7-privacy-e-sicurezza-informatica-2016-2017

SCUOLA DI MEDICINA E CHIRURGIA
Università degli Studi di Napoli Federico II
Corso di
Sistemi di Elaborazione delle
Informazioni
Dott. Francesco Rossi
a.a. 2016/2017
Privacy e Sicurezza Informatica
2
Terza parte:
alcune nozioni (pratiche) di
sicurezza informatica
“virus sul PC? Preferisco prendere io l’H1N1...”
3
I virus e non solo
• “virus informatico” (in senso lato):
– termine usato dagli utenti
– indica un qualunque programma finalizzato a
compiere azioni illecite in un computer
– Il termine tecnico è “malware”
• In termini tecnici i “virus” sono un particolare
tipo di malware
– ma ne esistono anche altri
4
I Tipi Di Malware Più Diffusi:
Virus
Un virus è un tipo di malware capace di autoreplicarsi e di diffondersi
nel computer ed in altri computers.
Un virus informatico può restare nascosto nel computer, attaccato ad
un programma o file, inattivo fino a quando l’utente avvia quel dato
programma o apre il file infettato.
Se non curi l’infezione, il virus può infettare file, cartelle, registro di
sistema etc.
5
I Tipi Di Malware Più Diffusi:
Virus
ILOVEYOU
ILOVEYOU è considerato uno dei più efficaci nella storia dei virus.
Grazie alla sua capacità di diffusione, ha causato 10 milioni di milioni di
dollari. Si è diffuso via email, attraverso un allegato contente una
confessione d’amore.
6
I Tipi Di Malware Più Diffusi:
Worm
A differenza dei virus i worms operano attraverso reti di computers.
Utilizzano infatti le reti per trasmettere repliche di se stessi a tutti i
computers che sono connessi a quella rete.
Si autoreplicano come fanno i virus (di cui a volte sono considerati
sottocategoria).
La loro propagazione rallenta le prestazioni dei PC e delle reti, anche
perché consumano banda e possono anche diffondere dati all’esterno.
7
I Tipi Di Malware Più Diffusi:
Worm
Conficker
Sfruttando le vulnerabilità dei servizi di rete presenti nei sistemi
operativi Windows ha infettato circa 9 milioni di PC, che venivano
inseriti in una botnet per incrementare ulteriormente la diffusione del
worm. Danno stimato 9 milioni di milioni di dollari.
8
I Tipi Di Malware Più Diffusi:
Trojan
Un trojan infatti è malware mascherato da software utile, in genere
programmi gratuiti o add-ons di browsers.
Si attivano infatti su azione dell’utente: ad esempio quando l’utente
apre allegati infetti alle email, oppure scarica ed esegue file .exe da
Internet.
In particolare, i trojan possono creare backdoors che permettono
all’hacker di accedere illegittimamente in remoto al tuo computer
9
I Tipi Di Malware Più Diffusi:
Trojan
Zbot
Malware creato per rubare dati da sistemi infetti, come password o
account onbanking, con l’obiettivo di trasferire denaro attraverso una
complessa rete di computer
10
I Tipi Di Malware Più Diffusi:
Spyware
Gli spyware spiano quello che fai sul computer e su Internet.
Uno spyware può anche prendere parziale controllo del computer, ma
in genere raccolgono dati ed informazioni personali senza che tu te ne
accorga.
Possono monitorare la tua attività accedendo a file di logs, registrare
quello che digiti sulla tastiera.
Tutte le informazioni raccolte vengono inviate ad aziende che li usano
per pubblicità, sondaggi ed altre forme di spam oppure ad hackers (in
genere facenti parte di grosse organizzazioni criminali)
11
I Tipi Di Malware Più Diffusi:
Adware
Adware deriva da advertisement (pubblicità) e malware.
Gli adware mostrano pubblicità all’utente quando usa specifici
programmi, in particolare versioni gratuite di programmi a pagamento,
che mostrano pubblicità per spingere all’acquisto l’utente.
Ma gli adware mostrano anche pubblicità in pop-ups e nuove finestre
quando l’utente naviga in Internet.
Diventa più pericoloso quando l’adware viene accompagnato
da spyware, cosa sempre più frequente.
12
I Tipi Di Malware Più Diffusi:
Keylogger
I keyloggers registrano quello che digiti con la tastiera, per poi inviare
queste informazioni ad hackers.
Grazie ai keyloggers, gli hackers possono rubare username e
passwords, informazioni finanziarie (ad esempio numero della carta di
credito, codice fiscale, dati di accesso al tuo conto bancario, PIN etc) e
qualsiasi altra cosa che tu digiti (ad esempio contenuti delle email).
Questo annulla l’effetto di eventuali tastiere virtuali che usi per
aggirare le forme tradizionali di keyloggers.
13
I Tipi Di Malware Più Diffusi:
Keylogger
SpyEye
Un keylogger che prova a ricavare credenziali di login per accedere ad
account bancari, grazie al quale era possibile iniziare transazioni
finanziarie.
14
I Tipi Di Malware Più Diffusi:
Exploit
Un exploit è un codice che sfrutta una particolare vulnerabilità di un
programma per computer (anche del sistema operativo stesso),
per permettere a chi attacca il PC di ottenerne il controllo.
MS12-020 Microsoft Remote Desktop Use-After-Free DoS :
Bug che consentiva l’accesso al desktop remoto del Sistema operativo
Windows XP
15
I Tipi Di Malware Più Diffusi:
Rootkit
Un rootkit è un malware progettato accedere nel sistema operativo e
nei registri eludendo il controllo di antivirus o programmi di sicurezza.
Infatti si installa, carica e nasconde in processi legittimi del tuo
computer.
Questo rende estremamente difficile individuare il rootkit per i normali
antivirus.
Il rootkit serve agli hackers per ottenere accesso remote al tuo
computer con privilegi di amministratore.
16
I Tipi Di Malware Più Diffusi:
Ransomware
Ransom significa riscatto.
Il ransomware è una forma di malware che impedisce all’utente di
accedere ai files del proprio computer attraverso la cifratura.
Visualizza invece un messaggio per forzare l’utente a pagare per
riavere accesso in chiaro ai files.
In pratica tiene in ostaggio un computer fino a quando non viene
pagato il riscatto – da qui il nome.
Questo tipo di malware si diffonde come i worms, attraverso file
scaricati o vulnerabilità in servizi di rete.
17
I Tipi Di Malware Più Diffusi:
Ransomware
CryptoLocker
Questo worm ransomware a criptazione apparve nel settembre
2013. Generava una coppia di chiavi RSA a 2048 bit, le caricava su un
server command-and-control e criptava i documenti.
Il malware minacciava poi di cancellare la chiave privata se entro tre
giorni dall'infezione non fosse stato versato un pagamento tramite
Bitcoin o tramite voucher prepagati.
18
I Tipi Di Malware Più Diffusi:
Ransomware
• Il 2.9% dei proprietari dei PC hanno pagato.
• Un indagine ha rivelato che in un mese 68.000 PC sono stati
attaccati con successo e le vittime hanno pagato circa
$400,000 USD.
• $5 milioni dollari è una stima dei ricavi delle estorsioni,
considerando un basso numero di organizzazioni che
gestiscono ransomware.
19
Come ci si difende dal malware?
• Usando tutte queste soluzioni:
1) Usando programmi di protezione come antivirus,
antimalware e firewall
2) Aggiornando regolarmente il software utilizzato
3) Avendo un comportamento responsabile:
conoscere le minacce di sicurezza permette di
capire come si posso prevenire attacchi di
sicurezza
20
Antivirus
• Sono programmi che scansionano (=passano in
rassegna) tutti i file sull’hard disk alla ricerca di virus:
– A volte prevengono le infezioni scansionando
automaticamente alcuni file in ingresso sulla macchina
(es. gli allegati ai messaggi)
– Se non prevengono l’infezione a volte permettono di
limitare i danni
• Un antivirus protegge solo contro i virus che conosce
– nuovi virus vengono creati quasi giornalmente
–  è necessario aggiornare le “definizioni dei virus” (cioè
l’elenco dei virus conosciuti) molto di frequente
21
Antivirus
22
Antimalware
23
Adware cleaner
24
Firewall
• Sono programmi che monitorizzano tutto il
traffico Internet in entrata e in uscita:
– permettono di rilevare comportamenti anomali
che potrebbero essere causati da malware
• Quando rilevano un comportamento anomalo
chiedono all’utente cosa fare
– ma se l’utente non sa cosa sia un firewall, non sa
cosa rispondere!
25
Firewall, esempio
• Esempio di messaggio per l’utente:
– “Un programma sta tentando di accedere alla porta TCP
1034. Blocco la connessione?”
• Significa che un programma sta tentando di
comunicare in rete. Due possibilità:
– se avete appena lanciato un’applicazione che comunica in
rete (es: un programma di file sharing) allora non dovete
bloccare.
– altrimenti bloccate la connessione: potrebbe trattarsi di un
malware che sta cercando di comunicare via rete.
26
Aggiornare il software
• Abbiamo detto che molti virus si diffondono a
causa di errori nel codice
• Quando uno di questi errori viene individuato,
di solito viene rilasciata una correzione (o
“patch”)
• È importante aggiornare regolarmente il
sistema operativo e le altre applicazioni che
usate.
27
Gli utenti consapevoli sono la
migliore difesa
• Alcuni concetti che vi possono aiutare ad
avere sistemi più sicuri:
– Multi-utenze
– Incertezza sulla provenienza dei messaggi
– Uso di backup
– Password sicure
28
Multi-utenze
• La maggior parte dei sistemi operativi recenti
supportano l’accesso alla macchina da parte di
diversi utenti con diversi diritti di accesso.
– Alcuni utenti sono amministratori cioè possono
modificare tutte le impostazioni di una macchina
– Altri utenti hanno accesso limitato e non possono
accedere ad alcune impostazioni.
29
Multi-utenze (2)
• Principio base: se un utente esegue un
programma, il programma ha gli stessi diritti di
accesso dell’utente
– questo vale anche per i virus!
• Se accedete alla macchina come
amministratori e prendete un virus:
– il virus ha accesso illimitato alla vostra macchina
• Se lavorate come utenti semplici:
– anche se prendete un virus, questo potrà fare
meno danni
30
Multi-utenze (3)
• Come si procede di solito: si creano almeno
due utenti
– Un amministratore, per quando dovete installare
un programma, modificare delle impostazioni del
sistema, etc…
– Un utente per l’utilizzo normale della macchina
31
Incertezza sulla provenienza (e sul
contenuto) dei messaggi
• In Internet circolano molti messaggi il cui scopo è
imbrogliare gli utenti ingenui:
– Mail, messaggi istantanei, etc…
• Non si tratta solo di virus, ma anche di semplici frodi.
• Quando ricevi un messaggio, anche da una persona
nota, ricordati che quel messaggio potrebbe non
arrivare veramente da lui
– per esempio, alcuni virus spediscono dei messaggi a tutti i
contatti nella rubrica.
32
Non fatevi fregare
• Nessuno vi chiederà (mai!) la vostra password via
posta elettronica (perché non è sicuro).
– Se vi viene richiesta una password via email, è una truffa.
• Moltissime catene via mail sono fatte esclusivamente
per raccogliere indirizzi di email da usare per lo spam
– Es: “l’azienda XYZ ti darà 100$ se mandi questa mail ad
almeno 30 persone”
• Ci sono mille altri modi per truffare gli ingenui:
pensate prima di agire.
33
Uso di backup
• A causa di virus o di problemi hardware i dati
vengono regolarmente persi:
– Il problema non è “se verranno persi”, ma “quando”
• C’è una soluzione: fate un backup (=copia di
sicurezza) su un supporto esterno (hard disk o DVD)
– per esperienza: gli utenti iniziano a fare il backup dei
propri dati dopo che li hanno persi una volta.
• In ambito personale è brutto perdere i dati
– In ambito lavorativo è inaccettabile
34
Identificazione degli utenti
• Per poter garantire la sicurezza è necessario
identificare gli utenti
• Come si possono identificare gli utenti?
– Da ciò che hanno:
• Es: tessera magnetica
– Da ciò che sono:
• Es: scansione della retina, impronte digitali
– Da ciò che sanno:
• Es: una parola segreta (password)
35
Le password
• Strumento di identificazione molto diffuso
– non richiede hardware apposito (come un lettore
di impronte digitali)
– permette un discreto livello di sicurezza
• a patto che le password siano usate con accortezza
36
Come vengono usate le password
• Quando l’utente sceglie la password, una funzione
(di cifratura) viene applicata
– la funzione ha la proprietà di essere molto difficile da
invertire
• Noto x è facile calcolare f(x). Noto y è molto difficile calcolare x
tale che f(x) = y.
– la password (cifrata) viene memorizzata
– esempio di password cifrata: $tpUk9dlmYsavwW1U8wPkI/
• Quando si richiede la password
– la stessa funzione viene applicata alla password inserita
– se il risultato è uguale a quello memorizzato, si ha l’accesso
37
Attacco a forza bruta
• Un avversario che vuole trovare una password che
non conosce, può provare tutte le combinazioni
possibili
• Quante sono le password possibili?
– supponiamo che ogni carattere della password possa avere
100 valori diversi (minuscole, maiuscole, numeri, alcuni
segni di punteggiatura)
– se la password è lunga 1 carattere: 100 possibili password
– se la password è lunga 2 caratteri: 1002 possibili password
– se la password è lunga n caratteri: 100n possibili password
38
Attacco forza bruta (cont.)
• La complessità computazionale del problema
“trova la password con la tecnica brute force”
è esponenziale rispetto alla lunghezza della
password
– quindi, in pratica, non computabile per un numero
di caratteri superiore a 7 o 8
• 1008 = 10.000.000.000.000.000
• Morale: se volete usare una password
resistente contro questo attacco, createla
lunga almeno 7 o 8 caratteri
39
Attacchi basati
su dizionario
• Gli utenti molto (troppo!)
spesso usano parole di
senso compiuto come password:
– nomi comuni o propri
• Oppure semplici varianti di questi nomi:
– nomi seguiti da un numero
– concatenazione di nomi
• Il numero di queste parole è molto inferiore rispetto
al numero di combinazioni di caratteri che devono
essere provate con la tecnica brute force.
40
Attacchi basati su dizionario (2)
• Esistono degli elenchi di nomi, parole e semplici
concatenazioni di queste con numeri
• In un attacco basato su dizionario l’attaccante prova
ad utilizzare le parole contenute in questi elenchi per
avere l’accesso
• Da un esperimento svolto sulle password degli
studenti nei laboratori di informatica qualche anno
fa:
– Il 40% delle password sono state violate in 5 minuti
mediante un attacco basato su dizionario.
41
Come scegliere una password
• Obiettivo:
– lunga almeno 7 caratteri
– non una parola di senso compiuto (o una semplice
concatenazione)
– dovete ricordarla!
– meglio se contiene anche numeri (e segni di
punteggiatura, se consentito dal sistema)
• Una tecnica (ne esistono tante): pensate ad una frase
che ricordate a memoria ed usate le iniziali
– esempio: “44 gatti in fila per 6”  44gifp6
42
Come usare le password
• In teoria:
– Sarebbe meglio avere una password diversa per ogni servizio che
usate
• Nella pratica:
– Sono troppe le password da ricordare
– Se non si usa un programma di gestione delle password (ancora poco
diffusi) è complicato
• Consigli:
– Usate alcune password (almeno 3 o 4) e differenziatele in base
all’importanza
• Es: non usate per un gioco online la stessa password che usate per la banca!
– Cambiate regolarmente le password
43
Quarta parte:
La privacy
“che c’entra con la sicurezza?”
44
Diritto alla privacy
• Privacy riconosciuta a livello legale a livello
nazionale e sovrannazionale. Es:
– Dichiarazione Europea dei diritti dell’uomo;
– Legge 675/96
45
Cos’è la privacy?
• Non è semplice fornire una definizione puntuale di
privacy
– spesso dipende dal contesto
• Una definizione generale:
– “Privacy: diritto di una persona di scegliere liberamente in
quali circostanze e fino a che punto rivelare agli altri se
stessa, il proprio atteggiamento e il proprio
comportamento” (dal “Fluency”)
• Le leggi tutelano alcune tipologie di informazioni
ritenute particolarmente sensibili:
– informazioni mediche, orientamento sessuale, religioso,
politico.
46
La privacy e il trattamento
automatico dell’informazione
• Tecnologie moderne permettono di:
– acquisire enormi quantità di dati, memorizzarle,
condividerle
– effettuare ragionamenti su queste informazioni
per derivarne altre
• Esempio di ragionamento:
– supponete di avere una tessera di fidelizzazione di
un supermercato
– se un cliente compra cibo per gatti quasi tutte le
settimane  avrà un gatto.
47
“Vabbé, ma cosa mi importa se
sanno che ho un gatto?”
• Che diritto hanno di sapere qualcosa su di me
che io non voglio che loro sappiano?
• Se al posto del cibo per gatti, voi compraste
delle medicine?
– quali informazioni potrebbero scoprire su di voi?
– cosa potrebbero farne di queste informazioni?
48
“Ma a volte mi sta bene che
sappiano qualcosa di me”
• Se il supermercato sa che ho un gatto, mi può
spedire pubblicità mirata con le promozioni
che mi possono interessare
– es: sconti sulla pappa per gatti
• Dov’è il limite tra i vantaggi del rilascio di
informazioni private e la violazione della
privacy?
49
Il problema della privacy, in
generale
• Non solo le informazioni che rilasciamo
esplicitamente possono essere usate per
violare la nostra privacy
– ma anche le informazioni derivate
• La privacy assoluta (ormai) non esiste
– necessario trovare compromessi tra privacy e altre
esigenze (sicurezza pubblica, vantaggi derivanti dal
rilascio di informazioni personali)
50
Bisogna avere il controllo
• L’utente deve poter avere il controllo sulle
informazioni che vengono rilasciate:
– So quali informazioni rilascio?
– Posso sapere quali informazioni un ente ha su di
me?
– Posso cancellare le mie informazioni quando
voglio?
• Questi diritti sono garantiti dalla legge
– ma sono veramente applicabili?
51
La posizione degli utenti e la privacy
• Già ora esistono alcuni servizi che sono forniti sulla base della
locazione degli utenti
–
–
–
–
es: dov’è la pizzeria più vicina (programma AroundMe per iPhone)
es: dimmi quando c’è un mio amico vicino a me (Google Latitude)
es: social network geo-referenziati (es: estensioni per Facebook)
sono detti “servizi basati sulla locazione”
• Alcuni cellulari forniscono periodicamente la locazione
dell’utente (es: HTC Magic con sistema operativo Android)
• In futuro si diffonderanno molto
• Gli utenti comunicano spesso la
loro posizione ad un fornitore di servizi.
– e la privacy?
52
La posizione degli utenti e la privacy
• Cosa può derivare un attaccante che riesce ad ottenere
queste informazioni?
– qual è l’identità dell’utente che ha fatto la richiesta (anche se l’utente
non lo dice esplicitamente)
– dove è stato l’utente: quindi molte informazioni personali. Ad
esempio: quali locali frequenta? E’ stato in ospedale? E’ stato alla
manifestazione?
53
LAB sicurezza informatica
AXCRYPT
• http://www.axantum.com/axcrypt/Downloads
.html
Bitlocker
• Guida Microsoft Bitlocker
54
Quarta parte:
Conclusioni
“Accidenti, ci ha detto tantissime cose....”
55
Riepilogo
• Abbiamo visto cosa si intende con sicurezza
informatica:
– cosa si vuole proteggere
– chi potrebbe essere l’avversario
• Idea generale della crittografia:
– rendere comprensibili delle informazioni solo a chi
è in possesso della chiave per decifrare
• Due tipi di crittografia:
– a chiave simmetrica
– a chiave asimmetrica (o pubblica)
56
Riepilogo (cont.)
• Abbiamo introdotto il concetto di malware:
– cioè software che ha lo scopo di compiere azioni
illecite
• Abbiamo visto alcuni semplici principi per
avere maggiore sicurezza nella pratica
57
Riepilogo (3)
• Il problema della privacy:
– tutela legale e consapevolezza del rischio.
• Un esempio di ricerca in ambito informatico
58
Glossario
•
•
•
•
•
•
Confidenzialità, integrità, disponibilità
L’operatore logico XOR
Cifratura e decifratura
Cifratura a chiave simmetrica e asimmetrica
Virus (in termine tecnico), malware, exploit
Attacchi a forza bruta (o bruteforce) e attacchi
basati su dizionario
59