Paniere con risposte aperte - Sicurezza informatica (2023/2024)

SICUREZZA INFORMATICA

Pecori Riccardo

Docente:

Lezione 002

03. Fino a quando è possibile cancellare i propri dati dalla rete?

Cancellare i propri dati dalla rete non è del tutto possibile. Quando i dati vengono inviati ad un Server

bisogna essere sicuri dell’utilizzo che il Server farà dei nostri dati. Ad esempio un’azienda potrebbe utilizzare i

dati per scopi pubblicitari, per inoltrare offerte oppure anche per effettuare sondaggi e analisi di mercato. Il

problema che anche effettuando semplici analisi i dati andrebbero a finire su diversi Server, salvati e utilizzati

al momento opportuno. Purtroppo c’è anche chi utilizza i dati per scopi malevoli, vendendo dati a terzi.

Anche se si avesse la sicurezza che i dati vengano utilizzati esclusivamente dall’azienda non si ha la certezza

che utenti interni possano comunque leggere i dati ed utilizzarli esternamente. A mio parere, una volta che i

dati sono online, resteranno per sempre come se fossero in una sorta di “limbo” su qualche Server.

Lezione 003

03. Valutare come sono cambiate le responsabilità degli utenti dei sistemi informatici nel tempo, durante le

diverse epoche della sicurezza informatica.

All’inizio degli anni 80 non ancora si conosceva bene il mezzo di trasmissione che si sarebbe dovuto utilizzare

per i documenti. Negli anni 90’ le alternative erano 2, o il fax oppure l’email. Ovviamente inizialmente tutta la

sicurezza informatica era incentrata sulla crittografia e quindi si poneva l’obiettivo di preservare la

confidenzialità dei dati in transito. Al tempo nessuna attenzione era rivolta agli host (client e server). La

crescita degli attacchi ha portato ad una maggiore attenzione sui servizi erogati dal server. Successivamente

con l’avvento dei contenuti multimediali online è nato il DRM che consentiva di evitare la pirateria e quindi

proteggere entità terze. La nascita dei famosi DoS e di numerosi attacchi ha aumentato la responsabilità di

chi gestisce un sistema informatico. Con l’avvento dei servizi web il target di attacco si è spostato dal

protocollo TCP/IP alle applicazioni web stesse. I principali vettori di attacco diventano le SQL Injection (anche

XSS, Broken Auth). Üon l’incremento della tecnologia cambiano anche le tipologie di attacco e vengono di

volta in volta aggiornate costringendo gli amministratori di un sistema informatico ad aumentare il livello di

sicurezza, sicurezza che deve tener conto anche dell’usabilità e del contesto a cui viene applicata (se un

servizio bancario o un servizio che eroga informazioni/notizie). Ovviamente proprio per questo motivo è nata

la figura dell’ethical hacker (white hat) che ha l’obiettivo di fornire servizi di sicurezza ad alltre aziende. I

responsabili dei sistemi non solo devono garantire la sicurezza del sistema, ma devono garantire agli utenti

che i loro dati sono al sicuro, e questo è il più grande disagio per chi eroga servizi. La trapelazione di

informazioni riservate può essere devastante a livello di immagine.

Lezione 004

02. Cos'è il social engineering?

Il Social engineering o Ingegneria sociale è un particolare tipo di attacco in cui un utente malintenzionato

sfrutta particolari debolezze “umane” per riuscire a carpire informazioni riservate. Uno scenario di esempio

può essere rappresentato da un utente malintenzionato che sfrutta una finta email promozionale (ad

esempio su un corso di cucina) e la invia ad un impiegato che, ad esempio, è appassionato di cucina.

Ovviamente tramite link malevoli o altre tipologie di attacco, l’utente malintenzionato riesce a carpire

informazioni riservate senza che l’utente se ne accorga.

03. Cosa deve fare un'azienda security-aware?

Per essere security aware un’azienda deve : produrre guide di sensibilizzazione per impiegati inerenti le

problematiche di sicurezza (anche attraverso corsi di formazione), definire documenti in cui viene

evidenziato cosa ci si aspetta dall’impiegato, definire best practices per la sicurezza e fare corsi per gli

sviluppatori per lo sviluppo sicuro del software.

04. Cos'è una politica di sicurezza?

Una politica di sicurezza, detta Policy di sicurezza, è una dichiarazione in cui sono definiti tutti gli obiettivi di

sicurezza dell’azienda, gli stati che devono essere protetti e, in qualche caso, anche come garantire la

protezione.

Lezione 005

04. Cos'è il CVSS?

Il Common Vulnerabilitiy Scoring System è un sistema per misurare l’impatto di una vulnerabilità. Si basa su

un’insieme di 14 metriche che sono raggruppate in 3 grandi gruppi: Metriche di base (impatto su integrità,

confidenzialità e disponibilità), metriche temporali (considerano la sfruttabilità e i tempi e i modi per porre

rimedio agli attacchi), metriche ambientali (danni al di fuori dell’infrastruttura IT - infortuni).

05. Cos'è il Denial of Service?

Il Denial of Service, meglio conosciuto come DoS, è una tipologia di attacco che mira ad ottenere un

disservizio. Questa tipologia di attacco consente ad un utente malintenzionato di inviare un numero di

pacchetti elevato sovraccaricando il Server in modo tale da non renderlo più disponibile agli altri utenti.

Attacchi più mirati e più forti sono sicuramente i DDoS, ovvero Distributed Denial of Service.

Lezione 006

04. Cos'è la disponibilità?

La disponibilità è la proprietà di rendere disponibili servizi a chi è autorizzato. I meccanismi atti a garantire la

disponibilità devono prevenire attacchi DoS. La disponibilità va anche oltre la sicurezza informatica dato che

un servizio potrebbe non essere disponibile anche per cause diverse (disastri naturali).

05. Cos'è la confidenzialità?

La confidenzialità è la proprietà che deve garantire che informazioni sensibili non siano lette da terze parti.

La confidenzialità sui singoli dati non può garantire la confidenzialità in senso lato, per questo motivo un’altra

proprietà direttamente legata ad essa è la proprietà di unlinkability, cioè la capacità di prevenire un

attaccante dal correlare due eventi separati che sono logicamente collegati tra loro. Per incrementare la

confidenzialità si può ricorrere all’anonimato.

06. Cos'è l'integrità?

L’integrità è la proprietà che mira a verificare che un dato non venga modificato durante la trasmissione. In

poche parole l’integrità deve garantire che i dati inviati da una sorgente non abbiano ottenuto variazioni di

alcun tipo, legate ad incidenti o azioni malevole.

07. Cos'è la proprietà del non ripudio?

Il non ripudio è la proprietà legata alla responsabilità e garantisce che una certa azione è stata compiuta. Ad

esempio se un documento è firmato digitalmente da un utente X, l’utente X non può dichiarare di non aver

scritto quel documento.

Lezione 007

01. Una buona interfaccia grafica è un buon criterio per la scelta di un antivirus? Perché?

Una buona interfaccia grafica è un buon criterio per la scelta di un antivirus perchè migliora l’esperienza

d’uso dell’utente. L’antivirus deve essere di facile utilizzo e sicuramente un’interfaccia intuitiva e semplice

guida l’utente nella scelta di esso. Ovviamente anche l’esposizione dei risultati delle scansioni può aiutare

l’utente a risolvere i problemi. Ad esempio se un antivirus trova un virus, farà apparire a schermo un pop-up

che indica se leggere i dettagli, eliminare il virus o metterlo in quarantena.

02. Qual è l'errore fondamentale della sicurezza informatica?

L’errore fondamentale della sicurezza informatica ? L’errore umano. Avere mille tool di sicurezza a

disposizione, utilizzare password difficili non mette al sicuro il nostro sistema. Prima di tutto bisogna

sottolineare l’importanza degli aggiornamenti dei software: ogni giorno vengono pubblicate migliaia di

vulnerabilità nuove che possono essere mitigate con l’applicazione di patch o aggiornamenti di versione

(upgrade). Ovviamente ciò non basta. Avere un perimetro “impenetrabile” non basta a garantire sicurezza.

La formazione alla sicurezza è fondamentale. Se un utente con privilegi amministrativi sul proprio pc apre

un’email malevola può installare una backdoor o un malware e ciò porta sicuramente alla compromissione

del sistema. Il fattore umano è al centro della sicurezza e diventa sempre più importante dato che molti

attacchi si basano sul phishing/smishing. Educare alla sicurezza dovrebbe essere fondamentale.

03. Cos'è il modello a cipolla di un meccanismo di sicurezza?

Il modello a cipolla permette di modellare i meccanismi di sicurezza in diversi anelli. Più sono interni più sono

orientati alle risorse, più sono esterni e più sono orientati agli utenti. Il modello a cipolla parte da uno strato

più esterno con le Applicazioni, poi si sposta verso l’interno con i Servizi, Sistema Operativo, Kernel e

Hardware.

Lezione 008

08. Cos'è un attacco a forza bruta?

Un brute force attack è una tipologia di attacco automatico utilizzato da un utente malintenzionato con lo

scopo di individuare la chiave di cifratura/decifratura. Solitamente più è lunga la chiave più si abbassa la

probabilità di indovinarla e più aumenta il tempo necessario ad identificarla. Questa tipologia di attacco non

ha senso in alcuni casi (chiavi troppo lunghe) perchè impiegherebbe migliaia di anni.C’è da sottolineare che

con l’avvento dei quantum computer l’RSA, algoritmo utilizzato molto in ambito crittografico, risente

dell’algoritmo di shor che consente di fattorizzare numeri interi in numeri primi in un tempo che ha

complessità polinomiale, il che rende tutto più semplice per un attaccante.

09. Cos'è l'attacco chosen text?

L’attacco chosen text consente ad un attaccante sia di scegliere un plaintex ed ottenere un relativo testo

cifrato sia il viceversa. Ovviamente quante più informazioni disponibili ha un attaccante più possibilità ha di

scoprire la chiave segrata.

10. Cos'è l'attacco known plaintext?

L’attacco known plaintext consente ad un attaccante di conoscere coppie di plaintext/cyphertext. Con

questa tipologia di attacco un utente malintenzionato cerca di scoprire la chiave analizzando le coppie di

informazioni che ha a disposizione e di decifrare altri messaggi.

11. Cos'è la crittoanalisi?

La crittoanalisi è l’insieme delle tecniche atte a testare l