Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


La sicurezza informatica: password sicure e attacchi brute force, Appunti di Informatica

Sulla importanza della sicurezza informatica, i pericoli di attacchi brute force e la necessità di password sicure. Viene inoltre esplorato come i servizi online proteggono i propri utenti e come le persone tendono a scegliere password prevedibili. Il testo anche tratta del ransomware e la necessità di backup sicuri e protetti.

Tipologia: Appunti

2020/2021

Caricato il 01/03/2021

enzolina1
enzolina1 🇮🇹

4.6

(44)

42 documenti

1 / 11

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
LA CYBERG SECURITY
Il termine cyber security è di uso piuttosto recente ed è stato diffuso
principalmente dal NIST (National Institute for Standards and
Technologies) degli Stati Uniti. La cyber security è focalizzata
principalmente sulla protezione dei sistemi informatici
(computer, reti di telecomunicazione, smartphone, ecc.) e
dell’informazione in formato digitale da attacchi interni e,
soprattutto, esterni. Altri termini utilizzati in alternativa e
precedentemente sono IT security, ICT security, sicurezza informatica
e sicurezza delle informazioni.
Quest’ultima comprende anche la protezione delle informazioni in
formato non digitale, ad esempio cartaceo. Al netto dell’informazione
in formato cartaceo, sono tutti termini abbastanza interscambiabili, a
meno che non si stia discutendo in un contesto estremamente
specialistico. Curiosamente, e ad aumentare la confusione, il NIST
distingue anche fra “cybersecurity” e “cyber security” che ha come
obiettivo “la protezione del cyberspazio dai cyberattacchi”.
È invece molto più utile sottolineare che con il termine “sicurezza” si
intendono alcuni concetti molto diversi, che in inglese hanno termini
distinti: “security”, che si occupa di protezione dagli attacchi, e
safety”, che si occupa di protezione dagli accidenti e dai guasti. Ad
esempio, le cinture di sicurezza (protezione dagli accidenti” si
chiamano “safety belts”, mentre una serratura di sicurezza
(protezione dagli attacchi) si chiama “security lock”.
La distinzione fra i due termini è importante, perché il modo in cui si
affrontano i due problemi è radicalmente diverso. La differenza
principale sta nel fatto che un attaccante si adatta alle nostre
difese per cercare di superarle. Ad esempio, se ci aspettiamo
un’inondazione con un’altezza massima dell’acqua di due metri,
possiamo pensare di proteggerci con un terrapieno alto tre metri.
Viceversa, se abbiamo dei ladri che usano scale alte due metri, erigere
un muro alto tre metri avrà presumibilmente il solo effetto di far
comprare ai ladri delle scale alte tre metri.
Esempi di cyber security e attacchi hacker:
ransomware e minacce note, cosa fare
1. attacchi brute force (forza bruta) e password sicure
pf3
pf4
pf5
pf8
pf9
pfa

Anteprima parziale del testo

Scarica La sicurezza informatica: password sicure e attacchi brute force e più Appunti in PDF di Informatica solo su Docsity!

LA CYBERG SECURITY

Il termine cyber security è di uso piuttosto recente ed è stato diffuso principalmente dal NIST (National Institute for Standards and Technologies) degli Stati Uniti. La cyber security è focalizzata principalmente sulla protezione dei sistemi informatici (computer, reti di telecomunicazione, smartphone, ecc.) e dell’informazione in formato digitale da attacchi interni e, soprattutto, esterni. Altri termini utilizzati in alternativa e precedentemente sono IT security, ICT security, sicurezza informatica e sicurezza delle informazioni. Quest’ultima comprende anche la protezione delle informazioni in formato non digitale, ad esempio cartaceo. Al netto dell’informazione in formato cartaceo, sono tutti termini abbastanza interscambiabili, a meno che non si stia discutendo in un contesto estremamente specialistico. Curiosamente, e ad aumentare la confusione, il NIST distingue anche fra “cybersecurity” e “cyber security” che ha come obiettivo “la protezione del cyberspazio dai cyberattacchi”. È invece molto più utile sottolineare che con il termine “sicurezza” si intendono alcuni concetti molto diversi, che in inglese hanno termini distinti: “ security ”, che si occupa di protezione dagli attacchi, e “ safety ”, che si occupa di protezione dagli accidenti e dai guasti. Ad esempio, le cinture di sicurezza (protezione dagli accidenti” si chiamano “safety belts”, mentre una serratura di sicurezza (protezione dagli attacchi) si chiama “security lock”. La distinzione fra i due termini è importante, perché il modo in cui si affrontano i due problemi è radicalmente diverso. La differenza principale sta nel fatto che un attaccante si adatta alle nostre difese per cercare di superarle. Ad esempio, se ci aspettiamo un’inondazione con un’altezza massima dell’acqua di due metri, possiamo pensare di proteggerci con un terrapieno alto tre metri. Viceversa, se abbiamo dei ladri che usano scale alte due metri, erigere un muro alto tre metri avrà presumibilmente il solo effetto di far comprare ai ladri delle scale alte tre metri.

Esempi di cyber security e attacchi hacker:

ransomware e minacce note, cosa fare

1. attacchi brute force (forza bruta) e password sicure

Al di là della terminologia, la cyber security è una disciplina molto pratica. Si occupa di proteggere i sistemi informatici da minacce concrete che hanno una probabilità significativa di realizzarsi, fra le tante che sarebbero concepibili. In questo, la si può vedere come uno strumento di gestione dei rischi. I rischi infatti non sono praticamente mai nulli: le misure di sicurezza sono utilizzate per ridurre i rischi, quasi mai per eliminarli. Per capire questo concetto, partiamo dalle password. Prendiamo come esempio un computer portatile che teniamo in casa. È possibile che non sia protetto da nessuna password (anche se non è una buona pratica). Questo non vuole dire che automaticamente qualcuno acceda al computer senza il nostro permesso: deve esserci qualcuno, fra i visitatori che entrano in casa, una persona che, quando non lo guardiamo, abbia l’occasione di farlo. In queste condizioni, anche una password relativamente semplice, che non sia proprio il nostro nome o la data di nascita, può fare molto, perché il visitatore curioso proverà al più una manciata di password prima di rinunciare, ed è molto improbabile (anche se mai impossibile) che indovini quella giusta. Supponiamo adesso di portarci il portatile in vacanza al mare, magari in campeggio, o viceversa di lasciarlo a casa quando partiamo. In queste condizioni, la probabilità che ci venga rubato aumenta molto. Il ladro a quel punto avrà tutto il tempo e gli strumenti per provare tantissime password. Se la nostra password è molto semplice e il ladro è veramente interessato ad accedere al portatile, a quel punto la nostra password banale diventa una misera protezione: servirebbe una password più complessa. Un ufficio è generalmente una situazione a metà strada: è un ambiente meno riservato, in cui più persone possono avere occasione di accedere al nostro computer o anche di vederci mentre scriviamo la password. Consideriamo invece un servizio online, ad esempio un servizio di posta elettronica. In questo caso, il servizio è, come si dice, “esposto su Internet”: vuole dire che chiunque, da tutto il mondo, può provare ad accedere alla nostra casella di posta elettronica e può, di principio, provare tutte le password che vuole, fino a quando non trova quella giusta. Il problema è che le migliaia di malintenzionati che quotidianamente provano ad attaccare i servizi esposti su Internet non lo fanno a mano: utilizzano programmi specializzati che provano migliaia, se non decine o centinaia di migliaia di password al secondo, e lo fanno ventiquattro ore su ventiquattro. Quindi, la password dovrebbe essere complessa, ma quanto? Idealmente, una password dovrebbe essere composta da caratteri casuali, in modo da non dare nessun indizio all’attaccante su quale potrebbe essere la password. L’unico modo per indovinarla sarebbe allora quello che si chiama

compromesso, l’attaccante può eventualmente recuperare la password e il nome utente o l’indirizzo di posta elettronica da quel servizio, e provarli su altri servizi. O eventualmente, mettere in vendita sul mercato nero interi database di nomi utente e password, in modo che altri le possano provare. In questi casi, la complessità della password non aiuta: l’unico sistema è utilizzare password diverse per servizi diversi. Questo è un problema particolarmente in azienda: se la stessa password, magari quella utilizzata per l’accesso ai servizi aziendali, viene utilizzata su altri siti, la compromissione di quei siti espone di fatto le password e quindi i servizi aziendali. Fortunatamente esiste da anni una soluzione per creare password sicure: sono i password manager. I password manager sono piccoli programmi che si installano sul pc o sullo smartphone, ed hanno due funzioni: ci permettono di generare senza sforzo password casuali, e che conservano al sicuro per noi, proteggendole con un’unica password. Dal password manager, quando dobbiamo accedere ad un servizio, copiamo la sua specifica password e la incolliamo nella pagina di autenticazione, senza bisogno quindi di ricordarcela. L’unica password che ci dobbiamo ricordare, e che deve essere veramente buona, è quella di accesso al password manager.

2. attacchi di phishing

Quindi, con il password manager abbiamo reso sicuro l’utilizzo delle password? Purtroppo no: la password continua ad essere uno strumento di autenticazione piuttosto debole. Il difetto principale sta nel fatto che la stessa informazione di autenticazione, la password appunto, viene riutilizzata più e più volte, da chiunque e da qualsiasi sistema, spesso anche per servizi diversi, fino a che non viene cambiata. Questo comporta due problemi. Il primo, tipicamente aziendale, è quello della condivisione delle password: seppure spesso per motivi funzionali all’attività lavorativa, gli utenti si scambiano le password, che quindi perdono il loro scopo di autenticazione personale. Nel tempo il fenomeno può finire completamente fuori controllo. Esemplare il caso di un dirigente che aveva dato la propria password alla propria segretaria per un più semplice accesso ai servizi e a Internet. La segretaria l’aveva condivisa con una collega, per via dell’accesso facilitato ad Internet, e questa l’aveva condivisa con altri colleghi. Il problema è che con

quella password, tutte quelle persone avevano anche accesso ai servizi del dirigente, comprese le sue email. Il secondo problema, più grave, è che se un attaccante riesce a convincerci a dargli la nostra password, potrà continuare ad utilizzarla senza che ce ne accorgiamo per molto tempo. Come può convincerci? L’insieme ti tecniche utilizzato più comunemente a questo scopo è detto phishing. Si tratta di convincere l’utente ad utilizzare le proprie credenziali su di un sito ‘fasullo”, gestito dall’attaccante, ma che si presenta come quello originale. Supponiamo ad esempio di ricevere una email con mittente la nostra banca, che ci dice di aggiornare dei dati, e con un link alla pagina web da cui fare l’aggiornamento. Nel caso del phishing, la mail sarà fasulla. Con le email infatti, l’indirizzo mittente non è più affidabile di quanto lo sia con la posta ordinaria: in pratica, chiunque scrive sulla busta quello che vuole. Anche il link naturalmente sarà fasullo: si presenterà simile a quello della banca, ma ci porterà invece ad una pagina che l’attaccante avrà reso apparentemente identica a quella della banca, e nella quale noi inseriremo le nostre credenziali, che a quel punto l’attaccante non dovrà fare altro che leggere e riutilizzare. Il problema è particolarmente grave quando si usano servizi su Internet, magari in cloud, perché sono servizi per definizione accessibili da qualunque parte del mondo. È importante sottolineare che finché l’attaccante si limita a leggere informazioni, è difficile capire se ci sono accessi abusivi. Ma cosa può fare l’attaccante limitandosi a leggere informazioni? Un esempio tipico, che colpisce un grandissimo numero di imprese, è il monitoraggio della casella di posta elettronica dell’amministrazione. La casella di posta elettronica viene letta con regolarità dall’attaccante per giorni, in attesa di trovare informazioni su di un pagamento che deve essere effettuato all’azienda, tipicamente per un acquisto effettuato da un cliente. A quel punto, l’attaccante manda al cliente una mail fasulla, impersonando una persona dell’amministrazione e comunica che l’IBAN sul quale fare il pagamento è cambiato. Avendo letto tutta la corrispondenza fra l’amministrazione ed il cliente, potrà scrivere una email estremamente credibile, citando correttamente nomi, numeri d’ordine e quant’altro. Come proteggersi? Tecnicamente, gli strumenti sono principalmente due: abbandonare la semplice password a favore di meccanismi di autenticazione forte, e monitorare gli accessi per rilevare anomalie : accessi da posti inusuali (ad esempio, da altri paesi del mondo), utilizzo di strumenti diversi dal

Il ransomware ha cambiato prima di tutto il concetto di “interessante”: se i dati sono interessanti per l’azienda, sono interessanti per l’attaccante, perché permettono di chiedere un riscatto. Ma soprattutto, le aziende si sono accorte di quanto fossero vulnerabili: il ransomware ha solo reso evidenti i canali utilizzati già prima da altre tipologie di malware, che a differenza del ransomware non avevano bisogno di farsi notare. Ad esempio, un’azienda, nell’affrontare la gestione del ransomware, si è accorta di avere già in casa da tempo un malware specializzato nel furto di disegni CAD: per questo malware però, a differenza del ransomware, non era necessario farsi notare, e quini l’azienda fino ad allora non se ne era mai accorta. Come proteggersi dal ransomware? Sicuramente uno strumento fondamentale sono gli antimalware/antivirus, che ormai sono strumenti complessi che analizzando vari aspetti dei pc, della posta elettronica e della navigazione Internet, per cercare di prevenire le infezioni. Va anche detto che però da soli sono sempre meno efficaci. La ragione è semplice: anche chi scrive i malware può acquistare gli antimalware e testare i propri prodotti fino a che non riescono a non essere rilevati. A quel punto li diffondono, e i produttori di antivirus hanno bisogno di un po’ di tempo per rilevare queste nuove varianti di malware e istruire i propri prodotti a riconoscerle. A quel punto, le aziende ottengono gli aggiornamenti che le proteggono, ma gli stessi aggiornamenti li ottengono anche i produttori di malware, che sanno quindi di dover produrre una nuova variante. Data la diffusione sempre più veloce del malware, misurabile in pochi giorni o addirittura ore, questi cicli sono sempre più stretti. La sicurezza in effetti non può essere demandata semplicemente a “un prodotto”: richiede comportamenti corretti e consapevoli (da parte degli utenti), strumenti (fra cui l’antimalware) e procedure di gestione. Fra le procedure, nel caso specifico della protezione dal ransomware, è fondamentale quella di backup: dei backup, mantenuti protetti (offline) per non essere a loro volta cifrati, sono lo strumento che permette all’azienda di ripristinare i dati con danni limitati. Non è infatti assolutamente garantito che, una volta pagato il riscatto, si otterrà effettivamente una chiave efficace per decifrare i file, anzi: spesso la chiave non viene inviata, o addirittura un difetto del malware non permette di recuperare i file neanche con la chiave. Negli ultimi anni, sono stati prodotti e diffusi molti malware, alcuni dei quali sono divenuti famosi anche attraverso la stampa generalista: oltre a Cryptolocker, abbiamo Petya, WannaCry e altri.

Naturalmente, gli attacchi possono essere anche di altro tipo, e sfruttare altre vulnerabilità. Esattamente come c’è una continua lotta fra i produttori di malware e quelli di antimalware, è continua la scoperta di nuove vulnerabilità nei software, di creazione di programmi che le sfruttano e di produzione di aggiornamenti che le correggono (“chiudono” le vulnerabilità). Queste vulnerabilità sono scoperte e sfruttate in vari modi, e non va trascurato il fatto che anche diverse agenzie governative ed aziende private cercano vulnerabilità da sfruttare contro i propri nemici, nel corso di attività di guerra cibernetica (cyberwarfare), o contro gli avversari dei propri clienti. Queste agenzie ed aziende arrivano ad accumulare veri e propri arsenali, che utilizzano cercando di mantenerli segreti il più a lungo possibile, in modo che le vulnerabilità non vengano corrette e così da poter quindi mantenere dei canali di accesso alle reti ed ai sistemi dei propri avversari. Purtroppo, questi arsenali a volte vengono trafugati e quindi diffusi o venduti al mercato nero, dove c’è un fiorente commercio di vulnerabilità cosiddette 0-day, ovvero non ancora pubblicate. In questi casi, la corsa si fa ancora più frenetica: faranno prima le aziende a chiudere le vulnerabilità e a proteggersi, o gli attaccanti sfruttare questi strumenti, spesso sofisticati, per accedere illegalmente ai sistemi aziendali? Un esempio particolarmente noto e significativo si è avuto con una variante di Petya, chiamata NotPetya, che utilizzava un tool che si ritiene facesse parte di un arsenale dell’NSA statunitense. Il tool, detto EternalBlue, sfruttava appunto una vunerabilità 0-day. NotPetya venne utilizzato nel 2017 per un attacco su larga scala principalmente ad aziende ed enti dell’Ucraina, ma interessando diversi paesi europei fra cui l’Italia. La gestione della sicurezza in azienda comprende quindi comportamenti corretti, strumenti e procedure, che sono ad esempio raccolti nello standard ISO/IEC 27001 e negli altri documenti ISO della famiglia 27000 che lo completano. Questo ed altri standard partono da una analisi dei rischi per una organizzazione, e ne derivano un sistema di gestione della sicurezza delle informazioni (SGSI) che, se correttamente realizzato, permette all’azienda di mitigare adeguatamente i rischi per le proprie informazioni. Negli ultimi anni però, con l’evoluzione dei sistemi informativi, sempre più aperti e con un perimetro sempre più permeabile e con la diffusione sempre più veloce di attacchi sempre più sofisticati, è ormai evidente che cercare di prevenire gli incidenti non è più sufficiente: è sempre più necessario essere in grado di rilevarli, contenerli e gestire

stato possibile, attraverso quali canali è stato praticato e quali altre parti del sistema informativo siano coinvolte, in modo da eliminare le vulnerabilità ed imparare dai propri errori per migliorare la gestione della sicurezza. Per gli incidenti più gravi può anche scattare il piano di continuità operativa aziendale, se è definito, ed in particolare le attività di disaster recovery che si occupano specificamente del ripristino dell’operatività del sistema informativo, che è il sistema nervoso dell’azienda e senza il quale questa non può funzionare a lungo.

Come e dove si formano i criminali informatici

(e gli ethical hacker) e come assumerli

Una volta impostata la gestione della sicurezza del sistema informativo e realizzati i primi interventi tecnici, c’è un’altra attività che è utile svolgere, per verificare che l’impostazione sia corretta e che le misure di sicurezza siano efficaci: provare ad attaccare il proprio sistema informativo. Si tratta dei cosiddetti vunerability assessment e penetration test. In pratica, personale specializzato viene assoldato per fare le stesse operazioni e attività che farebbe un attaccante, individuando vulnerabilità ancora presenti nel sistema informativo in modo che possano essere eliminate prima che le trovi un attaccante vero. Le buone pratiche prevedono che questo tipo di verifiche venga svolto periodicamente, in modo da tenere conto sia dell’evoluzione del sistema informativo che della scoperta di nuove tipologie di vulnerabilità o di tecniche di attacco. Si pongono però due problemi : il primo è come assicurarsi che chi effettua il test abbia competenze e capacità paragonabili a quelle di un attaccante vero; il secondo, è che comunichi all’azienda tutte le vulnerabilità che trova, e non approfitti dell’occasione per violare realmente il sistema informativo. I due problemi sono collegati, perché il modo più efficace per formarsi come “penetration tester” è frequentare gli ambienti in cui si trovano gli attaccanti veri, che sono spesso ai margini della legge o del tutto illegali, ma non è semplice poi affidare la sicurezza dei propri sistemi a chi frequenta questi ambienti. Naturalmente, ci sono anche contesti, particolarmente nell’ambito della formazione universitaria, in cui alcune tecniche di base sono insegnate ai futuri tester senza bisogno di strane frequentazioni, ma questo tipo di attività è estremamente specialistica e richiede un aggiornamento continuo, senza il quale le

competenze diventano rapidamente obsolete, quindi le opzioni sono poche. Per quanto riguarda l’onestà e l’affidabilità , per le aziende l’unica scelta è rivolgersi a fornitori specializzati che abbiano una reputazione di correttezza e qualità del lavoro. Rimane il problema dell’effettiva competenza: è molto difficile per un’azienda valutare se le vulnerabilità non sono state trovate perché non ci sono, o perché il tester non era abbastanza bravo. La prassi è generalmente di cambiare fornitore di anno in anno, in modo da provare diverse competenze ed evitare che il fornitore, conoscendo già il sistema informativo, faccia un lavoro meno completo anche per non contraddire magari i risultati di un test precedente. La gestione della sicurezza, come si vede, richiede quindi un impegno che per grandi aziende o per aziende esposte a rischi particolarmente alti, può diventare notevole. È importante quindi che all’attività siano assegnate risorse coerenti con le esigenze aziendali: non è un; attività che possa essere data semplicemente come “incarico aggiuntivo” a chi si occupa della gestione del sistema informativo aziendale, perché in mancanza di risorse, la sicurezza sarà la prima ad essere sacrificata, a fronte delle richieste generalmente più pressanti che arrivano dall’azienda tipicamente sull’implementazione di nuovi servizi e sulla gestione della manutenzione ordinaria e straordinaria del sistema informativo. Questa esigenza comincia ad essere compresa dalle aziende, ed in effetti i professionisti della cyber security sono molto ricercati, certamente la domanda supera l’offerta, anche perché è una competenza molto specialistica che richiede molto tempo e passione per essere acquisita, ma che nello stesso tempo richiede di avere una competenza ampia sulle tematiche IT in generale. La sicurezza infatti deve permeare tutti gli aspetti della gestione e dell’utilizzo del sistema informativo: dove c’è un punto debole