LA SICUREZZA INFORMATICA: TECNICHE E

LEGISLAZIONE
venerdì 3 febbraio 2023 16:09

DIRITTI E DOVERI
• INTERNET E LEGISLAZIONE ORDINARIA
• INTERNET E' UNO SPAZIO PUBBLICO --> un'offesa pubblica è un reato, un
reato tramite chat, mail e web è un REATO PENALMENTE PERSEGUIBILE
(diffamazione, odio raziale, truffa, ricatti, pedopornografia, ecc…)
SICUREZZA INFORMATICA
SICUREZZA INTERNA
• Accesso sicuro ai propri dati, alle proprie informazioni
• Copia delle informazioni importanti
• Gestione di login, nickname e password personali
SICUREZZA ESTERNA
• Certezza sul trattamento dei dati sensibili
• Difesa degli attacchi da virus e altro malware
• Non commettere reati inconsapevolmente

CRIMINI E CRIMINALI INFORMATICI

LA MOTIVAZIONE DEI CRIMINALI INFORMATICI
- TORNACONTO PERSONALE O FINANZIARIO
- DIVERTIMENTO
- VENDETTA
- FAVORE PERSONALE
- SFIDA
- INCIDENTE
- VANDALISMO
TIPO DI CRIMINE INFORMATICO
1. Furti e manipolazione dei dati
2. Accessi abusivi a informazioni
3. Attacchi Denial Of Service (DoS)
4. Violazione del copyright
TIPI DI CRIMINALE INFORMATICO
1. Hacker/Cracker
2. Dipendenti delle stesse aziende colpite
3. Persone in genere non autorizzate a svolgere determinate operazioni

TIPI DI VIRUS
1. Cavallo di Troia, 2. Worm, 3. Exploit (ex. Backdoor), 4. Hoax (a opera
dell'utente), 5. Macro Virus
MALWARE
1. Dialer, 2. Spyware, 3. tutti i Virus…
TECNICHE DI ATTACCO
1. Sniffing, 2. Spoofing, 3. DoS, DDoS, 4. Phishing (con la collaborazione
dell'utente)
INTEGRITA', RISERVATEZZA, DISPONIBILITA' E AUTENTICITA'
Secondo una norma ISO, un sistema informatico è sicuro quando garantisce i
seguenti requisiti:
DISPONIBILITA': possibilità di usufruire delle informazioni nei tempi e nei modi
prestabiliti
INTEGRITA': l'informazione non ha subito alterazioni dal mittente al destinatario
RISERVATEZZA: l'informazione è accessibile solo dal/dai destinatario/i
AUTENTICITA': garanzia del mittente dell'informazione

capitolo 14 Pagina 1
AUTENTICITA': garanzia del mittente dell'informazione
N.B.: A SECONDA DEL TIPO DI GARANZIA, POSSONO ESSERCI DIVERSE MODALITA'
DI GARANTIRE SICUREZZA

CRITTOGRAFIA
--> LA DISCIPLINA CHE STUDIA LE TECNICHE PER NASCONDERE UN'INFORMAZIONE
E COMUNICARLA AD ALTRI TRASMETTENDOLA SU UN ANALE NON SICURO
Progettare algoritmi (o cifrari) per crittografare un messaggio rendendolo
incomprensibile a tutti tranne al suo destinatario che possiede gli strumenti per
decodificarlo. Il destinatario con un algoritmo simile deve essere in grado di
decodificarlo, attraverso una chiave (password) usata in precedenza anche dal
mittente per la codifica
IL CIFRATO DI CESARE
Per comunicare con i suoi generali, Giulio Cesare sostituiva ad ogni lettera del
messaggio un'altra lettera, un certo numero di posizioni più avanti nell'alfabeto.
--> PER L'ESATTEZZA UTLIZZAVA LA CHIAVE 3: TUTTE LE LETTERE VENIVANO
SCAATE DI 3 CIFRE
ALGORITMO DI CRITTOGRAFIA
• Un algoritmo di crittografia riceve un testo da codificare (testo in chiaro) e lo
trasforma, attraverso la chiave, in un testo cifrato apparentemente
incomprensibile
La sicurezza di un sistema di crittografia risiede solo nella segretezza della chiave e
non dell'algoritmo che è opportuno far conoscere alla pubblica analisi in modo che
se ne possano scoprire eventuali punti deboli in tempo
LUNGHEZZA DELLA CHIAVE
Uno dei fattori più importanti per la segretezza del testo
--> evita che possa essere decifrato per tentativi (bruteforce)
PROVARE TUTTE LE POSSIBILI COMMBINAZIONI DI CARATTERI CHE POTREBBERO
FORMARE UNA CHIAVE E' UN PROBLEMA CHE GLI ANALISTI DEFINISCONO
COMPLESSITA' COMUPAZIONALE ESPONENZIALE: basta aggiungere una sola lettera
alla chiave per aumentare in modo vertiginoso il numero di possibili combinazioni
che possono essere ottenute
CRITTOGRAFIA A CHIAVE SEGRETA
Tutti i sistemi di cifratura visti fino a questo punto sono detti a chiave segreta ed
utilizzano la stessa chiave sia per cifrare che per decifrare. Il problema di questo
sistema è lo scambio della chiave con la certezza che nessuno ne venga a
conoscenza--> CREAZIONE CHIAVE PUBBLICA E CHIAVE PRIVATA
CRITTOGRAFIA A CHIAVE PUBBLICA
LE CHIAVI ASIMMETRICHE
SISTEMA ASIMMETRICO BASATO SULL'USO DI DUE CHIAVI generate in modo che sia
impossibile ricavarne una dall'altra
LE DUE CHIAVI VENGONO CHIAMATE PUBBLICA (per cifrare) E PRIVATA (per
decifrare)
--> OGNI PERSONA CON QUESTO SISTEMA POSSIEDE QUINDI UNA COPPIA DI
CHIAVI: quella pubblica può essere distribuita e resa di pubblico dominio perché
consente solo di cifrare il messaggio, quella privata deve essere conosciuta solo da
una persona
TECNICHE DI CRITTOGRAFIA
1. CRITTOGRAFIA A CHIAVE SINGOLA
LA STESSA CHIAVE CODIFICA E DECODIFICA I MESSAGGI
2. CRITTOGRAFIA A CHIAVE PUBBLICA
UNA CHIAVE PUBBLICA E UNA PRIVATA CIFRANO E DECIFRANO I MESSAGGI,
IN MODO CHE NEMMENO IL MITTENTE PUO' DECIFRARE IL PROPRIO
MESSAGGIO UNA VOLTA CODIFICATO
3. CRITTOGGRAFIA A DOPPIA CHIAVE (pubblica e privata)
IL DESTINATARIO HA 2 CHIAVI: UNA PUBBLICA (la usano i mittenti, immagina

capitolo 14 Pagina 2
 IL DESTINATARIO HA 2 CHIAVI: UNA PUBBLICA (la usano i mittenti, immagina
un lucchetto) e UNA PRIVATA (la usa il destinatario, immagina la chiave per
aprire un lucchetto). IL MITTENTE CODIFICA IL MESSAGGIO CON LA CHIAVE
PUBBLICA DEL DESTINATARIO CHE LA DECODIFICA CON LA PROPRIA CHIAVE
PRIVATA. UNA VOLTA CRIPTATO UN MESSAGGIO CON LA CHIAVE PUBBLICA
DEL DESTINATARIO (lucchetto), PUO' ESSERE APERTO SOLO DALLA CHIAVE
PRIVATA DEL DESTINATARIO (chiave). Ogni mittente che vuole inviare un
messaggio criptato a un destinatario, deve prima prelevare la chiave pubblica
del destinatario.
4. FIRMA DIGITALE
IL DESTINATARIO CHIEDE AL MITTENTE DI APPORRE CON LA SUA CHIAVE
PRIVATA UNA "FIRMA DIGITALE" AL DOCUMENTO. ATTRAVERSO QUELLA
PUBBLICA IL DESINATARIO PUO' RICONOSERE SENZA OMBRA DI DUBBIO IL
FILE DEL MITTENTE COME FATTO DA LUI (AUTENTICITA' E INTEGRITA')
--> Uno dei migliori mezzi possibili per ridurre i problemi di sicurezza relativi alla
trasmissione di documenti per via telematica. Tale sistema permette di semplificare
sia i rapporti tra imprese e/o privati che quelli tra cittadini e pubblica
amministrazione
COS'E' LA FIRMA DIGITALE? PROCEDURA INFORMATICA (validazione) che
attraverso un procedimento crittografico a chiavi asimmetriche, permette di
identificare il reale mittente di un documento informatico verificandone
l'autenticità.
5. CHIAVE DI SESSIONE
IL MESSAGGIO VIENE CIFRATO CON UNA CHIAVE SINGOLA- generata
casualmente per quella sola trasmissione- E QUESTA A SUA VOLTA CIFRATA
CON UNA CHIAVE PUBBLICA

MESSAGGI A FIRMA DIGITALE

COME VIENE INVIATO UN MESSAGGIO?
3 MODI POSSIBILI
1. Il mittente in possesso della chiave pubblica del destinatario cifra con essa il
messaggio; il destinatario attraverso la propria chiave privata può decifrarlo
2. È il mittente a rendere decifrato il messaggio con la propria chiave privata, in
questo caso chiunque sia in possesso della chiave pubblica del mittente può
decifrarlo (assicurata reale identità del mittente)
3. Il mittente cifra il proprio messaggio con la chiave pubblica del destinatario e
con la propria chiave privata. Il ricevente dovrà decifrare il testo sia con la
propria chiave privata che con quella pubblica del mittente. Garantita
segretezza e autenticità della provenienza.
COME SIAMO SICURI CHE LA CHIAVE PUBBLICA NON SIA STATA
CONTRAFFATTA E PROVENGA DALL'UTENTE-TITOLARE?
CON LA FIGURA DEL CERTIFICATORE-->
"il soggetto pubblico o privato che effettua la
certificazione, rilascia il certificato della chiave
pubblica, lo pubblica unitamente a quest'ultima,
pubblica ed aggiorna gli elenchi dei certificati
sospesi e revocati"
(D.P.R. 513/97, art.1)

IMPORTANZA DEL BACKUP

Ricopiamo i nostri dati più importanti su altri supporti. Il computer trasmette una
sensazione di indistruttibilità, ma non è così.

SOGGETTI A RISCHIO DI SICUREZZA INFORMATICA:

• Chiunque sia connesso a Internet o in generale a una rete
• Chiunque legga la posta elettronica
• Chiunque abbia dati importanti di cui non dispone di copia

capitolo 14 Pagina 3
 • Chiunque abbia dati importanti di cui non dispone di copia
• Chiunque installi programmi di provenienza non certa
I PERICOLI
Truffe, spam, phishing
Attacchi automatizzati e script kiddies (vandali inesperti)
Virus e spyware (99% delle società usa un programma antivirus, l'82% di queste
sono state colpite da virus)
Abusi: l'80% delle società riporta che un lavoratore ha abusato dell'accesso a
Internet, scaricando materiale pornografico e/o protetto da copyright
Attacchi mirati condotti da professionisti pagati
STRUMENTI DI PROTEZIONE
Crittografia
Investimenti in tecnologia
Analisi e definizione dei rischi
Personale e formazione*
FORMAZIONE --> dovrebbe aiutare a comprendere l'uso e lo scopo degli strumenti
informatici. La formazione aiuta il personale a prendere consapevolezza delle
problematiche e dei rischi, aumenta la produttività e diminuisce gli incidenti
informatici.
I LIVELLI DI SICUREZZA

LA SICUREZZA E' UN PROCESSO CHE RICHIEDE INVESTIMENTI COSTANTI, AZIONI

CORRETTIVE RISULTANTI DA UNA SCELTA DI COMPROMESSO TRA ESIGENZE
DELL'UTENTE E IMPEGNO RICHIESTO, IN COERENZA CON LO SCENARIO,
L'IDENTIFICAZIONE E LA VALUTAZIONE ADEGUATA DEI RISCHI.

LIVELLI DI PROBLEMI DIVERSI:

capitolo 14 Pagina 4
 SICUREZZA FISICA --> password su post-it, documenti cestinati, documenti
visibili, eccessi di fiducia, terminali accesi senza utenti
AMBIENTE DI LAVORO--> controllo dell'accesso ai locali, conservare in modo
ordinato i documenti, non cestinare informazioni importanti, attenzione a
come vengono portati fuori dall'ufficio, porre attenzione ai piccoli dettagli
dei computer (segni di scasso), prevenzione di incendi, allagamenti, ecc…
INGEGNERIA SOCIALE--> ottenere informazioni confidenziali manipolando e
ingannando le persone con imbrogli ad arte
SICUREZZA DELL'HOST--> un sistema Windows collegato a Internet senza
essere protetto, dopo pochi minuti è già compromesso per 1. l'abitudine a
cliccare avanti senza leggere; 2. configurazioni errate; 3. accessi non
controllati; 4. sistemi installati e mai configurati
--> per prevenire si può aggiornare il sistema operativo e le applicazioni; si
possono disabilitare i servizi non necessari; si può pianificare backup del
sistema
ERRORI UMANI--> la sicurezza di un singolo computer viene volata in
particolare a causa di errori umani. Non aprire mail ingenuamente, non
eseguire programmi di dubbia provenienza, utilizzo improprio dell'ambiente
lavorativo, scelta di password deboli mai cambiante, installazione di
programmi di cui non si conosce l'uso.

VIRUS (un programma che si replica e si diffonde

autonomamente)
UN VIRUS ESPONE I DATI CONTENUTI NEL SISTEMA ED E' CAPACE DI INFETTARE IN
10 MINUTI OLTRE 400.000 HOSTS NEL MONDO.
CONTROMISURE: installare un antivirus e un programma anti spyware che devono
essere mantenuti costantemente aggiornati giornalmente
FIREWALL
STRATO CHE SI INTERPONE TRA L'HOST E IL MONDO ESTERNO BLOCCANDO
L'ATTIVITA' DI RETE NON VOLUTA.
Protegge l'host dallo sfruttamento delle sue vulnerabilità, permette solo il traffico
prescelto, permette di circoscrivere servizi, difende il perimetro.
SINTOMI DI VIOLAZIONE
- RALLENTAMENTI DEL SISTEMA
- USO ANOMALO DELLA RETE E SUOI RALLENTAMENTI
- COMPARSA DI FILE SOSPETTI, ICONE E PROGRAMMI NON VOLUTI
- MALFUNZIONAMENTO DI PROGRAMMI (in particolare di antivirus)
- TUTTO QUELLO CHE E' DIVERSO DAL NORMALE SE NON SONO STATI
APPORTATI CAMBIAMENTI
- USO ECCESSIVO DELLA CPU E HARD DISK
PER QUESTI MOTIVI UNA RETE USATA DA PIU' PERSONE SI DEVE DISPORRR DI

capitolo 14 Pagina 5
PER QUESTI MOTIVI UNA RETE USATA DA PIU' PERSONE SI DEVE DISPORRR DI
1. AAA --> AUTENTICAZIONE, AUTORIZZAZIONE, ACCOUNTING (registrazione)
2. POSSIBILITA' DI FILTRAGGIO
3. POSSIBILITA' DI MONITORAGGIO --> monitoraggio dell'utilizzo da parte del
dipendente (proxy) e eventuale blocco automatico (filtraggio); monitoraggio
delle risorse; monitoraggio del contenuto del traffico
COMUNICAZIONI SICURE
I DATI INVIATI IN CHIARO POSSONO ESSERE INTERCETTATI (EMAIL, WEB, CHAT,
MESSAGGISTICA)
UTILIZZO DELLA CRITTOGRAFIA PER RENDERE INCOMPRENSIBILE LA
COMUNICAZIONE!!!
- Siti web protetti (https, certificati digitali)
- Comunicazioni sicure (chat che utilizzano SSL o altro)
- Crittografia e firma digitale nelle mail
DENIAL OF SERVICE (DoS)
--> attacco mirato all'interruzione dell'erogazione di un servizio

ENTERPRISE
• Sistemi per il rilevamento della violazione sul singolo host e per
l'apprendimento
• Sistemi per il monitoraggio della rete, rilevazione e prevenzioni delle attività
ostili
• Sistemi di sorveglianza e controlli d'accesso
• Aggiornamento costante di strutture e personale
• Simulazione e penetration test periodici
• Professionisti specializzati
GDPR
IL REGOLAMENTO GENERALE SULLA PROTEZIONE DEI DATI (GDPR=General Data
Protection Regulation) è un regolamento europeo che disciplina il modo in cui le
aziende e le altre organizzazioni trattano i dati personali.
- La commissione europeA si propone come obiettivo quello di RAFFORZARE LA
PROTEZIONE DEI DATI PERSONALI di cittadini dell'UE e dei residenti dell'UE,
sia all'interno che all'esterno dei confini dell'UE, restituendo ai cittadini il
controllo dei propri dati personali, semplificando il contesto normativo che
riguarda gli affari internazionali, unificando e rendendo omogenea la
NORMATIVA PRIVACY DENTRO L'UE
- Il testo affronta anche il tema dell'esportazione di dati personali al di fuori
dell'UE e obbliga tutti i titolari del trattamento dei dati (anche con sede
legale fuori dall'UE) che trattano dati di residenti nell'UE ad osservare e
adempiere agli obblighi previsti. Dalla sua entrata in vigore, il GDPR ha
sostituito i contenuti della direttiva sulla protezione dei dati (Direttiva
95/46/CE) e, in Italia, ha abrogato gli articoli del codice per la protezione dei
dati personali (d.lgs. n. 196/2003) con esso incompatibili

capitolo 14 Pagina 6