Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza Informatica: Prevenzione al Social Engineering e Protezione dei Dati, Appunti di Elementi di Informatica

Una introduzione alla sicurezza informatica, con un focus sul social engineering e la protezione dei dati. Il testo copre le tecniche di social engineering, come l'inganno telefonico, i download sospetti e le email fraudolente, e fornisce consigli per evitarle. Inoltre, viene discusso il concetto di sicurezza informatica e i principi fondamentali, come affidabilità, integrità, riservatezza, autenticità e non ripudio. Il documento conclude con una discussione sui sistemi biometrici e la crittografia, e consigli per proteggere i dati.

Tipologia: Appunti

2018/2019

Caricato il 28/03/2019

chiara-nembrini-1
chiara-nembrini-1 🇮🇹

4 documenti

1 / 4

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
INFORMATICA PT5
La sicurezza non è solo un problema tecnologico: è una questione legata anche e soprattutto alle persone.
Social engineering è un termine che indica le attività atte a indurre le persone a compiere azioni o a rivelare
informazioni personali in maniera inconsapevole. Il social engineering mette insieme una serie di tecniche,
non necessariamente informatiche, che inducono la vittima a eseguire azioni che solitamente hanno
l’obiettivo di ottenere informazioni e strumenti necessari a compiere attività fraudolente. La contromisura
più efficace per ostacolare l’azione del social engineering è aumentare il proprio grado di consapevolezza e
discutere delle tecniche e dei più recenti approcci. Se si aumenta la comprensione del fenomeno e la
consapevolezza delle conseguenze, siamo agevolati a riconoscerne le tecniche, le caratteristiche della sua
azione, evitando così di cadere nelle trappole tese.
Tra gli aspetti comportamentali da prendere in considerazione per la sicurezza nell’uso del digitale e delle
tecnologie informatiche, possiamo elencare le seguenti attenzioni:
• Sulla Password - La password è personale e segreta, ma spesso viene data all’amico, al collega, o
addirittura all’ospite. Una pratica da evitare.
• Sull’apparecchiatura informatica – Se lasciamo il notebook sulla scrivania e ci allontaniamo, deve essere
spento o bisogna configurare il salvaschermo con password, in modo da evitare accessi indesiderati.
• Sui Download – È importante prestare attenzione ai siti da cui si scarica, soprattutto a quelli che offrono
download gratuiti. È indispensabile controllare che non si aprano altre finestre, che non ci siano
autorizzazioni di qualche tipo già spuntate e approvate.
• Sui supporti esterni – Chiavette USB e hard disk esterni possono contenere programmi infetti.
• Sul telefono - Attenzione a telefonate in cui vi si chiedono password e utenze.
• Sugli allegati nelle email - Spesso le mail con un collegamento sospetto arrivano dalla persona che
conosciamo e della quale ci fidiamo, ma è meglio fermarsi.
La sicurezza è definita come “l’insieme degli sforzi dedicati ad assicurare la protezione dei dati e delle
risorse di sistema in termini di integrità, riservatezza e disponibilità”.
Per integrità si intende l’insieme delle azioni volte a “prevenire la modifica inopportuna di dati o funzionalità
del sistema”.
La riservatezza è stata definita come "la garanzia che le informazioni siano accessibili solo a chi è
autorizzato ad accedervi”.
Con disponibilità si intende “il tempo in cui un sistema è disponibile ad operare in uno stato affidabile”.
Più in generale per sicurezza di un sistema informatico si intende la salvaguardia di questi aspetti
fondamentali: affidabilità, integrità, riservatezza, autenticità, non ripudio.
Si definisce sicuro un sistema informatico nel quale le informazioni contenute sono garantite attraverso
sistemi e misure di sicurezza appositamente predisposti contro il pericolo di violazioni.
L’accesso ai sistemi avviene attraverso tre fasi distinte:
Identificazione: L’Identificazione è una procedura organizzativa e tecnologica attraverso la quale si
verifica l’identità dell’utente:
• l’identità fisica dell’individuo,
• le caratteristiche rispetto al servizio rilasciato. L’utente che vuole accedere a un sistema, sia esso un
computer, un server, un bancomat, deve quindi “rispondere” a questa domanda di controllo/identificazione
per l’accesso. Nella maggior parte dei casi la risposta è il login, username, user-id o la chiave pubblica
(questa informazione può infatti essere pubblica, non coperta cioè da nessun vincolo di segretezza).
Autenticazione; Una volta stabilità l’identità, il sistema deve essere sicuro che l’utente sia quello che dice
di essere. La risposta è la password, legata allo username con cui ci si è identificati, o il codice PIN, ma
anche una chiave privata, la propria impronta digitale o l’iride dell’occhio. Questa informazione deve essere
assolutamente tenuta segreta e conservata con la massima accuratezza.
Autorizzazione: Identificato, autenticato e abilitato l’utente, si tratta di stabilire a quali risorse e
informazioni può accedere. Il sistema è in grado di stabilire quali operazioni consentire e quali vietare
attraverso alcuni parametri:
• Livello di funzionalità (es. amministratore, super utente, utente).
• Limitazioni di accesso alle risorse (accesso ai programmi, ad archivi e a cartelle di archiviazione, …).
L’autenticazione con password viene definita “debole” perché:
pf3
pf4

Anteprima parziale del testo

Scarica Sicurezza Informatica: Prevenzione al Social Engineering e Protezione dei Dati e più Appunti in PDF di Elementi di Informatica solo su Docsity!

INFORMATICA PT

La sicurezza non è solo un problema tecnologico: è una questione legata anche e soprattutto alle persone. Social engineering è un termine che indica le attività atte a indurre le persone a compiere azioni o a rivelare informazioni personali in maniera inconsapevole. Il social engineering mette insieme una serie di tecniche, non necessariamente informatiche, che inducono la vittima a eseguire azioni che solitamente hanno l’obiettivo di ottenere informazioni e strumenti necessari a compiere attività fraudolente. La contromisura più efficace per ostacolare l’azione del social engineering è aumentare il proprio grado di consapevolezza e discutere delle tecniche e dei più recenti approcci. Se si aumenta la comprensione del fenomeno e la consapevolezza delle conseguenze, siamo agevolati a riconoscerne le tecniche, le caratteristiche della sua azione, evitando così di cadere nelle trappole tese. Tra gli aspetti comportamentali da prendere in considerazione per la sicurezza nell’uso del digitale e delle tecnologie informatiche, possiamo elencare le seguenti attenzioni:

  • Sulla Password - La password è personale e segreta, ma spesso viene data all’amico, al collega, o addirittura all’ospite. Una pratica da evitare.
  • Sull’apparecchiatura informatica – Se lasciamo il notebook sulla scrivania e ci allontaniamo, deve essere spento o bisogna configurare il salvaschermo con password, in modo da evitare accessi indesiderati.
  • Sui Download – È importante prestare attenzione ai siti da cui si scarica, soprattutto a quelli che offrono download gratuiti. È indispensabile controllare che non si aprano altre finestre, che non ci siano autorizzazioni di qualche tipo già spuntate e approvate.
  • Sui supporti esterni – Chiavette USB e hard disk esterni possono contenere programmi infetti.
  • Sul telefono - Attenzione a telefonate in cui vi si chiedono password e utenze.
  • Sugli allegati nelle email - Spesso le mail con un collegamento sospetto arrivano dalla persona che conosciamo e della quale ci fidiamo, ma è meglio fermarsi. La sicurezza è definita come “l’insieme degli sforzi dedicati ad assicurare la protezione dei dati e delle risorse di sistema in termini di integrità, riservatezza e disponibilità”. Per integrità si intende l’insieme delle azioni volte a “prevenire la modifica inopportuna di dati o funzionalità del sistema”. La riservatezza è stata definita come "la garanzia che le informazioni siano accessibili solo a chi è autorizzato ad accedervi”. Con disponibilità si intende “il tempo in cui un sistema è disponibile ad operare in uno stato affidabile”. Più in generale per sicurezza di un sistema informatico si intende la salvaguardia di questi aspetti fondamentali: ❑ affidabilità, ❑ integrità, ❑ riservatezza, ❑ autenticità, ❑ non ripudio. Si definisce sicuro un sistema informatico nel quale le informazioni contenute sono garantite attraverso sistemi e misure di sicurezza appositamente predisposti contro il pericolo di violazioni. L’accesso ai sistemi avviene attraverso tre fasi distinte: ❑ Identificazione: L’Identificazione è una procedura organizzativa e tecnologica attraverso la quale si verifica l’identità dell’utente:
  • l’identità fisica dell’individuo,
  • le caratteristiche rispetto al servizio rilasciato. L’utente che vuole accedere a un sistema, sia esso un computer, un server, un bancomat, deve quindi “rispondere” a questa domanda di controllo/identificazione per l’accesso. Nella maggior parte dei casi la risposta è il login, username, user-id o la chiave pubblica (questa informazione può infatti essere pubblica, non coperta cioè da nessun vincolo di segretezza). ❑ Autenticazione; Una volta stabilità l’identità, il sistema deve essere sicuro che l’utente sia quello che dice di essere. La risposta è la password, legata allo username con cui ci si è identificati, o il codice PIN, ma anche una chiave privata, la propria impronta digitale o l’iride dell’occhio. Questa informazione deve essere assolutamente tenuta segreta e conservata con la massima accuratezza. ❑ Autorizzazione: Identificato, autenticato e abilitato l’utente, si tratta di stabilire a quali risorse e informazioni può accedere. Il sistema è in grado di stabilire quali operazioni consentire e quali vietare attraverso alcuni parametri:
  • Livello di funzionalità (es. amministratore, super utente, utente).
  • Limitazioni di accesso alle risorse (accesso ai programmi, ad archivi e a cartelle di archiviazione, …). L’autenticazione con password viene definita “debole” perché:
  • La password ha generalmente una lunghezza limitata.
  • La password può essere scoperta facilmente.
  • La password viaggia spesso in chiaro sulla rete di comunicazione. Spesso, in relazione all’importanza del servizio a cui si accede, si procede all’autenticazione con riconoscimento biometrico:
  • Riconoscimento delle impronte digitali (fingermarks).
  • Scansione della retina (retina scan). L’autenticazione può essere fatta sostanzialmente in tre diverse modalità che prevedono l’utilizzo di:
  1. Something You Know (Qualche cosa che si sa): questa modalità è quella realizzata mediante l’utilizzo della password.
  2. Something You Have (Qualche cosa che si ha): per esempio una chiave fisica, un tesserino magnetico o un codice variabile tipo Secur-Id che si può portare con sé.
  3. Something You Are (Qualche cosa che si è) ad esempio un parametro biometrico come l’impronta digitale o l’immagine dell’iride. Sono sistemi biometrici che permettono l'identificazione di una persona sulla base di una o più caratteristiche biologiche e/o comportamentali confrontate con dati, acquisiti precedentemente, e memorizzati tramite algoritmi e sensori. Per la sicurezza non è importante l’algoritmo (può essere pubblico) ma la chiave utilizzata, che deve rimanere segreta. Lo scopo è coprire i punti chiave della sicurezza quali:

❑ Integrità. ❑ Riservatezza, Confidenzialità, Privacy. ❑ Autenticazione. ❑ Non ripudio. La crittografia può assumere due forme:

❑ La crittografia simmetrica: algoritmo con chiave unica segreta per cifrare e decifrare il testo. La sicurezza è nella bontà della chiave. Per operazioni di codifica e decodifica si utilizza la stessa chiave. Sono detti algoritmi simmetrici e la segretezza è legata alla segretezza (e complessità) della chiave. ❑ La crittografia asimmetrica: algoritmo che utilizza due chiavi differenti per cifrare e decifrare il testo. In questi algoritmi non esistono problemi nella gestione della chiave segreta perché non deve essere distribuita, ma utilizzata solo da chi l’ha generata. La chiave “privata", segreta, non deve essere diffusa e rimane di proprietà della persona che la crea, la seconda chiave “pubblica” deve essere resa pubblica. La sicurezza si applica anche ai dati gestiti nei sistemi informatici e digitali. Applicare sicurezza ai dati, e quindi alle informazioni, significa rispettare queste proprietà: Affidabilità È la proprietà che devono possedere i dati per essere sempre accessibili o disponibili agli utenti autorizzati. Esempi di violazione di questa proprietà sono: ▪ mancanza di fornitura elettrica, ▪ rottura di un componente hardware. Integrità È la protezione dei dati realizzata in modo da evitare la loro corruzione. L’integrità riguarda la protezione da modifiche non autorizzate, come ad esempio la cancellazione non autorizzata e la modifica non autorizzata.

Riservatezza È la protezione dei dati realizzata in modo che essi siano accessibili in lettura solo dai legittimi destinatari. Si dice che la riservatezza riguarda la protezione da letture non autorizzate. Esempi di violazione sono: ▪ intercettazione di dati durante la trasmissione, ▪ accesso non autorizzato ai dati su un server. Autenticità È la protezione sulla certezza della sorgente, della destinazione e del contenuto del messaggio. Un esempio di violazione è: ▪ la spedizione di una e-mail da parte di un pirata informatico che si maschera facendo credere che il mittente dell’e-mail sia una persona conosciuta al destinatario. Non ripudio

Possiamo praticare e scegliere una serie di attenzioni e accorgimenti che rendono ancora più efficace la protezione, quali: ▪ Usate un software antivirus. È bene prevedere un sistema con l’aggiornamento automatico. ▪ Usate un firewall sui computer collegati a Internet. ▪ Aggiornate il sistema con le patch di sicurezza. Le patch correggono le vulnerabilità del sistema. ▪ Effettuate backup regolari dei programmi e dei dati. Le password permettono di proteggersi da frodi e sottrazioni di informazioni riservate, ma poche persone scelgono password davvero sicure.

  1. Scegliete una password lunga. Più è lunga, più è difficile da decifrare o indovinare utilizzando tutte le combinazioni (usate almeno otto caratteri).
  2. Usate caratteri diversi, tra cui numeri, segni di punteggiatura, lettere maiuscole e minuscole.
  3. (^) Non usate parole contenute nei dizionari. Gli hacker possono sferrare un dictionary attack provando a inserire, in automatico, tutte le parole contenute nel dizionario.
  4. Non inserite informazioni personali. Altre persone possono conoscere la vostra data di nascita, il nome del partner o del bambino, il numero di telefono e potrebbero così indovinare la password.
  5. Non scegliete una password uguale al vostro username o al numero di conto.
  6. Scegliete una password difficile da identificare durante la digitazione.
  7. Valutate l’uso di una frase chiave, ossia un insieme di parole o di stringhe alfanumeriche. Abbinamenti insoliti sono difficili da decifrare.
  8. Memorizzate le vostre password invece di scriverle.
  9. Scegliete una combinazione significativa per voi per facilitarne la memorizzazione.
  10. Non salvate le password sul computer o su dispositivi online. Qualcuno potrebbe accedere al vostro computer e trovare le password.
  11. Non tenete le password vicino al computer o in un posto facilmente accessibile.
  12. Utilizzate password diverse per ogni account.
  13. Non rivelate a nessuno le password. Se un modulo via email che vi richiede di confermare le vostre password, evitate di compilarlo anche se la fonte sembra attendibile.
  14. Non inserite le vostre password se usate computer di pubblica utenza.
  15. Cambiate le vostre password con regolarità, soprattutto se corte o semplici da indovinare.