Diapositiva 1 - Gianpiero Fasulo
Transcript
Diapositiva 1 - Gianpiero Fasulo
Il diritto alla riservatezza ex 675 - DPS Tito (PZ) Giugno 2006 (docente Fasulo Gianpiero) Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Il 29 Luglio 2003, nella Gazzetta ufficiale n° 174 – Supplemento Ordinario n° 123, veniva pubblicato il decreto legislativo 30 Giugno 2003, n° 196 denominato anche “Codice in materia di protezione dei dati personali” che sostituisce ed integra la legge 31/12/1996 n°675. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Andiamo quindi a vedere gli obblighi e le modalità inerenti alla compilazione del “Documento Programmatico sulla Sicurezza” D.P.S. Logicamente, l’esame degli articoli riguarderà soprattutto la parte informatica per la compilazione del D.P.S. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) In particolar modo venivano evidenziati le seguenti scadenze: entro il 31 Marzo 2004, come indicato al punto 19 dell’allegato B, il titolare del trattamento deve provvedere alla compilazione del D.P.S.; entro il 30 Giugno 2004, come indicato al comma 1 dell’articolo 180, il titolare del trattamento è tenuto ad adottare le misure minime di sicurezza richieste in relazione ai rischi descritti nell’Art 31; entro il 30 Giugno 2004, come indicato al comma 3 dell’art.180, il titolare del trattamento è tenuto ad adeguare eventuali strumenti obsoleti utilizzati per il trattamento dei dati. Docente: Gianpiero Fasulo Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Questi termini sono stati prorogati: la prima prorogò i termini a fine 2005 l’ultima in ordine di tempo ma non per questo si pensa sarà la definitiva, porta i termini al 31 Marzo 2006 tutte e due le proroghe hanno modificato il comma 1 dell’art 180 ma, andiamo a vedere gli articoli più importanti estratti dal D.L. 30/6/2003 n° 196 Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) La parte I del titolo I “Principi generali” recita: (diritto alla protezione dei dati personali) Art.1 Chiunque ha diritto alla protezione dei dati personali che lo riguardano. Art.2 il presente testo unico, di seguito denominato “codice”, garantisce che il trattamento dei dati personali si svolga nel rispetto dei diritti e delle libertà fondamentali, nonché della dignità dell’interessato, con particolare riferimento alla riservatezza, all’identità personale e al diritto alla protezione dei dati personali. Il trattamento dei dati personali è disciplinato assicurando un elevato livello di tutela dei diritti e delle libertà di cui al comma 1 nel rispetto dei principi di semplificazione, armonizzazione ed efficacia delle modalità previste per il loro esercizio da parte degli interessati, nonché per l’adempimento degli obblighi da parte dei titolari del trattamento. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Art.3 i sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escludere il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l’interessato solo in caso di necessità. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Ma rivediamo un attimo le varie proroghe per comprendere bene cosa è stato prorogato e come…. Con il D.L. 24 Giugno 2004, n° 158 arriva la prima proroga ad alcuni degli adempimenti previsti dal D.L. 30 Giugno 2003,n°196 ed in particolare….. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Prima proroga. Viene modificato il comma 1 dell’art 180 portando la scadenza per l’adozione delle misure minime di sicurezza richieste in relazione ai rischi descritti nell’art. 31 al 31/12/2004… (obblighi di sicurezza) Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) L’art. 31 recita: I dati personali oggetto di trattamento sono custoditi e controllati, anche in relazione alle conoscenze acquisite in base al progresso tecnico, alla natura dei dati e alle specifiche caratteristiche del trattamento, in modo da ridurre al minimo, mediante l’adozione di idonee e preventive misure di sicurezza, i rischi di distruzione o perdita, anche accidentale, dei dati stessi, di accesso non autorizzato o di trattamento non consentito o non conforme alle finalità della raccolta. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Prima proroga (segue). Viene modificato il comma 3 dell’art 180 portando la scadenza per l’adeguamento di eventuali strumenti obsoleti al 31 Marzo 2005. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Seconda proroga. Viene modificato il comma 1 dell’art 180 portando la scadenza per l’adozione delle misure minime di sicurezza richieste in relazione ai rischi descritti nell’art. 31 al 30/6/2005… (obblighi di sicurezza) Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Seconda proroga (segue). Viene modificato il comma 3 dell’art 180 portando la scadenza per l’adeguamento di eventuali strumenti obsoleti al 30 Settembre 2005. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Terza ed ultima proroga. Viene modificato il comma 1 dell’art 180 portando la scadenza per l’adozione delle misure minime di sicurezza richieste in relazione ai rischi descritti nell’art. 31 al 31/12/2005… (obblighi di sicurezza) Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Terza ed ultima proroga (segue). Viene modificato il comma 3 dell’art 180 portando la scadenza per l’adeguamento di eventuali strumenti obsoleti al 31 Marzo 2006. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) In definitiva, l’articolo 180 del D.L. 196/03 ad oggi si legge così: 1. le misure minime di sicurezza di cui agli articoli da 33 a 35 e all’allegato B che non erano previste dal decreto del presidente della repubblica 28 Luglio 1999, n°318, sono adottate entro il 31 Dicembre 2005. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo 2. Il titolare che alla data di entrata in vigore del presente codice dispone di strumenti elettronici che, per obiettive ragioni tecniche, non consentono in tutto o in parte l’immediata applicazione delle misure minime di cui all’articolo 34 e delle corrispondenti modalità tecniche di cui all’allegato B, descrive, le medesime ragioni in un documento a data certa da conservare presso la propria struttura. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) L’Articolo 34 recita: 1- il trattamento dei dati personali effettuato con strumenti elettronici è consentito solo se sono adottate, nei modi previsti dal disciplinare tecnico contenuto nell’allegato B, le seguenti misure minime: a) Autenticazione informatica b) Adozione di procedure di gestione delle credenziali di autenticazione c) Utilizzazione di un sistema di autorizzazione d) Aggiornamento periodico dell’individuazione dell’ambito del trattamento consentito ai singoli incaricati e addetti alla gestione o alla manutenzione degli strumenti elettronici. e) Protezione degli strumenti elettronici e dei dati rispetto a trattamenti illeciti di dati, di accessi non consentiti e a determinati programmi informatici Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) f) g) Docente: Gianpiero Fasulo h) Adozione di procedure per la custodia di copie di sicurezza, il ripristino della disponibilità dei dati e dei sistemi Tenuta di un aggiornato documento programmatico sulla sicurezza Adozione di tecniche di cifratura o di codici identificativi per determinati trattamenti di dati idonei a rivelare lo stato di salute o la vita sessuale effettuati da organismi sanitari. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Articolo 180 del D.L. 196/03 (continua) 3. nel caso di cui al comma 2, il titolare adotta ogni possibile misura di sicurezza in relazione agli strumenti elettronici detenuti in modo da evitare, anche sulla base di idonee misure organizzative, logistiche o procedurali, un incremento dei rischi di cui all’articolo 31, adeguando i medesimi strumenti al più tardi entro il 31 Marzo 2006. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Cosa si rischia Il mancato adeguamento alle norme previste dal D.L.196/03, prevede sanzioni elevate quali multe da 3.000 a 50.000 Euro, reclusione fino a 3 anni e risarcimento del danno patrimoniale e morale. Esiste anche la possibilità di estinguere il reato penale, adeguandosi alla normativa e pagando una sanzione pecuniaria. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Sanzioni previste ( illeciti civili) Art. 161 Assenza informativa o inidoneità informativa per dati personali Art 161 Assenza informativa o inidoneità informativa per dati sensibili o giudiziari o in caso di trattamenti che presentano rischi specifici o di maggiore rilevanza del pregiudizio. Sanzione da 3.000 a 18.000 EURO Art 163 Omessa o incompleta notificazione al garante Sanzione da 10.000 a 60.000 euro più pubblicazione su quotidiani Art 164 Omissione di fornire informazioni o esibire documenti richiesti al garante Sanzione da 4.000 a 24.000 euro Sanzione da 5.000 a 30.000 euro (moltiplicabile per 3 quando risulta inefficace in ragione delle condizioni economiche del contravventore ) Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Sanzioni previste ( illeciti penali) Art. 167 Trattamento illecito di dati personali Reclusione da 6 mesi a 3 anni Art 168 Falsità nelle dichiarazioni e notificazioni al garante Reclusione da 6 mesi a 3 anni Art 169 Omessa adozione di misure necessarie alla sicurezza dei dati Arresto fino a 2 anni o ammenda da 10.000 a 50.000 euro Art 170 Inosservanza dei provvedimenti al garante Arresto da 3 mesi a 2 anni Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) La definizione del tipo di dati In base a quanto appena visto,dobbiamo distinguere nell’ambito della legge i seguenti tipi di dati: dati personali dati sensibili dati giudiziari Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Dati personali La legge definisce dato personale: qualunque informazione relativa a persona fisica o giuridica, ente od associazione, identificati o identificabili, anche indirettamente, mediante riferimento a qualsiasi altra informazione compresi eventuali numeri di identificazione personale. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Dati sensibili La legge definisce dato sensibile: i dati personali idonei a rilevare l’origine raziale ed etnica, le convinzioni religiose, filosofiche o di altro genere, le opinioni politiche, l’adesione a partiti, sindacati, associazioni od organizzazioni a carattere religioso, filosofico, politico o sindacale, nonché i dati personali idonei a rivelare lo stato di salute e la vita sessuale. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Dati giudiziari La legge definisce dati giudiziari: i dati personali idonei a rilevare provvedimenti di cui all’art. 3, comma 1, lettere da a) ad o) e da r) a u),del D.P.R. 14/11/2002 n°313, in materia di casellario giudiziale, di anagrafe delle sanzioni amministrative dipendenti da reato e dei relativi carichi pendenti, o la qualità di imputato o di indagato ai sensi degli articoli 60 e 61 del codice di procedura penale. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Per poter poi comprendere al meglio quello che il D.L. vuole significare nei vari articoli, dobbiamo conoscere il significato delle seguenti definizioni: trattamenti titolare responsabile incaricato interessato Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Docente: Gianpiero Fasulo Trattamenti Qualunque operazione o complesso di operazioni, effettuati anche senza l’ausilio di strumenti elettronici, concernenti la raccolta, la registrazione, l’organizzazione, la conservazione, la consultazione, l’elaborazione, la modificazione, la selezione, l’estrazione, il raffronto, l’utilizzo, l’interconnessione, il blocco, la comunicazione, la diffusione, la cancellazione e la distruzione dei dati, anche se non registrati in una banca dati. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 ) Titolare La persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo cui competono, anche unitamente ad altro titolare, le decisioni in ordine di finalità, alle modalità del trattamento dei dati personali e agli strumenti utilizzati, ivi compreso il profilo della sicurezza. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Responsabile Docente: Gianpiero Fasulo La persona fisica o giuridica, la pubblica amministrazione e qualsiasi altro ente, associazione od organismo preposti dal titolare al trattamento dei dati personali. Il diritto alla riservatezza ( il Decreto Legge 196/2003 ) Incaricato La persona fisica autorizzata a compiere operazioni di trattamento dal titolare o dal responsabile. Docente: Gianpiero Fasulo Interessato La persona fisica o giuridica, l’ente o l’associazione cui si riferiscono i dati personali. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Come compilare il D.P.S. Figure previste dalla normativa titolare del trattamento responsabile del trattamento incaricati del trattamento responsabile al controllo degli accessi custode delle password Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Titolare del trattamento Il titolare del trattamento, consiste nell’entità che decide in modo completamente autonomo sulle finalità e sulle modalità del trattamento, ivi compreso il profilo della sicurezza. ( La definizione di Titolare del trattamento è comunque descritta nell’art. 28 del D.L. 196/2003 ) Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Responsabile del trattamento Il responsabile del trattamento è designato facoltativamente dal titolare e viene individuato tra i soggetti con maggiore esperienza, capacità ed affidabilità. Per esigenze organizzative possono essere designati più responsabili. Il titolare specifica per iscritto i compiti del responsabile, che dovrà attenersi scrupolosamente alle istruzioni impartite. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Incaricati del trattamento Sono coloro che effettuano le operazioni di trattamento ed operano sotto la diretta autorità del titolare o del responsabile, attenendosi alle istruzioni impartite. La designazione è effettuata per iscritto ed individua anche le operazioni consentite nell’ambito del trattamento. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Responsabile al controllo degli accessi Il responsabile al controllo degli accessi ai locali adibiti a conservazione cartacea e/o elettronica delle banche dati è designato facoltativamente dal responsabile del trattamento. Qualora esista un custode notturno, questo sarà nominato quale responsabile dei locali specificando nel documento che l’incarico gli viene affidato per le ore di chiusura degli uffici. Il responsabile del trattamento, ove esista la necessità, può nominare più di un responsabile degli accessi. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Custode delle password Il custode delle password è designato facoltativamente dal responsabile del trattamento, il custode delle password sarà l’unico a conoscere tutte le password, oltre naturalmente al singolo incaricato che sarà a conoscenza solo della propria, e provvederà a controllare che le password siano univoche. Egli predisporrà tante buste chiuse quanti sono gli incaricati al trattamento. Tali buste, riconoscibili all’esterno da nome dell’ incaricato, conterranno le password e dovranno essere custodite in un posto sicuro e non accessibile. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Custode delle password segue… Quando uno o più incaricati dovessero variare, il custode provvederà a distruggere la/le relativa/e busta ed eventualmente, se necessario, a predisporne delle nuove per i nuovi incaricati ricordandosi sempre che una parola chiave già utilizzata non può essere riassegnata ad un nuovo utente. Il procedimento fin qui descritto deve essere effettuato anche in presenza di un solo personal computer. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Sezione - Elenco dei trattamenti dei dati personali In questa sezione del D.P.S. sono individuati i trattamenti effettuati dal titolare, direttamente o attraverso collaborazioni esterne, con l’indicazione della natura dei dati e della struttura (ufficio, funzione,ecc.) interna od esterna operativamente preposta, nonché degli strumenti elettronici impiegati. Se ad esempio fossimo in uno studio che è dotato di uffici specifici (ad es. uff. personale) la lista dei trattamenti potrebbe essere compilata per gruppi; ad esempio tutti i dati riferiti al personale potrebbero essere elencati nel gruppo ‘dati trattati dall’uff. personale ’. Gli uffici specifici potrebbero essere anche esterni (ad es. i dati riferiti alle condizioni di salute dei dipendenti potrebbero essere trattati da un apposito ufficio esterno facente capo magari ad una struttura sanitaria). Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Per ciascun trattamento vanno indicate le seguenti informazioni secondo il livello di sintesi deciso dal titolare: Identificativo del trattamento alla descrizione del trattamento, se ritenuto utile può essere associato un codice, per favorire un’ identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle (es. 001Az1). Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Descrizione sintetica Menzionare il trattamento dei dati personali attraverso l’indicazione della finalità perseguita o dell’attività svolta (es. fornitura di beni o servizi, gestione del personale) e delle categorie di persone cui i dati si riferiscono (es. clienti, dipendenti o collaboratori, fornitori) indicando nel modo più preciso possibile il tipo di dati ad es. ‘dati dei clienti, dagli stessi forniti o acquisiti per l’espletamento degli incarichi affidati allo studio, idonei a rivelare lo stato di salute’ Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Struttura di riferimento Indicare la struttura (ufficio, funzione..) all’interno della quale viene effettuato il trattamento. In caso di strutture complesse, è possibile indicare la macro struttura (direzione, dipartimento ecc.) oppure gli uffici specifici all’interno della stessa (uff. contratti, sviluppo risorse, amministrazione,contabilità) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Altre strutture che concorrono al trattamento Docente: Gianpiero Fasulo Nel caso in cui un trattamento, per essere completato, comporti l’attività di diverse strutture è opportuno indicare, oltre quella che cura primariamente l’attività, le altre principali strutture che concorrono al trattamento dall’esterno. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La tabella seguente, riporta un esempio concreto di come compilare la lista trattamenti secondo le richieste del Garante. Tabella Lista trattamenti Docente: Gianpiero Fasulo CODICE ATTIVITA’ TIPO S G STRUTTURA 001AZ1 commerciali sta si no Uffici Studio 007AZ1 Commerciali sta Dati dei clienti per l’espletamento degli incarichi affidati allo studio.Comprendono i dati sul patrimonio, sulla situazione economica e i dati necessari alla reperibilità. Dati del personale dipendente idonei a rilevare lo stato di salute si no Uffici Studio STRUTTURA ESTERNA Studio medico Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Descrizione degli strumenti elettronici utilizzati Docente: Gianpiero Fasulo Va indicata la tipologia di strumenti elettronici impiegati (elaboratori o personal computer anche portatili, collegati o meno in una rete locale, geografica o internet) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La tabella seguente, riporta un esempio concreto di come compilare la lista strumenti elettronici Tabella Lista strumenti elettronici Docente: Gianpiero Fasulo tipologia ubicazione interconnessione internet Fax Segreteria PC client Segreteria Rete locale Si PC server Segreteria Rete locale No Stampante Laser Segreteria Rete locale No note No Collegata alla LAN tramite una propria scheda di rete Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Sezione - Ulteriori elementi per descrivere gli strumenti Docente: Gianpiero Fasulo Identificativo del trattamento: Alla descrizione del trattamento, se ritenuto utile, può essere associato un codice, facoltativo, per favorire un’identificazione univoca e più rapida di ciascun trattamento nella compilazione delle altre tabelle. Questo codice deve essere lo stesso come riportato nella tabella lista trattamenti. Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Banca dati: Indicare eventualmente la banca dati ( ovvero il database o l’archivio informatico ) con le relative applicazioni, in cui sono contenuti i dati. Uno stesso trattamento può richiedere l’utilizzo di dati che risiedono in più di una banca dati. In tal caso le banche dati potranno essere elencate. ( indicare per ciascun trattamento la banca dati utilizzata per la memorizzazione elettronica dei dati ) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Luogo di custodia dei supporti di memorizzazione: Indicare il luogo in cui risiedono fisicamente i dati, ovvero dove si trovano (in quale sede, centrale o periferica, o presso quale fornitore di servizi, ecc) gli elaboratori sui cui dischi sono memorizzati i dati, i luoghi di conservazione dei supporti magnetici utilizzati per le copie di sicurezza (nastri, CD, ecc.) ed ogni altro supporto rimovibile. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Tipologia di dispositivi di accesso: Docente: Gianpiero Fasulo Elenco e descrizione sintetica degli strumenti utilizzati dagli incaricati per effettuare il trattamento: pc, terminale non intelligente, palmare, telefonino… Tipologia di interconnessione: Descrizione sintetica e qualitativa della rete che collega i dispositivi di accesso ai dati utilizzati dagli incaricati: rete locale, geografica, internet. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Le predette informazioni possono essere completate o sostituite da schemi, tabelle, disegni di architettura del sistema informativo o da altri documenti aziendali già compilati e idonei a fornire in altro modo le informazioni medesime. Tabella: ulteriori informazioni lista trattamenti Codice Docente: Gianpiero Fasulo 001AZ1 Banca dati Archivi software di programma specifico Luogo di custodia PC Server Tipologia dispositivo Personal computer interconnessione Rete locale Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Sezione - Distribuzione dei compiti e delle responsabilità: In questa sezione del D.P.S. bisogna descrivere sinteticamente l’organizzazione della struttura di riferimento, i compiti e le relative responsabilità, in relazione ai trattamenti effettuati. Si possono utilizzare anche, mediante specifici riferimenti, documenti già predisposti (es. provvedimenti, ordini di servizio, regolamenti interni, circolari) indicando le precise modalità per reperirli. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Struttura: Docente: Gianpiero Fasulo Riportare le indicazioni delle strutture già menzionate nella precedente sezione. (riportare le strutture preposte al trattamento dei dati così come riportate nella colonna “struttura” della tabella Lista trattamenti Trattamenti effettuati dalla struttura: Indicare i trattamenti effettuati da ciascuna struttura Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Compiti e responsabilità della struttura: Descrivere sinteticamente i compiti e le responsabilità della struttura rispetto ai trattamenti di competenza. Ad es. acquisizione o caricamento dati, consultazione, comunicazione a terzi, manutenzione tecnica dei programmi, gestione tecnica operativa della base dati ( salvataggi, ripristini ecc) anche in questo caso è possibile utilizzare, nei termini predetti,altri documenti già predisposti. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Tabella: distribuzione dei compiti e delle responsabilità Docente: Gianpiero Fasulo STRUTTURA SOGGETTO TRATTAMENTO COMPITI UFFICI STUDIO TITOLARE TUTTI I TRATTAMENTI TITOLARE DEL TRATTAMENTO DEI DATI UFFICI STUDIO INCARICATO 01 TUTTI I TRATTAMENTI RESPONSABILE AI BACKUP (SALVATAGGI E RIPRISTINI) UFFICI STUDIO INCARICATO 01 TUTTI I TRATTAMENTI MANUTENZIONE TECNICA DEI PROGRAMMI E GESTIONE TECNICA OPERATIVA DELLA BASE DATI UFFICI STUDIO INCARICATO 01 TUTTI I TRATTAMENTI RESPONSABILE AL CONTROLLO DEGLI ACCESSI UFFICI STUDIO INCARICATO 01 TUTTI I TRATTAMENTI CUSTODE DELLE PASSWORD Al termine di questa sezione è possibile inserire la seguente dicitura: “tutti i dati trattati dallo studio ed elencati nella tabella ‘lista trattamenti’ del presente documento devono poter essere trattati in modo completo da tutti gli incaricati per il corretto svolgimento delle operazioni inerenti l’attività dello studio. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Sezione – analisi dei rischi che incombono sui dati: Descrivere in questa sezione del D.P.S. i principali eventi potenzialmente dannosi per la sicurezza dei dati, e valutarne le possibili conseguenze e gravità in relazione al contesto fisico-ambientale di riferimento e agli strumenti elettronici utilizzati. ( in funzione del grado di preparazione del personale e degli strumenti utilizzati, valutare i rischi cui sono sottoposti i dati) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Informazioni essenziali: Elenco degli eventi Individuare ed elencare gli eventi che possono generare danni e che comportano, quindi, rischi per la sicurezza dei dati personali. In particolare, si può prendere in considerazione la lista esemplificativa dei seguenti eventi: 1) Comportamenti degli operatori Sottrazione di credenziali di autenticazione Carenza di consapevolezza, disattenzione o incuria comportamenti sleali o fraudolenti errore materiale Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) 2) azione di virus informatici o di programmi suscettibili di recare danno spamming o tecniche di sabotaggio malfunzionamento, indisponibilità o degrado degli strumenti accessi esterni non autorizzati intercettazione di informazioni in rete Docente: Gianpiero Fasulo Eventi relativi agli strumenti Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) 3) ingressi non autorizzati ai locali/aree di accesso ristretto sottrazione di strumenti contenenti dati eventi distruttivi, naturali o artificiali (movimenti tellurici, scariche atmosferiche, incendi, allagamenti) nonché dolosi, accidentali o dovuti all’incuria guasto a sistemi complementari (impianto elettrico, climatizzazione) errori umani nella gestione della sicurezza fisica Docente: Gianpiero Fasulo Eventi relativi al contesto fisico ambientale Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) E’ possibile, per ulteriori dettagli, rinviare a documenti analoghi già redatti in tema di piani di sicurezza e gestione del rischio, come ad es. disaster recovery plan. A livello aziendale potrebbe già esistere della documentazione riguardante la sicurezza. Se questa avesse attinenza con il trattamento dei dati, potrebbe essere allegata al D.P.S. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Impatto sulla sicurezza: Descrivere le principali conseguenze individuate per la sicurezza dei dati, in relazione a ciascun evento, e valutare la loro gravità anche in relazione alla rilevanza e alla probabilità stimata dell’evento (anche in termini sintetici: es. alta/media/bassa) in questo modo è possibile formulare un primo indicatore omogeneo per i diversi rischi da contrastare. (indicare in funzione del grado di preparazione del personale e degli strumenti utilizzati, i rischi a cui sono sottoposti i dati) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Tabella: rischi che incombono sui dati Docente: Gianpiero Fasulo EVENTO IMPATTO ACCESSI ESTERNI NON AUTORIZZATI ALTO AZIONE DI VIRUS INFORMATICI O DI PROGRAMMI SUSCETTIBILI DI RECARE DANNO ALTO CARENZA DI CONSAPEOLEZZA, DISATTENZIONE O INCURIA MEDIO Al termine di questa sezione è possibile inserire la seguente dicitura: “attesto infine che gli incaricati al trattamento dei dati sono qualificati ed affidabili e dimostrano riservatezza ed attenzione nella gestione dei dati stessi, il rischio afferente la riservatezza, o la distrazione, o l’incuria degli stessi, può essere definito basso. Inoltre i dati, quanto comuni che sensibili, per gli affari trattati dallo studio ed il tipo di clientela dello studio non possono essere come detto di particolare interesse per terzi” Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Sezione – misure in essere e da adottare: Docente: Gianpiero Fasulo Contenuti In questa sezione vanno riportate, in forma sintetica, le misure in essere e da adottare per contrastare i rischi individuati. Per misura si intende lo specifico intervento tecnico od organizzativo posto in essere per prevenire, contrastare o ridurre gli effetti relativi ad una specifica minaccia, come pure quelle attività di verifica e controllo nel tempo, essenziali per assicurarne l’efficacia. Le misure da adottare possono essere inserite in una sezione dedicata ai programmi per migliorare la sicurezza. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Informazioni essenziali: Descrizione dei rischi Docente: Gianpiero Fasulo Per ciascuna misura indicare sinteticamente i rischi che si intende contrastare. Misure Descrivere sinteticamente le misure adottate Trattamenti interessati Indicare i trattamenti interessati per ciascuna delle misure adottate Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Struttura o persone addette all’adozione: Indicare la struttura o la persona responsabile o preposte all’adozione delle misure indicate. Occorre specificare se la misura è già in essere o da adottare, con eventuale indicazione,in tale ultimo caso, dei tempi previsti per la sua messa in opera. Conviene adottare due tabelle distinte, una per le misure in essere, l’altra per quelle da adottare. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Tabella: misure in essere rischio misura addetto Accessi esterni non autorizzati E’ stata introdotta l’autenticazione tramite password. titolare Ogni incaricato possiede una password di almeno 8 caratteri per l’accensione del PC ed una password con medesime caratteristiche per l’accesso al sistema. Dette password non contengono, né conterranno, elementi facilmente ricollegabili all’organizzazione o alla persona che le utilizza, né allo studio. La stessa viene autonomamente scelta dall’incaricato e dallo stesso consegnata in busta chiusa al titolare del trattamento, il quale provvede a conservarla con cura e proteggerla dal personale non autorizzato. Ogni tre mesi ciscun incaricato provvede a sostituire la propria password. Si è altresì disposto che le password vengano disattivate dopo sei mesi di non utilizzo. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Tabella: misure da adottare rischio misura addetto Scarsa preparazione del personale Visto il continuo titolare evolversi delle minacce in particolar modo provenienti da Internet, va pianificata l’istruzione del personale dipendente. Data adozione Entro il 12/2006 Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Determinate misure possono non essere riconducibili a specifici trattamenti o banche dati (ad esempio con riferimento alle misure per la protezione delle aree e dei locali) Indicare quindi l’ubicazione ed altre particolarità inerenti lo studio (ufficio) utilizzando ad esempio le diciture sotto riportate: i dati vengono trattati e conservati in fascicoli i fascicoli vengono riposti in schedari dotati di chiusura a chiave i dati vengono trattati tramite computer in rete i dati vengono archiviati al termine della pratica lo studio, ove vengono trattati i dati, è ubicato in una abitazione singola in zona centrale dotato di portone di ingresso e chiusura automatica e portoncino blindato i singoli studi (stanze), che lo compongono sono dotati ciascuno di porta con chiusura a chiave la segreteria è ubicata in un locale più ampio Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Sezione – criteri e modalità di ripristino dati Contenuti In questa sezione sono descritti i criteri e le procedure adottate per il ripristino dei dati in caso di danneggiamento o di inaffidabilità della base dati. L’importanza di queste attività deriva dalla eccezionalità delle situazioni in cui il ripristino ha luogo:è essenziale che,quando sono necessarie, le copie dei dati siano disponibili e che le procedure di reinstallazione siano efficaci. Pertanto, è opportuno descrivere sinteticamente anche i criteri e le procedure adottate per il salvataggio dei dati al fine di una corretta esecuzione del loro ripristino. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Informazioni essenziali Per quanto riguarda il salvataggio dei dati, le informazioni essenziali sono: Database Identificare la banca, la base o l’archivio elettronico di dati interessati (indicare i dati interessati al salvataggio) Criteri e procedure per il salvataggio dei dati: Descrivere sinteticamente la tipologia di salvataggio e la frequenza con cui viene effettuato. Modalità di custodia delle copie Indicare il luogo fisico in cui sono custodite le copie dei dati salvate. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Struttura o persona incaricata del salvataggio: Indicare la struttura o le persone incaricate di effettuare il salvataggio e/o di controllarne l’esito. Tabella: modalità di salvataggio dei dati Banca dati salvataggio Docente: Gianpiero Fasulo Archivi software Il salvataggio di programma viene effettuato specifico giornalmente custodia addetto Le copie vengono conservate in un cassetto dotato di chiusura a chiave ed ubicato all’interno degli uffici. L’ultimo backup viene custodito personalmente dall’incaricato addetto. Incaricato 01 Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Per quanto riguarda il ripristino le informazioni essenziali sono: Database/banca dati/archivio Identificare la banca, la base o l’archivio elettronico di dati interessati. Criteri e procedure per il ripristino dei dati: Descrivere sinteticamente le procedure e i criteri individuati per il ripristino dei dati. Pianificazione delle prove di ripristino Indicare i tempi previsti per effettuare i test di efficacia delle procedure di salvataggio/ripristino dei dati adottate. Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Tabella: modalità di ripristino dei dati Banca dati ripristino pianificazione addetto Archivi software di programma specifico Il ripristino viene effettuato tramite le seguenti operazioni: 1 – avvertire il titolare del trattamento dei dati e l’incaricato che ha in custodia i supporti magnetici di backup nonché i supporti contenenti i vari software dello studio installati sugli strumenti elettronici; 2 – rivolgersi immediatamente e chiedere l’intervento del tecnico manutentore sollecitandone al più presto l’assistenza; 3 – reinstallati i programmi danneggiati o distrutti, sempre che non sia necessario sostituire l’intero hardware, provvedere a reinstallare tutti i dati contenuti nel supporto di backup; 4 – provvedere all’aggiornamento dei sistemi una volta reinstallati Al fine di evitare eventi di perdita e di danneggiamento degli strumenti elettronici e dei dati in essi contenuti,si prevede che per 2 volte all’anno sia effettuata manutenzione adeguata e test di ripristino. Incaricato 01 Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Sezione – pianificazione degli interventi formativi previsti contenuti In questa sezione sono riportate le informazioni necessarie per individuare il quadro sintetico degli interventi formativi che si prevede di svolgere. Informazioni essenziali Classi di incarico o tipologie di incaricati interessati: Individuare le classi omogenee di incarico a cui l’intervento è destinato e/o le tipologie di incaricati interessati, anche in riferimento alle strutture di appartenenza. (elencare gli individui interessati all’intervento formativo indicando anche la struttura di riferimento) Descrizione sintetica degli interventi formativi: Descrivere sinteticamente gli obiettivi e le modalità dell’intervento formativo, ( ingresso in servizio o cambiamento di mansioni degli incaricati, introduzione di nuovi elaboratori, programmi o sistemi informatici ecc.) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Tempi previsti Indicare i tempi previsti per lo svolgimento degli interventi formativi Tabella: pianificazione interventi formativi previsti struttura interessati Docente: Gianpiero Fasulo Uffici studio Tutto il personale Descrizione intervento tempi Formare gli incaricati all’ingresso in servizio ed installazione di nuovi strumenti per iltrattamento dei dati. Ogni volta che si acquisisce un nuovo strumento Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Sezione – trattamenti affidati all’esterno contenuti Docente: Gianpiero Fasulo Redigere un quadro sintetico delle attività affidate a terzi che comportano il trattamento di dati, con l’indicazione sintetica del quadro giuridico o contrattuale (nonché organizzativo e tecnico) in cui tale trasferimento si inserisce, in riferimento agli impegni assunti, anche all’esterno, per garantire la protezione dei dati stessi. Informazioni essenziali Descrizione dell’attività esternalizzata: Indicare sinteticamente l’attività affidata all’esterno Trattamenti di dati interessati: Indicare i trattamenti di dati, sensibili o giudiziari, effettuati nell’ambito della predetta attività Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Soggetto esterno: Indicare la società, l’ente o il consulente cui è stata affidata l’attività, e il ruolo ricoperto agli effetti della disciplina sulla protezione dei dati personali (titolare o responsabile del trattamento) Docente: Gianpiero Fasulo Descrizione dei criteri: Perché sia garantito un adeguato trattamento dei dati è necessario che la società a cui viene affidato il trattamento rilasci specifiche dichiarazioni o documenti, oppure assuma alcuni impegni anche su base cotnrattuale, con particolare riferimento ad esempio a: Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Descrizione dei criteri (segue): tattamento di dati ai soli fini dell’espletamento dell’incarico ricevuto; adempimento degli obblighi previsti dal Codice per la protezione dei dati personali rispetto delle istruzioni specifiche eventualmente ricevute per il trattamento dei dati personali o integrazione delle procedure già in essere; impegno a relazionare periodicamente sulle misure di sicurezza adottate anche mediante eventuali questionari e liste di controllo e ad informare immediatamente il titolare del trattamento in caso di situazioni anomale o di emergenze. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Tabella: trattamenti affidati all’esterno descrizione trattamento Docente: Gianpiero Fasulo Raccolta dati medici del personale dipendente Soggetto esterno Dati del personale Studio dipendente idonei medico a rivelare lo stato di salute criteri Richiesta dichiarazione attestante l’utilizzo dei dati solo per l’espletament o dell’incarico ricevuto Il diritto alla riservatezza Docente: Gianpiero Fasulo ( il Decreto Legge 196/2003 il D.P.S. ) Sezione – cifratura o separazione dei dati identificativi Contenuti In questa sezione vanno rappresentate le modalità di protezione adottate in relazione ai dati per cui è richiesta la cifratura o la separazione fra dati identificativi e dati sensibili, nonché i criteri e le modalità con cui viene assicurata la sicurezza di tali trattamenti. Questo punto riguarda solo organismi sanitari o esercenti professioni sanitarie. Informazioni essenziali Trattamenti di dati: Descrivere i trattamenti (le banche dati o database ) dati oggetto della protezione (indicare i trattamenti che lo studio intende proteggere tramite cifratura o separazione dei dati ) Protezione scelta: Riportare la tipologia di protezione adottata, scelta fra quelle indicate dal codice o in base a considerazioni specifiche del titolare. ( indicare le tecnologie utilizzate per la protezione dei dati) Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) Docente: Gianpiero Fasulo Tecnica adottata Descrivere sinteticamente, in termini tecnici ed eventualmente organizzativi, la misura adottata. Ad esempio, in caso di utilizzo di cifratura, le modalità di conservazione delle chiavi e le procedure di utilizzo. Tabella: modalità di cifratura dei dati trattamento protezione tecnica Tutti i trattamenti Crittografazione automatica tramite il software di gestione dei dati Le chiavi di crittografazione sono conservate personalmente dal titolare del trattamento ed inserite giornalmente per l’utilizzo della procedura. In caso di indisponibilità del titolare,l ’incaricato 01’ conserva a sua volta le chiavi in busta sigillata e custodita in cassetto dotato di serratura Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: informativa ex. Art. 13 D.lgs 196/2003 Va consegnato a tutti coloro per i quali la struttura conserva i dati (clienti, fornitori, dipendenti, collaboratori) l’interessato ne conserva una copia ed una la restituisce firmata in modo che la struttura possa dimostrare l’avvenuta comunicazione. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: formula di acquisizione del consenso dell’interessato Questo documento va debitamente compilato e firmato dall’interessato per l’acquisizione da parte della struttura del permesso a trattare i dati. alcune voci potrebbero non interessare per cui vanno tolte Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di opposizione al trattamento dei dati per motivi legittimi Questo documento va debitamente compilato e firmato dall’interessato in caso di opposizione per motivi legittimi al trattamento dei dati. Questo diritto viene garantito dall’art.7 del D.lsg 196/2003 Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di incarico per il personale autorizzato al trattamento Questa lettera va consegnata e fatta firmare per presa visione a tutto il personale incaricato al trattamento dei dati. Allegate alla lettera anche le istruzioni che il personale dovrà leggere e firmare per presa visione. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: password personale degli incaricati al trattamento Modulo per l’attribuzione agli incaricati al trattamento della coppia di password per l’accesso al sistema Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di incarico per la custodia delle password Lettera con la quale il responsabile del trattamento nomina l’incaricato addetto alla custodia di tutte le password. In questa lettera sono indicate anche le mansioni per il corretto svolgimento del compito assegnato. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di incarico per il responsabile del trattamento Lettera con la quale il titolare del trattamento nomina il responsabile del trattamento. In questa lettera sono indicate anche le mansioni per il corretto svolgimento del compito assegnato. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di incarico per il responsabile del backup Lettera con la quale il responsabile del trattamento nomina il responsabile del backup dei dati inerenti ai trattamenti e ne descrive le modalità operative. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di incarico per il controllo degli accessi ai locali Lettera da consegnare e far firmare all’incaricato che dovrà gestire il controllo dell’accesso ai locali per impedire l’accesso a persone non autorizzate. Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: lettera di autorizzazione accessi ai locali Lettera di richiesta dei dati relativi al personale esterno che deve avere accesso ai locali (ad es. la ditta che effettua le pulizie, deve provvedere a fornire i nominativi del personale che invierà per la prestazione). Docente: Gianpiero Fasulo Il diritto alla riservatezza ( il Decreto Legge 196/2003 il D.P.S. ) La documentazione da allegare al D.P.S.: rinvio termine 31/12/2004 per adottare le nuove misure Documento da predisporre per beneficiare del più lungo termine del 31/12/2004 per adottare le nuove misure di sicurezza, introdotte dal d.lgs 196/2003 e dal disciplinare tecnico di cui all’allegato B. in questo documento vanno descritti gli strumenti elettronici inadeguati,e per ognuno le ragioni obiettive di tale inadeguatezza, gli interventi previsti, in che cosa consistono, quali tempi richiedono e la spesa preventiva. Docente: Gianpiero Fasulo Docente: Gianpiero Fasulo Tecniche per le misure di sicurezza di una LAN Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS ( Intrusion Detection System ) Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Un sistema di sicurezza, almeno per quanto riguarda la protezione dall'esterno della rete verso l'interno della rete locale, dovrebbe al minimo comprendere un Firewall, un qualche sistema per la verifica della presenza di eventuali vulnerabilità come Nessus ed un IDS (acronimo di Intrusion Detection System) come ad esempio Snort. Molto spesso questi strumenti collaborano scambiandosi dati tra di loro. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Un IDS e' un sistema hardware o software (a volte la combinazione di tutti e due, sotto forma di sistemi standalone pre-installati e pre-configurati) che permette all'amministratore di sistema di monitorare la rete alla ricerca di eventuali intrusioni o tentativi di intrusione. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Facendo riferimento a Snort, uno degli IDS piu' conosciuti, parliamo di NIDS, ovvero di Network Intrusion Detection System, che permette non solo di monitorare un singolo host ma una rete completa. Il layout tipico di una rete con un NIDS come Snort e' quello rappresentato dalla figura di seguito evidenziata. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Cosa fa e cosa non fa un IDS Docente: Gianpiero Fasulo In questo modo il sistema IDS, essendo collegato ad un HUB, riesce a "sniffare" tutto il traffico da e per la DMZ, mettendo in modalità promiscua l'interfaccia sulla quale e' in ascolto. Il sistema su cui e' installato Snort viene chiamato sensore. Cosa fa e cosa non fa un IDS Docente: Gianpiero Fasulo Si usa questa architettura perche' il sensore non riuscirebbe a catturare tutto il traffico di rete collegandolo direttamente allo switch. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS I log generati da Snort possono essere inseriti in file di testo o salvati in un database relazionale come MySQL o PostgreSQL per una successiva consultazione anche per mezzo di interfacce web, utilizzando ad esempio il pacchetto ACIDLAB. Eventualmente piu' sensori possono essere collegati ad uno stesso database centralizzato. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Un IDS consiste in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a livello di rete, di trasporto o di applicazione. Due sono le categorie base: sistemi basati sulle firme (signature) e sitemi basati sulle anomalie (anomaly). La tecnica basata sulle firme e' in qualche modo analoga a quella per il rilevamento dei virus, che permette di bloccare file infetti. Si tratta della tecnica piu' utilizzata. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS I sistemi basati sul rilevamento delle anomalie utilizzano un insieme di regole che permettono di distinguere cio' che e' "normale" da cio' che e' "anormale". Snort e' principalmente basato su regole (rules) contenute in file di testo, che permettono di rilevare le signature, andando a cercare particolari pattern nel traffico di rete. Cosa fa e cosa non fa un IDS Docente: Gianpiero Fasulo Non appena il sistema di rilevamento delle intrusioni rileva attivita' sospette, viene avvisato l'amministratore di sistema invandogli un alert che puo' coinsistere in una email, un segnale acustico o in una finestra popup. Finora abbiamo parlato di cosa fa un IDS, anche se in maniera superficiale, e come va posizionato in un tipico layout di rete. Docente: Gianpiero Fasulo Cosa fa e cosa non fa un IDS Cio' che invece non fa un IDS e' bloccare o filtrare i pacchetti in ingresso ed in uscita, ne tantomeno puo' modificarli. Un IDS puo' essere paragonato ad un antifurto, ed un firewall ad una porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che spetta alla porta blindata (al firewall), ma a rilevarle laddove si verifichino. Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo La gran parte dei virus e trojan in circolazione, sfruttano gli stessi comandi e utility di Windows per raggiungere il loro scopo "distruttivo". Infatti, solitamente, si servono di comandi e file come deltree, format, regedit. etc. Come prevenire gli attacchi dei virus?? Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo Premesse Il punto di forza dei virus è rappresentato dalla standardizzazione di Windows, o meglio dal sapere a priori dove trovare le componenti e i file di sistema, in quanto le cartelle e i nomi dei file sono, per la gran parte dei casi, nella stessa posizione e con gli stessi nomi. Quindi diventa fin troppo facile per un virus effettuare per esempio un FORMAT o un DELTREE con conseguenze a dir poco "catastrofiche" per i nostri dati. Come eludere gli attacchi dei virus COME DIFENDERSI?? A volte un buon Antivirus non basta. E' bene infatti effettuare alcune modifiche alla "struttura" del sistema operativo rinominando e/o "nascondendo" file e cartelle potenzialmente "letali" per i nostri dati. Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus COME DIFENDERSI?? A volte un buon Antivirus non basta. E' bene infatti effettuare alcune modifiche alla "struttura" del sistema operativo rinominando e/o "nascondendo" file e cartelle potenzialmente "letali" per i nostri dati. Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus Mettiamo al riparo WINDOWS Alcuni virus, specialmente i Trojan "fatti in casa", procedono nella loro azione, ricercando la cartella "WINDOWS"...Corriamo ai ripari rinominandola in fase di installazione... PROCEDURA: -In fase di installazione di Windows assegnate un nome diverso da Windows come Directory di destinazione (Per Es. C:\WME). Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo Mettiamo al riparo AUTOEXEC.BAT Molti virus utilizzano il file AUTOEXEC.BAT scrivendo al suo interno dei comandi per effettuare delle operazioni più o meno "distruttive" al riavvio del PC. Un metodo molto valido di prevenzione da tali Virus è quello di rinominare il file Autoexec.bat e modificare la riga di comando nel file COMMAND.COM relativa allo stesso autoexec.bat. Come eludere gli attacchi dei virus PROCEDURA: -Create una copia dei file AUTOEXEC.BAT e COMMAND.COM; -Aprite una finestra MSDos e digitate il seguente comando: EDIT COMMAND.COM Docente: Gianpiero Fasulo Apparirà una finestra come in figura (con dei simboli e lettere incomprensibili): Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo Figura del file COMMAND.COM Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus -Portatevi su "Cerca" e quindi selezionate "Trova"; -Digitate AUTOEXEC.BAT nella casella di ricerca e date l'OK; -Modificate dunque la sola parte evidenziata da AUTOEXEC.BAT a AUTOE.BAT; -Salvate le modifiche e chiudete il programma EDIT; -Sempre dalla Finestra MSDos digitate i seguenti comandi: CD\ RENAME AUTOEXEC.BAT AUTOE.BAT -Chiudete la finestra MSDos. Con questa procedura abbiamo reso inoffensivi i Virus che agiscono sul file Autoexec.bat. Come eludere gli attacchi dei virus Mettiamo al riparo REGEDIT Molti altri virus utilizzano REGEDIT come "cavallo di troja" per lanciare, al successivo riavvio del PC, i file (ovviamente ben nascosti) che provvederanno al contagio della macchina. Docente: Gianpiero Fasulo Solitamente vanno ad inserire le "stringhe di lancio" nelle seguenti chiavi: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\Run HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVer sion\RunOnce HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\Run HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVe rsion\RunOnce Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo Mettiamo al riparo REGEDIT Controllare periodicamente che nelle CHIAVI di REGISTRO sopra elencate non vi siamo programmi di cui non si conosce la provenienza. Ovviamente, se si riscontrano dei riferimenti "anomali" bisogna procedere alla eliminazione sia della chiave che del file correlato. Come eludere gli attacchi dei virus scovare i WORM Virus Il più delle volte, l'ultimo ad accorgersi della presenza di un Worm virus sul PC è il proprietario. Infatti se ne accorgeranno immediatamente gli amici e tutti coloro che sono inseriti nella rubrica. I trucchi che andremo ad illustrarvi di seguito, sfruttano la caratteristica principale dei worm virus....l'uso della Rubrica indirizzi. Docente: Gianpiero Fasulo Come eludere gli attacchi dei virus TRUCCO n.1 (testato su Outlook Express) Docente: Gianpiero Fasulo Il funzionamento del trucco è reso possibile grazie all'inserimento di un nome "non valido" nella rubrica indirizzi.... - Portatevi sulla Rubrica; - Fate click su "Nuovo=>Nuovo contatto"; - Inserire nella casella "Nome" la seguente stringa: !00112233 - Quindi date l'OK e chiudete la rubrica. (non inserite nessun indirizzo e-mail) Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo In caso di presenza di virus Worm sul PC, visto che il virus si auto-invia utilizzando gli indirizzi della rubrica, questo indirizzo non valido genererà un messaggio di errore. In tal modo sapremo subito che un Virus ha inviato delle e-mail e ...... occorre fare pulizia nel PC. Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo TRUCCO n.2 (valido per tutti i sw di posta) Sfruttando sempre la rubrica, stavolta andremo a sfruttare anche i Server SMTP.... - Portatevi sulla Rubrica; - Fate click su "Nuovo=>Nuovo contatto"; - Inserire nella casella "Nome" un nome a vs. piacere: Per es.: "Mi sono beccato un Virus" - Inserire nella casella "Indirizzo posta elettronica", un indirizzo assurdo.. che non può mai funzionare a vs. piacere: Per es.: "[email protected]" - Quindi date l' OK e chiudete la rubrica. Come eludere gli attacchi dei virus Docente: Gianpiero Fasulo In questo caso, il messaggio di errore verrà generato dal server smtp, che ovviamente non riuscirà mai a raggiungere l'indirizzo e-mail "falso" da noi inserito in rubrica e quindi ci invierà una notifica..... allora capiremo... Docente: Gianpiero Fasulo Gli SPYWARE Gli Spyware Docente: Gianpiero Fasulo Cosa sono gli spyware, come funzionano e quali strumenti utilizzare per proteggerci Docente: Gianpiero Fasulo Gli Spyware Se navighi lentamente o scarichi file a velocità "ridotta", controlla di non avere spyware installati sul tuo computer. Gli spyware non sono altro che software in grado di trasmettere alle aziende informazioni sulle nostre abitudini al computer. Uno spyware, come indica il nome stesso e semplificando al massimo il concetto, è un programma che "spia" le nostre attività. Docente: Gianpiero Fasulo Gli Spyware Una definizione di spyware più articolata, anche se ancora riduttiva, è quella di "programma nascosto all'interno del sistema operativo che trasmette informazioni - riservate e non - attraverso la rete Internet". Vediamo allora come descrivono ed illustrano il termine due interessanti siti che cercano di fornire al riguardo tutte le informazioni del caso: stiamo parlando di Whatis.com e di Symantec.com. Docente: Gianpiero Fasulo Gli Spyware Whatis.com definisce uno spyware, in modo abbastanza generico, come una "tecnologia che aiuta ad acquisire informazioni a proposito di una persona o un'organizzazione, senza che questi ne siano a conoscenza". Diversamente, Symantec Corporation (che ha recentemente acquisito il portale di sicurezza Securityfocus.com), li definisce come "software che raccolgono informazioni a scopo di marketing o per portare pubblicità sulle pagine Internet". Docente: Gianpiero Fasulo Gli Spyware Molte sono le giustificazioni riguardo l'esistenza di questi programmi, ma nella maggior parte dei casi gli spyware vengono proprio utilizzati per trasmettere pubblicità e raccogliere informazioni sui siti visitati dall'ignaro utente. Diciamo "ignaro" in quanto, normalmente, uno spyware non annuncia la sua installazione, non ci avverte del suo funzionamento all'interno del sistema operativo e silenziosamente effettua connessioni a dei server Internet prestabiliti. Docente: Gianpiero Fasulo Gli Spyware L'installazione degli spy-ware dunque non sempre viene notificata, spesso avviene in automatico quando installiamo un programma freeware; in altri casi gli spyware vengono invece installati durante la navigazione, approfittando dell'utente inesperto (i cosiddetti utenti "newbie") che vede apparire una finestra di conferma e senza leggere di cosa si tratta - clicca sul fatidico pulsante "Accetta". Docente: Gianpiero Fasulo Gli Spyware Gli autori di software freeware vengono allora pagati dalle aziende per inserire proprie porzioni di codice comprendente spyware? Ciò è possibile (ed è stato anche apertamente dichiarato in alcuni casi), e la diffusione degli spyware è comunque, di fatto, in continuo aumento. Gli Spyware Docente: Gianpiero Fasulo Anche per questo spyware è diventato, in tanti casi, sinonimo di Gain (Gator Advertising Internet Network), una delle forme più diffuse di pubblicità sulla Rete, oltre ad essere una delle più invasive. Docente: Gianpiero Fasulo Gli Spyware Tutti conosciamo le insidie dei virus, che attraverso vari sistemi, tra cui gli allegati di posta, possono inserirsi nei nostri computer e creare problemi più o meno gravi al nostro PC. Ma ora c'è un nuovo orizzonte per chi vuole sfruttare la nostra connessione alla rete per il suo personale tornaconto. Ci riferiamo alle società di ricerche di mercato che hanno trovato il modo di inserire vere e proprie "spie" nei nostri PC, allo scopo di entrare in possesso della "traccia" delle nostre abitudini di navigazione. Gli Spyware Docente: Gianpiero Fasulo Che cos'è esattamente uno spyware? Si tratta di qualunque software che fa uso, in background e all'insaputa dell'utente, della sua connessione Internet. L'uso del "backchannel" internet dovrebbe essere preceduto da un esplicito avviso a cui fa seguito un'approvazione dell'utente. Qualunque software di comunicazione che fa uso del backchannel senza rispettare queste regole, è colpevole di furto di informazioni e pertanto viene definito spyware. Gli Spyware Docente: Gianpiero Fasulo Come può uno spyware installarsi nel nostro PC? Principalmente attraverso programmi scaricati dalla rete o da qualche CD contenente "freeware" (programmi gratuiti) ad esempio: Godzilla, Webcopier, NetAccellerator, Comet cursor, DivX Player, Kazaa Media Desktop, ecc. Durante l'installazione di questi programmi, a nostra insaputa, viene installato lo spyware che, durante ogni nostro collegamento Internet, trasmette ad alcuni siti l'elenco dei siti visitati (che si trova nello "storico" di cui ogni browser tiene traccia). Gli Spyware Docente: Gianpiero Fasulo Come liberarsi degli spyware? A questo punto sarete impazienti di verificare se anche il vostro PC è rimasto contagiato da questa nuova infezione. Per evitare ogni tipo di problema, esistono particolari software che, alla stregua degli anti-virus, effettuando una scansione completa del personal computer (hard disk e registro di Windows), sono in grado di trovare ed eliminare tutti gli eventuali componenti adware e spyware facenti parte dei programmi installati. Docente: Gianpiero Fasulo Gli Spyware Il programma migliore che agisce in tal senso si chiama Ad-Aware ed è distribuito in maniera del tutto gratuita da Lavasoft, una piccola softwarehouse tedesca. A patto che venga tenuto costantemente aggiornato mediante l'installazione dei reference file più recenti (gli archivi contenenti informazioni sugli adware/spyware), Ad-Aware è certamente lo strumento migliore per diagnosticare ed eliminare le "spie" eventualmente presenti nel nostro personal computer. Gli Spyware ufficiale: http://www.lavasoftusa.com/italian/ Download: http://www.lavasoftusa.com/italian/s upport/download/ Docente: Gianpiero Fasulo Sito (consigliamo la "STANDARD EDITION", utilizzabile gratuitamente a differenza della "PLUS" e della "PROFESSIONAL", dedicate ad utenze aziendali e/o professionali) Docente: Gianpiero Fasulo Gli Spyware Esistono, tuttavia, altri due metodi per accorgersi della presenza di spyware. Per prima cosa, alcuni di essi, durante la loro esecuzione "silenziosa", causano errori di protezione, ad esempio, all'interno del browser Internet (Internet Explorer o Netscape Navigator). Si tratta di errori, ad una prima analisi, inspiegabili e del tutto inattesi. Con il passare del tempo però, anche gli spyware si sono evoluti ed i "campanelli di allarme" rappresentati da errori generali oggi si vedono sempre meno. Docente: Gianpiero Fasulo Gli Spyware I software firewall, invece, rappresentano probabilmente, dopo Ad-Aware, i migliori nostri alleati nello scovare tentativi di comunicazione con la Rete da parte di componenti adware e spyware. Il firewall, una volta attivato, informa l'utente su tutti i tentativi di accesso ad Internet da parte delle applicazioni installate. Il consiglio è quello di negare l'autorizzazione a comunicare con la Rete Internet ai programmi che non si conoscono: si avrà il tempo per rendersi conto dell'accaduto. Docente: Gianpiero Fasulo Gli Spyware Prima di scaricare un nuovo software shareware/freeware dalla Rete, una buona idea è quella di fare riferimento all'indirizzo www.spychecker.com indicando, nell'apposita casella di ricerca che campeggia in home page, il nome del programma che intendete installare: scoprirete se tale software fa uso di componenti spyware. Docente: Gianpiero Fasulo Tecniche per le misure di sicurezza Tecniche per le misure di sicurezza Prima di intervenire per securizzare una rete interna dell’ufficio bisogna seguire una procedura”base”. analizzare la situazione attuale planning degli interventi “lista della spesa” Impatto sulla LAN (Hardware/Software) Impatto sugli utenti (formazione) Docente: Gianpiero Fasulo Tecniche per le misure di sicurezza Primo STEP Layout di rete Individuare il software utilizzato in azienda Securizzare ogni client della rete (antivirus, spyware, blocco delle porte) Installare un server di controller di dominio e creare gli utenti Policy di accesso tra i client della rete (condividere le risorse) Docente: Gianpiero Fasulo Tecniche per le misure di sicurezza Secondo STEP Intervenire su ogni client della rete senza bloccare il lavoro degli altri (se non in casi di impossibilità a fare diversamente) Informare ogni collega di quanto si è fatto sulla sua Docente: Gianpiero Fasulo macchina e perchè Informativa aziendale sulla nuova situazione della LAN Informativa preventiva su ogni modifica o nuova installazione di apparecchiature o software Docente: Gianpiero Fasulo Tecniche per le misure di sicurezza Terzo STEP Effettuare una lista dei software e dell’hardware necessario affinchè si possa procedere con il lavoro Ricercare in caso di necessità le figure o l’azienda che ci possa dare assistenza o consulenza Ottenere (dagli eventuali esterni) e pianificare i tempi di intervento per le configurazioni o per l’acquisizione del nuovo hardware Tecniche per le misure di sicurezza Docente: Gianpiero Fasulo Quarto STEP Procedere con le installazioni dei nuovi software/hardware Individuare le risorse di rete da condividere Creare il dominio aziendale e gli utenti per l’accesso allo stesso FORMARE IL PERSONALE Tecniche per le misure di sicurezza Docente: Gianpiero Fasulo PROTEGGERE L’INFORMAZIONE L’informazione va protetta Per farlo bisogna organizzarla e strutturarla implementare un file server per gli archivi (office, database altro…) Accessi controllati agli share di rete Limitare l’utilizzo di Internet Firewalling Docente: Gianpiero Fasulo FIREWALL E SICUREZZA Docente: Gianpiero Fasulo Firewall e sicurezza Conseguentemente alla diffusione su vasta scala delle reti locali, i problemi relativi alla sicurezza diventano sempre più pressanti. Alcune tecnologie standard attualmente utilizzate su Internet non sono affatto sicure. La consapevolezza di questo fatto è fondamentale se si desidera migliorare la protezione di una rete. Docente: Gianpiero Fasulo Firewall e sicurezza I problemi più comuni sono i seguenti: Utilizzo di password che vengono trasmesse in chiaro Facilità di monitoraggio della rete Possibilità di intercettazione degli indirizzi di rete Scarsa qualità delle implementazioni per la sicurezza Firewall e sicurezza Docente: Gianpiero Fasulo “La breccia nella LAN” La forma più comune di breccia nel sistema di sicurezza di una rete nasce da una configurazione non corretta. Ciò generalmente, è risultato di uno dei seguenti aspetti: Mancanza di esperienza da parte dell’amministratore di rete Patch per la sicurezza non applicate al sistema operativo Mancanza di sicurezza di un singolo server/pc che compromette la sicurezza complessiva della rete. Docente: Gianpiero Fasulo Firewall e sicurezza Numerose applicazioni di rete impiegate quotidianamente prevedono l’utilizzo di password in chiaro. Queste applicazioni comprendono ad es.: FTP Telnet Client di posta (POP3) Docente: Gianpiero Fasulo Firewall e sicurezza Chiunque sappia utilizzare un analizzatore di rete è in grado di catturare pacchetti di rete e ricostruirli in modo da intercettare le informazioni relative agli account e alle password. Nonostante innumerevoli avvertimenti, molte password attualmente utilizzate non sono assolutamente sicure. Le password non dovrebbero essere costituite da nomi di familiari, date di nascita, numeri telefonici. Docente: Gianpiero Fasulo Firewall e sicurezza Numerosi utenti condividono imprudentemente le proprie password con altri colleghi oppure le lasciano in aree facilmente accessibili nei propri uffici. Alcuni addirittura le scrivono su post-it che lasciano in bella mostra sul monitor. Questo tipo di password è molto poco sicuro. In quasi tutti i sistemi operativi sono disponibili programmi che utilizzano algoritmi “forza bruta” di confronto delle password con parole di dizionario sino a che non individuano una corrispondenza. Come ci si può proteggere quindi da questi programmi? Docente: Gianpiero Fasulo Firewall e sicurezza Il punto fondamentale consiste nello scegliere parole alfanumeriche non presenti in alcun dizionario. Non è sufficiente utilizzare una cifra alla fine della parola. Molti programmi di individuazione delle password tengono conto di numeri che vanno da 1 a 99 aggiunti alla fine di ogni parola. Docente: Gianpiero Fasulo Firewall e sicurezza Gli analizzatori di rete “sniffer” sono ampiamente disponibili e permettono di visualizzare i pacchetti che vengono trasmessi sulla rete. Se vengono utilizzate applicazioni che trasmettono password in chiaro, cioè non cifrate, questi strumenti permettono a chiunque di intercettare queste informazioni e di catturare le password e gli account utente. Docente: Gianpiero Fasulo Firewall e sicurezza Il pericolo non è limitato alla rete locale, ma riguarda tutti i “segmenti” di rete che vengono attraversati dai pacchetti di dati che partono dall’utente e devono raggiungere un server. Qualsiasi strumento di monitoraggio inserito fra i due estremi di una rete è in grado di intercettare le informazioni relative le password e gli account utente. Docente: Gianpiero Fasulo Firewall e sicurezza Il comando netstat visualizza lo stato della rete. Netstat può darvi informazioni su quali porte sono aperte e sugli indirizzi IP che vi stanno accedendo, su quali protocolli stanno usando tali porte, lo stato delle porte e informazioni sul processo o programma che le utilizza. Firewall e sicurezza Docente: Gianpiero Fasulo Al prompt di comando digitate: netstat -aon (per Windows) o netstat -apn (per Linux) e netstat visualizzerà una schermata simile a questa: Active Connections Proto Local Address Foreign Address State PID TCP 0.0.0.0:1134 0.0.0.0:0 LISTENING 3400 TCP 0.0.0.0:1243 0.0.0.0:0 LISTENING 3400 TCP 0.0.0.0:1252 0.0.0.0:0 LISTENING 2740 TCP 257.35.7.128:1243 64.257.167.99:80 ESTABLISHED 3400 TCP 257.35.7.128:1258 63.147.257.37:6667 ESTABLISHED 3838 TCP 127.0.0.1:1542 0.0.0.0:0 LISTENING 1516 TCP 127.0.0.1:1133 127.0.0.1:1134 ESTABLISHED 3400 TCP 127.0.0.1:1134 127.0.0.1:1133 ESTABLISHED 3400 TCP 127.0.0.1:1251 127.0.0.1:1252 ESTABLISHED 2740 TCP 127.0.0.1:1252 127.0.0.1:1251 ESTABLISHED 2740 Docente: Gianpiero Fasulo Firewall e sicurezza Ora, dovete far corrispondere i numeri nella colonna PID ai nomi dei processi che sono in esecuzione. In Windows, dovete utilizzare il Windows Task Manager, digitando CTL+ALT+DEL (se non viene visualizzata la colonna PID, fate click su Visualizza, poi Seleziona Colonne, e successivamente selezionate PID). In Linux, andate nel prompt di comando e digitate ps auxf per visualizzare lo stato dei processi. Docente: Gianpiero Fasulo Firewall e sicurezza Nel nostro esempio troviamo che il PID 3400 appartiene al vostro browser web e che il PID 2740 appartiene al vostro client di posta, entrambi mandati in esecuzione consapevolmente ed entrambi con una buona ragione per connettersi ad Internet. Tuttavia il PID 3838 appartiene ad un programma chiamato 6r1n.exe e il PID 1516 ad un programma chiamato buscanv.exe, nessuno dei quali vi è familiare. Firewall e sicurezza Docente: Gianpiero Fasulo la sola ragione che non riconoscete il nome di un programma, non significa che non ci sia un valido motivo per cui sia in esecuzione sul sistema. Il passo successivo è andare su un motore di ricerca e cercare di scoprire a cosa servono tali programmi. Docente: Gianpiero Fasulo Firewall e sicurezza Nella nostra ricerca, scopriamo che buscanv.exe è necessario al nostro programma di scansione virus e che deve essere in esecuzione. Tuttavia 6r1n.exe potebbe essere un trojan. Osservando nuovamente l'output di netstat, possiamo notare che la porta associata al programma 6r1n.exe è la 6667, una porta IRC comunemente utilizzata dai trojans per l'accesso remoto. A questo punto iniziamo la ricerca del metodo per rimuovere il trojan. Docente: Gianpiero Fasulo Firewall e sicurezza Ora potete sedervi al computer e mandare in esecuzione continuamente netstat per controllare i dati che transitano per il vostro computer o potete usare un programma firewall che lo faccia per voi. Un firewall controlla il traffico presente sul vostro computer e utilizza un numero di regole o filtri per determinare se ad un programma debba o meno essere consentito l'accesso alla rete. Un firewall può filtrare i dati in base ad un indirizzo IP e a nomi di dominio, porte e protocolli, o anche dati trasmessi. Docente: Gianpiero Fasulo Firewall e sicurezza Questo significa che potete fare cose quali: · bloccare o consentire l'accesso a tutti i dati provenienti da un indirizzo IP specifico · bloccare o consentire l'accesso a tutti i dati provenienti da un dominio specifico · chiudere o aprire porte specifiche · bloccare o abilitare protocolli specifici Docente: Gianpiero Fasulo Firewall e sicurezza Potete anche combinare questi filtri per consentire il controllo dei dati abilitati a transitare attraverso la rete. Ad esempio potete: · abilitare i dati provenienti da www.ibiblio.com solo tramite le porte 20 o 21 · abilitare i dati provenienti da www.google.com che utilizzano il protocollo UDP · abilitare i dati provenienti da www.yahoo.com solo attraverso la porta 80 e solo se il Firewall e sicurezza Realizzazione di un firewall (il minimo indispensabile) È sufficiente visitare il sito http://freshmeat.net e cercare “firewall” per rendersi conto dell’attenzione che il mondo dell’Open Source ha dedicato all’argomento. Tra le tante offerte disponibili abbiamo scelto "IPCop" per le seguenti caratteristiche: Facilità d'installazione. Applicabile in ambiente “Home” o piccola rete locale con minime opzioni. Applicabile in ambiente “Enterprise network” con diverse funzionalità aggiuntive quali logging, reporting, proxy, vpn ecc. IPCop é una mini distribuzione Linux specializzata per realizzare un firewall; Docente: Gianpiero Fasulo Firewall e sicurezza Realizzazione di un firewall (il minimo indispensabile) Ottenere la distribuzione L’immagine iso è scaricabile direttamente dal sitohttp://www.ipcop.org al link Download, fate attenzione a scaricare la versione più recente (alla redazione di questo documento è la 1.4.2). Caratteristiche Linux Netfilter con capacità di NAT/PAT e logging. Supporto per quattro schede di rete. Supporto Client DHCP su una scheda di rete per ricevere l’indirizzo IP dal Provider. Supporto Server DHCP per due schede di rete. Supporto server NTP per sincronizzare la data e l’ora e per fornirla a due schede di rete. IDS (Intrusion detection system) per tutte e quattro le schede di rete. Supporto per la VPN (rete privata virtuale). Supporto proxy per il Web. Amministrazione e controllo attraverso il browser. Possibilità di pach/update Backup e Restore della configurazione Docente: Gianpiero Fasulo Firewall e sicurezza Realizzazione di un firewall (il minimo indispensabile) Docente: Gianpiero Fasulo Hardware IPCop può essere installato su un vecchio “486” con 16 MB di RAM, consigliamo tuttavia di utilizzare schede madri e schede di rete basate sullo standard PCI, 64 MB di RAM, un BIOS che permette l’avvio da CDROM (la distribuzione comprende anche l’immagine floppy per l’avvio) e qualche GB di Hard Disk. Per utilizzare il proxy è consigliabile avere 256 MB di RAM e di più GB di Hard Disk se si desidera conservare i file di log. Firewall e sicurezza Realizzazione di un firewall (il minimo indispensabile) Perché quattro adattatori di rete? Gli adattatori di rete sono individuati con dei colori: ROSSO – rappresenta l’interfaccia connessa ad internet. VERDE – rappresenta l’interfaccia per la rete interna. BLU – rappresenta l’interfaccia per una seconda rete interna o per una rete wireless. ARANCIO – rappresenta l’interfaccia per un’eventuale zona DMZ in cui si trovano server che offrono servizi all’esterno. Docente: Gianpiero Fasulo L’applicazione minima prevede due interfacce di rete, quella verso internet (ROSSA) e quella verso la rete locale (VERDE) da proteggere. Firewall e sicurezza Docente: Gianpiero Fasulo Realizzazione di un firewall (il minimo indispensabile) Nel caso in cui esistono due reti locali che devono rimanere separate (accesso consentito solo in VPN) si utilizza anche l’interfaccia BLU; è la classica situazione in cui la rete locale dell’amministrazione condivide l’unico accesso ad internet con la rete dei server, tuttavia ne deve restare separata. Docente: Gianpiero Fasulo Firewall e sicurezza Firewall e sicurezza Docente: Gianpiero Fasulo Realizzazione di un firewall (il minimo indispensabile) La nostra installazione minima Abbiamo utilizzato un Pentium III 800 Mhz con 128 MB di RAM, 5GB di Hard Disk, due schede di rete PCI (ROSSA e VERDE). L’installazione è composta dai seguenti passi: Avvio del sistema (nel nostro caso direttamente dal CDROM generato dall’immagine iso scaricata). Partizionamento del disco rigido del vostro computer“ATTENZIONE I DATI PRESENTI SUL HARD DISK SARANNO CANCELLATI”. Rilevamento delle interfacce di rete (scegliere automatico). Scelta dell’indirizzo IP dell’interfaccia verde (rete locale). Scelta dei parametri locali (tastiera, data/ora). Scelta del nome del sistema (hostname) e del domino. Configurazione del dispositivo ISDN (saltare se non interessa). A questo punto il sistema è configurato per due schede di rete (ROSSA + VERDE). Utilizzate il menu per cambiare le impostazioni ed abilitare eventualmente altre schede di rete. Firewall e sicurezza Docente: Gianpiero Fasulo Realizzazione di un firewall (il minimo indispensabile) Con l’opzione “Impostazioni driver e schede” impostate i driver delle schede di rete non ancora configurate. Assegnate ora gli indirizzi IP alle schede di rete tramite l’opzione “Impostazione indirizzo”. Assegnate il Gateway e il DNS tramite l’opzione “Impostazioni DNS e Gateway”. Configurate il server DHCP (saltare se non interessa). Impostate le password di root e di amministratore. Firewall e sicurezza Docente: Gianpiero Fasulo Realizzazione di un firewall (il minimo indispensabile) Il firewall in configurazione minima è pronto, collegate un cavo di rete al router (quello dell’interfaccia ROSSA) e un altro al vostro Hub o Switch (quello dell’interfaccia VERDE); poiché non sapete fisicamente come sono state assegnate le interfacce può essere necessario invertire i cavi. Provate a navigare con i PC della vostra rete locale. Docente: Gianpiero Fasulo GRAZIE!