Sicurezza informatica (prima parte)

Sicurezza dei sistemi
informatici
Prima parte: le minacce
Appunti preparati dal
prof. Ing. Mario
Catalano per gli studenti
dell’ITI “E. Medi” in S.
Giorgio a Cremano (NA)
Il problema della sicurezza in rete
Elevato sviluppo di servizi e tecnologie Internet
Elevate numero di connessioni
Sicurezza Informatica
Acquisire un buon livello
di conoscenza informatica
Garantire
Integrità e
Riservatezza
dei dati
Dotarsi di opportuni strumenti
per tenere alto il livello
di sicurezza
Conservazione dati.
Le informazioni (software, banche dati etc.) memorizzate
nei computer sono esposte a molteplici rischi:
- danneggiamento fisico dei supporti hardware (hard disk, dvd,
memorie USB etc.);
- cancellazioni accidentali dovute ad errore dell’utente;
- cancellazioni dovute a malfunzionamenti del software o ad
attacchi informatici
BACKUP: operazione che copia lo stato del sistema, residente sul disco, su
un supporto esterno, quale altro disco, pen driver, DVD, INTERNET,
ecc… La registrazione (il file) prende anch’essa il nome di “Backup” o
“Immagine”
RESTORE: operazione che copia un precedente stato
del sistema, memorizzato su un supporto esterno, nel
disco di sistema, ripristinandone lo stato
Perché gli attacchi informatici?
Dietro agli attacchi a un sistema si celano motivazioni ben più serie di quello
che si può pensare; molti tentativi di violazione di una rete vengono effettuati
con scopi diversi:





spionaggio industriale
sottrazione di informazioni riservate
vendetta a scopi personali
diffamazione pubblica di un’azienda
guadagno di vantaggi economici
SICUREZZA indica:
salvaguardare la riservatezza dell'informazione:
•
•
– Ridurre a livelli accettabili il rischio che un'entità possa
accedere ai dati senza esserne autorizzata
salvaguardare l'integrità dell'informazione:
– Ridurre il rischio che i dati possano essere
cancellati/modificati a seguito di interventi non
autorizzate o fenomeni non controllabili e prevedere
adeguate procedure di recupero delle informazioni
salvaguardare la disponibilità dell'informazione:
– Ridurre il rischio che possa essere impedito alle entità
autorizzate l'accesso alle informazioni a seguito di
interventi non autorizzate o fenomeni non controllabili
Hacker e Cracker
Un hacker è una persona che
si impegna per aggirare o
superare limitazioni che gli
vengono imposte
Cracker è colui che sfrutta
le proprie capacità (o in
certi casi quelle degli altri)
al fine di distruggere,
ingannare e guadagnare.
Insidie nella sicurezza di rete
1) in un computer multi-utente, uno
degli utenti può assumere
l’identità di un altro utente per
carpire informazioni di
quest’ultimo o per spacciarsi per
lui
• Per difendersi dai pericoli
–
è fondamentale che ogni utente sia
identificato e che le azioni che gli
sono consentite siano decise in
funzione di questa identità
Insidie nella sicurezza di rete
2) i servizi che usano la rete internet
si basano sulla trasmissione di
informazioni che attraversano reti
e router non sempre controllabili
• Per evitare (2) si deve trasmettere
in rete solo informazione criptata
cioè incomprensibile da chi non
abbia l’apposita chiave di
decrittazione
Tipologie di attacchi
Vi sono diverse tipologie di attacco che possono essere così
classificate:
•
•
•
•
Acquisizione di informazioni.
Accesso non autorizzato: un intruso ottiene l'accesso ad una
rete, o ad un computer, pur non avendone l'autorizzazione,
ottenendo informazioni riservate, o provocando danni di vario
genere al sistema.
Accesso/modifica/cancellazione delle informazioni.
Denial of Service: l'intruso rende un sistema, un servizio,o
una rete non disponibile esaurendone le risorse di rete.
Luglio 2003
Sicurezza dei dati
Tipologie di attacchi
Gli attacchi possono essere realizzati seguendo diverse tecniche,
quali ad esempio:
• Intercettazioni
• Virus
• Trojan
• Spyware
• Worm
•Spam
• Phishing
•Denial of service
Intercettazioni o sniffing
•
Si dice sniffer un qualsiasi strumento, software o
hardware che raccoglie le informazioni che viaggiano
lungo una rete.
•
Le funzioni tipiche di uno sniffer sono:
– Conversione e filtraggio dei dati e dei pacchetti
– Analisi dei difetti di rete
– Setacciamento di Password e Nomi di Utente
•
•
•
Il primo obiettivo: la Password
Molti utenti hanno una password la cui lunghezza è uguale o inferiore a 6 caratteri.
Molti utenti hanno una password composta solo da lettere minuscole.
Quasi il 50% degli utenti utilizzano nomi, parole presenti nei dizionari o password
banali (cifre consecutive, tasti adiacenti e così via).
gestione delle password
Il primo ostacolo che un cracker deve superato per accedere ad un sistema è quello
dell’autenticazione.
Esistono varie metodologie di autenticazione:
–
–
–
Login e Password: è il metodo più diffuso; se queste non corrispondono a
quelle conservate con quelle conservate nel sistema l’accesso viene
negato.
Carta magnetica: il riconoscimento viene effettuato inserendo la carta in
un apposito lettore e digitando una password.
Biometrie: si tratta di lettori di impronte digitali o vocali, analisi della retina,
analisi della firma.
Crittografia
Difendere la privacy individuale in un’era di crescente computerizzazione sta
diventando un problema cardine, in quanto oggi le nostre vite sono controllate
in molti modi.
Proprio per questi motivi, ed altri ancora, è necessario trovare uno, o più metodi
che ci permettano di immagazzinare, o trasmettere in modo sicuro tutte quelle
informazioni che sono tutelate dal diritto alla privacy, ma anche quelle che, per
qualche motivo personale, o aziendale, sono ritenute “riservate”. Il più diffuso è
la crittografia.
– Crittografia: la scienza di scrivere dei messaggi che
nessuno al di là del vero destinatario potrà leggere (dal
greco kryptós = nascosto e dal tema, sempre greco,
gráphò cioè, scrivere)
Virus e minacce software: fasi
fase silente: virus inattivo, attivato da qualche evento
fase di propagazione: si duplica in altri programmi che vanno
in esecuzione; si mette in aree particolari del disco
fase di attivazione: si attiva per compiere le azioni
programmate. Può essere attivato da un evento esterno
fase di esecuzione: compie le funzioni di danneggiamento e/o
disturbo
sono spesso progettati per un particolare s.o. o piattaforma hw
Virus
• Frammenti di software che sono in grado, una volta eseguiti,
di infettare dei file in modo da riprodursi facendo copie di sé
stesso, generalmente senza farsi rilevare dall'utente.
• I virus non solo sono dannosi per il sistema operativo che li
ospita ma comportano anche uno spreco di risorse in
termini di RAM, CPU e spazio sul disco fisso.
• Alle volte i virus possono indirettamente provocare danni
anche all'hardware, ad esempio causando il
surriscaldamento della CPU mediante overclocking, oppure
fermando la ventola di raffreddamento.
• Si trasmettono da un computer a un altro tramite lo
spostamento di file infetti ad opera degli utenti.
Virus
I Virus informatici devono penetrare nel programma ospite modificandolo, sia per
riprodursi, sia per danneggiare dati e/o programmi presenti su supporti registrabili;
sono costituiti da poche centinaia di istruzioni per far notare la loro presenza all'utente
del computer.
 Virus di file: Si sostituiscono in parte o completamente ad un programma (.exe,
bat, .com …). Quando viene eseguito il programma, sarà eseguito il virus.
 Virus di boot: Sfruttano il settore di boot o MBR del disco per essere eseguiti ad
ogni avvio della macchina. Risiedono in memoria.
 Virus multipartiti: Sono i più pericolosi e possono infettare sia il settore di avvio dei
dischi che i programmi.
 Virus di macro: Infettano solo file di dati (e non i programmi) e precisamente quei
file al cui interno possono essere contenute le macro.
Trojan
•
•
•
I trojan sono programmi creati
con il solo scopo di causare
danni più o meno gravi ai
computer su cui sono eseguiti.
Devono il loro nome al fatto che
le funzionalità sono nascoste
all'interno di un programma
apparentemente utile
E’ dunque l'utente stesso che
installando ed eseguendo un
certo programma,
inconsapevolmente, installa ed
esegue anche il codice trojan
nascosto.
Trojan
• Un trojan o trojan horse è un tipo di malware. Deve il suo
nome al fatto che le sue funzionalità sono nascoste all'interno
di un programma apparentemente utile; è dunque l'utente
stesso che installando ed eseguendo un certo programma,
inconsapevolmente, installa ed esegue anche il codice trojan
nascosto.
• I trojan non si diffondono autonomamente come i virus o i
worm, quindi richiedono un intervento diretto dell'aggressore
per far giungere l'eseguibile maligno alla vittima. Spesso è la
vittima stessa a ricercare e scaricare un trojan sul proprio
computer, dato che i cracker amano inserire queste "trappole"
ad esempio nei videogiochi piratati, che in genere sono molto
richiesti. Vengono in genere riconosciuti da un antivirus
aggiornato come tutti i malware. Se il trojan in questione non è
ancora stato scoperto dalle software house degli antivirus, è
possibile che esso venga rilevato, con la scansione euristica,
come probabile malware.
Trojan
Cosa sono:
Si camuffano bene, sembrano programmi
normali e magari anche utili, non si
replicano, ma ne richiedono l’esecuzione
inconsapevole da parte dell’utente
Come si diffondono:
Tramite Internet (collegamenti peer to peer)
ed e-mail
Conseguenze:
Consentono il controllo remoto
del PC da qualcuno via
Internet, perdita e furto di dati
ed informazioni personali (IP,
Password..)
Spyware
• Uno spyware è un
programma che raccoglie
informazioni riguardanti
l'attività online di un utente
(es: siti visitati, acquisti
eseguiti in rete etc) senza il
suo consenso,
trasmettendole tramite
Internet ad
un'organizzazione che le
utilizzerà per trarne profitto,
solitamente attraverso l'invio
di pubblicità mirata
Spyware
Come si diffondono:
L’installazione può avvenire, sfruttando le
vulnerabilità del browser, visitando pagine Web o
con tecniche di social engineering
Conseguenze:
Invio di pubblicità non richiesta (Spam), modifica
pagina iniziale del browser, la redirezione su falsi
siti di e-commerce (Phishing), l'installazione di
dialer truffaldini, occupazione di memoria,
instabilità del sistema
Keylogging
keylogging è un'attività di spionaggio informatico
nella quale un programma specializzato legge
la sequenza con cui l’utente agisce sulla
tastiera e, così facendo, può carpire
informazioni riservate (password, dati della
carta di credito e simili).
• I keylogger sono in grado di registrare tutto ciò
che un utente digita su una tastiera o col copia
e incolla rendendo così possibile il furto di
password o di dati che potrebbero interessare
qualcun altro.
• Il computer non si accorge della presenza del
keylogger passando così totalmente
inosservato.
• Installati sul computer dai trojan o dai worm, o
da un'altra persona che può accedere al pc
Worms
Cosa sono:
Frammenti di codice indipendenti ed autonomi che agiscono principalmente in
memoria, non hanno bisogno di legarsi ad altri programmi per diffondersi
Come si diffondono:
Tramite Internet ed e-mail, sfruttando i bug del client di posta e S.O. con
tecniche di social engineering
Conseguenze:
Non mira a danneggiare i dati; crea malfunzionamenti (rallentamento o
blocco) al sistema o peggio a carpire dati ed informazioni personali (IP,
Password..)
CISIA di Napoli
Presidio di Salerno
Worms
• particolare categoria di malware in grado di
autoreplicarsi. È simile ad un virus, ma a differenza di
questo non ha bisogno di legarsi ad altri eseguibili per
diffondersi.
• Tipicamente un worm modifica il computer che infetta, in
modo da venire eseguito ogni volta che si avvia la
macchina e rimanere attivo finché non si spegne il
computer o non si arresta il processo corrispondente. Il
worm tenta di replicarsi sfruttando Internet in diverse
maniere: spesso i mezzi di diffusione sono più di uno per
uno stesso worm.
Worms
Il mezzo più comune impiegato dai worm per diffondersi è
la posta elettronica: il programma maligno ricerca indirizzi
e-mail memorizzati nel computer ospite ed invia una
copia di sé stesso come file allegato (attachment) a tutti o
parte degli indirizzi che è riuscito a raccogliere. I
messaggi contenenti il worm utilizzano spesso tecniche
di social engineering per indurre il destinatario ad aprire
l'allegato, che spesso ha un nome che permette al worm
di camuffarsi come file non eseguibile. Alcuni worm
sfruttano dei bug di client di posta molto diffusi, per
eseguirsi
automaticamente
al
momento
della
visualizzazione del messaggio e-mail.
Rootkit
• si tratta di raccolte di programmi software che gli hacker
possono utilizzare per ottenere l'accesso remoto non
autorizzato a un computer per lanciare altri attacchi.
Questi programmi possono utilizzare una serie di
tecniche diverse, incluso il monitoraggio della pressione
dei tasti, la modifica dei file di registro del sistema o di
applicazioni esistenti, la creazione di una backdoor nel
sistema e l'avvio di attacchi contro altri computer della
rete. I rootkit sono in genere organizzati in una serie di
strumenti regolati e indirizzati a uno specifico sistema
operativo.
Spam
• Lo Spam è l'invio di grandi quantità di
messaggi indesiderati.
• I più comuni segnali di una mail spam
sono:
• Nessun oggetto della e-mail;
• Testo in inglese o in italiano non
corretto;
• Avete vinto qualcosa 
• Indirizzo di ritorno incompleto;
• E-mail generate dal computer;
• E-mail di ritorno non inviate
dall’utente.
Come difendersi dallo spam?
• Utilizzare filtri anti spam;
• Fare attenzione all’atto di registrazione su siti Internet;
• Assicurarsi che i nostri dati personali non arrivino a società
di cui non conosciamo la provenienza;
• Non cliccare sui link all’interno delle e-mail spam che
invitano a deregistrarsi;
TRUFFE – Phishing
• Il phisher (pescatore)
invia e-mail del tutto simili,
nell'aspetto grafico, a
quelle provenienti da
banche o siti, accessibili
mediante registrazione.
• Nel testo s'invita l'utente, a
causa di problemi tecnici,
a validare l'identificativo
utente, la relativa
password o altri dati
personali.
Phishing
Cosa è:
Una tecnica utilizzata (cercando a caso) per ottenere le
credenziali (password, Numero di carte di credito, riservate) di
altre persone
Come si diffonde:
Tecniche di social engineering, telefonate, e-mail esca con
grafica di banca, provider web, aste online
Conseguenze:
Furto di identità, numeri di carte di credito
Dos: Denial of service
• Diniego di servizio: inibizione
a lungo termine di un
servizio. Può essere svolta
sul server, sul client o in rete.
• Si verifica quando un server
viene sepolto sotto un
enorme numero di richieste
di servizi che non può
trattare e quindi non riesce
più a fare il suo lavoro
normale.
DDoS (Dinamic DoS)
Questi tipi di attacchi utilizzano in genere client infetti del
tutto all'oscuro del loro ruolo in tale attacco. Durante un
attacco DDoS un utente malintenzionato utilizza software
dannoso installato su diversi computer per attaccare un
singolo obiettivo. Questo metodo consente di ottenere un
effetto maggiore sull'obiettivo rispetto a quanto sia
possibile con un singolo computer d'attacco. La struttura
di tali attacchi varia di caso in caso, ma in genere si basa
sull'invio di grandi quantità di dati a uno specifico host o
sito Web che ha come risultato l'interruzione della
risposta al traffico legittimo. In tal modo la larghezza di
banda disponibile sul lato della vittima viene riempita e il
sito viene costretto non in linea.
DDoS (Dinamic DoS)
• Contro questo tipo di attacco può
essere estremamente difficile
difendersi, perché gli ospiti
responsabili degli attacchi sono in
realtà anch'essi vittime
inconsapevoli. Gli attacchi DDoS
sono in genere condotti da bot
(programmi che eseguono azioni
ripetitive), che gli hacker possono
utilizzare per controllare i computer
“vittima” ad esempio mediante un
canale IRC. Quando i computer sono
sotto il controllo degli hacker
diventano zombi e possono infettare
un obiettivo a comando dell'hacker,
senza che il proprietario del
computer ne sia consapevole.
Effetti di DoS e DDoS
• Sia l'approccio DoS che quello DDoS possono
comprendere una serie di diverse tecniche di
attacco, tra le quali:
• Arresti del sistema: se il software dannoso è in
grado di arrestare in modo corretto o anomalo
un sistema, può essere in grado di interrompere
uno o più servizi. L'attacco a un sistema host
richiede che il software dannoso individui una
debolezza nell'applicazione o nel sistema
operativo che può causare l'arresto del sistema.
Effetti di DoS e DDoS
• Occupazione della larghezza di banda: la maggior
parte dei servizi di rete forniti in Internet sono collegati
attraverso una connessione di rete a larghezza di banda
limitata che consente la connessione ai relativi client. Se
un autore di software dannoso è in grado di distribuire un
payload che occupi la larghezza di banda con falso
traffico di rete, è possibile produrre un attacco DoS
semplicemente impedendo ai client di connettersi
direttamente al servizio.
• Interruzione del servizio: questo tipo di payload può
utilizzare anche un attacco di tipo DoS. Se ad esempio
un attacco su un server DNS (Domain Name System)
disattiva il servizio DNS, sarà stata utilizzata una tale
tecnica di attacco DoS.
Effetti di DoS e DDoS
• Attacchi di negazione del servizio di rete: questo tipo
di payload tenta di sovraccaricare le risorse disponibili
sull'host locale. Risorse come la capacità di memoria e
microprocessore sono state sovraccaricate da attacchi di
tipo SYN flood, in cui viene utilizzato un programma per
inviare un flusso di richieste TCP SYN per riempire la
coda della connessione in attesa sul server e impedire il
traffico di rete legittimo in entrata e uscita dal server.
Anche gli attacchi di tipo bomba di posta elettronica
esauriscono le risorse di memorizzazione per creare un
attacco DoS in cui un'eccessiva quantità di dati di posta
elettronica viene inviata a un indirizzo di posta elettronica
nel tentativo di bloccare il programma di posta
elettronica o di impedire al destinatario di ricevere altri
messaggi legittimi.
Spoofing
Atto di introdursi in un
sistema
informativo
senza
averne
l'autorizzazione.
l'intruso cambia il
proprio numero IP
non
valido
per
l'accesso al sistema,
in uno autorizzato.
Payload
• Una volta che il software dannoso ha raggiunto
la macchina host tramite il trasporto, esegue in
genere un'azione cui viene fatto riferimento
come payload, che può assumere diversi
aspetti.
Alcuni Payload
• Backdoor: questo tipo di payload consente
l'accesso non autorizzato a un computer. Può
offrire l'accesso completo ma essere anche
limitato ad accessi come FTP tramite la porta 21
del computer. Se l'attacco intendeva abilitare
Telnet, un hacker potrebbe utilizzare il computer
infetto come base per attacchi Telnet su altri
computer.
Alcuni Payload
•
Danneggiamento o eliminazione di dati: uno dei tipi di payload
più distruttivo può essere codice dannoso che danneggia o elimina
i dati, rendendo inutili le informazioni presenti sui computer degli
utenti. L'autore del software dannoso in questo caso ha due scelte:
la prima possibilità è progettare il payload per una rapida
esecuzione. Sebbene potenzialmente disastroso per il computer
infettato, questo tipo di software sarà rapidamente scoperto e avrà
quindi possibilità limitate di replicarsi senza essere rilevato. L'altra
possibilità è lasciare il payload sul sistema locale sotto forma di
cavallo di Troia per un certo periodo di tempo (per qualche
esempio, vedere la sezione "Meccanismi di attivazione" più avanti
in questo capitolo) per consentire al software di diffondersi prima di
tentare di distribuire il payload, allertando in tal modo l'utente della
sua presenza.
• Si occupano di gestire
la connessione ad
Internet tramite la
normale linea
telefonica.
• Sono malware quando
vengono utilizzati in
modo illecito,
modificando il numero
telefonico chiamato
dalla connessione con
uno a tariffazione
speciale, allo scopo di
trarne illecito profitto
Dialer
42/19
42/19
AdWare
• Presentano all'utente messaggi
pubblicitari durante l'uso
• Possono causare danni quali rallentamenti
del pc e rischi per la privacy in quanto
comunicano le abitudini di navigazione ad
un server remoto.
43/19
43/19
Meccanismi di attivazione
• I meccanismi di attivazione sono una
caratteristica del software dannoso utilizzata per
avviare la replica o la distribuzione del payload.
Meccanismi tipici di attivazione comprendono:
• Esecuzione manuale: questo tipo di
meccanismo di attivazione è semplicemente
l'esecuzione del software dannoso eseguita
direttamente dalla vittima.
Meccanismi di attivazione
• Esecuzione semi-automatica: questo tipo di
meccanismo di attivazione viene avviato
inizialmente da una vittima ed eseguito quindi in
modo automatico da quel punto in poi.
• Esecuzione automatica: questo tipo di
meccanismo di attivazione non richiede alcuna
esecuzione manuale. Il software dannoso
esegue il proprio attacco senza che sia
necessario che la vittima esegua codice
dannoso sul computer di destinazione.
Meccanismi di attivazione
• Bomba a orologeria: questo tipo di meccanismo di attivazione
esegue un'azione dopo un certo periodo. Questo periodo può
essere un ritardo rispetto alla prima esecuzione del file infetto o
una data o un intervallo di date prestabilito. Ad esempio un
worm può avviare le routine del payload contro un certo
obiettivo solo in una certa data e interrompere le repliche ad
un’altra, anche se il componente della backdoor della bomba a
orologeria è rimasto attivo dopo tali date.
• Condizionale: questo tipo di meccanismo utilizza una qualche
condizione predeterminata come attivazione per distribuire il
suo carico. Ad esempio, un file rinominato, una serie di
pressioni di tasti o l'avvio di un'applicazione. Il software
dannoso che utilizza questo tipo di attivazione viene a volte
denominato anche bomba logica.
Software non dannoso, ma quasi
Software Joke
• Le applicazioni Joke
(scherzi) sono progettate
per far sorridere o nel
peggiore dei casi per far
perdere tempo agli utenti.
Esistono numerosi
esempi di applicazioni
joke, con risultati che
vanno da interessanti
effetti video a divertenti
animazioni o giochi.
Software non dannoso, ma quasi
• Hoax
• Cerca di ingannare un utente e fare in modo che compia
una determinata azione senza che l'utente ne sia
consapevole.
• Nel caso di un'applicazione hoax non esiste codice da
eseguire, l'unico scopo è quello di ingannare la vittima.
Questo tipo di software ha assunto varie forme, ma un
esempio particolarmente comune è costituito da un
messaggio di posta elettronica che avvisa che è stato
scoperto un nuovo tipo di virus e consiglia di avvisare gli
amici inoltrando loro il messaggio. Questi hoax fanno
sprecare tempo, occupano risorse e utilizzano larghezza
di banda della rete.
Cookie
•
•
•
I cookie Internet sono file di testo collocati sul computer dell'utente
da siti Web visitati. I cookie contengono e forniscono informazioni
di identificazione sull'utente ai siti Web che li collocano sul
computer dell'utente, insieme a eventuali informazioni che il sito
desidera conservare sulla visita dell'utente.
I cookie sono strumenti legittimi utilizzati da molti siti Web per
rilevare informazioni sui visitatori. Ad esempio un utente potrebbe
acquistare un articolo in un punto vendita in linea, ma una volta
inserito l'articolo nel carrello, potrebbe volere spostarsi in un altro
sito per una qualche ragione. Il punto vendita può scegliere di
salvare le informazioni sui prodotti presenti nel carrello in un
cookie sul computer dell'utente in modo che quando l'utente
tornerà sul sito, l'articolo sarà ancora nel carrello, pronto per
essere acquistato se l'utente desidera completare l'acquisto.
Purtroppo, è stato scoperto che alcuni sviluppatori di siti Web
hanno utilizzato cookie per ottenere informazioni senza il
consenso dell'utente. Alcuni possono ingannare gli utenti.
Possono ad esempio rilevare i siti visitati abitualmente dall'utente
senza informarlo. Gli sviluppatori di siti possono utilizzare queste
informazioni per personalizzare gli annunci visualizzati dagli utenti
su un sito Web, il che è considerato un'invasione della privacy.
FINE