Cyber Appunti [PDF]

Zitiervorschau

INFORMATION SECURITY: tecnologie, sistemi, processi atti alla protezione delle comunicazioni digitali e dei dati. CYBER SECURITY: sottoinsieme di information security atto a contrastare o prevenire o individuare attacchi informatici(cyber). Perché PROTEGGERE i DATI? -RISERVATEZZA: consentire l'accesso solamente a chi ne è autorizzato. -INTEGRITÀ: assicurarsi che i dati non siano stati alterati (corrotti) da terzi. -DISPONIBILITÀ: garantire a chi è autorizzato di poter accedere ai propri dati. L'attacco Denial of Service impedisce l'accesso ai dati a chi ne ha l'accesso. DATI da PROTEGGERE: informazioni personali, brevetti industriali, accordi/contratti aziendali. Chiunque possieda un dispositivo elettronico è coinvolto. HARDWARE da PROTEGGERE: qualunque sistema fisico elettronico capace di contenere i dati (smartphone, laptop, sistemi industriali ma anche sistemi industriali, sistemi biomedici(es. pacemaker), sistemi domotici(es. disattivare allarmi), sistemi di trasporto(aerei, treni, auto)). Come proteggere? SISTEMI NETWORK SECURITY: -Firewall, Proxy, UTM, IDS/IPS -VPN, Tunneling SISTEMI di CIFRATURA: -sistemu chiave simmetria e asimmetrica Certifica e PKI STANDARD, PROCEDURE e PROGETTAZIONE "Secure by Design": -Framework ISO, GDR -Policy aziendali -Piani di Risk Management e Disaster Recovery ATTACCO INFORMATICO: Un attacco informatico, o CYBERATTACK, è un tentativo di distruggere, esporre, alterare, disabilitare, rubare, ottenere l'accesso non autorizzato o fare un uso non autorizzato di un ASSET(risorsa). ASSET: risorsa, qualunque cosa sia importante per l'azienda, anche persona o un bene fisico. EVOLUZIONE DI ATTACCHI INFORMATICI: Clusit è l'Associazione Italiana per la Sicurezza Informatica che si occupa di divulgazione. Nel 2019 gli attacchi informatici sono cambiati. Non ci sono più hackers o piccoli gruppi, ma sono DECINE e DECINE di GRUPPI CRIMINALI TRANSNAZIONALI che fatturano MILIARDI (ramsonware). Spesso sono stati nazionali e la propria intelligence, finanziati non ufficialmente dal governo centrale. Le piattaforme colpite sono social, IoT, e altro. MINACCE E VETTORI DI ATTACCO MALWARE (MALICIOUS SOFWARE): contiene al suo interno codice malevolo capace di infettare un singolo host. Necessita l'ESPLICITA esecuzione da parte dell'essere umano o applicazione. L'esecuzione vera inizia con il PAYLOAD. WORD: Malware capace di replicarsi sulla rete. Ci deve essere vulnerabilità informatica. Non necessita l'esecuzione da parte di applicazione o persona. Risiedono in memoria e causano eccessivo consumo di banda. LOGIC BOMB: codice nascosto all'interno di un'appliazione eseguito BACKDOOR: Metodo alternativo per accedere ad un sistema da remoto. Utilizzato per bypassare sistemi di sicurezza.

TROJAN: Software apparentemente non malevolo che nasconde al suo interno codice che può infettare il sistema e si utilizza in attacchi by download o rogueware. RAT: Remote Access Trojan. Eseguono il software aprono una backdoor per controllare sistema da remoto e rubare dati. RANSONWARE: Tipologia di trojan. Infetta host e cripta dati importanti sull'hardisk e ottenere controllo sull'hardisk con RISCATTO spesso. Si ottiene by download o nelle email. Permette gaudagno con riscatto agli scrittori di virus. KEYLOGGER: Permettono di ottenere informazioni digitate su tastiera e memorizzarli in un file. Un'impresa di pulizie mette USB per caricare keylogger e poi viene tolto tempo dopo. SPYWARE: Software installato ad insaputo di utente, fatto per raccogliere informazioni personali sull'utente e inviarli a terzi. ESEMPIO REALE: WORM 'STUXNET' Creato da USA per disabilitare centrale nucleare iraniana di Natanz e disabilitare centrifughe. E' avvenuto con chiavetta USB e poi si è diffuso in rete essendo un worm. Creava certificato digitale fasullo. BOTNET: Un 'bot' è un robot software usato per velocizzare ricerce ad esempio. Una botnet è una rete di bot zombi controllati inconsapevolmente da nodo centrali. Sono usati per attacchi Denial of Service, scaricare malware o lanciare campagne di spam. I nodi C&C SERVER (command & control) rispondono al Botmaster, la persona fisica che ha il controllo sulla rete zombi. ATTACCHI DENIAL OF SERVICE: Un attacco DDOS rende inaccessibile una risorsa attraverso sovraccaricamento non legittimo di richieste di accesso (continuo invio di richieste). Il servizio non diventa più accessibile. Ora è difficilmente fatale per le alte velocità di calcolo. Il nodo è unico. ATTACCHI DISTRIBUITED DENIAL OF SERVICE: Il controllore della Botnet invia un DOS da ogni zombi della propria rete sovraccaricando pesantemente la risorsa. Sono più difficili da contrastare. ATTACCHI SQL INJECTION: si può avere data leak se del codice viene abusato illegittimamente. Ora esistono prepared statement, esempio in Java, che effettuano controllo su stringhe per verificare che non contengano codice illegittimo. ATTACCHI XSS: Cross Site Scripting è una vulnerabilità software molto diffusa. È dovuta alla mancata validazione dei dati in ingresso inseriti dagli utenti nell'applicazione. Nelle vulnerabilità non persistenti i dati non persistono sul server, quindi c'è busogno di un URL per diffondere dati dall'utente all'utente malevolo. Gli attacchi persistenti sono memorizzati sul server, quindi gli utenti accedono ad URL e i dati degli utenti sono memorizzati sul verver. È necessaria validazione dei dati in ingresso.