tutti i tipi di software concepiti volutamente per arrecare un qualche tipo di danno.

28


La “bufala” (HOAX): il messaggio fasullo

CON QUESTO TERMINE SI INDICA

UN MESSAGGIO DI POSTA ELETTRONICA

CHE DIFFONDE NOTIZIE FALSE SU PRESUNTI VIRUS DAGLI EFFETTI DEVASTANTI,

RACCOMANDANDO DI INVIARE TALEALLARME AL MAGGIOR NUMERO DI

PERSONE POSSIBILI

Hoax, Internet hoax o “bufala”

In genere, con questi termini si indica un messaggio di posta elettronica che diffonde notizie false su presunti virus dagli effetti devastanti, raccomandando di inviare tale allarme al maggior numero di persone possibili.

Questo tipo di e-mail spaventano inutilmente gli utenti meno esperti, creando ulteriore traffico sulla rete.

In questi casi il nostro comportamento deve essere molto lineare:

• non inoltrare nessuno di questi messaggi contenenti una bufala, masemplicemente eliminare l'e-mail;

• è meglio fornire informazioni sulla “bufala” al mittente dell'e-mail, in mododa arrestarne la distribuzione.

29


La “bufala” (HOAX): come riconoscerla

COME RICONOSCERLACOME RICONOSCERLA

• e' allarmistica oltre ogni limite

• chiede di inoltrare il messaggio a tutti coloro che siconoscono, condizione necessaria per garantire lacircolazione e l'intasamento della posta degli utenti.

• per dare credibilità riporta dichiarazioni di enti, società di prestigio

Un nuovo virus, che e' stato scoperto recentemente, è stato classificato dalla Microsoft come il virus più distruttivo mai esistito. Questo virus è stato scoperto domenica pomeriggio da McAfee e non esiste alcun tipo di protezione. Questo virus distrugge semplicemente il Settore Zero dell'Hard disk, dove sono controllate le informazioni vitali delle sue funzioni…

oggetto: CNN ANNUNCIA IL PEGGIOR VIRUS DELLA STORIA

Come distinguere tra una bufala ed un virus reale?

1. I virus reali non vengono mai distribuiti con un avviso in anticipo.

2. Le “bufale” hanno una riga di oggetto che contiene il cui testo avvisa l’arrivo del nuovo virus.

3. Molto spesso per rendere l'avviso più credibile viene indicata un'azienda importante come fonte .

4. I danni causati dal virus sono sempre descritti come devastanti e completamente nuovi.

30


Una bufala o pericolo vero?

Gentile utente,un imprevedibile conflitto nei server di un importante motore diricerca, sta diffondendo nei PC degli utenti Internet, specialmente in Italia, alcuni errori nel file registro che potrebbero compromettere il corretto funzionamento del sistema operativo Windows.Non si tratta di virus, ma di conflitti generati da programmi che copiano e spediscono abusivamente la posta elettronica archiviata. Abbiamo accertato che tale contaminazione sta particolarmente interessando il motore di ricerca Google. L'espansione del problema potrebbe avere preoccupanti conseguenze. La preghiamo pertanto di aggiornare il suo Internet Explorer con la patch cumulativa 2003. Tuttavia, ciò non è sufficiente: per garantirle al 100% la risoluzione dei problemi segnalati, sarebbe opportuno che, in attesa di soluzioni definitive, Lei si astenga da connessioni Internet con i seguenti siti contaminati: Google.it e Google.com

Microsoft Corporation

Oggetto: Comunicato di Microsoft Corporation

Un primo esempio

Questa bufala mira danneggiare l’immagine del motore di ricerca “Google”.

31


Verificate se nel vostro computer è presente questo file:

jdbgmgr.exe

Si riconosce facilmente perché ha ha la singolare caratteristica di essere accompagnato da un'icona a forma di orsacchiotto.

Si tratta di un pericolosissimo virus virus e deve essere immediatamente cancellato.

SE AVETE TROVATO IL VIRUS NEL VOSTRO COMPUTER, INVIARE QUESTO MESSAGGIO A TUTTE LE PERSONE CHE SI TROVANO SULLA VOSTRA RUBRICA D'INDIRIZZI O E-MAILS, PRIMA CHE POSSA ATTIVARSI E CAUSARE DANNI A QUESTE PERSONE

Una bufala o un virus pericoloso ?

Oggetto: Un pericolo Virus

jdbgmgr.exe, è in realtà il Microsoft Debugger Registrar

per Java, un file di sistema

Un secondo esempio.

In questo caso, cancellando il file come suggerito dall’e-mail, andremmo a danneggiare da soli il funzionamento del nostro computer.

Infatti jdbgmgr.exe è un normale file di sistema, che però ha la curiosa caratteristica di essere associato ad un’icona a forma di orsacchiotto.

32


Bufala: le rane e la birra 1

data: venerdì 1 febbraio 2002

oggetto: I: virus

Qualcuno sta trasmettendo un salva schermo molto carino conle rane della birra BUDWEISER.

Se lo installate, perderete tutto! Il disco rigido si rovinerà e qualcuno da internet vi toglierà l'e-mail.

PER NESSUNA RAGIONE DOVETE INSTALLARLO.

E' uscito ieri. Per favore, distribuite questo messaggio. E' un virus perverso di nuovissima generazione del quale pochissima gente ha sentito parlare.

Quest'informazione è stata diffusa da MICROSOFT ieri mattina.

Inviate questo messaggio a TUTTE le persone di cui avete l'indirizzo e-mail per frenarne l'espansione!!! AMERICA ONLINE ha detto che si tratta di un virus molto pericoloso e che per il momento: NON HA RIMEDIO

Questo messaggio mi è stato inoltrato da un collega del centro

informatico e credo possa esserVi utile. cordiali saluti

Terzo esempio

Poiché l’utente ignaro è spinto a divulgare il messaggio, può succedere che questi messaggi girino attraverso la rete per anni.

Osservate con attenzione la data di questo messaggio e quella dei prossimi due. Sono messaggi reali, arrivati veramente nelle date indicate.

33



data: martedì 10 maggio 2005

oggetto: Fw: VIRUS - OCCHIO LEGGERE !!!!!

1° AVVISO Importantissimo!!!

ATTENZIONE Qualcuno sta trasmettendo un salva schermo molto carino con le rane della birra BUDWEISER. Se lo installate, perderete tutto! Il disco rigido si rovinerà e qualcuno da internet vi toglierà l' e -mail.


E' uscito ieri. Per favore, distribuite questo messaggio. E' un virus perverso di nuovissima generazione del quale pochissima gente ha sentito parlare.

Quest'informazione e stata diffusa da MICROSOFT ieri mattina.

Inviate questo messaggio a TUTTE le persone di cui avete l'indirizzo e-mail per frenarne l'espansione!!!AMERICA ONLINE ha detto che si tratta di un virus molto pericoloso e che per il momento: NON HA RIMEDIO

2° AVVISO ATTENZIONE.

DURANTE LE PROSSIME SETTIMANE STATE ATTENTI E NON APRIRE PER NESSUN MOTIVO UNA E-MAIL CON UN FILE ALLEGATO "ultimas de atenas“ INDIPENDENTEMENTE DA CHI LO INVIA....

34



data: mercoledì 19 ottobre 2005

oggetto: Fw: IMPORTANTISSIMO!!!!

ATTENZIONE

Qualcuno sta trasmettendo un salva schermo molto carino con le rane

Della birra BUDWEISER. Se lo installate, perderete tutto! Il disco rigido si rovinerà e qualcuno da internet vi toglierà l'e-mail.


E' uscito ieri. Per favore, distribuite questo messaggio. E' un virus perverso di nuovissima generazione del quale pochissima gente ha sentito parlare. Quest'informazione e stata diffusa da MICROSOFT ieri mattina.

Inviate questo messaggio a TUTTE le persone di cui avete l'indirizzo e-mail per frenarne l'espansione!!!AMERICA ONLINE ha detto che si tratta di un virus molto pericoloso e che per il momento: NON HA RIMEDIO

Seconda avvertenza

DURANTE LE PROSSIME SETTIMANE STATE ATTENTI E NO N APRIRE PER NESSUN MOTIVO UNA E-MAIL CON UN FILE ALLEGATO "ultimas de atenas" INDIPENDENTEMENTE DA CHI LO INVIA.

Dopo 3 anni…

Dopo 3 anni ancora gira la stessa bufala!!

35


Scam o Truffe

UNA EMAIL SI PROPONE COME LA CERTIFICAZIONE DI UNA AVVENUTA VINCITA AD UNA LOTTERIA OLANDESE (DELLO STESSO MESSAGGIO ESISTONO PIÙ VERSIONI NEI QUALI CAMBIANO NOMI, MA LA SOSTANZA RIMANE DEL TUTTO INVARIATA)

QUESTA PERSONA DELLA LOTTERIA FASULLA, CON UNA EMAIL STANDARD PROPONE DI VERSARE 2.950 EURO PER COPRIRE TUTTE LE SPESE NECESSARIE AL TRASFERIMENTO SUI CONTI DELL'UTENTE DI 1,5 MILIONI DI DOLLARI AMERICANI.

ALL'UTENTE, PER RISCUOTERE IL CONSISTENTE FANTOMATICO PREMIO, IL MESSAGGIO RICHIEDE DI CONTATTARE UNA CERTA PERSONA E OFFRE I RECAPITI PER FARLO.

SCAM o truffa

Col termine SCAM si intende un tentativo di truffa effettuato in genere inviando una e-mail nella quale si promettono grossi guadagni in cambio di modeste somme di denaro da anticipare.

Tipico esempio, il Nigerian Scam: nella e-mail di parla di grosse somme di denaro che dovrebbero essere trasferite o recuperate da una banca estera la quale però chiede garanzie (come la cittadinanza, un conto corrente, un deposito cauzionale). Chi scrive perciò chiede il vostro aiuto sia per trasferire il denaro tramite il vostro conto, che per anticipare il deposito cauzionale. Come ricompensa riceverete una percentuale del denaro recuperato.

In un altro esempio di scam si prospetta una vincita alla lotteria ma per ritirare il premio si dovrà versare una tassa.

36


Dialer

il il dialerdialer, , a nostra insaputa,a nostra insaputa,

cambia la connessione cambia la connessione indirizzandola verso indirizzandola verso numeri a pagamentonumeri a pagamento

INTERNET

Dialer

I dialer sono programmi che, una volta eseguiti sul vostro computer, prendono il controllo del modem e reindirizzano il collegamento Internet verso un numero a pagamento, tipicamente a tariffe molto elevate.

Solitamente i dialer si installano senza l'autorizzazione esplicita dell'utente e svolgono la loro attività a sua insaputa. Ce ne accorgeremo, molte settimane dopo, con l’arrivo della bolletta telefonica.

37


Spyware

COSACOSA E’E’

Gli SPYWARE sono programmi che finiscono nei PC normalmente senza che l'utente ne sia consapevole e che, via Internet, trasmettono a terzi informazioni personali sull’utente. Possono violare la privacy.

In genere sono composti di due elementi: uno dedicato ad introdurre lo SPYWARE sul PC dell'utente e il secondo alla raccolta e alla trasmissione delle informazioni.

Gli spyware vengono spesso installati dall'utente, senza che l'utente stesso ne sia consapevole, nel corso dell'installazione su PC di altri programmi a cui gli SPYWARE sono "allegati", per esempio giochi, player multimediali, tool di download e via dicendo

Spyware

Lo spyware è un “programma spia” che, una volta installato su un computer,, puòinviare a terzi (per esempio aziende interessate a conoscere i gusti e le preferenze dell'utente), tramite Internet, molte informazioni relative all’utente, che magari si trovano registrate nel PC.

Diverse sono le informazioni che possono essere raccolte e diffuse in modo attivo o passivo da uno spyware: password, dati di login, numeri di account, informazioni riservate, file individuali e altri documenti personali.

Uno spyware può anche raccogliere e distribuire informazioni legate al computerdell'utente, alle applicazioni eseguite sul computer, all'uso del browser Internet o ad altre abitudini legate all'utilizzo del computer.

Di norma i programmi spyware tentano di rimanere inosservati, nascondendosi o semplicemente non rivelando, agli utenti, la propria presenza nel sistema.

I programmi spyware vengono frequentemente installati dall'utente stesso, senza che egli ne sia consapevole, nel corso dell'installazione di altri programmi a cui gli spyware sono "allegati", per esempio giochi, player multimediali o programmi di utilità.

Un utente può anche attivare inconsapevolmente uno spyware accettando il contratto di licenza d'uso di un programma ad esso collegato o visitando un sito Web che scarica lo spyware stesso.

38


Cookies"COOKIES", LETTERALMENTE "BISCOTTINI". "COOKIES", LETTERALMENTE "BISCOTTINI".

I SITI INTERNET LI USANO PER CONTROLLARE QUANTE VOLTE UNO STESSO UTENTE ACCEDE AL SITO WEB O ANCHE PER MEMORIZZARE INFORMAZIONI CHE POSSANO RENDERE PIÙ SEMPLICE LA NAVIGAZIONE DI UNA PERSONA ALL'INTERNO DELLO STESSO SITO

ALCUNI COOKIES CONTENGONO ANCHE INFORMAZIONI LEGALE ALL' UTENTE SPECIFICO QUALI DETERMINATE PASSWORD O LE PREFERENZE DELL' UTENTE RIGUARDO LA CONFIGURAZIONE DEI SERVIZI OFFERTI DAL SITO

Cookies

I cookies (letteralmente "biscottini“) sono dei dati che il server web crea quando noi visitiamo un sito e che poi vengono memorizzati sul client (il nostro PC ! ).

Questi dati contengono varie informazioni su quello che noi facciamo durante la nostra navigazione su un certo sito. Ad esempio possono memorizzare informazioni che poi rendono più semplice la navigazione di una persona all'interno del sito, oppure possono memorizzare le pagine che un utente ha visitato

Alcuni cookies contengono anche informazioni legale all' utente specifico quali determinate password o le preferenze dell' utente riguardo la configurazione dei servizi offerti dal sito. In tal senso, il cookie in sé non è da considerarsi pericoloso, ma è da considerare pericoloso l'uso che i proprietari dei siti web ne possano fare.

Utilizzando la versione 6.0 (o successive) di Internet Explorer è possibile configurare diversi modi di protezione della privacy e trattamento dei cookie (v. Strumenti-Opzioni e poi scheda Privacy).

39


“FURTO DI INFORMAZIONI”

• POSTA ELETTRONICA VIA WEB• POSTA ELETTRONICA VIA WEB

• ASSOCIAZIONI CON ACCESSI AI SOLI SOCI• ASSOCIAZIONI CON ACCESSI AI SOLI SOCI

• SITI AZIENDALI CON ACCESSI AI CLIENTIE/O DIPENDENTI

• SITI AZIENDALI CON ACCESSI AI CLIENTIE/O DIPENDENTI

• PAGAMENTO CON CARTA DI CREDITO• PAGAMENTO CON CARTA DI CREDITO

I DATI TRASMESSI POSSONO ESSERE INTERCETTATI.

LA MAGGIOR PARTE DELLE VOLTE ENTRA IN GIOCO LASCARSA PROFESSIONALITA’ DEI GESTORI DEI SITI

Furto di informazioni

Internet è uno strumento di fondamentale importanza per la comunicazione. Attraverso Internet viaggiano le nostre e-mail, eseguiamo transazioni commerciali (e-commerce) con pagamento mediante carta di credito, accediamo a dati riservati dopo esserci identificati.

Ma un grave rischio incombe su tutto questo traffico: i dati trasmessi, se non opportunamente protetti, possono essere intercettati da malintenzionati, per essere poi usati a scopi dolosi.

Nei lucidi seguenti esaminiamo quali possono essere le minacce.

40


MINACCIA: Sniffing

SI DEFINISCE SNIFFING L'ATTIVITÀ DI INTERCETTAZIONE PASSIVA DEI DATI CHE TRANSITANO IN UNA RETE TELEMATICA

(E SNIFFER SI CHIAMANO I RELATIVI PROGRAMMI)

SIA PER SCOPI LEGITTIMI: AD ESEMPIO PERL'INDIVIDUAZIONE DI PROBLEMI DI COMUNICAZIONEO DI TENTATIVI DI INTRUSIONE

TALE ATTIVITÀ PUÒ ESSERE SVOLTA:

SIA PER SCOPI ILLECITI: INTERCETTAZIONE FRAUDOLENTA DI PASSWORD O ALTRE INFORMAZIONI SENSIBILI

Sniffing

Si definisce sniffing l'attività di intercettazione passiva dei dati che transitano in una rete telematica. Tale attività può essere svolta:

-sia per scopi legittimi (ad esempio l'individuazione di problemi dicomunicazione o di tentativi di intrusione)

- sia per scopi illeciti (intercettazione fraudolenta di password, numeridi carte di credito o altre informazioni sensibili).

SnifferI programmi utilizzati per eseguire queste attività vengono detti “sniffer” e, oltre ad intercettare e memorizzare il traffico, offrono funzionalità di analisidel traffico stesso. L'analisi dei pacchetti di rete permette di scoprire password che viaggiano in chiaro (cioè non in forma cifrata) e di raccogliere numerose informazioni sulla rete monitorata dallo sniffer.

41


MINACCIA: Keylogger

SONO PROGRAMMI CHE RIESCONO A TENERE TRACCIA DI TUTTO QUELLO CHE LA “VITTIMA” HA SCRITTO UTILIZZANDO LA TASTIERA.

IN GENERE KEYLOGGER SOFTWARE SI RICEVONO COME ALLEGATI A FILE DI POSTA ELETTRONICA O TALVOLTA SI TROVANO INGLOBATI IN SOFTWARE CHE SI SONO SCARICATI DA INTERNET.

POSSONO ESSERE:- HARDWARE: VENGONO COLLEGATI AL CAVO CHE COLLEGATASTIERA E COMPUTER O ALL'INTERNO DELLA TASTIERA

- SOFTWARE: PROGRAMMI CHE MEMORIZZANO LA SEQUENZADI TASTI DIGITATA DA UN UTENTE

LE INFORMAZIONI RACCOLTE SONO POI TRASMESSE AD UN COMPUTER REMOTO

Keylogger

In informatica, un “keylogger” è uno strumento in grado di controllare tutto ciòche un utente digita sulla tastiera del proprio computer.

Esistono vari tipi di keylogger:

• hardware: sono dei dispositivi che vengono collegati al cavo di comunicazione tra la tastiera ed il computer o all'interno della tastiera;i keylogger hardware sono molto efficaci in quanto la loro installazioneè molto semplice e il sistema non è in grado di accorgersi della loropresenza;

• software: sono semplici programmi che rimangono in esecuzione captandoogni tasto che viene digitato e che poi trasmettono tali informazioni ad uncomputer remoto.

Spesso i “keylogger software” sono trasportati ed installati nel computer da un worm o un trojan ricevuti tramite Internet ed hanno, in genere, lo scopo di intercettare password e numeri di carte di credito.

42


MINACCIA: Ingegneria sociale

L’INGEGNERIA SOCIALE (O SOCIAL ENGINEERING) È UNA TECNICA DI PERSUASIONE CHE MIRA A:

- CARPIRE INFORMAZIONI RISERVATE- O A FORZARE I SOGGETTI A COMPIERE CERTE

AZIONIATTRAVERSO L'USO DI CALCOLATE PRESSIONI PSICOLOGICHE.

L’INGEGNERIA SOCIALE (O SOCIAL ENGINEERING) È UNA TECNICA DI PERSUASIONE CHE MIRA A:

- CARPIRE INFORMAZIONI RISERVATE- O A FORZARE I SOGGETTI A COMPIERE CERTE

AZIONIATTRAVERSO L'USO DI CALCOLATE PRESSIONI PSICOLOGICHE.

SI SFRUTTA LA PROPENSIONE DELLE PERSONE:- A RISPONDERE A DOMANDE DIRETTE E IMPREVISTE- O AD AIUTARE QUALCUNO CHE SEMBRA ESSEREIN DIFFICOLTÀ.

SI SFRUTTA LA PROPENSIONE DELLE PERSONE:- A RISPONDERE A DOMANDE DIRETTE E IMPREVISTE- O AD AIUTARE QUALCUNO CHE SEMBRA ESSEREIN DIFFICOLTÀ.

Social Engineering o ingegneria sociale

Nel campo della sicurezza informatica per “ingegneria sociale” (dall'inglese social engineering) si intende lo studio del comportamento individuale di una persona con lo scopo di carpire informazioni. In altre parole con questo termine sono indicate una serie di tecniche, basate sulla persuasione e sulla pressione psicologica, che mirano a carpire informazioni riservate o a forzare i soggetti a compiere certe azioni.

Gli hacker usano spesso questa tecnica quando sono intenti alla violazione di un sistema, sfruttando la propensione delle persone a rispondere a domande dirette e impreviste o ad aiutare qualcuno che sembra in difficoltà. Infatti, quando non riesce ad attaccare un sistema informatico particolarmente protetto, l'unico modo che l'hacker ha per procurarsi le informazioni di cui necessita èquello di attuare un attacco di ingegneria sociale. Alcune tecniche utilizzate:• fingere di essere un amministratore di sistema e richiedere, al malcapitato di

turno, nome utente e password di un suo account, ad esempio quello di postaelettronica, con la scusa di fare dei controlli sul database dell'azienda;

• fare conoscenza con la vittima, fingendo di essere un incompetenteinformatico e chiedendo lumi all'esperto;

• spacciarsi per un addetto della società che vende i programmi utilizzatiin azienda, dicendo che è necessario installare una patch al sistema;

• fino a rovistare nel cestino in cerca di foglietti con appuntate delle password,o comunque informazioni utilizzabili per l’attacco.

43


MINACCIA: Phishing

Una frode finalizzata all'acquisizione, per scopi Una frode finalizzata all'acquisizione, per scopi illegali, di dati riservati:illegali, di dati riservati:

-- codici di accesso e passwordcodici di accesso e password-- numero di carta di credito o c/cnumero di carta di credito o c/c-- altri dati personalialtri dati personali

La frode viene realizzata attraverso l'invio diLa frode viene realizzata attraverso l'invio diee--mail, contraffatte con la grafica e i loghi mail, contraffatte con la grafica e i loghi ufficiali di aziende e istituzioni, che invitano il ufficiali di aziende e istituzioni, che invitano il destinatario a fornire informazioni, motivando destinatario a fornire informazioni, motivando tale richiesta con ragioni di natura tecnica.tale richiesta con ragioni di natura tecnica.

Phishing

In ambito informatico si definisce phishing una tecnica di ingegneria sociale utilizzata per ottenere l'accesso ad informazioni personali e riservate, mediante l'utilizzo di messaggi di posta elettronica fasulli, opportunamente creati per apparire autentici. Grazie a questi messaggi, l'utente è portato a rivelare dati sensibili, come numero di conto corrente, nome utente e password, numero di carta di credito ecc.

La tecnica utilizzata in questo tipo di attacco può riassumersi nei seguenti passi:1) il malcapitato ed ignaro utente riceve una e-mail che simula nella grafica e nel contenuto quella di una istituzione nota al destinatario (ad es. la sua banca, il suo provider web, un sito di aste online a cui è iscritto);2) questa e-mail contiene quasi sempre avvisi di particolari situazioni o problemi: ad esempio un addebito enorme sul conto corrente, la scadenza dell'account; 3) il destinatario è invitato a seguire un link, presente nella e-mail, per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione; 4) il link presente all’interno del messaggio NON porta in realtà al sito web ufficiale, ma a pagine appositamente create per emulare il sito in oggetto; in queste pagine si richiedono al destinatario dati personali (user, password), normalmente con la scusa di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server e quindi finiscono nelle mani dell'utente malintenzionato (“phisher”); 5) il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come “mezzo" per ulteriori attacchi.

44


Phishing-Banca Intesa

da: Banca Intesa


oggetto: Banca Intesa: email - [email protected]

Dear Banca Intesa Customer,

We find that some of our members no longer have access to their email addresses. As result Banca Intesa server

sent this letter to verify e-mail addresses of our clients. You must complete this process by clicking on the link

below and entering in the small window your Banca Intesa bank online access details:

http://www.bancaintesa.it/EXEAEQCO1a6WJXnFfFp7F6zwv9FRLKYhI2fMWUB3e14csW9eTn9j5w6fxxy65

Phishing: Banca Intesa

Il link al sito di Banca Intesa è una URL mascherata: è sufficiente passare il mouse sulla URL inserita nel messaggio per scoprire che in realtà punta ad un sito, messo in piedi dagli autori della truffa, che non ha nulla a che vedere con l'istituto di credito.

45


Phishing-Carim

da: Sicurezza Carim


oggetto: CARIM Online: avviso urgente

Caro Cliente,Ci interessiamo molto per la sicurezza dei nostri clienti, perché costantemente elaboriamo nuovi dati e protezioni. Di recente le prove non autorizzate per prelevare i soldi dal conto bancario diventano regolari. Studiamo ogni operazione con scrupolosità ed elaboriamo criteri utili per trovare operazione sospette. In questo momento sviluppiamo un sistema di sicurezza per l'accesso elettronico del conto bancario, pronto per l'adempimento. Il sistema Segue il a.m. criterio e in certi condizioni chiede la domanda segreta in oltre il conto corrente e l'operazione corrente si bloccano finché non si accertano i particolari di pagamento.La invitiamo a riempire la forma supplementare di autorizzazione, necessario per l'attivazione del sistema.

http://cassarimini.comAttendiamo la vostra comprensione.Speriamo, che valuterete il nostro sistema della protezione dei dati di nuovo livello.Ringraziamenti per la collaborazione

Phishing:Carim

Anche in questo secondo caso il link non porta alla Carim, ma punta ad un sito truffaldino.

Attenzione

La difesa contro il phishing è il buon senso: nessuna organizzazione invia richieste di questo tipo, quindi tali e-mail vanno semplicemente cancellate

Un messaggio di questo tipo deve sempre essere visto con il massimo sospetto perché, come in questo caso, si tratta quasi sempre di un messaggio-truffa.

46


Egregio utente,

Il reparto sicurezza della nostra banca le notifica che sono state prese misure per accrescere il livello di sicurezza dell’online banking, in relazione ai frequenti tentativi di accedere illegalmente ai conti bancari. Per ottenere l’accesso alla versione più sicura dell’area clienti preghiamo di dare la sua autorizzazione.

Fare click qui per andare alla pagina dell’autorizzazione

La preghiamo di trattare le nuove misure di sicurezza con la massima serietà e di esaminarle bene immediatamente.

Distinti saluti,

Il reparto sicurezzaQuesto messaggio di posta elettronica è stato generato automaticamente il 01.11.2005,

Phishing-UniCredit

da: Passwords Supt

a: G

oggetto: UniCreditImpresa Bank New Anti-Theft System.

[email protected]

http://unicreditimpresa-it.net:8081/nb/it/index.htm

Phishing: UniCredit

Qui ad essere attaccata è l’Unicredit. La scusa è proprio il miglioramento della sicurezza.

47


Phishing-Banco Posta



oggetto: Misure di sicurezza di cliente di BancoPosta ID 25733

Caro [email protected],

Recentemente abbiamo notato uno o più tentativi di entrare al vostro conto di BancoPostaonline da un IP indirizzo differente.

Se recentemente accedeste al vostro conto mentre viaggiavate, i tentativi insoliti di accedere a vostro Conto BancoPosta possono essere iniziati da voi.

Tuttavia, visiti prego appena possibile BancoPostaonline per controllare le vostre informazioni di conto:

https://bancopostaonline.poste.it/bpol/bancoposta/formslogin.asp

Ringraziamenti per vostra pazienza.

BancoPosta.

----------------------------------------------------------Non risponda prego a questo E-mail. Il E-mail trasmesso a questo indirizzo non può essere risposto a.

Phishing: Banco Posta

Infine un attacco alle Poste, con la scusa di un controllo sul vostro conto Bancoposta.

48


Phishing-Banco Posta (VERA)


a: nessuno

oggetto: Sicurezza dei dati personali

Gentile utente,

negli ultimi tempi va diffondendosi un fenomeno conosciuto con il termine "phishing": una frode finalizzata all'acquisizione, per scopi illegali, di dati riservati (codici di accesso, password, numero di carta di credito, altri dati personali).

La frode viene realizzata attraverso l'invio di e-mail, contraffatte con la grafica e i loghi ufficiali di aziende e istituzioni, che invitano il destinatario a fornire informazioni, motivando tale richiesta con ragioni di natura tecnica.

Poste Italiane non chiede mai, attraverso messaggi di posta elettronica, lettere o telefonate, di fornire i codici personali, i dati delle carte di credito o della carta Postepay. Pertanto, non è opportuno rispondere a e-mail, lettere o telefonate che abbiano come oggetto la richiesta di dati personali. In presenza di richieste di questo tipo è opportuno informare immediatamente Poste Italiane chiamando il numero gratuito 803.160 oppure inviando un'e-mail a [email protected]

Distinti saluti, Poste Italiane

Questa è vera

Questa è la “vera” e-mail inviata dalle Poste, per mettere in allerta gli utenti sul fenomeno del phishing.

Ma come è logico aspettarsi, è solo un avvertimento, non chiede dati riservati.

49


MINACCIA: IP-Spoofing

UN COMPUTER SULLA RETE UN COMPUTER SULLA RETE ÈÈ IDENTIFICATO DAL SUO IDENTIFICATO DAL SUO INDIRIZZO IP. INDIRIZZO IP.

DI CONSEGUENZA ANCHE TUTTO IL TRAFFICO SULLA DI CONSEGUENZA ANCHE TUTTO IL TRAFFICO SULLA RETE PROVENIENTE DA QUEL NODO RETE PROVENIENTE DA QUEL NODO ÈÈ IDENTIFICATO IDENTIFICATO DALLDALL’’INDIRIZZO IP DEL MITTENTEINDIRIZZO IP DEL MITTENTE

151.100.20.54 151.100.20.10DESTINATARIO151.100.20.10

MITTENTE151.100.20.54

PACCHETTO DATI #2

IP Spoofing

Un computer sulla rete è identificato dal suo indirizzo IP: di conseguenza anche tutto il traffico proveniente da quel nodo è identificato dall’indirizzo IP del mittente.

Con il termine di IP Spoofing si indica una tecnica tramite la quale si crea un pacchetto IP nel quale viene falsificato l'indirizzo IP del mittente. In questo modo si può far credere che un pacchetto IP sia stato trasmesso da una macchina differente.

50


IP-Spoofing

CON IL TERMINE CON IL TERMINE IP SPOOFINGIP SPOOFING SI INDICA UNA TECNICA SI INDICA UNA TECNICA TRAMITE LA QUALE SI CREA UN PACCHETTO IP NEL TRAMITE LA QUALE SI CREA UN PACCHETTO IP NEL

QUALE VIENE FALSIFICATO L'INDIRIZZO IP DEL MITTENTE.QUALE VIENE FALSIFICATO L'INDIRIZZO IP DEL MITTENTE.

IN QUESTO MODO SI PUIN QUESTO MODO SI PUÒÒ FAR CREDERE CHE UN FAR CREDERE CHE UN PACCHETTO IP SIA STATO TRASMESSO DA UNA PACCHETTO IP SIA STATO TRASMESSO DA UNA

MACCHINA DIFFERENTEMACCHINA DIFFERENTE

UNA TECNICA INUTILE PER OTTENERE ANONIMATO, UNA TECNICA INUTILE PER OTTENERE ANONIMATO, MA VIENE UTILIZZATA PRINCIPALMENTE DURANTE MA VIENE UTILIZZATA PRINCIPALMENTE DURANTE

ATTACCHI DI TIPO DOS ATTACCHI DI TIPO DOS

151.100.20.54 151.100.20.10

DESTINATARIO

151.100.20.10MITTENTE

151.100.20.54

PACCHETTO DATI #2

151.100.20.13

IP Spoofing: utilizzo

L’ IP Spoofing viene utilizzato per superare alcune tecniche difensive contro le intrusioni, che si basano sull’autenticazione dell'indirizzo IP.

Ad esempio, all’interno di reti aziendali, l’autenticazione per l’accesso ad alcuni servizi potrebbe avvenire sulla base dell’indirizzo IP, senza l'utilizzo di utente e password.

Però, contrariamente a quanto si potrebbe pensare, l'IP Spoofing è una tecnica inutile per ottenere anonimato, in quanto chi invia il pacchetto non sarà in grado di proseguire la comunicazione, dato che le risposte saranno inviate all'indirizzo IP modificato.

E’ invece una tecnica spesso utilizzata durante attacchi di tipo DoS (v. piùavanti).

51


Funzionamento Server DNS

Server Server ““econ.uniurb.itecon.uniurb.it””

Server DNSServer DNSQual’è l’indirizzo IP di

“econ.uniurb.it” ?

193.204.197.249

193.204.197.249

http://193.204.197.249

http://193.204.197.249

Come fare per raggiungere

www.econ.uniurb.it ?

Normale funzionamento del Server DNS

Prima di illustrare questa tecnica di attacco, rivediamo il normale funzionamento del DNS. Come già sappiamo, il server DNS permette di conoscere l’indirizzo IP associato ad un sito di cui conosciamo il nome di dominio.

Questa trascodifica viene gestita in maniera autonoma dal browser, senza che noi dobbiamo fare niente. Ad esempio, supponiamo di voler raggiungere il sito “www.econ.uniurb.it”. Dopo aver scritto il nome del sito e aver premuto “invio”, il nostro browser compie le seguenti operazioni

• il browser accede al server DNS e chiede l’indirizzo IP corrispondente a“www.econ.uniurb.it”;

• ricevuto l’indirizzo IP, accede al server web utilizzando il protocollo http.

52


MINACCIA: Pharming

Il Il ““PHARMINGPHARMING”” (o (o ““Domain SpoofingDomain Spoofing””) ) colpisce i server DNS e reindirizza il traffico colpisce i server DNS e reindirizza il traffico verso siti trappola, confezionati apposta per verso siti trappola, confezionati apposta per assomigliare ai siti 'veri'. assomigliare ai siti 'veri'.

LL’’utente crede di accedere ad un certo sito, utente crede di accedere ad un certo sito, mentre invece accede ad un altro.mentre invece accede ad un altro.

Questo accade perchQuesto accade perchéé il DNS il DNS ––CorrottoCorrotto-- gli ha gli ha fornito un falso indirizzo IPfornito un falso indirizzo IP

Pharming

Il “PHARMING” (o “Domain Spoofing”) indica un attacco al server DNS, in modo che, a fronte di un determinato nome di dominio, fornisca all’utente un indirizzo IP modificati ad arte. In altre parole, l’utente crede di accedere ad un certo sito, mentre invece il server DNS lo reindirizza verso un sito trappola (normalmente contraffatto in modo da sembrare quello vero).

In questo senso il Pharming è definibile come l'usurpazione dell'identità di un sito o di un server presenti in rete.

Con questa tecnica l’attacco non viene portato direttamente all’utente, ma al DNS che, invece di ritornare il corretto indirizzo IP di un dominio, ritorna l’indirizzo IP fasullo, impostato dall’aggressore.

Ad esempio, l’utente crede di accedere al sito della sua banca, mentre il DNS “corrotto” lo reindirizza verso un sito trappola, configurato apposta per assomigliare a quello vero.

Qui, con qualche scusa (magari collegata a presunti problemi di sicurezza!), gli verrà richiesto di confermare i dati per l’accesso al proprio conto corrente, dati che in questo modo finiranno in mano all’aggressore.

53


MINACCIA: Attacco DoS

DoSDoS

IN QUESTO TIPO DI ATTACCO SI CERCA DI PORTARE IL IN QUESTO TIPO DI ATTACCO SI CERCA DI PORTARE IL FUNZIONAMENTOFUNZIONAMENTO DI UN SISTEMA INFORMATICO CHE DI UN SISTEMA INFORMATICO CHE FORNISCE UN SERVIZIO (FORNISCE UN SERVIZIO (AD ESEMPIO UN SITO WEBAD ESEMPIO UN SITO WEB), ), AL LIMITE DELLE PRESTAZIONI, LAVORANDO SU UNO AL LIMITE DELLE PRESTAZIONI, LAVORANDO SU UNO DEI PARAMETRI D'INGRESSO, FINO A RENDERLO NON DEI PARAMETRI D'INGRESSO, FINO A RENDERLO NON PIPIÙÙ IN GRADO DI EROGARE IL SERVIZIO.IN GRADO DI EROGARE IL SERVIZIO.

scritto con la scritto con la ““oo”” minuscola, minuscola, èè la sigla di la sigla di Denial of ServiceDenial of Service, letteralmente , letteralmente ““negazione del servizionegazione del servizio””

DoS

DoS (scritto con “o” minuscola) è la sigla di “Denial of Service” (letteralmente “negazione del servizio”) e indica un tipo di attacco portato contro sistemi e reti di computer al fine di impedire il loro normale funzionamento.In questo tipo di attacco si cerca provocare la saturazione delle risorse di un sistema informatico che fornisce un servizio (ad esempio un sito web), fino a renderlo non più in grado di erogare il servizio stesso.

Per capire meglio il suo funzionamento, si immagini ad esempio che un hacker crei un programma che chiama una pizzeria da asporto, con consegna a domicilio. La pizzeria risponde al telefono ma capisce che si tratta di una chiamata fasulla. Se però il programma ripete questa operazione continuamente, impedisce ai clienti legittimi di ordinare pizze perché il telefono è sempre occupato. Si tratta di una negazione di un servizio (denial of service) ed è la stessa cosa che succede nel caso di un attacco di tipo DoS.

Qualunque server collegato a Internet, progettato per fornire servizi di rete basati su TCP, è esposto a questo tipo di attacco.

Ancora più pericoloso è attacco DoS distribuito (DDoS). In questo caso l’hacker, dopo aver preso il controllo di un certo numero di computer connessi in rete (definiti “zombie”), li può utilizzare per un attacco congiunto verso il Server preso di mira. In questo modo l’effetto è maggiore perché ci sono più computer che attaccano contemporaneamente lo stesso Server. Inoltre diventa anche molto più difficile individuare l'aggressore poiché il programma non viene eseguito direttamente dal suo computer, ma attraverso tanti computer di ignari utenti, di cui egli ha il controllo.

54


MINACCIA “IP-Based Filtering” o “Cloaking”

In particolare è usata per ingannare i motori di ricerca, presentando e facendo indicizzare pagine che poi l’utente non troverà.

In particolare In particolare èè usata per ingannare i motori di usata per ingannare i motori di ricerca, presentando e facendo indicizzare ricerca, presentando e facendo indicizzare pagine che poi lpagine che poi l’’utente non troverutente non troveràà..

“IP-BASED FILTERING” (o “CLOAKING”)

Questo termine viene utilizzato per descrivere un sito Web che presenta pagine diverse dello stesso sito, in funzione dell’utente che vi accede.

““IPIP--BASED FILTERINGBASED FILTERING”” (o (o ““CLOAKINGCLOAKING””))


“IP-BASED FILTERING” (o “CLOAKING”)


In particolare questa tecnica è usata per ingannare i motori di ricerca, presentando e facendo indicizzare pagine che poi l’utente non troverà.

55


“IP-Based Filtering”: il funzionamento

Server con Server con ““IpIp--based Filteringbased Filtering””

Ritorna una pagina con

Ritorna una pagina con

ll’’informazione

informazione ““22””

Utente XUtente X

Utente YUtente Y

Ritorna una pagina con l’informazione “1”

Cloaking o IP-Based Filtering : il funzionamento

Il “Cloaking” o “IP-Based Filtering” è una tecnica conosciuta da molti anni e utilizzata in rete in molte applicazioni, relative soprattutto al segmento commerciale (anche se solo pochissimi ne ammettono l'utilizzo).

Il funzionamento si basa sul riconoscimento dell’indirizzo IP dell’utente o dell’organizzazione a cui si vogliono fare vedere pagine diverse rispetto a quelle visibili a tutti gli altri utenti. Ma vediamo, con un paio di esempi, quale potrebbe essere il suo utilizzo.

Esempio 1

Un sito di e-commerce potrebbe indicare (in alcune pagine dedicate al pubblico) un bene ad un certo prezzo.

Ma se chi accede a quel sito proviene da un indirizzo IP (che deve essere noto) di un concorrente, per lo stesso prodotto possono essere presentate le stesse pagine ma con un prezzo aumentato del 15%.

In questo modo, l'azienda rivale potrebbe svolgere delle errate valutazioni di prezzo e perdere potenziali clienti.

56


“IP-Based Filtering”

Questa tecnica Questa tecnica èè conosciuta e utilizzata in rete da molti conosciuta e utilizzata in rete da molti anni e ha un gran numero di possibili applicazioni, anni e ha un gran numero di possibili applicazioni, relative soprattutto al segmento commerciale. relative soprattutto al segmento commerciale.

Anche se solo pochissimi ne ammettono l'utilizzo, nella Anche se solo pochissimi ne ammettono l'utilizzo, nella prassi quotidiana del web viene sfruttata come efficace prassi quotidiana del web viene sfruttata come efficace strategia di mercatostrategia di mercato

Un sito di eUn sito di e--commerce potrebbe indicare (in alcune commerce potrebbe indicare (in alcune pagine dedicate al pubblico) un bene a un certo prezzo.pagine dedicate al pubblico) un bene a un certo prezzo.

Ma se chi accede a quel sito proviene da un indirizzo di Ma se chi accede a quel sito proviene da un indirizzo di un concorrente, per lo stesso prodotto puun concorrente, per lo stesso prodotto puòò essere essere presentato un prezzo aumentato del 15%.presentato un prezzo aumentato del 15%.

In questo modo, l'azienda rivale potrebbe svolgere delle In questo modo, l'azienda rivale potrebbe svolgere delle errate valutazioni di prezzo e perdere potenziali clienti.errate valutazioni di prezzo e perdere potenziali clienti.

Cloaking o IP-Based Filtering

Esempio 2

Quando un motore di ricerca legge le pagine del sito per indicizzarle, vengono fatte vedere pagine di una certa tipologia, ma poi, quando l’accesso viene fatto da un normale utente, le pagine visibili sono di tutt’altro genere (ad esempio potrebbero essere pagine contenenti materiale pornografico).

Come verificare se un sito mette in atto questa tecnica?

Un modo semplice per verificare se un sito mette in atto questa tecnica èquello di “anonimizzare” la navigazione, al fine di rendere impossibile, per il sito web che riceve la richiesta di collegamento, di risalire al vero utente.

57


“IP-Based Filtering” e la = frode informatica

Da un punto di vista giuridico, lDa un punto di vista giuridico, l’’ ““IPIP--BASED BASED FILTERINGFILTERING”” pupuòò essere avvicinato a una vera e propriaessere avvicinato a una vera e propria

frode informatica, frode informatica,

poichpoichéé in molti casi si tratta di tecniche fatte per trarre in molti casi si tratta di tecniche fatte per trarre in inganno gli altri utenti, traendone profitto.in inganno gli altri utenti, traendone profitto.

Tali tecniche sono punibili anche secondo le norme di Tali tecniche sono punibili anche secondo le norme di diritto civile, poichdiritto civile, poichéé esse possono configurarsi come esse possono configurarsi come forme di:forme di:

concorrenza slealeconcorrenza sleale

Inquadramento giuridico del IP-Based Filtering

Da un punto di vista giuridico, questa tecnica può essere avvicinata ad una vera e propria frode informatica, poiché si tratta di una tecnica fatte per trarre in inganno gli altri utenti, traendone profitto. A tal senso la Legge dice:«Chiunque, alterando in qualsiasi modo il funzionamento di un sistema

informatico o telematico o intervenendo senza diritto con qualsiasi modalità su dati, informazioni o programmi contenuti in un sistema informatico o telematico a esso pertinenti, procura a sé o ad altri un ingiusto profitto con altrui danno, è punito con la reclusione da 6 mesi a 3 anni e con la multa da 51 a 1.032 euro.»

Altra possibile ipotesi di reato è anche quella del falso in atto pubblico.

Infine tale tecnica è punibile anche secondo le norme di diritto civile, oltre che penale, poiché può configurarsi come una forma di concorrenza sleale.

58


MINACCIA: Spamming

INVIO DI E-MAIL NON RICHIESTE

BENTI

59


Spam: definizione

Per SPAM si intende

l´invio di posta indesideratao comunque non direttamente

autorizzata dal destinatario con la comunicazione del proprio indirizzo

Spam

Per SPAM si intende l´invio di posta indesiderata o comunque nondirettamente autorizzata dal destinatario con la comunicazione del proprio indirizzo e-mail.

Esempi

1. offerte commerciali non autorizzate di varia natura;

2. messaggi che nella loro struttura ricordano le catenedi S. Antonio;

3. messaggi che seguono uno schema a piramide per cui si invitanoi destinatari a divulgare il contenuto a tutti i loro conoscenticreando una crescita esponenziale nella distribuzione del testo;

4. messaggi con contenuto offensivo e divulgazione di materialepornografico/osceno o comunque lesivo del comune senso delpudore;

5. offerte di software in cambio di indirizzi e-mail o divulgazionedi software senza certificazione di acquisto e violazione dicopyright.

60


Spam: esempi

3. messaggi che seguono uno schema a piramide per cui si invitano i destinatari a divulgare il contenuto a tutti i loro conoscenti creando una crescita esponenziale nella distribuzione del testo

1. offerte commerciali non autorizzate di varia natura

2. messaggi che nella loro struttura ricordano le catene di S. Antonio;

5. offerte di software in cambio di indirizzi email

4. messaggi con contenuto offensivo e divulgazione di materiale pornografico/osceno o comunque lesivo del comune senso del pudore

6. divulgazione di software senza certificazione di acquisto e violazione di copyright.

61


Mi chiamo Daniele Brandani e ho una figlia di 2 anni di età che si chiama Lucia.Nell' Ottobre del 1999 abbiamo scoperto che Lucia ha un cancro, si tratta …….

Forse tu conosci qualcuno che potrebbe darci aiuto per affrontare questo tumore, forse tu conosci un amico che ha già avuto questa esperienza.

Se lo conosci digli di contattarmi al più presto, non ci rimangono che poche Settimane! Se non lo conosci tu lo potrebbero conoscere i tuoi amici.

Per favore fai circolare questa lettera.Grazie

Spam: Le “catene di S. Antonio”

Oggetto: Fai girare questa email per favore (SERIAMENTE)

PURTROPPO NON C'E' PIU' NULLA DA FARE

62


-------- LE DIFESE --------

Crittografia

Antivirus

Crittografia Certificati digitali

Firma Digitale

Backup

Firewall

Antispyware

User e Psw

63


ANTIVIRUS

DefinizioneDefinizione

COSA SIGNIFICA DI "DISINFETTARE“ I FILE

DUE MODALITÀ DI FUNZIONAMENTO:- SCANNER (memoria, cartelle, file, unità fisica)- MONITOR

PER QUALE MOTIVO È NECESSARIO AGGIORNAREREGOLARMENTE IL SOFTWARE ANTIVIRUS

SOFTWARE SCRITTO PER INTERCETTARE, PREVENIRE ED ELIMINARE L'AZIONE DI VIRUSE DI ALTRI TIPI DI MALWARE

SOFTWARE SCRITTO PER INTERCETTARE, PREVENIRE ED ELIMINARE L'AZIONE DI VIRUSE DI ALTRI TIPI DI MALWARE

I VANTAGGI DI UN'APPLICAZIONE ANTIVIRUS

AntivirusL’antivirus è un software scritto per contrastare l’azione dei virus:• in maniera preventiva, intercettando l’azione dei virus e prevenendo il contagio;• eliminando eventuali virus presenti nei file e nel computer; questa operazione,

per analogia, viene anche chiamata “disinfezione” dei file.In questo senso, i software antivirus dispongono di due moduli:• Il primo, chiamato genericamente “scanner”, provvede ad eseguire la

scansione del sistema (memoria, file e settori su disco) eliminando eventuali virus presenti;

• Il secondo, definito “monitor”, viene mantenuto sempre residente in memoria ed ha lo scopo di impedire il contagio; a tal fine provvede a controllare i programmi prima di essere lanciati in esecuzione, i file creati o aperti, i settori di avvio dei dischi, i documenti contenenti macro, ecc.

Il funzionamento di un programma antivirus si basa su due tecniche:1. il riconoscimento di una porzione del codice del virus, definita “impronta”;2. il riconoscimento di un comportamento sospetto: ad esempio un

comportamento sospetto potrebbe essere quello di un programma che cerca di scrivere sul settore di avvio del disco o quello di un programma che tenta di formattare il disco stesso.

Affinché il riconoscimento dell’impronta dei vari virus sia efficace, bisogna che:il software antivirus venga mantenuto costantemente

aggiornato con le impronte dei nuovi virus.

64


ANTISPYWARE

DefinizioneDefinizione

SOFTWARE SCRITTO PER INTERCETTARE, PREVENIRE ED ELIMINARE L'AZIONE DI SPYWARESOFTWARE SCRITTO PER INTERCETTARE, PREVENIRE ED ELIMINARE L'AZIONE DI SPYWARE

SI BASANO SULLE “IMPRONTE” LASCIATE DAGLI SPYWARE E PERTANTO VANNO AGGIORNATI PERIODICAMENTE

Attenzione

A volte, eliminato lo spyware, il software che lo aveva installato smette di funzionare

Antispyware

Gli antispyware sono software scritti per intercettare, prevenire ed eliminare l'azione di SPYWARE.

Anche questi software si basano sulle “impronte” proprie degli spyware e pertanto, come gli antivirus, vanno aggiornati periodicamente.

AttenzioneQualche volta, dopo aver rimosso lo spyware, il software che lo aveva installato smette di funzionare.

65


FIREWALL = paratia antifuoco

BENTI

INTERNET

FIREWALL

IL FIREWALL E’ UN PROGRAMMA CHE PERMETTE DI BLOCCARE OGNI TENTATIVO DI ACCESSO AL NOSTRO COMPUTER

(COLLEGATO IN RETE), DA PARTE DI ESTRANEI NON AUTORIZZATI

IL FIREWALL E’ UN PROGRAMMA CHE PERMETTE DI BLOCCARE OGNI TENTATIVO DI ACCESSO AL NOSTRO COMPUTER

(COLLEGATO IN RETE), DA PARTE DI ESTRANEI NON AUTORIZZATI

PERIMETRO DI PROTEZIONE

Firewall

Il Firewall è un sistema (hardware e/o software) che permette di definire una

politica di controllo degli accessi,

tra due reti, ad esempio una rete interna (LAN) ed una rete esterna (Internet). L’obiettivo è quello di proteggere la rete locale dal traffico di informazioni che transita da e verso reti esterne, in particolar modo Internet. Il firewall permette di:- intercettare i pacchetti di rete, - analizzarne il contenuto- e filtrarli con tutta una serie di regole di sicurezza,con lo scopo di fare arrivare a destinazione solamente i dati “corretti”, rifiutando qualunque tipo di connessione non esplicitamente autorizzata.

Creando un filtro sulle connessioni entranti ed uscenti, il firewall ottiene l’obiettivo di bloccare ogni tentativo di accesso alla LAN da parte di estranei non autorizzati. In questo modo viene alzato il livello di sicurezza della rete e si garantisce agli utenti interni di operare nel massimo della sicurezza.

66


FIREWALL: anche le richieste interne

BENTI

INTERNET

FIREWALL

IL FIREWALL EFFETTUA ANCHE UN CONTROLLO DI TUTTI I PROGRAMMI CHE TENTANO DI ACCEDERE AD INTERNET PRESENTI SUL COMPUTER NEL QUALE È INSTALLATO

IL FIREWALL EFFETTUA ANCHE UN CONTROLLO DI TUTTI I PROGRAMMI CHE TENTANO DI ACCEDERE AD INTERNET PRESENTI SUL COMPUTER NEL QUALE È INSTALLATO

Il Firewall controlla anche chi dall’interno tenta di “uscire”

E’ importante sottolineare come il firewall effettui anche un controllo su tutti i “processi” interni (utenti/programmi) che tentano di accedere alla rete esterna (Internet).

Impostando opportunamente le regole, l’amministratore di rete ha la possibilità di definire quali processi possono accedere o meno ad Internet.

In questo modo si evita anche che un programma “malevolo” possaconnettere il computer all'esterno pregiudicandone la sicurezza.

67


IDS

LL''INTRUSION DETECTION SYSTEMINTRUSION DETECTION SYSTEM O O IDSIDS ÈÈ UN UN DISPOSITIVO SOFTWARE/HARDWARE UTILIZZATO PER DISPOSITIVO SOFTWARE/HARDWARE UTILIZZATO PER IDENTIFICARE ACCESSI NON AUTORIZZATI AI COMPUTER IDENTIFICARE ACCESSI NON AUTORIZZATI AI COMPUTER O ALLE RETI LOCALIO ALLE RETI LOCALI

GLI IDS VENGONO UTILIZZATI PER RILEVARE TUTTI GLI GLI IDS VENGONO UTILIZZATI PER RILEVARE TUTTI GLI ATTACCHI ALLE RETI INFORMATICHE E AI COMPUTER. ATTACCHI ALLE RETI INFORMATICHE E AI COMPUTER.

L'Intrusion Detection System o IDS è un sistema (software/hardware) utilizzato per identificare tutti gli attacchi ai computer o alle reti locali: • gli attacchi alle reti informatiche tramite sfruttamento di un servizio

vulnerabile,• attacchi attraverso l'invio di dati malformati, sfruttando elementi di

vulnerabilità dei sistemi• tentativi di accesso tramite innalzamento illecito dei privilegi degli utenti, • accessi non autorizzati a computer e file, • i classici programmi malevoli come virus, trojan e worm.

Un IDS è composto da quattro componenti:1. sensori utilizzati per ricevere le informazioni dalla rete e dai computer;2. un motore che analizza i dati prelevati dai sensori e provvede a individuare

eventuali falle nella sicurezza informatica; 3. un database (utilizzato motore di analisi) in cui sono memorizzate le regole

utilizzate per identificare i tentativi di violazione della sicurezza; 4. Un monitor attraverso cui interagisce l'amministratore di sistema.

Il FIREWALL e l’IDS si integrano a vicenda: se il FIREWALL può essere paragonato ad una porta blindata, in grado di bloccare eventuali accessi non autorizzati, un IDS può essere pensato come un sofisticato antifurto, il cui compito è quello di segnalare tentativi di intrusioni laddove si verifichino.

68


AUTENTICARE L’UTENTE

USER

PASSWORD

USER

PASSWORD

FIRMA DIGITALEFIRMA DIGITALE

COME CI SI PUÒ ACCERTARE CHE CHI ACCEDEÈ L’UTENTE “GIUSTO”?

COME CI SI PUÒ ACCERTARE CHE CHI ACCEDEÈ L’UTENTE “GIUSTO”?

Login: fase di autenticazione dell’utente

Per far si che un utente possa accedere ad un servizio, generalmente è necessario verificare la sua identità (autenticazione dell’utente).

Di norma, quella che viene definita “FASE DI LOGIN” o più semplicemente LOGIN, rappresenta il processo di autenticazione dell’utente in uno specifico sistema / applicazione. Durante il Login vengono richiesti:• user (o nome utente),• password,con l’immissione di tali dati da parte dell’utente e la verifica della loro correttezza termina il processo di autenticazione dell’utente.

Questo metodo non rappresenta il massimo della protezione da eventuali attacchi poiché, grazie alla potenza di calcolo degli attuali computer, il tempo che occorre ad individuare -per tentativi- la password corretta potrebbe non essere eccessivamente elevato.

Una tecnica di autenticazione, considerata di elevata sicurezza, è invece quella riconducibile all'autenticazione effettuata con la tecnologie della firma digitale.

69


Password

LA PASSWORD (TRAD. "PAROLA CHIAVE", "PAROLA D'ORDINE") È UNA FORMA DI AUTENTICAZIONE CHE SI BASA SULLA CONOSCENZA DI UN DATO SEGRETO, NOTO A CHI SOLTANTO PUÒ ACCEDERE AD UNA DETERMINATA RISORSA

LA PASSWORD DEVE RIMANERE SEGRETA A CHI NON È AUTORIZZATO AD ACCEDERE ALLA RISORSA IN QUESTIONE

Come creare una “buona” password ?

LA FASE DI LOGIN RAPPRESENTA IL PROCESSO DI AUTENTICAZIONE DELL’UTENTE IN UNO SPECIFICO SISTEMA / APPLICAZIONELA FASE DI LOGIN RAPPRESENTA IL PROCESSO DI AUTENTICAZIONE DELL’UTENTE IN UNO SPECIFICO SISTEMA / APPLICAZIONE

LA FASE DI LOGIN TERMINA CON L’IMMISSIONE DI:

- USER (O NOME UTENTE)

- PASSWORD

LA FASE DI LOGIN TERMINA CON L’IMMISSIONE DI:

- USER (O NOME UTENTE)

- PASSWORD

Password

Una password (trad. "parola chiave", in italiano "parola d'ordine") è una forma di autenticazione che usa dei dati segreti per controllare l'accesso a una risorsa. Affinché questa modalità di autenticazione funzioni correttamente èassolutamente necessario che la password rimanga segreta a coloro i quali non sono autorizzati ad accedere alla risorsa in questione.

La password è normalmente utilizzata per controllare l'accesso a diversi servizi di natura informatica, come ad esempio:

- ad una casella e-mail,

- ad aree riservate del computer,

- a siti Internet e alle reti in genere,

- a servizi bancari come ad esempio bancomat(utilizza il PIN, una password numerica),

- codici delle carte di credito,

- alle informazioni contenute nelle SIM (PIN) dei telefoni cellulari.

70


Password: un esempio

Utilizzare le lettere iniziali di un brano/una frase noti:

M r i m b c s f a d p

Sostituendo alcune lettere con caratteri speciali: “a” diventa “@” “g” diventa “9”“i” diventa “1” “o” diventa “0”“s” diventa “$”

M r 1 m b c $ f @ d p

“Mi Ritorni In Mente Bella Come Sei, Forse Ancor Di Più”

Come definire una password

Le password dovrebbero essere formate da una serie di almeno 8 caratteri, adoperando in modo congiunto lettere, numeri e caratteri speciali.

Non dovrebbero essere riferite alla persona, come data di nascita, codice fiscale, nome, ecc.

Un buon metodo per codificare una password, senza correre il rischio di dimenticarla, è quello di utilizzare solamente le lettere iniziali di un brano che conosciamo bene, magari un brano musicale: “Mi ritorni in mente bella come sei, forse ancor di più”. Prendendo la prima lettera di ogni parola otteniamo: “Mrimbcsfadp”.

Volendo possiamo anche migliorarlo sostituendo alcune lettere con caratteri speciali:

“a” diventa “@”

“g” diventa “9”

“i” diventa “1”

“o” diventa “0”

“s” diventa “$”

In questo caso la password diventerebbe:

Mr1mbc$f@dp

71


CRITTOGRAFIA: Proteggere il traffico

LA CRITTOGRAFIA INDICA IL TRATTAMENTO DI UN “DOCUMENTO” CON APPOSITI ALGORITMI, IN MODO DA

RENDERLO INTELLEGIBILE A TUTTI SALVO ALLA PERSONA CHE POSSIEDE LA CHIAVE PER DECIFRARLO

CHIAVE SIMMETRICA

CHIAVE ASIMMETRICA

(PUBBLICA/PRIVATA)

IN CUI LA CHIAVE PER CODIFICARE E DECODIFICARE UN DOCUMENTO E’ SEMPRE LA STESSA

IN CUI LA CHIAVE PUBBLICA SI USA PER CODIFICARE E LA CHIAVE PRIVATA SI USA PER DECODIFICARE (E VICEVERSA)

(SSL: Security Sockets Layer)

FIRMA DIGITALE

Crittografia

Sulla rete Internet le informazioni sono trasmesse “in chiaro”. La mancanza di un meccanismo di protezione delle informazioni trasmesse, rende necessario l’utilizzo di appositi algoritmi crittografici, quando le informazioni sono riservate.

La crittografia tratta dei metodi che è possibile utilizzare per rendere un messaggio “nascosto“, in modo che sia comprensibile solo alle persone autorizzate (la parola “crittografia” deriva dalla parola greca kryptós che significa nascosto e dalla parola greca gráphein che significa scrivere).

La crittografia di documenti è stata una scienza ampiamente utilizzata nel passato per trasferire informazioni riservate tra due persone. L’approccio tradizionale presuppone la conoscenza di una “chiave segreta” sia da parte del mittente, che da parte del destinatario (per tale motivo questo tipo di crittografia viene anche chiamata a “chiave simmetrica o privata”).

72


Crittografia: chiave Simmetrica

TECNICA DI CIFRATURA CHE UTILIZZA UNA SOLA CHIAVE SIA PER L'OPERAZIONE DI CIFRATURA CHE PER QUELLA DI DECIFRATURA

LA FORZA DELLA CRITTOGRAFIA SIMMETRICA È DUNQUE RIPOSTA NELLA SEGRETEZZA DELL'UNICA CHIAVE UTILIZZATA DAI DUE INTERLOCUTORI

NECESSITÀ DI INVIARE LA CHIAVE SEGRETA IN UN CANALE SICURO

TESTO CIFRATO

TESTO IN CHIARO

CIFRATURA DECIFRATURA

Crittografia a chiave simmetrica o privataPiù precisamente con il termine di crittografia a “chiave simmetrica o privata” si intende una tecnica di cifratura che utilizza una sola chiave sia per l'operazione di cifratura di un messaggio che per quella di decifratura.

Questo significa che sia il mittente che il destinatario debbano conoscere questa unica chiave segreta: l’aspetto critico di questa tecnica crittografica risiede proprio nella segretezza dell'unica chiave utilizzata dai due interlocutori (oltre che nella scelta di una buona chiave e nella resistenza dell'algoritmo agli attacchi di crittanalisi).

La crittografia a chiave simmetrica presenta anche ulteriori debolezze:• la necessità di comunicare la chiave segreta attraverso un canale sicuro;• l’impossibilità di fornire una garanzia sulla “non ripudiabilità” del messaggio;• difficoltà di gestione di più chiavi segrete, laddove si operi in un contesto di

comunicazioni via rete (infatti il numero delle chiavi segrete crescerebbe inmaniera quadratica per ogni destinatario con cui si volesse instaurare unacomunicazione confidenziale).

73


Crittografia: chiave Asimmetrica

4) IL DOCUMENTO COSÌ CODIFICATO PUÒ ESSERE DECODIFICATOSOLO CON LA CHIAVE PRIVATA DI ROSSI

CHIAVE PUBBLICAdel Sig. Rossi

Sig. Rossi

CHIAVE PRIVATA del Sig. Rossi

Sig. Bianchi

3) BIANCHI CODIFICA IL DOCUMENTO CON LA CHIAVE PUBBLICA DI ROSSI

2) ROSSI DISTRIBUISCE LA CHIAVE PUBBLICA A BIANCHI

1) ROSSI POSSIEDE 2 CHIAVI: PUBBLICA E PRIVATA

Crittografia a chiave asimmetrica

La crittografia a “chiavi asimmetriche”, conosciuta anche come crittografia a “chiave pubblica”, è un metodo che si basa sul fatto che si utilizza una coppia di chiavicorrelate tra loro, una per cifrare il messaggio, l’altra per decifrarlo (la prima proposta concreta di utilizzo della crittografia a chiave asimmetrica o pubblica, risale ad un lavoro di Diffie e Hellman pubblicato nel 1976).

Un messaggio cifrato con la prima chiave della coppia può essere decifrato esclusivamente con la seconda.

Inoltre la conoscenza di una delle due chiavi non concede alcuna informazione utile alla ricostruzione dell’altra.

Vediamo ora come possiamo utilizzare questa tecnica per scambiare informazioni riservate. Come prima cosa ci dobbiamo procurare una coppia di chiavi pubblica/privata. Mentre conserveremo gelosamente la chiave privata, daremo a tutti i nostri corrispondenti la chiave pubblica. Anzi potremmo anche depositarla in appositi archivi pubblici, a disposizione di chi la desideri (è importante che la chiave pubblica sia liberamente accessibile a chiunque voglia comunicare con noi).

A questo punto il gioco è fatto: chiunque voglia inviarci un messaggio non decifrabile da altri, è sufficiente che codifichi il messaggio con la nostra chiave pubblica e ce lo trasmetta. Solo noi potemmo decifrare quel messaggio, mediante la nostra chiave privata.

74


FIRMA DIGITALE

LA FIRMA DIGITALE È UN SISTEMA CHE CONSENTE:

UTILIZZA LA TECNICA DELLE CHIAVI PUBBLICA E PRIVATA

• ALL’AUTORE DI UN DOCUMENTO INFORMATICO DIRENDERNE MANIFESTA L'AUTENTICITÀ(ANALOGAMENTE A QUANTO AVVIENE APPONENDO LA FIRMAAUTOGRAFA SU UN DOCUMENTO CARTACEO);

• AL DESTINATARIO DEL DOCUMENTO DI VERIFICARNELA PROVENIENZA E L'INTEGRITÀ.

Firma digitale

Un altro possibile utilizzo della crittografia a chiave asimmetrica riguarda l'idea di “firma digitale” ovvero il caso in cui il mittente voglia firmare il documento in modo che possa rivendicarne la proprietà.

Per ottenere questo è sufficiente che il mittente cifri un messaggio con la propria chiave privata. Il destinatario, una volta ricevuto tale messaggio, può decifrarlo solo con la chiave pubblica relativa a quel particolare mittente (della quale deve essere preventivamente a conoscenza), per cui può risalire con certezza alla sua identità. Infatti la chiave pubblica di un utente è la sola in grado di poter decodificare correttamente i documenti codificati con la chiave privata di quell'utente.

75


Certificazione di un documento

Rossi “firma” undocumento con

la sua Chiave Privata

ENTE CERTIFICATORE

Sig.ra Bianchi

Ente a

ccer

ta id

entit

à di R

ossi

e gen

era u

n Cer

tific

ato D

igita

le Bianchi chiede a Ente il

Certificato Digitale di Rossi

(contiene la sua Chiave Pubblica)Sig. Rossi

Rossi invia Bianchi un documento “firmato” con la sua Chiave Privata

Con la Chiave Pubblica di Rossi legge il documento: è certa che è stato inviato da Rossi

Certificazione di un documento

Dovendo inviare a qualcuno un documento informatico, dovremo poter garantire al destinatario 1) che il documento proviene da noi, 2) che il documento ricevuto è integro (ovvero che il documento non ha subito modifiche durante la trasmissione).

Utilizzando la firma digitale, è possibile raggiungere questi due obiettivi:a) con l'ausilio di una "funzione pubblica di hash“ ricaviamo l'impronta digitale del

documento (message digest), ovvero un file di dimensione fissa che riassume leinformazioni contenute nel documento (la funzione hash, è fatta in modo darendere minima la probabilità che da testi diversi si possa ottenere il medesimovalore dell'impronta e che dall'impronta sia possibile ottenere nuovamente il testooriginario);

b) utilizziamo la nostra chiave privata per codificare quest'impronta: il risultato di questa codifica è la creazione di una “firma” che dipende dall'impronta digitaledel documento (e quindi dal documento stesso) oltre che dalla chiave privata;

c) come ultimo passo alleghiamo al documento la firma così ottenuta.

Il destinatario, per verificare l'autenticità del documento ricevuto:d) decodifica la firma del documento con la chiave pubblica del mittente,

ottenendo l'impronta digitale del documento; la titolarità della chiave pubblicaè garantita da un terzo al di sopra delle parti, l’ENTE CERTIFICATORE;

e) confronta questa con quella che si ottiene applicando la funzione hash, pubblica, al documento; se le due impronte sono uguali, l'autenticità e l’integrità del documento sono garantite.

76


Valore giuridico della firma digitale in Italia

FIRMA DIGITALE

SI TRATTA DI SOGGETTI CON PARTICOLARI REQUISITI DI ONORABILITÀ (ACCREDITATI PRESSO IL CNIPA) CHE TENGONO REGISTRI DELLE CHIAVI PUBBLICHE

PRESSO QUESTI ENTI È POSSIBILE VERIFICARE LA TITOLARITÀ DEL FIRMATARIO DI UN DOCUMENTO ELETTRONICO

IL DECRETO LEGISLATIVO 82/2005 EQUIPARA IL DOCUMENTO INFORMATICO SOTTOSCRITTO CON FIRMA DIGITALE ALLA SCRITTURA PRIVATA SOTTOSCRITTA CON FIRMA AUTOGRAFA

FIRMA SU CARTA=

LA TITOLARITÀ DELLA FIRMA DIGITALE È GARANTITA DAGLI ENTI "CERTIFICATORI“

La firma digitale nella nostra legislazione

Il DL 5 marzo 2005, n. 82, all'articolo 1, distingue i seguenti concetti:a) "firma elettronica" : qualunque sistema di autenticazione del documento

informatico;b) "firma elettronica qualificata“: è una firma elettronica che, mediante la

certificazione di un terzo, permette di identificare in modo univoco il titolare;c) La "firma digitale", è una particolare specie di "firma elettronica qualificata",

basata sulla tecnologia della crittografia a chiavi asimmetriche (di fatto, però,nella realtà concreta, la firma digitale è l'unico tipo di firma elettronicaqualificata oggi utilizzata, per cui i due concetti tendono a coincidere).

Nell'ordinamento giuridico italiano (DL 82/200) la firma digitale è riconosciuta ed equiparata a tutti gli effetti di legge alla firma autografa su carta, equiparando così il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa.

La titolarità della firma digitale è garantita dai "certificatori“ (ovvero soggetti con particolari requisiti di onorabilità, accreditati presso il CNIPA-Centro nazionale per l'informatica nelle pubbliche amministrazioni), che tengono registri delle chiavi pubbliche e presso i quali è possibile verificare la titolarità del firmatario di un documento elettronico (per esempio, un certificatore è l'ente "Poste Italiane").

77


VPN: Virtual Private Network

UNA VPN È UNA RETE PRIVATA INSTAURATA TRA DUE HOST, UTILIZZANDO UN MEZZO DI TRASMISSIONE PUBBLICO (PER ESEMPIO INTERNET)

INTERNET

PER RENDERE SICURE LE RETI VPN, SI SONO ADOTTATI DEI PROTOCOLLI CHE PROVVEDONO A CIFRARE IL TRAFFICO TRANSITANTE SULLA VPN E IMPEDISCONO VIOLAZIONI DELLA SICUREZZA COME AD ESEMPIO L'ALTERAZIONE DEI MESSAGGI

VPN

Il traffico che transita sulla rete pubblica, è potenzialmente insicuro, in quanto è trasmesso in "chiaro" utilizzando i normali protocolli di trasmissione, conosciuti anche da soggetti esterni a mittente e destinatario.

Una Virtual Private Network o VPN è una rete privata (virtuale) instaurata da due soggetti, utilizzando un mezzo di trasmissione pubblico e condiviso come può essere per esempio Internet.

Per attivare una VPN si adottano dei protocolli che provvedono a cifrare il traffico transitante sulla VPN stessa, rendendo il colloquio più sicuro. Oltre alla cifratura, una VPN prevede anche dei meccanismi nei suoi protocolli che impediscano violazioni della sicurezza come ad esempio il furto dell'identità digitale o l'alterazione dei messaggi.

Usualmente si ritiene che una VPN, adeguatamente progettata, abbia un grado di sicurezza comparabile con quello di una rete dedicata.

78


AGGIORNAMENTO PROGRAMMI

PATCHPATCH ÈÈ UN TERMINE INGLESE CHE, IN INFORAMATICA, UN TERMINE INGLESE CHE, IN INFORAMATICA, INDICA UN FILE CONTENENTE LE INDICA UN FILE CONTENENTE LE CORREZIONICORREZIONIATTE A RISOLVERE I PROBLEMI OVVERO GLIATTE A RISOLVERE I PROBLEMI OVVERO GLIERRORI DI PROGRAMMAZIONE (BUG),ERRORI DI PROGRAMMAZIONE (BUG), CHECHEIMPEDISCONO IL CORRETTO FUNZIONAMENTOIMPEDISCONO IL CORRETTO FUNZIONAMENTODI UN PROGRAMMA O DI UN SISTEMA OPERATIVODI UN PROGRAMMA O DI UN SISTEMA OPERATIVO

VENGONO RILASCIATE DAGLI STESSI PRODUTTORI, ALLO VENGONO RILASCIATE DAGLI STESSI PRODUTTORI, ALLO SCOPO DI SCOPO DI RIMEDIARE AI BUGRIMEDIARE AI BUG CHE VENGONO CHE VENGONO SCOPERTI SCOPERTI SUCCESSIVEMENTE AL RILASCIOSUCCESSIVEMENTE AL RILASCIO

(IN ATTESA DELLA NUOVA VERSIONE DEL SOFTWARE (IN ATTESA DELLA NUOVA VERSIONE DEL SOFTWARE MEDESIMO)MEDESIMO)

Aggiornamento Programmi

Patch (letteralmente pezza) è un termine inglese che, in informatica, indica un file contenente le correzione da apportare ad un programma, in modo da risolvere i problemi che impediscono il corretto funzionamento del programma stesso.

Generalmente le patch vengono rilasciate dalla società che ha sviluppato il programma, allo scopo di rimediare ai “bug” (ovvero gli errori di programmazione) scoperti successivamente al rilascio del programma e rilevati fino a quel momento, nell'attesa di rilasciare la nuova versione del software medesimo.

Anche Windows, il sistema operativo del nostro personal computer, può aver bisogno di patch: in particolare quelle relative ai problemi di sicurezza vanno installate con tempestività.

79


Windows Update

Data ultima pubblicazione: 11/10/2005Data ultima pubblicazione: 11/10/2005

ÈÈ stato individuato un problema di protezione nel stato individuato un problema di protezione nel componente Guida HTML che potrebbe consentire a un componente Guida HTML che potrebbe consentire a un utente malintenzionato di danneggiare sistemi basati su utente malintenzionato di danneggiare sistemi basati su Microsoft Windows e di ottenere il controllo su di essi.Microsoft Windows e di ottenere il controllo su di essi.

Installando questo aggiornamento fornito da Microsoft Installando questo aggiornamento fornito da Microsoft sarsaràà possibile proteggere il computer. possibile proteggere il computer.

Al termine dell'installazione, potrebbe essere necessario Al termine dell'installazione, potrebbe essere necessario riavviare il computer.riavviare il computer.

Dimensioni del download tipiche: 564 KB Dimensioni del download tipiche: 564 KB

Windows Update è il software che, all’interno del sistema operativo, permette di verificare la presenza di patch e di installarle. Di seguito alcuni esempi.

Data ultima pubblicazione: 8/11/2005 Dimensioni del download : 534 KB

È stato individuato un problema di protezione relativo all'esecuzione di codice in remoto nel motore di rendering grafico che potrebbe consentire a chi effettua un attacco di danneggiare in remoto sistemi basati su Microsoft Windows e di ottenere il controllo su di essi. Installando questo aggiornamento fornito da Microsoft sarà possibile proteggere il computer. Al termine dell'installazione, potrebbe essere necessario riavviare il computer.

Data ultima pubblicazione: 12/8/2005 Dimensioni del download : 512 KB

È stato individuato un problema di protezione nell'ambito del servizio Spooler di stampa che potrebbe consentire a un utente malintenzionato didanneggiare sistemi basati su Microsoft Windows e di ottenere il controllo su di essi. Installando questo aggiornamento fornito da Microsoft ...

Data ultima pubblicazione: 11/10/2005 Dimensioni del download: 564 KB

È stato individuato un problema di protezione nel componente Guida HTML che potrebbe consentire a un utente malintenzionato di danneggiare sistemi basati su Microsoft Windows e di ottenere il controllo su di essi. Installando questo aggiornamento fornito da Microsoft ...

80


SIMULARE UN ATTACCO…

OVVEROOVVERO……

UTILIZZO DI PROGRAMMI E SITI CHE SVOLGONO LE UTILIZZO DI PROGRAMMI E SITI CHE SVOLGONO LE STESSE OPERAZIONI CHE NORMALMENTE COMPIEREBBE STESSE OPERAZIONI CHE NORMALMENTE COMPIEREBBE UN AGGRESSOREUN AGGRESSORE

AUTORILEVAZIONE DELLE VULNERABILITAUTORILEVAZIONE DELLE VULNERABILITÀÀ

https://grc.comhttps://grc.com

http://www.symantec.it/region/it/avcenter/http://www.symantec.it/region/it/avcenter/

Simulazione di un attacco

La simulazioni di attacchi dall’esterno è un ottimo modo per verificare la sicurezza di un sistema collegato ad Internet.

Sulla rete si trovano siti che, su richiesta, compiono le stesse operazioni che normalmente compierebbe un aggressore, evidenziando così eventuali falle in termini di sicurezza.

81


BACKUP

I I DATIDATI SONO IL SONO IL PATRIMONIOPATRIMONIO DELLDELL’’AZIENDA. AZIENDA.

BACKUP: con questo termine si identificano tutte quelle operazioni che hanno lo scopo di realizzare una copia di riserva, su dispositivi di memorizzazione esterni, di tutti i dati ritenuti importanti

BACKUPBACKUP: con questo termine si identificano : con questo termine si identificano tutte quelle operazioni che hanno lo scopo di tutte quelle operazioni che hanno lo scopo di realizzare una realizzare una copia di riservacopia di riserva, su dispositivi di , su dispositivi di memorizzazione esterni, di tutti i memorizzazione esterni, di tutti i dati ritenuti dati ritenuti importantiimportanti

I I PERICOLIPERICOLI VENGONO DA VENGONO DA -- FATTORI NATURALIFATTORI NATURALI (INCENDI, TERREMOTI,(INCENDI, TERREMOTI,……))-- FATTORI UMANI CASUALIFATTORI UMANI CASUALI (INESPERIENZA DEGLI UTENTI)(INESPERIENZA DEGLI UTENTI)-- FATTORI UMANI VOLONTARIFATTORI UMANI VOLONTARI

A) VENDETTE DA PARTE DI PERSONALE INTERNO (50%)A) VENDETTE DA PARTE DI PERSONALE INTERNO (50%)B) ATTACCHI DALLB) ATTACCHI DALL’’ESTERNO (50%)ESTERNO (50%)

BACKUP è un termine che, in ambito informatico, indica un'importante operazione tesa a realizzare, su dispositivi di memorizzazione esterni, copie di riserva di tutti i dati (dati e programmi) presenti sui dischi di una stazione di lavoro o di un server. Ovviamente il backup viene eseguito sui dati ritenuti importanti per l’uso che ne viene fatto.

L'attività di backup è un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, incendi, ecc, il backup consente infatti di recuperare i dati persi. Nel caso di server o di database, questo recupero puòessere essenziale per il lavoro di molte persone.

Anche nei personal computer di uso privato sono consigliabili periodiche operazioni di backup. Come supporto si possono usare supporti ottici o magnetici (CD riscrivibili, DVD riscrivibili, DAT, cartucce a nastro). Sono ormai in disuso i floppy disk per la scarsa affidabilità e la limitata capacità.

Tre sono gli aspetti importanti da prendere in esame quando si deve organizzare l’attività di backup:

• periodicità ovvero quando fare il backup (giornaliero, settimanale,quando serve);

• metodo di utilizzo dei supporti (ad es. pari e dispari) ;• custodia dei supporti usati per il backup.

82


Backup: come realizzarlo

GLI ASPETTI DA TENER PRESENTE PER REALIZZARE UN GLI ASPETTI DA TENER PRESENTE PER REALIZZARE UN ““BUONBUON”” BACKUP:BACKUP:

METODO DI SALVATAGGIO:METODO DI SALVATAGGIO:-- PARI E DISPARIPARI E DISPARI-- GIORNI DELLA SETTIMANAGIORNI DELLA SETTIMANA

CUSTODIA DEI SUPPORTI USATICUSTODIA DEI SUPPORTI USATI-- LUOGO SICUROLUOGO SICURO-- DIVERSO DA DOVE RISIEDE LDIVERSO DA DOVE RISIEDE L’’HOSTHOST

TEMPI:TEMPI:-- AL TERMINE DELLA GIORNATA LAVORATIVAAL TERMINE DELLA GIORNATA LAVORATIVA-- PRIMA DI PARTICOLARI ELABORAZIONIPRIMA DI PARTICOLARI ELABORAZIONI

Realizzare il backup

Il tipo di backup da utilizzare e la relativa periodicità sono solitamente regolati da apposite procedure aziendali.

Normalmente il backup viene svolto con una periodicità stabilita, per esempio:• una volta al giorno• una volta alla settimana (solo in particolari casi)• oppure prima di particolari elaborazioni, in modo da avere la possibilitàdi ripristinare la situazione iniziale in caso di errori procedurali durantel’elaborazione stessa.

Anche i supporti (ad esempio le cassette magnetiche) utilizzati per il backup sono soggetti a precise regole. Ad esempio, nel caso di backup giornaliero (il più frequente nei sistemi gestionali) si utilizzano tante cassette, quanti sono i giorni lavorativi: una cassetta per il backup del Lunedì, una per il Martedì e così via. Nel caso sia necessario ripristinare i dati, si ha la possibilità di scegliere il giorno da cui ripartire.

La conservazione dei supporti di backup in posizioni fisicamente distinte e separate dai sistemi in uso è strettamente necessaria, per evitare che in caso di furto, incendio, alluvione o altro evento catastrofico, le copie vadano perse insieme agli originali.

83


RAID

LA TECNOLOGIA RAID PERMETTE DI OTTENERE UNA LA TECNOLOGIA RAID PERMETTE DI OTTENERE UNA MAGGIOR SICUREZZA DEI SUPPORTI DI MEMORIZZAZIONEMAGGIOR SICUREZZA DEI SUPPORTI DI MEMORIZZAZIONE

IL BACKUP GARANTISCE LA SICUREZZA DEI DATI, MA IL BACKUP GARANTISCE LA SICUREZZA DEI DATI, MA NON LA CONTINUITNON LA CONTINUITÀÀ DEL SERVIZIO E LA RIPARTENZA DEL SERVIZIO E LA RIPARTENZA PUPUÒÒ ESSERE LUNGAESSERE LUNGA

I LIVELLI DI RAID NORMALMENTE USATI SONO:I LIVELLI DI RAID NORMALMENTE USATI SONO:

RAID 1 : DENOMINATO ANCHE MIRRORING, IN CUI I DATI VENGONO SCRITTI CONTEMPORANEAMENTE SU 2 DISCHIRAID 1 :RAID 1 : DENOMINATO ANCHE DENOMINATO ANCHE MIRRORINGMIRRORING, IN CUI I DATI , IN CUI I DATI VENGONO SCRITTI CONTEMPORANEAMENTE SU 2 DISCHIVENGONO SCRITTI CONTEMPORANEAMENTE SU 2 DISCHI

RAID 5 : IN CUI I DATI SONO DISTRIBUITI TRA TUTTI I DISCHI, IN FORMA RIDONDANTE; SE SI ROMPE UN DISCO, ATTRAVERSO I RESTANTI SI PUÒ RICOSTRUIRE L’INTERO DATA BASE

RAID 5 :RAID 5 : IN CUI I DATI SONO DISTRIBUITI TRA TUTTI I IN CUI I DATI SONO DISTRIBUITI TRA TUTTI I DISCHI, IN FORMA RIDONDANTE; SE SI ROMPE UN DISCO, DISCHI, IN FORMA RIDONDANTE; SE SI ROMPE UN DISCO, ATTRAVERSO I RESTANTI SI PUATTRAVERSO I RESTANTI SI PUÒÒ RICOSTRUIRE LRICOSTRUIRE L’’INTERO INTERO DATA BASEDATA BASE

Raid

Partendo dalle due seguenti considerazioni:1 - i dati aziendali conservati in un disco sono vitali, 2 - quel disco prima o poi si danneggerà,

abbiamo individuato nel BACKUP lo strumento che ci può mettere al riparo dalla perdita totale dei dati memorizzati sul disco.

In caso di guasto, il backup ci permette il recupero dei dati, ma non la continuitàdel servizio. il sistema di elaborazione resterà inattivo per tutto il tempo necessario per la riparazione, e questo, in molte situazioni, non è accettabile.

La tecnologia che ci può garantire la continuità del servizio, a fronte di un guasto hardware, è la “tecnologia RAID”. L’architettura RAID prevede più livelli (da 0 a 5), anche se operativamente vengono usati i seguenti 2 livelli:

RAID 1 : denominato anche MIRRORING, in cui i dati vengono scritti contemporaneamente su 2 dischi; se uno si rompe, il sistema può seguitare a funzionare con l’altro;

RAID 5 : in cui i dati sono distribuiti tra tutti i dischi, in forma ridondante; se si rompe un disco, attraverso i restanti si può rapidamente ricostruire la parte persa garantendo così una continuità di funzionamento.

L’utilizzo del Raid presuppone che venga comunqueeffettuata una corretta attività di Backup

84


UPS (Uninterruptible Power Supply)

GRUPPO ELETTROGENOGRUPPO ELETTROGENO

IN PRESENZA DI ENERGIA ELETTRICA:IN PRESENZA DI ENERGIA ELETTRICA:

PROTEGGE IL SISTEMA DI CALCOLO DALLE VARIAZIONI DI PROTEGGE IL SISTEMA DI CALCOLO DALLE VARIAZIONI DI TENSIONE PRESENTI IN RETE E DALLE MICRO INTERRUZIONITENSIONE PRESENTI IN RETE E DALLE MICRO INTERRUZIONI

1.1. AL RIPRISTINO DELLA NORMALE ALIMENTAZIONE (~30 min)AL RIPRISTINO DELLA NORMALE ALIMENTAZIONE (~30 min)

2.2. PER UNA REGOLARE CHIUSURA DELLE OPERAZIONIPER UNA REGOLARE CHIUSURA DELLE OPERAZIONI

IN MANCANZA DI ENERGIA ELETTRICA:IN MANCANZA DI ENERGIA ELETTRICA:

PROVVEDE AD ALIMENTARE IL COMPUTER PER UN TEMPO PROVVEDE AD ALIMENTARE IL COMPUTER PER UN TEMPO SUFFICIENTE SUFFICIENTE

GRUPPO DI CONTINUITGRUPPO DI CONTINUITÀÀ::

PER UNA CONTINUITPER UNA CONTINUITÀÀ DI SERVIZIO OCCORRE AVERE UN:DI SERVIZIO OCCORRE AVERE UN:

Gruppo di continuità o UPSUn gruppo di continuità (detto anche UPS, dall'Inglese Uninterruptible Power Supply) è un'apparecchiatura che svolge due importanti funzioni:

- in presenza di energia elettrica, protegge il sistema di calcolo dalle variazionidi tensione presenti in rete e dalle micro interruzioni;

- in mancanza di energia elettrica, provvede ad alimentare il computer per untempo sufficiente a permettere la regolare chiusura delle operazioni (questeoperazioni di chiusura di un computer, eseguite in maniera ordinata, sonoanche chiamata “shutdown”).

Un gruppo di continuità è indispensabile nelle zone in cui si producono frequenti e sistematici black-out.

Gruppo elettrogenoIl gruppo di continuità può far fronte alla mancanza di corrente per poche decine di minuti; per avere una continuità di servizio, anche nel caso di una mancanza prolungata di energia elettrica, occorre dotarsi anche di un:

gruppo elettrogeno

Un gruppo elettrogeno è una speciale unità, alimentata a benzina o a gasolio, in grado di produrre autonomamente l’energia elettrica necessaria al funzionamento del sistema di calcolo.

85


BUSINESS CONTINUITY

SE IL SISTEMA SI SE IL SISTEMA SI ““FERMAFERMA””, LA RIPARTENZA PU, LA RIPARTENZA PUÒÒ ESSERE LUNGAESSERE LUNGA

Viene fatto un backup in tempo Viene fatto un backup in tempo reale sul sistema remotoreale sul sistema remoto

IL BUSINESS CONTINUITY GARANTISCE LACONTINUITÀ DEL SERVIZIOIL BUSINESS CONTINUITY GARANTISCE LACONTINUITÀ DEL SERVIZIO

HOST REMOTOHOST REMOTO(su cui viene fatto il (su cui viene fatto il

backup in tempo reale)backup in tempo reale)

HOST HOST LOCALELOCALE

INTERNET

Se il sistema locale Se il sistema locale ““cadecade””interviene il sistema remotointerviene il sistema remoto

Business Continuity

In alcuni casi anche un “fermo macchina” di poche ore non è accettabile.

Per garantire una continuità di servizio nei casi in cui a guastarsi sia un qualunque componente del sistema di calcolo, si ricorre ad una architettura definita “Business Continuity”. La configurazione ed il funzionamento del Business Continuity sono descritti nei punti seguenti:

• al sistema di calcolo (che chiameremo “host locale”) è collegato, tramite rete,un secondo sistema di pari caratteristiche;

• questo secondo sistema (chiamato “host remoto”) è solitamente posto, per motivi di sicurezza, in un sito diverso da quello in cui è collocato il sistema locale;

• durante il normale funzionamento, il sistema locale effettua, in tempo reale,un backup dei dati sul sistema remoto;

• in caso di guasto al sistema locale, nel giro di pochi secondi, si può attivareimmediatamente il sistema remoto.

Documents

2485_teoria Cap 6_2-Internet 3-Sicurezza Rev 3