SECURITY SOFT START

INFORMATION SECURITY: tecnologie, sistemi, processi atti alla protezione delle comunicazioni
digitali e dei dati.
CYBER SECURITY: sottoinsieme di information security atto a contrastare o prevenire o individuare
attacchi informatici(cyber).

Perché PROTEGGERE i DATI?

-RISERVATEZZA: consentire l'accesso solamente a chi ne è autorizzato.
-INTEGRITÀ: assicurarsi che i dati non siano stati alterati (corrotti) da terzi.
-DISPONIBILITÀ: garantire a chi è autorizzato di poter accedere ai propri dati. L'attacco DDS
impedisce l'accesso ai dati a chi ne ha l'accesso.

DATI da PROTEGGERE: informazioni personali, brevetti industriali, accordi/contratti aziendali.

Chiunque possieda un dispositivo elettronico è coinvolto.
HARDWARE da PROTEGGERE: qualunque sistema fisico elettronico capace di contenere i dati
(smartphone, laptop, sistemi industriali ma anche sistemi industriali, sistemi biomedici (es.
pacemaker), sistemi domotici (es. disattivare allarmi), sistemi di trasporto (aerei, treni, auto)).

Come proteggere?
SISTEMI NETWORK SECURITY:
-Firewall, Proxy, UTM, IDS/IPS
-VPN, Tunneling
SISTEMI di CIFRATURA:
-sistemu chiave simmetria e asimmetrica
Certifica e PKI
STANDARD, PROCEDURE e PROGETTAZIONE "Secure by Design":
-Framework ISO, GDR
-Policy aziendali
-Piani di Risk Management e Disaster Recovery

SERVER: è un processo informatico in esecuzione sul calcolatore in attesa di una richiesta, alla
quale egli poi da una risposta;
Molto spesso confusi con oggetti fisici come:
VPS: Virtual Private Server;
Server PC;
Server Rack;
METODO CLIENT_SERVER: Le risorse sono presenti solo sul Server, tutti gli altri calcolatori, detti
CLIENT, accedono al Server;
METODO PEER TO PEER: tutti i calcolatori sono sia CLIENT che SERVER; Costoso perché non sono
su quale peer cercare  per ottimizzare il tempo si crea una maxi-nodo/peer dove si va a
indicizzare tutti i contenuti;
MODELLI DI RIFERIMENTO: consentire INTEROPERABILITA’ a diversi dispositivi (comunicare fra essi
anche con OS diversi per esempio): Modello attualmente usato: TCP/IP:
livello PHYSICAL: Specifiche tipologie di cavi, Specifiche elettriche, Specifiche connettori,
Trasmissione singoli bit
livello Data-Link: Trasmissione di sequenze di bit (arrivate dal physical): FRAME, Specifiche di
indirizzamento(MAC), Rivelazione errori
TIPI DI INDIRIZZAMENTO:
- Unicast: associare a ogni dispositivo un indirizzo UNIVOCO; (per inviare un messaggio deve
specificare a chi)
- BROADCAST: indirizzo speciale che identifica tutti quelli connessi alla stessa rete (invio il
messaggio a tutti e tutti lo devono processare) (possibile associare indirizzo ALL)
- MULTICAST: indirizzo che identifica un gruppo/sottoinsieme degli host connessi in rete
(inviare un messaggio a B e C (stesso gruppo), ma non a D e E)
NB Un indirizzo fisico è unico a livello mondiale!: Per assegnarli si usa il MAC (48 bit: 1 da 24 detto
OUI: codice assegnato da ente IEE a un poduttore (tutte le schede della stessa azienda hanno lo
stesso OUI) e 1 da 24 bit detti VENDOR ASSIGN asseggnati dal produttore/venditore); Utilizzato per
mettere in comunicazione reti LAN ethernet;
NB1: Un indirizzo MAC non si può cambiare a livello hardware, ma a livello software si.

livello NETWORK: Inoltre sequenze di bit ordinati detti PACCHETTI; Specifiche di indirizzamento
logico (IP Address); Specifiche di Instradamento;
INDIRIZZO LOGICO non è univoco a livello mondiale! Utilizzato per mettere in comunicazione LAN
differenti (Ip Address --> rete locale)
- iPv4: compota da 32 bit, ma si usa la notazione Dotted Decimal Notation (192.168. .. . ..)
- iPv6: necessario introdurlo perché necessaria altri IP, costituiti da 128 bit

livello TRANSPORT: Comunicazione End to End; Rilevazione e correzioni errori; Specifiche di

indirizzamento logico (SOCKET)
NB Socket è costituito da un indirizzo logico IP e una porta
Vi sono diversi tipi di porte:
- Well Known Port: porte per accedere ad applicazioni comuni (Web, DNS, Ftp) di un server
- Registered Port: porte associate ad applicazioni prioritarie
- Dinamic Port: porte libere associate a qualsiasi applicazioni
DUE diversi Protocolli:
- TCP: Connection Oriented, connessione se lo si chiede; correggere errori ricevuti, ordinare i
dati o richiederli corretti; (Web, SSH, FTP)
- UDP: Connectionless, non è in grado di correggere gli errori; (Applicazioni che richiedono
velocità: gaming, VOiP; minor applicazione di banda);
APERTURA TCP
CHIUSURA TCP

Osservare Connessioni su Terminale: netstat

- netstat -b: vedere i processi

ATTACCO INFORMATICO: Un attacco informatico, o CYBERATTACK, è un tentativo di distruggere,

esporre, alterare, disabilitare, rubare, ottenere l'accesso non autorizzato o fare un uso non
autorizzato di un ASSET(risorsa).

ASSET: risorsa, qualunque cosa sia importante per l'azienda, anche persona o un bene fisico.

EVOLUZIONE DI ATTACCHI INFORMATICI: Clusit è l'Associazione Italiana per la Sicurezza

Informatica che si occupa di divulgazione. Nel 2019 gli attacchi informatici sono cambiati. Non ci
sono più hackers o piccoli gruppi, ma sono DECINE e DECINE di GRUPPI CRIMINALI
TRANSNAZIONALI che fatturano MILIARDI (ramsonware). Spesso sono stati nazionali e la propria
intelligence, finanziati non ufficialmente dal governo centrale. Le piattaforme colpite sono social,
IoT, e altro.

MINACCE E VETTORI DI ATTACCO

MALWARE (MALICIOUS SOFWARE): contiene al suo interno codice malevolo capace di infettare un
singolo host. Necessita l'ESPLICITA esecuzione da parte dell'essere umano o applicazione.
L'esecuzione vera inizia con il PAYLOAD.

WORD: Malware capace di replicarsi sulla rete. Ci deve essere vulnerabilità informatica. Non
necessita l'esecuzione da parte di applicazione o persona. Risiedono in memoria e causano
eccessivo consumo di banda.

LOGIC BOMB: codice nascosto all'interno di un'applicazione eseguito

BACKDOOR: Metodo alternativo per accedere ad un sistema da remoto. Utilizzato per bypassare
sistemi di sicurezza.

TROJAN: Software apparentemente non malevolo che nasconde al suo interno codice che può
infettare il sistema e si utilizza in attacchi by download o rogueware.
RAT: Remote Access Trojan. Eseguono il software aprono una backdoor per controllare sistema da
remoto e rubare dati.

RANSONWARE: Tipologia di trojan. Infetta host e cripta dati importanti sull'hardisk e ottenere
controllo sull'hardisk con RISCATTO spesso. Si ottiene by download o nelle email. Permette
gaudagno con riscatto agli scrittori di virus.

KEYLOGGER: Permettono di ottenere informazioni digitate su tastiera e memorizzarli in un file.

Un'impresa di pulizie mette USB per caricare keylogger e poi viene tolto tempo dopo.

SPYWARE: Software installato ad insaputo di utente, fatto per raccogliere informazioni personali
sull'utente e inviarli a terzi.

ESEMPIO REALE: WORM 'STUXNET'

Creato da USA per disabilitare centrale nucleare iraniana di Natanz e disabilitare centrifughe. E'
avvenuto con chiavetta USB e poi si è diffuso in rete essendo un worm. Creava certificato digitale
fasullo.

BOTNET: Un 'bot' è un robot software usato per velocizzare ricerce ad esempio. Una botnet è una
rete di bot zombi controllati inconsapevolmente da nodo centrali. Sono usati per attacchi Denial of
Service, scaricare malware o lanciare campagne di spam. I nodi C&C SERVER (command & control)
rispondono al Botmaster, la persona fisica che ha il controllo sulla rete zombi.

ATTACCHI DENIAL OF SERVICE: Un attacco DDOS rende inaccessibile una risorsa attraverso
sovraccaricamento non legittimo di richieste di accesso (continuo invio di richieste). Il servizio non
diventa più accessibile. Ora è difficilmente fatale per le alte velocità di calcolo. Il nodo è unico.

ATTACCHI DISTRIBUITED DENIAL OF SERVICE: Il controllore della Botnet invia un DOS da ogni
zombi della propria rete sovraccaricando pesantemente la risorsa. Sono più difficili da contrastare.

ATTACCHI SQL INJECTION: si può avere data leak se del codice viene abusato illegittimamente. Ora
esistono prepared statement, esempio in Java, che effettuano controllo su stringhe per verificare
che non contengano codice illegittimo.

ATTACCHI XSS: Cross Site Scripting è una vulnerabilità software molto diffusa. È dovuta alla
mancata validazione dei dati in ingresso inseriti dagli utenti nell'applicazione. Nelle vulnerabilità
non persistenti i dati non persistono sul server, quindi c'è busogno di un URL per diffondere dati
dall'utente all'utente malevolo. Gli attacchi persistenti sono memorizzati sul server, quindi gli
utenti accedono ad URL e i dati degli utenti sono memorizzati sul verver. È necessaria validazione
dei dati in ingresso.