Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


CFI SCUOLA ECDL IT-Security certificate, Dispense di Reti informatiche

1 di 7 moduli corso Ecdl It-Security Certificate

Tipologia: Dispense

2020/2021

Caricato il 23/04/2021

Studente_qualunque
Studente_qualunque 🇮🇹

4.5

(27)

10 documenti

1 / 14

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Manuale ECDL Full Standard
Modulo IT Security
Comunicazioni
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe

Anteprima parziale del testo

Scarica CFI SCUOLA ECDL IT-Security certificate e più Dispense in PDF di Reti informatiche solo su Docsity!

Manuale ECDL Full Standard

Modulo IT Security

Comunicazioni

2

Riferimento Syllabus 6. 4. 3 Essere consapevoli che le applicazioni mobili informazioni private dal dispositivo mobile, quali dettagli dei contatti, possono estrarre cronologia delle posizioni, immagini. Riferimento Syllabus 6. 4. 4 Essere consapevoli delle misure precauzionali e di adottare in caso di perdita di un dispositivo emergenza damobile, quali disattivazione localizzazione (^) del dispositivoremota, cancellazione. remota dei contenuti, Contenuti della lezione Cifrare e decifrare un messaggio di posta elettronica digitale”; Identificare possibili messaggi fraudolenti e indesiderati; La “firma ; Le caratteristiche più comuni del phishing della possibilità di denunciare tentativi di phishing a organizzazioni; Essere consapevoli legittime o alle autorità preposte il dispositivo con malware attraverso l’apertura di un allegato; Rischio di infettare il computer o contenente una macro o un file eseguibile divulgare informazioni riservate o informazioni personali; Importanza di non; Rivedere con regolarità le impostazioni del proprio account impostazioni degli account di reti sociali; I potenziali pericoli; Applicare le connessi all’uso di siti di reti sociali comportamenti inappropriati della rete sociale al fornitore del; Possibilità di denunciare usi o servizio o alle autorità preposte messaggistica istantanea e del VoIP; Le vulnerabilità di sicurezza della; I metodi per assicurare la confidenzialità durante l’uso della messaggistica istanta VoIP; Le possibili implicazioni dell’uso di applicazioni provenienti danea e del “app store” non ufficiali dell’applicazione”; Essere consapevoli che le applicazioni mobili; Comprendere il termine “autorizzazioni possono estrarre informazioni private dal Misure precauzionali e di emergenza da adottare in caso di dispositivo mobile; perdita di un dispositivo mobile.

Cifrare e decifrare un messaggio di posta elettronica

I messaggi di posta elettronica sono trasmessi in chiaro e quindi chiunque si trovi sul percorso compiuto dal messaggio può leggerlo senza che il destinatario se ne possa

accorgere.

Volendo fare un paragone con la posta tradizionale, si potrebbe affermare che l'invio di un messaggio di posta elettronica può essere paragonato, più che a una lettera in busta chiusa,

ad una cartolina postale.

Per rendere la comunicazione per mezzo di e pertanto necessario cifrare il messaggio in modo che-mail sicura e proteggere la propria privacy è solo il legittimo destinatario, in

possesso di una chiave di decodifica, sia in grado di leggerlo.

La “firma digitale”

Oltre dell'identificazione del mittente. al problema della riservatezza, È molto facile creare un messaggio di posta e spedirlo la posta elettronica presenta anche il problema

facendolo risultare come se fosse stato spedito da qualcun altro.

3

La firma digitale sopperisce a questa carenza e permette di garantire l'identificazione del mittente.

Più in generale, si può affermar in formato elettronico con tre benefici:e che la firma digitale si può applicare a qualsiasi documento

o integrità risultare firmato da qualcun altro.. Il destinatario non può alterare un documento né crearne uno facendolo

o autenticità. Il destinatario è sicuro dell'identità del mittente del documento.

o non ripudiabilità. Il mittente non può negare di aver inviato il documento da lui firmato.

La firma digitale non è l’inserimento in un messaggio della scansione della propria firma, bensì una procedura di autenticazione capace di garantire che il contenuto di un documento

informatico sia esattamente quello voluto dal suo autore e, soprattutto, che tale documento "provenga" proprio da quell'autore.

Con riferimento alla posta elettronica si può pertanto afferma metodo per attestare che il messaggio ricevuto sia stato effettivamente inviato dal mittentere che la firma digitale è un

e che il suo contenuto non sia stato alterato.

A P P R O F O N DI M EN T O

Il funzionamento della firma digitale è tutt'altro che complicato asimmetriche, capaci di codificare una firma. Le due chiavi hanno però due fondamentali: si basa su una coppia di chiavi caratteristiche:

  • la coppia di chiavi è inscindibile (ad una chiave viceversa); A corrisponde una e una sola chiave B e
  • se la chiave termine "asimmetrico"). A è utilizzata per codificare, per la decodifica è necessaria la chiave B (da qui il Delle due chiavi, inoltre, una deve essere resa pubblica, ovvero accessibile a chiunque. Ciò significa che una volta sottoscritto un dato documento e codificato con la chiave ne venga in possesso potrà prelevare la chiave "pubblica" del "presunto" autore e con essa provare a privata, colui che decodificarlo, verificando così la reale paternità del documento stesso. Nella pratica il meccanismo coinvolge l’utilizzo di una funzione di (digest) del documento (cioè una stringa di dimensioni contenute Hash - circa 160 byte per ricavare l’impronta digitale - indipendentemente dalla lunghezza del docum stesso. Il risultato di questa codifica è la firma digitaleento) ed è questo a essere cifrato e non il documento. Si noti che la firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. Per maggiori dettagli sulle il documento Linee guida per l'utilizzo della Firma Digitale reali procedure e modalità di firma digitale (e verifica della stessa) si consulti emesso dal CNIPA (Centro Nazionale per l’Informatica nella Pubblica Ammi https://ca.notariato.it//approfondimenti/LineeGuidaFD_200405181.pdfnistrazione) disponibile all'indirizzo.

5

Nel messaggio di phishing viene generalmente riportato il link a un sito web fasullo, ma identico nell'aspetto al sito legittimo. Nel tempo infatti, gli sciacalli del web hanno affinato le

loro armi: grafica accattivante, loghi ufficiali di aziende e istituzioni, messaggi efficaci e scritti in buon italiano o in altre lingue, cortesia e semplicità possono fare pensare di non essere

vittime di un raggiro.

Per distinguere il sito fasullo da quello legittimo occorre controllare il dominio presente nella barra dell'indirizzo, che sarà diverso (seppur molto simile) da quello originale, salvo quando

viene usata anche la tecnica del pharming.

A P P R O F O N DI M EN T O

Per evitare di cadere nella rete del phisher attenersi alle seguenti linee guida:

  • Non rispondere mai alle e conferma delle credenziali- mail che chiedono dati personali; nessuna istituzione chiederà mai latramite email, in quanto è risaputo che si tratta di un mezzo non sicuro.
  • Per accedere al sito dell'istituto di credito nel quale si detiene il conto online non cliccare mai un link ma digitare l'URL direttamente nella barra indirizzo del browser oppure attraverso i "preferiti".
  • Verificare che la comunicazione avvenga in modo sicuro attraverso il protocollo HTTPS.

Essere consapevoli della possibilità di denunciare tentativi di phishing

a organizzazioni legittime o alle autorità preposte

Nel dubbio di aver contattare il servizio Clienti dell’organizzazione legittima o scrivere un’email agli indirizzi lasciato i propri dati personali su un sito contraffatto è sempre possibile

indicati nei loro siti web, specificando nel testo l'indirizzo del sito di Phishing testo della mail ricevuta. e allegando il

È altresì possibile segnalare online alla polizia postale i sospetti usi illeciti delle proprie informazioni personali all’indirizzo http://www.commissariatodips.it.

Rischio di infettare il computer o il disposit ivo con malware attraverso

l’apertura di un allegato contenente una macro o un file eseguibile

La maggior parte del malware in circolazione arriva nei computer all’interno degli allegati di posta elettronica.

Prima di aprire un allegato è bene volontariamente e, attraverso una scansione antivirus, che non sia infetto essere certi che il mittente sia fidato, che lo abbia inviato.

A P P R O F O N DI M EN T O

Gli allegati che contengono virus sono programmi o file eseguibili (i tipi di file: .com, .exe, .dll, .pif, .js) o virus macro (i tipi di file: .doc, .docm, .pst, .dot, .xls, .xlt, …). I file più pericolosi sono in .vbs, .zip, .scr, generale i “.doc” perché considerati sicuri. Il modo più sicuro per proteggersi è quello di evitare l’attivazione automatica delle macro.

6

Importanza di non divulgare informazioni ris ervate

o informazioni personali

Le reti sociali sono strumenti di comunicazione e condivisione molto diffusi sia tra i giovani che tra gli adulti. Spesso però il loro utilizzo è assai superficiale dimenticando che tutto ciò

che viene messo su Internet diventa di pubblico dominio e di fatto se ne perde il controllo. Per questa ragione è importante non utilizzare questi strumenti per divulgare informazioni

confidenziali, soprattutto di natura ec innocui come l’assenza da casa. onomico-finanziaria, o dati personali apparentemente

Ma questo non è tutto. Anche la pubblicazione di immagini personali, come ad esempio le follie notturne di una festa, andrebbero valutate con attenzione, soprattutto se non si è avuto

l’accortezza di limitare correttamente l’accesso a queste informazioni. Analogamente è importante porre attenzione a quello che si scrive evitando la divulgazione di idee e tendenze

di carattere politico, religioso o sessuale.

Rivedere con regolarità le impostazioni del proprio account

La partecipazione a una rete sociale spesso fornisce l'impressione di essere all'interno di un circuito protetto e questo può spingere le persone a rivelare molte informazioni, anche

private, su se stessi.

Per controllare la condivisione di informazioni tutti i siti web delle reti sociali offrono la possibilità di impostare il livello di privacy desiderato per il proprio profilo.

Sebbene in molti non curino questo aspetto, è importante essere co possibilità esiste e che se non si interviene, in generale, il proprio profilo rimane di dominionsapevoli che questa

pubblico.

Per un uso responsabile, l’accesso al proprio profilo dovrebbe essere concesso soltanto a persone che si conoscono anche nella vita reale rifuggendo dalle scelte generiche e men

che meno da quelle tipo “ amici degli amici”.

Un altro elemento che ha un importante impatto con la privacy è la geo localizzazione resa possibile dalla presenza del GPS in cellulari e smartphone. Se da un lato la tecnologia mette

nelle mani dei navigatori servizi sempre più innovativi online, dall’altro gli utenti non sono coinvolti pienamente nella comprensione di quanto le informazioni provenienti dai propri Gps

possano minare la propria riservatezza.

Per questi motivi è bene rivedere periodicamente le impostazioni del proprio account e disattivare le funzionalità non più coerenti con il proprio stato corrente.

A P P R O F O N DI M EN T O

L'utente accetta la politica di privacy e le condizioni d'uso di un In genere, deve solo selezionare l'opzione “accetto" e, spesso, questo avviene senza leggerne lea rete al momento della sua iscrizione. condizioni. Il rischio è quello di prestare il consenso all'utilizzo dei propri dati e dei documenti multimediali che mette sulla rete sociale senza sapere come saranno utilizzati. Per questa ragione è sempre importante leggere attentamente le condizioni d'uso e l'informativa sulla privacy presenti e poi agire di conseguenza.

8

Possibilità di denunciare usi o comportamenti inappropriati della rete

sociale al fornitore del servizio o alle autorità preposte

Ogni rete sociale impone specifiche regole d’uso dei contenuti pubblicabili. Alcuni social dettagliano esattamente quello che è vietato, altri sono molto più generici e tolleranti, ma in

generale tutti offrono la possibilità di segnalare contenuti inappropriati che possono portare alla rimozione di quel contenuto, al blocco, o persino alla disabilitazione dell’account nei casi

più gravi.

Oltr rivolgersi alla polizia postale quando si ritiene di essere vittima di un reato o di abusi die a questo, e come già visto per il caso del phishing, è sempre e comunque possibile

qualsiasi genere.

A P P R O F O N DI M EN T O

In generale, ogni membro di una rete s “bannare”, un utente per una qualsiasi ragione impedendogli di commentare, postare o contattare ilociale ha la possibilità di bloccare o come si dice in gergo membro stesso. Questa possibilità, se sfruttata, contribuisce a mitigare i possibili eccessi e i comportamenti inappropriati di alcuni internauti.

Le vulnerabilità di sicurezza della messaggistica istantanea e del VoIP

Come la posta elettronica, anche la messaggistica istantanea comporta il rischio di ricevere sul proprio computer dei malware che possono comprometterne la sicurezza. Il malware

può venire dall’apertura di file allegati ad un messaggio istantaneo o al clic porta ad un sito infetto. su un link che

Alcuni tipi di malware possono essere particolarmente pericolosi per la privacy, installando accessi nascosti al computer e spiando quanto viene digitato.

Inoltre, come tutti i software, anche quelli di messaggi vulnerabilità che malintenzionati possono sfruttare per accedere illegalmente al computer.stica istantanea possono avere delle

Anche le linee VoIP, in quanto sistemi basati su Internet, sono soggette agli stessi tipi di attacchi delle connessioni Web e, in particolare, alle intercettazioni.

Infatti, dato che la peculiarità del VoIP, è il trasporto della voce sotto forma di dati attraverso il protocollo IP, un’intrusione può avvenire intercettando i pacchetti e trasformandoli in file

wav o mp3. Inoltre, al dei telefoni o dei PC connessi alla rete VoIP ed intercettare qualsiasi conversazione avvengal’insaputa degli interessati, un malintenzionato può attivare i microfoni

intorno agli apparecchi colpiti.

A P P R O F O N DI M EN T O

L’utilizzo delle tecnologie VoIP espone l’utilizzatore alle seguenti potenziali vulnerabilità:

  • Spam SPIT (Spam over Internet Telephony).. Il VoIP è soggetto a un tipo specifico di pubblicità non richiesta, nota con l'acronimo
  • Interruzioni VoIP o arrivare a disattivarlo.. Attacchi di rete da parte di worm e virus possono causare interferenze al servizio
  • Phishing vocale tramite VoIP e cerca di indurci a divulgare dati personali importanti, come il numero. Noto anche come "vishing", avviene quando un aggressore ci contatta di carta di credito o informazioni sul conto corrente bancario.

9

  • Perdita della privacy un intruso possa intercettare le conversazioni.. La maggior parte del traffico VoIP non è crittografato, per cui è facile che
  • Hacking per effettuare chiamate. In alcuni casi, possono arrivare a vendere le informazioni relative alla. Gli hacker possono ottenere accesso alla propria connessione VoIP e usare la linea connessione sul mercato nero. Una volta introdotti nella rete domestica, gli hacker possono individuare informazioni sensibili memorizzate sul PC. Oltre alle vulnerabilità citate, non va dimenticato che l’utilizzo del VoIP è dipendente dalla rete e dall'alimentazione elettrica. Se il servizio Internet o l'elettricità subiscono un'interruzione, non è possibile telefonare e questo può rappresentare un pericolo in situazioni di emergenza.

I metodi per assicurare la confidenzialità durante l’uso della

messaggistica ista ntanea e del VoIP

Le applicabili modalità anche per perassicurare la messaggistica confidenzialità istantanea alla posta e al elettronicaVoIP. L’applicazione sono integralm di sistemiente

crittografici alle comunicazioni resta infatti il sistema migliore.

Naturalmente anche i comportamenti utente giocano un ruolo prezioso. La crittografia potrà anche impedire che malintenzionati spiino i nostri messaggi ma non potrà impedire la

comunicazione di dati personali o l’invio di file sensibili a persone non affidabili.

E' fondamentale infatti che chi utilizza Internet acquisisca una sensibilità alla propri dati e alla non divulgazione delle informazioni personali. protezione dei

Le possibili implicazioni dell’uso di applicazioni provenienti

da “app store” non ufficiali

Si è già detto che i principali sistemi operativi per device mobili consentono d nuove app solo dal proprio Store a meno di non attuare pratiche quali il Jailbreak nei sistemii scaricare

Apple e il Rooting per quelli Android.

Benché app non ufficiali potrebbero essere perfettamente sicure, in generale, il loro uso espone l’utilizzatore a rischi potenziali di malware, quale furto di credenziali d’accesso e di

dati. Inoltre si possono incontrare applicazioni di bassa qualità che hanno poca attenzione al consumo di risorse e che quindi scaricano più velocemente la batteria.

Un ulteriore pericolo, riportato più volte anche in Commissione europea, è quello dei costi nascosti delle app dichiarate come gratuite ma con contenuti a pagamento. Questi costi

chiamati “ anche in quelle disponibili negli store di Apple e Googlein-app” sono più facilmente presenti nelle app non ufficiali ma sfo. rtunatamente

Comprendere il termine “autorizzazioni dell’applicazione”

Ogni app che viene installata, per poter funzionare richiede delle autorizzazioni: una sorta di badge nel quale sono indicate quali risorse del dispositivo potrà utilizzare.

La visualizzazione di queste richieste prima dell’installazione ha lo scopo di impedire la diffusione di app dannose in quanto le app necessitano di queste autorizzazioni per poter

eseguire quello per cui sono state create.

11

Quali sono le autorizzazioni a cui prestare maggiore attenzione? TIPO DESCRIZIONE Chiamata diretta numero telefonico Necessaria con Skype, Facebook Messenger e similari, ma sospetta in altre applicazioni che possono utilizzare questa autorizzazione per comporre numeri a pagamento (solitamente ad alto costo) all’insaputa dell’utilizzatore. Invio SMS Un utilizzo fraudolento potrebbe attivare un abbonamento indesiderato. Modifica/eliminazione dei contenuti dell'archivio USB/SD

Questa è una autorizzazione molto chiara. L’accesso alla scheda di memoria implica la possibilità di accedere anche alle immagini che possono essere così catturate e trasferite via Internet. Lettura/Scrittura dati di contatto Con ques Per le applicazioni di messaggistica e i social network questa app èta autorizzazione un'app può sfogliare e modificare i contatti. necessaria, ma è bene prestare attenzione qualora questa autorizzazione venga richiesta da app di natura diversa. Lettura identità del telefono stato e Di questa autorizzazione si è già parlato più sopra ma si può ancora aggiungere che consente anche di determinare il numero del telefono e il numero a cui è collegata la chiamata in corso. Acquisizione di foto e video Un’app autonomamente ma per trasmetterla su Internet avrebbe bisogno di con questa autorizzazione potrebbe scattare foto altri permessi come elencato più sopra.

Misure precauzionali e di emergenza da adottare

in caso di perdita di un dispositivo mobile

Gli smartphone per molte persone sono diventati i compagni indispensabili della propria vita; e non solo lavorativa, ma anche privata!

Per quanto riguarda la possibile perdita o furto del dispositivo è doveroso conoscere quali precauzioni adottare. Innanzi tutto è bene segnarsi, e conservare in un luogo sicuro, le

informazioni fondamentali del telefono, quali: numero telefonico, marca e modello, colore, codice di sicurezza/pin e soprattutto l’IMEI.

Queste informazioni saranno utili sia per la denuncia d con l’operatore di rete. In secondo luogo è bene attivare sul dispositivo un software coni furto o smarrimento, sia per le attività

funzione di antifurto in modo da potersi collegare in remoto per localizzarlo, bloccarlo e cancellarne i contenuti.

Adotta sporgere denuncia alle autorità di Polizia e si potrà contattare il proprio operatore telefonicondo queste precauzioni minime, in caso di furto o smarrimento, si disporrà dei dati per

per procedere al blocco delle chiamate.

Si rammenta che tale blocco è in una black list comune a tutti gli operatori nazionali. possibile solo mediante il codice IMEI che l’operatore inserirà

Per quanto attiene alla gestione remota questo varia in funzione del sistema operativo e in alcuni casi anche del modello.

12

A P P R O F O N DI M EN T O

Dato l’importanza del codice IMEI, di seguito sono forniti alcuni metodi per visionarlo.

  • Utilizzare direttamente il sistema operativo dello smartphone. Ad esempio con Android 8. − − ToccareScorrere e toccare Impostazioni Informazioni sul telefono..
  • Utilizzare direttamente un codice USSD (Unstructured Supplementary Service Data) ovvero un codice che mette l’utente in contatto diretto con il proprio operatore telefonico. − Attivare l’app Telefono e visualizzare la tastiera. − Digitare il seguente codice: *#06#