Appunti di Servizi di rete e sicurezza, tutte le lezioni

SERVIZI DI RETE E SICUREZZA

A cura di Stefano Silvani

Lezione n. 1: Introduzione alla Sicurezza - I Parte

1) La sicurezza in ICT

Cos è la sicurezza:

“poter svolgere le proprie attività senza che qualcuno possa indebitamente interferire”

sicurezza è emozione. Tranquillità di fare le cose che vogliamo come le vogliamo fare. Se non

abbiamo questa fiducia, non possiamo avere output sperati:

proteggere i propri dati da raccolta e manomissione

è proteggere il proprio uso dei propri servizi (home banking, connettività)

è

importanza sicurezza deriva da importanza IT:

- spesso è sottostimata

- qual è il ruolo dell IT in azienda? -> di supporto attività operative dell’azienda e viene

visto come un fatto strumentale e vincoli di budget e bilancio vincolano molto l’IT

- semplifica le cose ma se ne può fare a meno (credenza comune)

Evoluzione Sicurezza ICT:

1) gestione puramente tecnologica in carico all’IT (statico, legato alla infrastruttura)

2) generica attenzione alla rilevanza di risorse e minacce (maggiore presa di coscienza)

3) sicurezza come gestione dei rischi operativi (consapevolezza di rilevanza dell’IT in ottica di

gestione del rischio)

(questo sopra è il percorso tipico di maturazione di una azienda) 1

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

Individuare le risorse:

le risorse non sono i computer. Sono le informazioni e i servizi.

Su quelli si investe.

Le informazioni vanno gestite anche su palmari, cellulari, portatili ecc…

Gli avversassi: vanno conosciuti per valutare il rischio.

- utenti interni

- Malware

- Concorrenti, governi, terroristi, ecc…

- Criminalità tradizionale

hanno differenza di mezzi e obbiettivi, e possibilità di contrasto

è

La sicurezza non è qualcosa di statico legato alle macchine. È qualcosa di dinamico legato

all’organizzazione. Le persone sono componente fondamentale nella sicurezza.

il tecnico ha visione chiara delle variabili tecniche e il manager di alto livello capisce l’impatto

della minaccia e la probabilità che questa si verifichi. Quindi occorre tenere in considerazione

entrambi gli aspetti.

evoluzione delle minacce:

la figura dell’hacker solitario è sempre stata troppo romantica ed ormai anacronistica. Più che

hacker si dovrebbe chiamare Cracker.

la criminalità si è avvicinata a questi nuovi ambienti

è sono cambiate le forme di attacco e la loro visibilità

è

l’hacker solitario non esiste più. La criminalità si è avvicinata agli ambienti informatici e li sa

usare. Si collabora su scala internazionale per produrre attacchi. 2

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

Attacchi non rilevati e non riportati:

gli attacchi riportati sono circa il 20% di quelli fatti. Poca capacità tecnologica di rilevare gli

attacchi riusciti. Si ha anche paura di denunciare gli attacchi subiti perché qualcuno può

essere licenziato.

Gli outsourcer non ha stimolo a denunciare gli attacchi. C’è conflitto di interesse.

Un problema sempre aperto:

migliora la sicurezza ma aumentano:

- i servizi e la loro complessità

- gli utenti

- la criticità delle risorse trattate

- la rapidità delle transazioni

informatica ha andamenti tipicamente esponenziali. Il numero di servizi informatici che

introduciamo aumenta a dismisura.

Conseguenze:

il fatto che non siano rilevati attacchi non vuol dire che non ce ne siano stati.

Comunque, prima curiamo i backup!

strumento spesso sotto valutato. Impone comportamenti umani fastidiosi. Ma è quella cosa

che ci consente di ritornare ad un punto noto precedente. Il backup è momento critico nella

sicurezza di un’organizzazione. Es. se devo fare backup da un sistema centralizzato, il

momento di backup da sistema centrale, è punto critico per un eventuale attaccante. Inoltre, il

backup può fotografare scenari già compromessi. I backup sono funzioni essenziali. I backup

potrebbero anche non essere del tuto sicuri. Quindi prima di installare il backup bisogna

verificarne la sicurezza.

Codifica dell’attacco nello strumento:

gli attacchi informatici possono essere codificati in strumenti poi distribuiti o venduti.

Si individua una vulnerabilità, si realizza un malware, il malware viene distribuita tramite rete

e poi la rete viene venduta a terzi. 3

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

Conseguenze:

- possibilità di automatizzare attacchi su vasta scala

- disponibilità degli strumenti per chi non ha la competenza per realizzarli (realizzare

botnet: (reti cattive) e poi venduti a chi non è in grado di realizzarli. Tutti hanno a

disposizione i botnet, anche chi non ha competenze IT.

La fiducia, un concetto importante:

ci si fida sempre di qualcuno o qualcosa.

È importante capire di chi o di cosa ci si fida e perché.

Se si pensa di non fidarsi di nessuno, significa che c’è qualcosa di sbagliato

Sicurezza, l’approccio tecnologico:

la sicurezza consiste nel garantire integrità, disponibilità e riservatezza delle risorse.

Questo è solo l’aspetto tecnologico della sicurezza

è C’è bisogno di prendere in considerazione anche l’aspetto organizzativo

è E aspetti umani e di applicazione delle procedure

è

Esigenze operative:

- quanto dobbiamo investire in sicurezza?

- Per proteggere cosa?

- Quanto ci aiuta usare uno strumento invece che un altro?

Sicurezza assoluta non esiste. Esistono i rischi ed esistono le tecniche per mitigare i rischi. Più

investo e più mitigo i rischi. La parte residua di rischio è costosissima da mitigare. Il livello di

sicurezza a cui ci si vuole porre è una decisione.

ISMS: information security management system

ISO: international standard organization 4

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

ISMS ISO 27001 e 27002:

standard per la sicurezza. Faccio il piano, lo implemento, lo controllo, lo attivo.

- Definizione di una politica di gestione degli ISMS

- Definizione di un approccio per il risk assessment

- Identificazione, analisi e valutazione del rischio

Approccio olistico alla considerazione del rischio e prendere decisione informata

sull’investimento e decisione verificabile. Perché abbiamo strumenti per controllare

periodicamente, confrontare con altre organizzazioni e possibilità di aggiustare la via in

itinere.

Introdurre tanta tecnologia di protezione non sempre è conveniente. Più i sistemi sono

semplici più sono facili da proteggere. Con la complessità dei sistemi aumenta la probabilità di

vulnerabilità.

È importante che le persone aderiscano correttamente alle procedure.

2) GESTIONE DEL RISCHIO DI SICUREZZA ICT

il rischio in ICT è una funzione di impatto e probabilità.

Rischio: probabilità e severità dell’impatto

Valutare l’impatto almeno di:

- danno economico diretto

- costi di ripristino

- proprietà intellettuale

- danni reputazionali

- ritardi/rallentamento dei processi

probabilità:

siamo in grado di valutare la probabilità di accadimento degli incidenti?

Non sappiamo a fronte di un possibile danno qual’e la probabilità che questo si verifichi

(ammesso che ce ne accorgiamo, perché a volte ce ne accorgiamo per via dell’impatto che

questo ha avuto)

Mancano i dati ed in un contesto in evoluzione i dati storici servono poco

Serve seguire andamento minacce e confrontarsi con il resto dell’industria (fare

banchmarking) 5

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

tipicamente si guarda all’aspetto tecnologico e non a quello organizzativo.

LEZIONE N.2: INTRODUZIONE ALLA SICUREZZA - II PARTE

1) Valutare e misurare la sicurezza

Log, monitoraggio, alert:

I meccanismi forniscono informazioni su tentativi di violazione ed errori

È necessario basarsi su alcune metriche. Considerando le registrazioni delle macchine e i dati

provenienti dai sistemi di monitoraggio, e gli alert (segnalazioni di problemi) ricontratti da

macchine e registrati su server di registrazione.

Abbiamo quindi un quadro della situazione.

Nota: un buon attaccante lascia poche tracce, sparpagliate su più sistemi e quindi è

importante prendere informazioni in forma aggregata. 6

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

I meccanismi di sicurezza non funzionano se lasciati da soli. Gli uomini devono considerare le

indo.

È importante esaminare queste informazioni

I meccanismi di sicurezza non funzionano se abbandonati a sé stessi.

Misurare la sicurezza:

È importante valutare ed evidenziare l’efficacia degli investimenti.

Non possiamo “misurare” la riduzione del rischio, ma possiamo misurare altri parametri che

ci aiutano a capire quanto sono efficaci le nostre scelte. Non si può misurare il rischio,

possiamo misurare la stima del rischio.

Misurare la sicurezza

Domande:

- Sono più sicuro dell'anno scorso?

- Ho speso bene i miei soldi?

- Come sono messo rispetto ad aziende simili?

No informazioni ai concorrenti sulle ns info. Ma per categorie di mercato i rischi sono analoghi

e i metodi di difesa sono analoghi, quindi è utile avere un confronto. Le persone che si

occupano di sicurezza fanno bene a confrontarsi per capire la correttezza degli investimenti e

a fronte di nuovi tipi di rischi è necessario capire se ci siamo protetti bene.

Misurare quanto costa l'insicurezza:

- ripristino di sistemi danneggiati

- gestione di malfunzionamenti

l’insicurezza può essere misurata come:

- gestione di incidenti

- danni diretti (spesso unico aspetto considerato)

- correzioni (sostituzione di prodotti, fix di codice...)

queste cose hanno un costo, e con la corretta politica di sicurezza questi costi possono essere

mitigati.

Altre misure:

- Virus rilevati

- Segnalazioni di strumenti interni

- Segnalazioni relative al codice (es. nei controlli di qualità o in test)

- Tempi di applicazione delle patch

Quanto si riducono i costi?

Non è una misura diretta della riduzione del rischio, in quanto manca la componente

probabilistica. Aiuta comunque a capire l'efficacia degli investimenti. Difficilmente può essere

scomposta per singoli controlli.

Avere una corretta gestione della sicurezza ci aiuta a contenere i costi derivanti dal verificarsi

delle anomalie. Tutto questo dipende dall’impatto e probabilità di evento anomalo. Occorre

componente probabilistica nella valutazione del rischio. Più probabilità e impatto sono alti più

devo investire. Devo capire se l’investimento è adeguato. Non ci si può limitare a considerare

7

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

le singole componenti, anche quando hanno poca probabilità di rischio, se combinata con altre

funzioni, e processi, possono avere rischi elevati. Se hai 1 o N componenti ritenute sicure, non

significa che quando integrate sono ancora sicure. Bisogna mantenere un atteggiamento

olistico. (catena forte quanto anello più debole)

Nota: sicurezza non si vede, insicurezza si!

2) PRINCIPI DI PROGETTAZIONE SICURA

Sicurezza dall’inizio

Tanto più tardi viene affrontata la sicurezza in un progetto:

- più è difficile inserire delle misure efficaci

- più è costoso inserirle

Scelte poco significative sotto altri aspetti, possono esserlo molto per la sicurezza.

Keep it simple: as simple as possible

Le cose complesse sono difficili da rendere sicure

- difficili da progettare

- difficili da implementare correttamente

- difficili da capire/analizzare/monitorare

- difficili da verificare

- difficili da aggiornare/modificare

Ridondanza e difesa “in profondità”:

Nessun meccanismo è perfetto (anche l’orologio rotto dice l’ora giusta due volte al giorno).

Le protezioni devono essere ridondanti e su più livelli -> È uno dei punti più difficili da far

apprezzare a chi paga.

Le persone passano ma i sistemi e procedure restano.

Fail secure: se fallisce il meccanismo di sicurezza

Se un meccanismo fallisce, il risultato deve essere maggiore sicurezza e meno funzionalità,

non viceversa.

se architettura di sicurezza fallisce:

è se è ridondante, il primo sistema fallisce e continua il secondo sistema

o se il sistema non è pari (ridondante) e fallisce, il sistema deve comunque essere

o in sicurezza.

Il fallimento della sicurezza deve condurre ad un'altra situazione sicura. Anche se meno

funzionale.

Questo Può essere in contrasto con altre esigenze:

es. Se manca la corrente, la porta resta aperta o chiusa?

Compartimentazione e segregazione

Attività diverse, con diverse criticità e requisiti devono essere separate:

- perché dalla compromissione dell’una non derivi la compromissione dell’altra

- per ridurre i vincoli sulla progettazione e gestione 8

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

il numero di interoperabilità tra sotto-parti di un sistema complesso deve essere ridotto al

minimo necessario. Questo per minimizzare il rischio di vulnerabilità. I vari sottodomini

(sottosistemi) interagiscono tra loro il minimo possibile.

Es: un sistema considerato trusted (fidato), se violato, quando interagisce con altri sistemi, li

danneggia perché viene fatto entrare (proprio perché trusted)

Compartizione e segregazione può essere fatta a diversi livelli:

- reti e sistemi: firewall su intranet, vpn

- codice: funzioni separate per gli aspetti di sicurezza

- personale: sistemisti con diversi ruoli e “clearance” (autorità di accedere) non deve

esistere solo una persona con accesso a tutto!

- ambienti: test, produzione (necessario dividere l’ambiente di test da quello di

produzione)

Security through obscurity

È la sicurezza basata sulla speranza che l’attaccante non conosca le nostre difese

è diverso dal “non conoscere la chiave”

è

- nel momento in cui l’informazione esce, la sicurezza è persa

- in realtà il “segreto” è noto a molti

- manca la peer review, come ad esempio, in crittografia

in realtà l’informazione è noto a molti, ai fornitori, agli utenti ecc..

la sicurezza quindi non è solo un fattore tecnologico.

Il paradigma security through obscurity non è valido. Mi manca anche il confronto con altre

persone, proprio perché se devo tenere tutto segreto non posso parlarne all’esterno.

Evitarla non vuole dire che dobbiamo raccontare a tutti le nostre difese

In una logica di mitigazione del rischio, se non conosce le nostre difese l’attaccante ha più

difficoltà e può farsi scoprire più facilmente

Monitoraggio:

I meccanismi devono fornire informazioni su tentativi di violazione ed errori

ma ci vuole qualcuno che analizzi i dati e li capisca

è

Flessibilità:

Per i meccanismi di sicurezza è importante perché se meccanismi di sicurezza non sono

compatibili con nuove esigenze

- vengono disabilitati

- devono essere riprogettati (e pagati) daccapo

i sistemi di sicurezza devono accompagnare la vita dell’organizzazione. Es. le patch possono

produrre funzionamenti diversi. È necessario poter fare modifiche per continuare ad essere

funzionali nel monitoraggio, analisi dati, protezione. A fronte di un’evoluzione di un sistema,

se l’architettura di sicurezza non può evolvere, la decisione è di disabilitare l’architettura.

Quindi il sistema deve essere flessibile, potersi adeguare all’organizzazione, progettata bene

fin dall’inizio, semplice ecc.. è un vantaggio competitivo nel medio/lungo periodo 9

UTIU - Il presente materiale è stato realizzato a scopi didattici e ne è vietata la vendita, la riproduzione e qualsiasi manipolazione.

diversità:

Avere sistemi diversificati può evitare che una vulnerabilità interessi tutti i componenti

La diversità serve a rendere i sistemi più resilienti.

Importante nella difesa in profondità. Utilizzare strumenti/configurazioni inusuali può essere

un vantaggio o uno svantaggio

- gli attacchi standard possono essere inefficaci

- l’attaccante è probabilmente meno preparato

- anche le soluzioni comuni possono essere inefficaci

- è più difficile (e costoso) trovare le competenze necessarie

Qual è l’architettura migliore?

Quella che si conosce meglio

È utile avere i sorgenti e la garanzia di una peer review, ma il fatto che il codice sia open

source non è in sé una garanzia.

LEZ.03 - AUTENTICAZIONE - I PARTE

1) Introduzione

Contesto:

Autenticazione in rete:

- Client – server (anche P2P)

- Contesto client + contesto server

- Protezione sulla connessione

Logica di autenticazione in rete e non di autenticazione direttamente ad un sistema.

Per meccanismi di autenticazione