Sicurezza dei sistemi informatici in internet
Corso tenuto nell’A.A. 2021/2022 dal prof. Massimo Carnevali presso l’Università degli Studi di Ferrara. Licenza Creative Commons 4.0 International: BY-SA. Documento derivato dall’elaborazione del materiale didattico fornito dal prof. Massimo Carnevali per il corso “Sicurezza dei sistemi informatici in Internet” presso l’Università degli Studi di Ferrara.
Vulnerabilità
Created @November 11, 2021 9:18 PM
Last edit @December 10, 2021 7:15 PM
Indice
- Vulnerabilità
- Politiche di divulgazione della vulnerabilità
- Divulgazione coordinata
- Divulgazione totale
- Non divulgazione
- Zero-day vulnerability
- Bug bounty
- Patching
- Patch Management
Vulnerabilità
Una vulnerabilità informatica può essere intesa come una componente di un sistema informatico, in corrispondenza alla quale le misure di sicurezza sono assenti, ridotte o compromesse. Alcuni errori software introducono vulnerabilità nella sicurezza: una vulnerabilità è sconosciuta finché non la scopre qualcuno e può essere diffusa.
Livelli del rischio durante l'evoluzione della conoscenza di una vulnerabilità e delle patch. Una vulnerabilità segue le seguenti fasi:
- Una vulnerabilità di sicurezza viene scoperta: il rischio non è più nullo.
- La vulnerabilità viene resa pubblica: si ha un altro aumento del livello di rischio, il quale raggiunge il suo picco massimo.
- La vulnerabilità è conosciuta dal vendor: il rischio inizia a scendere.
- Il vendor notifica i suoi clienti (non sempre).
- I tool di sicurezza vengono aggiornati.
- La patch viene pubblicata.
- L'esistenza della patch è ampiamente conosciuta: il pericolo della vulnerabilità scende realmente quando quasi tutti sono a conoscenza della patch.
- La patch è installata in tutti i sistemi affetti: il rischio è zero quando tutti hanno installato la correzione (di solito non succede mai).
La window of exposure è il periodo di tempo che intercorre tra la prima volta che una vulnerabilità diventa attiva e quando il numero di sistemi vulnerabili si riduce fino a diventare insignificante.
Politiche di divulgazione della vulnerabilità
Le persone coinvolte nella ricerca delle vulnerabilità hanno le loro politiche, formate da varie motivazioni: la discussione è stata concentrata sulla diffusione di una vulnerabilità in modo coordinato, totale o assente.
-
Appunti Psicobiologia della resilienza e della vulnerabilità
-
Appunti Psicobiologia della resilienza e della vulnerabilità
-
Appunti di Vulnerabilità e difesa dei sistemi di internet
-
Appunti completi corso Computer Security