Sicurezza informatica (seconda parte)
Transcript
Sicurezza informatica (seconda parte)
Sicurezza dei sistemi informatici Seconda parte: le difese Appunti preparati dal prof. Ing. Mario Catalano per gli studenti dell’ITI “E. Medi” in S. Giorgio a Cremano (NA) Vettori di pericoli correlati a software dannoso • Esistono diversi metodi con cui un'applicazione software dannosa può compromettere una rete. Questi metodi vengono talvolta definiti come vettori di pericoli e rappresentano le aree all'interno dell'ambiente in uso che richiedono particolare attenzione durante la progettazione di una soluzione antivirus efficace. Nel seguente elenco sono riportate le aree maggiormente esposte al rischio di attacchi di software dannoso all'interno di organizzazioni tipiche. • Reti esterne: qualsiasi rete esterna deve essere considerata come origine potenziale di attacchi di software dannoso. Tuttavia, Internet costituisce di gran lunga il maggiore pericolo correlato al software dannoso. L'anonimato e la connettività forniti da Internet consente a utenti malintenzionati di ottenere un accesso rapido ed efficace a molte destinazioni allo scopo di sferrare attacchi mediante l'uso di codice dannoso. • Client guest: con il continuo espandersi dell'uso di computer portatili e dispositivi mobili all'interno delle aziende, i dispositivi vengono spostati regolarmente all'interno e all'esterno delle infrastrutture dell'organizzazione. Se non dispongono di difese antivirus efficaci, i client guest rappresenteranno per l'organizzazione agenti di pericoli correlati a software dannoso. • File eseguibili: qualsiasi codice eseguibile è in grado di svolgere la funzione di software dannoso. Esempi di software dannoso comprendono non solo programmi, ma anche script, file batch e oggetti attivi, quali i controlli ActiveX. • Documenti: poiché sono diventate sempre più potenti, le applicazioni di fogli di calcolo ed elaborazione testi rappresentano oggi i principali obiettivi degli autori di software dannoso. Infatti, il supporto fornito per i linguaggi macro rende molte applicazioni potenziali bersagli di attacchi di software dannoso. • Posta elettronica: gli autori di software dannoso possono sfruttare come metodi di attacco sia gli allegati di posta elettronica che il codice HTML (Hypertext Markup Language) attivo all'interno dei messaggi di posta elettronica. • Supporti rimovibili (pen drive e schede di memoria): il trasferimento di file tramite supporti rimovibili rappresenta un problema che le organizzazioni devono affrontare durante lo sviluppo delle relative difese antivirus. Protezione client • Quando un'applicazione software dannosa raggiunge un computer host, i sistemi di difesa devono essere mirati a proteggere il sistema host e i relativi dati e a impedire la diffusione dell'infezione. • Esistono numerosi approcci e tecnologie che è possibile utilizzare per le configurazioni antivirus dei client. Ridurre la superficie di attacco • La prima linea di difesa a livello di applicazione prevede la riduzione della superficie di attacco del computer. Per ridurre al minimo i numerosi modi con cui un autore di attacchi potrebbe sfruttare il sistema, è consigliabile rimuovere o disattivare sul computer tutte le applicazioni o i servizi non necessari. Scansione antivirus • Una volta ridotta al minimo la superficie di attacco, la principale difesa da utilizzare a questo livello è rappresentata da uno strumento di scansione antivirus. Il ruolo principale dello strumento di scansione consiste nel rilevare e impedire un attacco e nell'informare l'utente e probabilmente gli amministratori del sistema di un'eventuale violazione della protezione. Applicare gli aggiornamenti della protezione • La possibilità di connettere un'ampia gamma di computer client alle reti di un'organizzazione può rendere difficoltosa la fornitura di un servizio di gestione degli aggiornamenti di protezione veloce e affidabile. • Windows Update: per le organizzazioni di piccole dimensioni o i singoli utenti, il servizio Windows Update fornisce un processo automatico e manuale per il rilevamento e il download delle modifiche più recenti della protezione e delle funzionalità per la piattaforma Windows. Attivare un firewall personale • Il firewall personale rappresenta un importante livello di difesa dei client che è consigliabile attivare, in particolare sui computer portatili che potrebbe essere portati dagli utenti all'esterno degli usuali sistemi di difesa fisica e della rete. Questi firewall filtrano tutti i dati che si tenta di immettere o di prelevare da uno specifico computer host. Eseguire il test con strumenti di scansione delle vulnerabilità • Una volta configurato un sistema, è consigliabile controllarlo periodicamente per assicurarsi che siano stati eliminati tutti i punti deboli della protezione. Per semplificare l'esecuzione di questo processo, è possibile utilizzare numerose applicazioni che fungono da strumenti di scansione al fine di individuare eventuali punti deboli che software dannosi e pirati informatici potrebbero tentare di sfruttare. Utilizzare criteri con privilegi minimi • Un'altra area da non trascurare tra i sistemi di protezione dei client è rappresentata dai privilegi assegnati agli utenti in situazioni di normale operatività. E’ consigliabile adottare un criterio che fornisca il minor numero di privilegi possibile per consentire di ridurre al minimo l'impatto di software dannosi che si basano sullo sfruttamento dei privilegi utente durante l'esecuzione. Limitare l'accesso da parte di applicazioni non autorizzate • Se un'applicazione fornisce un servizio alla rete, quale un servizio Web, potrebbe diventare il bersaglio di un attacco di software dannoso. E’ opportuno prendere in considerazione la creazione di un elenco di applicazioni autorizzate nell'organizzazione. I tentativi di installare un'applicazione non autorizzata in uno dei computer client in uso potrebbe esporre tutti i client e i dati in essi contenuti a un più elevato elevato rischio di attacchi di software dannosi. Impostazioni per applicazioni client Applicazioni per desktop • Essendo sempre più potenti, le applicazioni per desktop sono diventate oggi i principali bersagli di attacchi di software dannoso. Per replicarsi, i virus macro utilizzano i file creati da applicazioni di elaborazione testi, fogli di calcolo o altre applicazioni abilitate per le macro. • È opportuno intraprendere le misure necessarie ove possibile per far sì che le impostazioni di protezione più appropriate vengano attivate in tutte le applicazioni nell'ambiente in uso che gestiscono questi file. Impostazioni per applicazioni client • I firewall di rete possono bloccare i trasferimenti di file semplicemente filtrando le porte utilizzate per questa comunicazione. Pertanto, se il firewall perimetrale blocca queste porte, non sarà possibile eseguire il trasferimento dei file tramite un'applicazione. Per questo motivo, è opportuno configurare il firewall basato su host nei client in uso per il blocco di queste porte. • Se non si è in grado di bloccare queste porte perché utilizzate da applicazioni richieste o perché il trasferimento dei file è necessario, si consiglia di analizzare tutti i file per verificare la presenza di eventuale software dannoso prima di eseguirne il trasferimento. Impostazioni per applicazioni client • Applicazioni di messaggistica immediata Sebbene abbia consentito di migliorare le comunicazioni degli utenti in tutto il mondo, tuttavia, il meccanismo di messaggistica immediata ha anche fornito un'altra applicazione che è potenzialmente in grado di consentire al software dannoso di insediarsi nel sistema. Sebbene i messaggi di testo non costituiscano un pericolo di software dannoso diretto, la maggior parte dei client di messaggistica immediata forniscono ulteriori funzionalità di trasferimento dei file per migliorare le capacità di comunicazione degli utenti. Il supporto dei trasferimenti di file fornisce un mezzo diretto alla rete di un'organizzazione per potenziali attacchi di software dannoso. Impostazioni per applicazioni client Browser • Prima di scaricare o eseguire codice da Internet, assicurarsi che provenga da un'origine conosciuta e affidabile. È opportuno che gli utenti non facciano affidamento semplicemente sull'aspetto o sull'indirizzo del sito, in quanto gli indirizzi e le pagine Web possono essere contraffatti. • Sono state sviluppate numerose tecniche e tecnologie che consentono all'applicazione browser di un utente di determinare l'affidabilità del sito Web che si sta esplorando. • Per verificare l'identità del codice scaricato, è stata sviluppata una tecnologia che consente di verificare che il codice contenga un certificato valido, che l'identità dell'autore del software corrisponda al certificato e che il certificato sia ancora valido. Se tutti questi test vengono superati, il rischio che un utente malintenzionato trasferisca codice dannoso nel sistema risulterà ridotto. Impostazioni per applicazioni client • Applicazioni peer-to-peer • L'avvento delle applicazioni peer-to-peer (P2P) per Internet ha semplificato più che mai la ricerca e lo scambio di file con altri utenti. Sfortunatamente, questa situazione ha favorito numerosi attacchi di software dannoso che tentano di utilizzare queste applicazioni per replicare i file sui computer di altri utenti. Esistono molti altri esempi di software dannosi che tentano di utilizzare applicazioni peer-to-peer. • I problemi di protezione correlati alle applicazioni P2P sono strettamente correlati alla capacità di queste applicazioni di fornire un routing diretto da un computer all'altro attraverso cui è possibile trasmettere il contenuto eludendo i controlli di protezione appropriati. Impostazioni antivirus per applicazioni client • Applicazioni peer-to-peer Se possibile, si consiglia di limitare il numero di client che utilizzano queste applicazioni. Per impedire agli utenti di eseguire applicazioni peer-to-peer, è possibile utilizzare i criteri di restrizione software illustrati in precedenza. Se non è possibile eseguire questa operazione nel proprio ambiente, assicurarsi che i criteri antivirus prendano in considerazione il maggiore rischio a cui i client sono esposti a causa di queste applicazioni. Software antivirus • Il software antivirus è scritto specificamente per difendere un sistema contro i pericoli presentati dal software dannoso. • Esiste una serie di tecniche utilizzate dal software antivirus per rilevare il software dannoso. • Molti produttori di software antivirus usano attualmente una combinazione di queste tecniche nelle soluzioni antivirus create, nel tentativo di migliorare il livello di protezione generale dei sistemi di computer dei clienti. Scansione delle firme La maggior parte dei programmi di software antivirus utilizza attualmente questa tecnica, che prevede la ricerca di uno schema che possa rappresentare software dannoso nella destinazione (computer host, unità disco o file). Questi schemi sono in genere memorizzati in file cui viene fatto riferimento come file di firma, aggiornati regolarmente dai fornitori di software per assicurare che le funzioni di scansione antivirus riconoscano il numero maggiore possibile di attacchi di software dannoso conosciuto. Il problema principale con questa tecnica è che il software antivirus deve essere già aggiornato per contrastare il software dannoso prima che la funzione di scansione lo riconosca. Scansione euristica • Questa tecnica tenta di rilevare forme note e nuove di software dannoso cercandone le caratteristiche generali. Il vantaggio principale di questa tecnica è che non si basa sui file delle firme per identificare e contrastare il software dannoso. Tuttavia, la scansione euristica presenta una serie di problemi specifici, tra i quali: Problemi della scansione euristica • Falsi positivi: questa tecnica usa caratteristiche generali del software ed è pertanto possibile che segnali software legittimo come software dannoso se le caratteristiche sono simili in entrambi i casi. • Scansione più lenta: il processo di ricerca delle caratteristiche è più difficile rispetto alla ricerca di uno schema di software dannoso già noto. Per questa ragione, per la la scansione euristica può essere necessario più tempo rispetto alla scansione delle firme. • Nuove caratteristiche possono essere saltate: se l'attacco di un nuovo software dannoso presenta caratteristiche non identificate in precedenza, è possibile che la scansione euristica le salti fino a quando non sarà aggiornata. Blocco del funzionamento • Questa tecnica si basa sul funzionamento del codice dannoso anziché sul codice stesso. Se ad esempio un'applicazione tenta di aprire una porta di rete, un programma antivirus con blocco del funzionamento potrebbe individuare questa come una tipica attività di software dannoso e contrassegnare quindi il comportamento come possibile attacco di software dannoso. Funzionalità di un antivirus verifica della integrità del settore di boot e dei file di sistema durante la fase iniziale di avvio del sistema; scansione in tempo reale della memoria e dei file e degli allegati alla posta; capacità di individuazione delle altre tipologie di codice nocivo; rilascio da parte del produttore di frequenti aggiornamenti del file delle firme; capacità di isolare i file infetti per i quali il prodotto non sia in grado di compiere operazioni di pulizia; Accorgersi del virus • • È stato stimato che oltre il 60% dei computer di tutto il mondo ha qualche tipo di malware installato e il proprietario non sa di averlo. Quali sono i sintomi che un computer ha quando è infettato? Ecco i 10 sintomi più comuni. Browser modificato: Generalmente la pagina iniziale non è quella solita a cui siete abituati ma è una diversa. Moltissimi programmi amano cambiare questa impostazione per raccogliere nuovi utenti e possibili clienti. Accorgersi del virus • • Il computer crasha: senza avvisaglie, il computer incomincia a crashare o bloccarsi, ma voi non avete installato nuovi software o fatto nuovi aggiornamenti sia software che hardware. In questo caso le spiegazioni sono 2: o c’è un problema di tipo hardware come la ram o un hard disk che si stanno rompendo oppure c’è un virus o qualche altro genere di malware che fa il dispettoso. Pop-Up: Se apriamo il browser e all’improvviso appaiono finestre su finestre che coprono addirittura tutto lo schermo contenente pubblicità di Casinò, giochi on-line, del Porno o un ipotetico software antivirus allora si è infetti. Anche questo genere di infezione è finalizzato ad indirizzare l’utente verso siti compiacenti per comprare o aderire ad un servizio poco conveniente per il navigatore. Accorgersi del virus • • Strani Preferiti o Icone: se vi ritrovate di Preferiti o icone mai viste nel menù start o sul desktop con iconcine di stelle, cuoricini, telefoni, ipod, allora anche in questo caso siamo stati infettati da siti che sfruttando vulnerabilità nel browser e si auto installano nel sistema. Strane icone nella Systray: la systray è la barra delle applicazioni dove c’è l’orologio di Windows. Se notate strane icone di allarme simili a quelli di windows ma con testo in inglese allora abbiamo preso un Rogue, un finto antivirus che fa una finta scansione del sistema e mostra dei finti virus nel sistema. Per eliminare le finte minacce bisogna pagare con soldi veri il programma che a quanto pare è il solo a rilevarle. Accorgersi del virus • • Appaiono nuovi file o programmi: se all’improvviso vi ritrovate con software, antivirus o programmi di vario genere che non avete installato o non vi ricordate di averlo fatto allora la cosa vi deve far insospettire. Strane E-mail: Se incominciamo a ricevere e-mail o contatti in chat che ci domandano come mai gli abbiamo mandato un file o un link a un sito che non funzionano e noi siamo completamente all’oscuro, allora sicuramente abbiamo un virus che sfruttando le nostre credenziali tenta tramite noi di infettare tutti i nostri contatti. Accorgersi del virus • Strane Toolbars. • Il pc si avvia lentamente: se per qualsiasi operazione fatta nel computer il mouse è lento, le finestre si aprono e si spostano con una certa lentezza e non avete installato nuovo software nel computer allora vuol dire che “qualcuno” o qualcosa sta sfruttando le risorse del sistema per fare i suoi comodi. L’Hard Disk è in esecuzione tutto il tempo: Se non sono in corso scansioni di antivirus e antispyware o di manutenzione come una deframmentazione allora è un chiaro sintomo che • Che cosa è un Firewall Un firewall è un insieme di componenti che si collocano tra 2 reti e che possiedono le seguenti proprietà: • Tutto il traffico di dati entrante ed uscente dalla rete interna e viceversa deve passare attraverso il firewall. • Solo il traffico autorizzato può passare impunemente attraverso il firewall • Il firewall e' immune (o almeno si spera) alle penetrazioni illegali Firewall hardware e software Firewall Hardware : componente passivo che opera una difesa perimetrale della nostra rete locale (LAN). Firewall Software o personal firewall : software che viene installato direttamente sul PC da proteggere. A differenza del firewall hardware, il personal firewall esegue anche un controllo a livello programma(monitorizza l’attività di scambio dati da e verso internet di tutto il software installato nel PC). Come funziona un firewall • Costringe ad entrare attraverso un punto ben controllato • Impedisce agli attaccanti di avvicinarsi troppo alle altre difese • Costringe ad uscire attraverso un punto ben controllato • Nella terminologia militare : un Check-Point! Firewall Rete interna Cosa può fare un Firewall? • E’ un punto focale per le decisioni inerenti la sicurezza • Può potenziare le politiche di sicurezza • Può tener traccia (log) delle attività da e verso Internet in modo efficiente • Limita l’esposizione all’esterno della rete … e cosa NON può fare • Non può proteggere da malfunzionamenti interni • Non può proteggere da quello che non ci passa attraverso • Non può proteggere da minacce completamente nuove • Non può proteggere da virus e simili Tipologie di Firewall • • • • I firewall si suddividono in tre tipologie: Packet-Filtering router (1° generazione) o IP-firewall Stateful Inspection (2° generazione) o Trasport Level Firewall Gateway a livello di applicazione (o Proxy Server) (3° generazione) o Application Level Firewall • Si può fare un filtraggio a livello rete, allora ho un IP-firewall. In questo caso si decide se far passare o scartare il pacchetto sulla base del singolo pacchetto, tutte le informazioni che sono nel pacchetto verranno utilizzate per farlo passare o no. • Se utilizziamo il livello TCP, abbiamo un transport level firewall. • Infine, se obbediamo a livello di singola applicazione, abbiamo un application level firewall. IP firewall • Nel caso del IP FIREWALL se la policy e è quella di lasciare entrare tutti gli utenti che dichiarino di voler raggiungere l'IP-address 1 e di non lasciare entrare quelli che dichiarino di voler raggiungere l'IP-address 2, allora l’IP-firewall opera consentendo il traffico da qualunque sorgente e qualunque destination IPaddress 1, qualunque porta, sia sorgente che destinazione si vada a specificare. IP firewall • Se ho una sequenza diversa, l'azione è "deny". • “Locking“: si attiva una procedura di registrazione o d’allarme. Questo serve quando al firewall è collegato un sistema di detection, cioè di rilevazione di azioni non lecite. Dopo aver scartato i pacchetti non conformi alla policy, si registra l'evento. Posso registrare l'evento a fine statistico (reporting), oppure per intervenire innalzando una barriera aggiuntiva che va a bloccare i sistemi sotto attacco. Transport firewall • In questo caso dobbiamo tenere conto dei flag. Questi sono presenti all'interno dell'intestazione TCP e sono i numeri di sequenza, i quali distinguono il flusso informativo che viene ad essere scambiato. Il firewall può tenere memoria di una serie di frammenti IP che possono arrivargli in successione. Proxy Firewall • Il caso dell'APPLICATION LEVEL FIREWALL è chiamato anche genericamente proxy firewall. Se ho una macchina che fa da proxy, spesso si dice che fa anche da firewall. Il numero di parametri che entrano in gioco questa volta è ancora superiore, perchè ho anche quelli del livello applicativo. Ad esempio nel caso di FTP, potrebbe essere che le azioni di get e put siano abilitate e le altre non lo siano. Proxy Firewall • In questo caso non solo devo ricostruire il flusso dei pacchetti così come il TCP lo ha generato, ma bisogna comprendere interi messaggi FTP per capire che tipo di azione si richiede. Quindi ho un rallentamento maggiore, ma la policy è migliore che non in un firewall di tipo network. Configurazioni dei firewall • Esistono diverse configurazioni firewall: • L'architettura DUAL HOMED HOST FIREWALL è quella più semplice. Questa è realizzata da un pc che ha due interfacce, che non necessariamente sono dello stesso tipo. Router e firewall • Esistono numerosi costruttori di router che tendono ad implementare dei sistemi operativi con funzionalità di firewall, a bordo delle macchine dedicate alle funzioni di routing. Il motivo è che queste macchine sono naturalmente Dual Homed e sono molto spesso poste lungo il perimetro, che è il punto in cui deve essere applicata la nostra procedura di policy aziendale sulla sicurezza, il nostro packed filtering e tutte le altre funzioni. Firewall software Sono vere e proprie applicazioni ed, in quanto tali, possono essere affetti da imperfezioni con la differenza che i firewall rappresentano l'ultimo baluardo di difesa per cui se un aggressore riesce a superare questa barriera sfruttando una sua vulnerabilità specifica egli può avere pieno accesso al sistema protetto e compiere di conseguenza ogni tipo di attività. I firewall, non sono dispositivi "autonomi" nel senso che devono essere istruiti nel prendere decisioni in merito alla ammissibilità del traffico in transito attraverso delle regole ben precise definite dall'utente. Ciò prevede una fase di studio ed implementazione. Sicurezza nelle WLAN Per aumentare la sicurezza della WLAN conviene ricorrere ai seguenti accorgimenti: • Cambiare SSID (formato al massimo di 32 caratteri alfanumerici, Identifica la WLAN, Tutti i dispositivi collegati utilizzano lo stesso SSID) • Cambiare User Name e Password di accesso al Router • Crittografia e Autenticazione • Abilitare filtro MAC (Filtro traffico) • Cambiare IP e rete del router (gateway) WLAN: Authentication Security Authentication: • Controlla chi si connette alla rete • I permessi sono basati tramite delle credenziali per l’accesso all’Access Point • Accesso al device tramite user name e password Sistemi di crittografia: protocolli Essenzialmente si dividono in due tipi: • WEP Wired Equivalency Protocol, permette di crittografare i dati in trasmissione • WPA Wi-Fi Protected Access (WPA e WPA2) è stato creato in risposta alle numerose falle che i ricercatori hanno trovato nel sistema precedente (WEP). • EAP Extensible Autentication Protocol: L'utilizzo di EAP prevede che non sia l'access point ad autenticare il client: esso redirige la richiesta di autenticazione avanzata dal client ad uno specifico server, configurato per questo scopo come un RADIUS.( Remote Autentication Dial-in User Service) Autenticarsi ad un AP (Access Point) PSK (Pre Shared Keys) Autentication: chiave precedentemente condivisa. • Utilizzata esclusivamente dagli AP • AP e client devono avere la stessa chiave segreta o parola segreta. Come funziona: • AP invia una stringa di byte random al client • Il client li accetta, li cripta con la chiave segreta e li invia all’AP • AP riceve la stringa criptata e la decripta • Se la stringa decriptata è uguale all’originale, il client è accettato Decalogo della SICUREZZA 1. 2. 3. 4. 5. 6. Usare un buon antivirus Usare un firewall NON aprire ingenuamente allegati di posta elettronica NON eseguire ingenuamente programmi di ogni tipo Applicare sempre le più recenti patch Prestare la massima attenzione al funzionamento anomalo del sistema operativo 7. Disabilitare Java, JavaScript ed ActiveX 8. Disabilitare le funzionalità di scripting nei client di posta elettronica 9. Fare un backup regolare di tutti i dati sensibili 10.Creare un disco di boot