Sicurezza informatica (seconda parte)

Sicurezza dei sistemi
informatici
Seconda parte: le difese
Appunti preparati dal
prof. Ing. Mario
Catalano per gli studenti
dell’ITI “E. Medi” in S.
Giorgio a Cremano (NA)
Vettori di pericoli correlati
a software dannoso
• Esistono diversi metodi con cui un'applicazione software
dannosa può compromettere una rete. Questi metodi vengono
talvolta definiti come vettori di pericoli e rappresentano le aree
all'interno dell'ambiente in uso che richiedono particolare
attenzione durante la progettazione di una soluzione antivirus
efficace. Nel seguente elenco sono riportate le aree
maggiormente esposte al rischio di attacchi di software
dannoso all'interno di organizzazioni tipiche.
• Reti esterne: qualsiasi rete esterna deve essere considerata
come origine potenziale di attacchi di software dannoso.
Tuttavia, Internet costituisce di gran lunga il maggiore pericolo
correlato al software dannoso. L'anonimato e la connettività
forniti da Internet consente a utenti malintenzionati di ottenere
un accesso rapido ed efficace a molte destinazioni allo scopo
di sferrare attacchi mediante l'uso di codice dannoso.
• Client guest: con il continuo espandersi dell'uso di computer
portatili e dispositivi mobili all'interno delle aziende, i dispositivi
vengono spostati regolarmente all'interno e all'esterno delle
infrastrutture dell'organizzazione. Se non dispongono di difese
antivirus efficaci, i client guest rappresenteranno per
l'organizzazione agenti di pericoli correlati a software
dannoso.
• File eseguibili: qualsiasi codice eseguibile è in grado di
svolgere la funzione di software dannoso. Esempi di
software dannoso comprendono non solo programmi, ma
anche script, file batch e oggetti attivi, quali i controlli
ActiveX.
• Documenti: poiché sono diventate sempre più potenti, le
applicazioni di fogli di calcolo ed elaborazione testi
rappresentano oggi i principali obiettivi degli autori di
software dannoso. Infatti, il supporto fornito per i linguaggi
macro rende molte applicazioni potenziali bersagli di
attacchi di software dannoso.
• Posta elettronica: gli autori di software dannoso
possono sfruttare come metodi di attacco sia gli allegati
di posta elettronica che il codice HTML (Hypertext
Markup Language) attivo all'interno dei messaggi di
posta elettronica.
• Supporti rimovibili (pen drive e schede di memoria):
il trasferimento di file tramite supporti rimovibili
rappresenta un problema che le organizzazioni devono
affrontare durante lo sviluppo delle relative difese
antivirus.
Protezione client
• Quando un'applicazione software dannosa
raggiunge un computer host, i sistemi di
difesa devono essere mirati a proteggere il
sistema host e i relativi dati e a impedire la
diffusione dell'infezione.
• Esistono numerosi approcci e tecnologie
che è possibile utilizzare per le
configurazioni antivirus dei client.
Ridurre la superficie di attacco
• La prima linea di difesa a livello di
applicazione prevede la riduzione
della superficie di attacco del
computer. Per ridurre al minimo i
numerosi modi con cui un autore
di attacchi potrebbe sfruttare il
sistema, è consigliabile rimuovere
o disattivare sul computer tutte le
applicazioni o i servizi non
necessari.
Scansione antivirus
• Una volta ridotta al minimo la superficie di attacco, la
principale difesa da utilizzare a questo livello è
rappresentata da uno strumento di scansione antivirus. Il
ruolo principale dello strumento di scansione consiste nel
rilevare e impedire un attacco e nell'informare l'utente e
probabilmente gli amministratori del sistema di
un'eventuale violazione della protezione.
Applicare gli aggiornamenti della
protezione
• La possibilità di connettere un'ampia gamma di computer
client alle reti di un'organizzazione può rendere difficoltosa
la fornitura di un servizio di gestione degli aggiornamenti
di protezione veloce e affidabile.
• Windows Update: per le organizzazioni di piccole
dimensioni o i singoli utenti, il servizio Windows Update
fornisce un processo automatico e manuale per il
rilevamento e il download delle modifiche più recenti della
protezione e delle funzionalità per la piattaforma Windows.
Attivare un firewall personale
• Il firewall personale rappresenta un importante
livello di difesa dei client che è consigliabile
attivare, in particolare sui computer portatili che
potrebbe essere portati dagli utenti all'esterno degli
usuali sistemi di difesa fisica e della rete. Questi
firewall filtrano tutti i dati che si tenta di immettere o
di prelevare da uno specifico computer host.
Eseguire il test con strumenti di
scansione delle vulnerabilità
• Una volta configurato un sistema, è consigliabile
controllarlo periodicamente per assicurarsi che siano
stati eliminati tutti i punti deboli della protezione. Per
semplificare l'esecuzione di questo processo, è
possibile utilizzare numerose applicazioni che fungono
da strumenti di scansione al fine di individuare eventuali
punti deboli che software dannosi e pirati informatici
potrebbero tentare di sfruttare.
Utilizzare criteri con privilegi minimi
• Un'altra area da non trascurare tra i sistemi di
protezione dei client è rappresentata dai privilegi
assegnati agli utenti in situazioni di normale
operatività. E’ consigliabile adottare un criterio che
fornisca il minor numero di privilegi possibile per
consentire di ridurre al minimo l'impatto di software
dannosi che si basano sullo sfruttamento dei privilegi
utente durante l'esecuzione.
Limitare l'accesso da parte di
applicazioni non autorizzate
• Se un'applicazione fornisce un servizio alla rete, quale
un servizio Web, potrebbe diventare il bersaglio di un
attacco di software dannoso. E’ opportuno prendere in
considerazione la creazione di un elenco di
applicazioni autorizzate nell'organizzazione. I tentativi
di installare un'applicazione non autorizzata in uno dei
computer client in uso potrebbe esporre tutti i client e i
dati in essi contenuti a un più elevato elevato rischio di
attacchi di software dannosi.
Impostazioni per applicazioni client
Applicazioni per desktop
• Essendo sempre più potenti, le applicazioni per desktop
sono diventate oggi i principali bersagli di attacchi di
software dannoso. Per replicarsi, i virus macro utilizzano
i file creati da applicazioni di elaborazione testi, fogli di
calcolo o altre applicazioni abilitate per le macro.
• È opportuno intraprendere le misure necessarie ove
possibile per far sì che le impostazioni di protezione più
appropriate vengano attivate in tutte le applicazioni
nell'ambiente in uso che gestiscono questi file.
Impostazioni per applicazioni client
• I firewall di rete possono bloccare i trasferimenti di file
semplicemente filtrando le porte utilizzate per questa
comunicazione. Pertanto, se il firewall perimetrale blocca
queste porte, non sarà possibile eseguire il trasferimento
dei file tramite un'applicazione. Per questo motivo, è
opportuno configurare il firewall basato su host nei client in
uso per il blocco di queste porte.
• Se non si è in grado di bloccare queste porte perché
utilizzate da applicazioni richieste o perché il trasferimento
dei file è necessario, si consiglia di analizzare tutti i file per
verificare la presenza di eventuale software dannoso
prima di eseguirne il trasferimento.
Impostazioni per applicazioni client
• Applicazioni di messaggistica immediata
Sebbene abbia consentito di migliorare le comunicazioni degli
utenti in tutto il mondo, tuttavia, il meccanismo di
messaggistica immediata ha anche fornito un'altra
applicazione che è potenzialmente in grado di consentire al
software dannoso di insediarsi nel sistema. Sebbene i
messaggi di testo non costituiscano un pericolo di software
dannoso diretto, la maggior parte dei client di messaggistica
immediata forniscono ulteriori funzionalità di trasferimento
dei file per migliorare le capacità di comunicazione degli
utenti. Il supporto dei trasferimenti di file fornisce un mezzo
diretto alla rete di un'organizzazione per potenziali attacchi
di software dannoso.
Impostazioni per
applicazioni client
Browser
• Prima di scaricare o eseguire codice da Internet, assicurarsi
che provenga da un'origine conosciuta e affidabile. È
opportuno che gli utenti non facciano affidamento
semplicemente sull'aspetto o sull'indirizzo del sito, in quanto
gli indirizzi e le pagine Web possono essere contraffatti.
• Sono state sviluppate numerose tecniche e tecnologie che
consentono all'applicazione browser di un utente di
determinare l'affidabilità del sito Web che si sta esplorando.
• Per verificare l'identità del codice scaricato, è stata
sviluppata una tecnologia che consente di verificare che il
codice contenga un certificato valido, che l'identità
dell'autore del software corrisponda al certificato e che il
certificato sia ancora valido. Se tutti questi test vengono
superati, il rischio che un utente malintenzionato trasferisca
codice dannoso nel sistema risulterà ridotto.
Impostazioni per
applicazioni client
• Applicazioni peer-to-peer
• L'avvento delle applicazioni peer-to-peer (P2P) per
Internet ha semplificato più che mai la ricerca e lo
scambio di file con altri utenti. Sfortunatamente, questa
situazione ha favorito numerosi attacchi di software
dannoso che tentano di utilizzare queste applicazioni
per replicare i file sui computer di altri utenti. Esistono
molti altri esempi di software dannosi che tentano di
utilizzare applicazioni peer-to-peer.
• I problemi di protezione correlati alle applicazioni P2P
sono strettamente correlati alla capacità di queste
applicazioni di fornire un routing diretto da un computer
all'altro attraverso cui è possibile trasmettere il
contenuto eludendo i controlli di protezione appropriati.
Impostazioni antivirus per
applicazioni client
• Applicazioni peer-to-peer
Se possibile, si consiglia di limitare il numero di client che
utilizzano queste applicazioni. Per impedire agli utenti di
eseguire applicazioni peer-to-peer, è possibile utilizzare i
criteri di restrizione software illustrati in precedenza. Se
non è possibile eseguire questa operazione nel proprio
ambiente, assicurarsi che i criteri antivirus prendano in
considerazione il maggiore rischio a cui i client sono
esposti a causa di queste applicazioni.
Software antivirus
• Il software antivirus è scritto
specificamente per difendere un sistema
contro i pericoli presentati dal software
dannoso.
• Esiste una serie di tecniche utilizzate dal
software antivirus per rilevare il software
dannoso.
• Molti produttori di software antivirus
usano attualmente una combinazione di
queste tecniche nelle soluzioni antivirus
create, nel tentativo di migliorare il livello
di protezione generale dei sistemi di
computer dei clienti.
Scansione delle firme
La maggior parte dei programmi di software antivirus utilizza
attualmente questa tecnica, che prevede la ricerca di uno
schema che possa rappresentare software dannoso nella
destinazione (computer host, unità disco o file).
Questi schemi sono in genere memorizzati in file cui viene fatto
riferimento come file di firma, aggiornati regolarmente dai
fornitori di software per assicurare che le funzioni di scansione
antivirus riconoscano il numero maggiore possibile di attacchi di
software dannoso conosciuto.
Il problema principale con questa tecnica è che il software
antivirus deve essere già aggiornato per contrastare il software
dannoso prima che la funzione di scansione lo riconosca.
Scansione euristica
• Questa tecnica tenta di rilevare
forme note e nuove di software
dannoso cercandone le
caratteristiche generali. Il
vantaggio principale di questa
tecnica è che non si basa sui
file delle firme per identificare e
contrastare il software
dannoso. Tuttavia, la scansione
euristica presenta una serie di
problemi specifici, tra i quali:
Problemi della scansione
euristica
• Falsi positivi: questa tecnica usa caratteristiche
generali del software ed è pertanto possibile che segnali
software legittimo come software dannoso se le
caratteristiche sono simili in entrambi i casi.
• Scansione più lenta: il processo di ricerca delle
caratteristiche è più difficile rispetto alla ricerca di uno
schema di software dannoso già noto. Per questa
ragione, per la la scansione euristica può essere
necessario più tempo rispetto alla scansione delle firme.
• Nuove caratteristiche possono essere saltate: se
l'attacco di un nuovo software dannoso presenta
caratteristiche non identificate in precedenza, è possibile
che la scansione euristica le salti fino a quando non sarà
aggiornata.
Blocco del funzionamento
• Questa tecnica si basa sul funzionamento del codice
dannoso anziché sul codice stesso. Se ad esempio
un'applicazione tenta di aprire una porta di rete, un
programma antivirus con blocco del funzionamento
potrebbe individuare questa come una tipica attività di
software dannoso e contrassegnare quindi il
comportamento come possibile attacco di software
dannoso.
Funzionalità di un antivirus
verifica della integrità del settore di boot e dei file di sistema
durante la fase iniziale di avvio del sistema;
scansione in tempo reale della memoria e dei file e degli
allegati alla posta;
capacità di individuazione delle altre tipologie di codice
nocivo;
rilascio da parte del produttore di frequenti aggiornamenti del
file delle firme;
capacità di isolare i file infetti per i quali il prodotto non sia in
grado di compiere operazioni di pulizia;
Accorgersi del virus
•
•
È stato stimato che oltre il 60% dei
computer di tutto il mondo ha qualche
tipo di malware installato e il proprietario
non sa di averlo. Quali sono i sintomi
che un computer ha quando è infettato?
Ecco i 10 sintomi più comuni.
Browser modificato: Generalmente la
pagina iniziale non è quella solita a cui
siete abituati ma è una diversa.
Moltissimi programmi amano cambiare
questa impostazione per raccogliere
nuovi utenti e possibili clienti.
Accorgersi del virus
•
•
Il computer crasha: senza avvisaglie, il computer
incomincia a crashare o bloccarsi, ma voi non avete
installato nuovi software o fatto nuovi aggiornamenti sia
software che hardware. In questo caso le spiegazioni sono
2: o c’è un problema di tipo hardware come la ram o un hard
disk che si stanno rompendo oppure c’è un virus o qualche
altro genere di malware che fa il dispettoso.
Pop-Up: Se apriamo il browser e all’improvviso appaiono
finestre su finestre che coprono addirittura tutto lo schermo
contenente pubblicità di Casinò, giochi on-line, del Porno o
un ipotetico software antivirus allora si è infetti. Anche
questo genere di infezione è finalizzato ad indirizzare
l’utente verso siti compiacenti per comprare o aderire ad un
servizio poco conveniente per il navigatore.
Accorgersi del virus
•
•
Strani Preferiti o Icone: se vi ritrovate di Preferiti o
icone mai viste nel menù start o sul desktop con
iconcine di stelle, cuoricini, telefoni, ipod, allora anche in
questo caso siamo stati infettati da siti che sfruttando
vulnerabilità nel browser e si auto installano nel sistema.
Strane icone nella Systray: la systray è la barra delle
applicazioni dove c’è l’orologio di Windows. Se notate
strane icone di allarme simili a quelli di windows ma con
testo in inglese allora abbiamo preso un Rogue, un finto
antivirus che fa una finta scansione del sistema e
mostra dei finti virus nel sistema. Per eliminare le finte
minacce bisogna pagare con soldi veri il programma che
a quanto pare è il solo a rilevarle.
Accorgersi del virus
•
•
Appaiono nuovi file o programmi: se all’improvviso
vi ritrovate con software, antivirus o programmi di vario
genere che non avete installato o non vi ricordate di
averlo fatto allora la cosa vi deve far insospettire.
Strane E-mail: Se incominciamo a ricevere e-mail o
contatti in chat che ci domandano come mai gli
abbiamo mandato un file o un link a un sito che non
funzionano e noi siamo completamente all’oscuro,
allora sicuramente abbiamo un virus che sfruttando le
nostre credenziali tenta tramite noi di infettare tutti i
nostri contatti.
Accorgersi del virus
•
Strane Toolbars.
•
Il pc si avvia lentamente: se per qualsiasi
operazione fatta nel computer il mouse è lento, le
finestre si aprono e si spostano con una certa
lentezza e non avete installato nuovo software
nel computer allora vuol dire che “qualcuno” o
qualcosa sta sfruttando le risorse del sistema per
fare i suoi comodi.
L’Hard Disk è in esecuzione tutto il tempo: Se
non sono in corso scansioni di antivirus e
antispyware o di manutenzione come una
deframmentazione allora è un chiaro sintomo che
•
Che cosa è un Firewall
Un firewall è un insieme di componenti che si collocano
tra 2 reti e che possiedono le seguenti proprietà:
• Tutto il traffico di dati entrante ed uscente dalla rete
interna e viceversa deve passare attraverso il firewall.
• Solo il traffico autorizzato può passare impunemente
attraverso il firewall
• Il firewall e' immune (o almeno si spera) alle
penetrazioni illegali
Firewall hardware e software
Firewall Hardware :
componente passivo che opera una difesa perimetrale
della nostra rete locale (LAN).
Firewall Software o personal firewall :
software che viene installato direttamente sul PC da
proteggere. A differenza del firewall hardware, il
personal firewall esegue anche un controllo a livello
programma(monitorizza l’attività di scambio dati da e
verso internet di tutto il software installato nel PC).
Come funziona un firewall
• Costringe ad entrare attraverso un punto ben controllato
• Impedisce agli attaccanti di avvicinarsi troppo alle altre
difese
• Costringe ad uscire attraverso un punto ben controllato
• Nella terminologia militare : un Check-Point!
Firewall
Rete interna
Cosa può fare un Firewall?
• E’ un punto focale per le decisioni inerenti la sicurezza
• Può potenziare le politiche di sicurezza
• Può tener traccia (log) delle attività da e verso Internet
in modo efficiente
• Limita l’esposizione all’esterno della rete
… e cosa NON può fare
• Non può proteggere da malfunzionamenti interni
• Non può proteggere da quello che non ci passa
attraverso
• Non può proteggere da minacce completamente nuove
• Non può proteggere da virus e simili
Tipologie di
Firewall
•
•
•
•
I firewall si suddividono in tre tipologie:
Packet-Filtering router (1° generazione) o IP-firewall
Stateful Inspection (2° generazione) o Trasport Level Firewall
Gateway a livello di applicazione (o Proxy Server) (3°
generazione) o Application Level Firewall
• Si può fare un filtraggio a livello rete, allora ho un IP-firewall.
In questo caso si decide se far passare o scartare il pacchetto
sulla base del singolo pacchetto, tutte le informazioni che
sono nel pacchetto verranno utilizzate per farlo passare o no.
• Se utilizziamo il livello TCP, abbiamo un transport level
firewall.
• Infine, se obbediamo a livello di singola applicazione, abbiamo
un application level firewall.
IP firewall
• Nel caso del IP FIREWALL se
la policy e è quella di lasciare
entrare tutti gli utenti che
dichiarino di voler raggiungere
l'IP-address 1 e di non lasciare
entrare quelli che dichiarino di
voler raggiungere l'IP-address
2, allora l’IP-firewall opera
consentendo il traffico da
qualunque sorgente e
qualunque destination IPaddress 1, qualunque porta,
sia sorgente che destinazione
si vada a specificare.
IP firewall
• Se ho una sequenza diversa,
l'azione è "deny".
• “Locking“: si attiva una
procedura di registrazione o
d’allarme. Questo serve
quando al firewall è collegato
un sistema di detection, cioè di
rilevazione di azioni non lecite.
Dopo aver scartato i pacchetti
non conformi alla policy, si
registra l'evento. Posso
registrare l'evento a fine
statistico (reporting), oppure
per intervenire innalzando una
barriera aggiuntiva che va a
bloccare i sistemi sotto
attacco.
Transport firewall
• In questo caso dobbiamo
tenere conto dei flag. Questi
sono presenti all'interno
dell'intestazione TCP e sono i
numeri di sequenza, i quali
distinguono il flusso
informativo che viene ad
essere scambiato. Il firewall
può tenere memoria di una
serie di frammenti IP che
possono arrivargli in
successione.
Proxy Firewall
• Il caso dell'APPLICATION
LEVEL FIREWALL è chiamato
anche genericamente proxy
firewall. Se ho una macchina
che fa da proxy, spesso si dice
che fa anche da firewall. Il
numero di parametri che
entrano in gioco questa volta è
ancora superiore, perchè ho
anche quelli del livello
applicativo. Ad esempio nel
caso di FTP, potrebbe essere
che le azioni di get e put siano
abilitate e le altre non lo siano.
Proxy Firewall
• In questo caso non solo devo
ricostruire il flusso dei pacchetti
così come il TCP lo ha
generato, ma bisogna
comprendere interi messaggi
FTP per capire che tipo di
azione si richiede. Quindi ho un
rallentamento maggiore, ma la
policy è migliore che non in un
firewall di tipo network.
Configurazioni dei firewall
• Esistono diverse configurazioni firewall:
• L'architettura DUAL HOMED HOST FIREWALL è quella
più semplice. Questa è realizzata da un pc che ha due
interfacce, che non necessariamente sono dello stesso
tipo.
Router e firewall
• Esistono numerosi costruttori di router che tendono ad
implementare dei sistemi operativi con funzionalità di
firewall, a bordo delle macchine dedicate alle funzioni di
routing. Il motivo è che queste macchine sono
naturalmente Dual Homed e sono molto spesso poste
lungo il perimetro, che è il punto in cui deve essere
applicata la nostra procedura di policy aziendale sulla
sicurezza, il nostro packed filtering e tutte le altre funzioni.
Firewall software
Sono vere e proprie applicazioni ed, in quanto tali, possono
essere affetti da imperfezioni con la differenza che i firewall
rappresentano l'ultimo baluardo di difesa per cui se un
aggressore riesce a superare questa barriera sfruttando una
sua vulnerabilità specifica egli può avere pieno accesso al
sistema protetto e compiere di conseguenza ogni tipo di
attività.
I firewall, non sono dispositivi "autonomi" nel senso che devono
essere istruiti nel prendere decisioni in merito alla
ammissibilità del traffico in transito attraverso delle regole ben
precise definite dall'utente.
Ciò prevede una fase di studio ed implementazione.
Sicurezza nelle WLAN
Per aumentare la sicurezza della WLAN conviene
ricorrere ai seguenti accorgimenti:
• Cambiare SSID (formato al massimo di 32
caratteri alfanumerici, Identifica la WLAN, Tutti i
dispositivi collegati utilizzano lo stesso SSID)
• Cambiare User Name e Password di accesso
al Router
• Crittografia e Autenticazione
• Abilitare filtro MAC (Filtro traffico)
• Cambiare IP e rete del router (gateway)
WLAN: Authentication
Security Authentication:
• Controlla chi si connette alla rete
• I permessi sono basati tramite delle credenziali per
l’accesso all’Access Point
• Accesso al device tramite user name e password
Sistemi di crittografia:
protocolli
Essenzialmente si dividono in due tipi:
• WEP Wired Equivalency Protocol, permette di
crittografare i dati in trasmissione
• WPA Wi-Fi Protected Access (WPA e WPA2) è stato
creato in risposta alle numerose falle che i ricercatori
hanno trovato nel sistema precedente (WEP).
• EAP Extensible Autentication Protocol: L'utilizzo di
EAP prevede che non sia l'access point ad autenticare
il client: esso redirige la richiesta di autenticazione
avanzata dal client ad uno specifico server, configurato
per questo scopo come un RADIUS.( Remote
Autentication Dial-in User Service)
Autenticarsi ad un AP (Access
Point)
PSK (Pre Shared Keys) Autentication: chiave
precedentemente condivisa.
• Utilizzata esclusivamente dagli AP
• AP e client devono avere la stessa chiave segreta o parola
segreta.
Come funziona:
• AP invia una stringa di byte random al client
• Il client li accetta, li cripta con la chiave segreta e li invia
all’AP
• AP riceve la stringa criptata e la decripta
• Se la stringa decriptata è uguale all’originale, il client è
accettato
Decalogo della
SICUREZZA
1.
2.
3.
4.
5.
6.
Usare un buon antivirus
Usare un firewall
NON aprire ingenuamente allegati di posta elettronica
NON eseguire ingenuamente programmi di ogni tipo
Applicare sempre le più recenti patch
Prestare la massima attenzione al funzionamento
anomalo del sistema operativo
7. Disabilitare Java, JavaScript ed ActiveX
8. Disabilitare le funzionalità di scripting nei client di posta
elettronica
9. Fare un backup regolare di tutti i dati sensibili
10.Creare un disco di boot