Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


lezione seconda di informatica, Appunti di Scienza Forense

seconda lezione informatica forense

Tipologia: Appunti

2020/2021

Caricato il 15/05/2023

V4le_campana
V4le_campana 🇮🇹

5 documenti

1 / 4

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
15/10/2021
INFORMATICA FORENSE
Introduzione agli aspetti legati alla sicurezza, che è fondamentale per la tutela delle nostre informazioni. Per
sicurezza informatica (libro “la sicurezza informatica”) si intende la protezione di un sistema informatico da
parte di una persona che tenta illegalmente di sottrarre informazioni e/o materiali. A differenza di qualcuno
che ruba qualcosa di materiale sta nel fatto che si può non accorgere di essere stati soggetti ad un furto
perché si può fare una copia per cui te neanche te ne accorgi, per cui è bene fare tutta una serie di attività. Un
altro aspetto è quello legato alla cancellazione di informazioni e documenti che può causare dei danni, quindi
ci sono diversi aspetti. Esistono gruppi di ricerca che si occupano delle “vulnerabilità delle tecnologie” che
producono trimestralmente report che ci dicono quali sono state le tecnologie hardware e software più
soggette all’attacco quindi ci dicono cosa proteggere e che in quel sistema ci potrebbe essere una
vulnerabilità. Ci sono diversa tecnologie di penetrazione, dei vettori, che sfruttano queste vulnerabilità che
colpiscono soprattutto il database (contenitore del dato) e si sfrutta la cattiva programmazione che fa sì che si
possa sfruttare per penetrare nel database; quindi questa cattiva progettazione fa sì che si possano preferire
l’autentificazione degli utenti. Questi report ci dicono che la vulnerabilità è soprattutto legata ai programmi
che uso per la navigazione (safari, ecc), l’attacco mediante questo sistema che è detto SQL injection
all’interno che quindi sfruttano falle del browser di navigazione. Questi attacchi, portati attraverso il browser,
dipendono dai PLUG IN che gli utenti istallano durante la navigazione; quindi questi plug in aprono i
browser all’attacco, quindi si sfruttano le EXPLOIT quindi le falle dei plug in per istallare del codice
malevolo. Il CODICE MALWARE TROJAN è uno strumento che può essere programmato e mutare con
grande facilità, lo scopo di queste modificazioni è mantenere alta la vitalità dei malware e non consentire agli
antivirus di eliminare il problema legato al codice malware, l’exploit (sfruttare) è un termine che viene usato
in informatica per identificare una tipologia di software malware che sfrutta un bug per creare componenti e
attività non previste nel mio software o hardware. Oggi è bene fare attenzione anche alla sfera personale
(come il bluetooth che è una rete a corto raggio che trasporta contenuti), quindi lo smartphone si collega alla
mia macchina la quale quindi sarà un potenziale punto d’accesso, quindi è bene adottare tutta una serie di
accorgimenti. Quindi come difendiamo i nostri dati? Creando intorno ad essi una sorta di perimetro, ad
esempio dobbiamo proteggere la transazioni online di soldi ed è bene proteggerli come un porta valori,
quindi dobbiamo fare una serie di attività incentrata su la base della sicurezza dei dati delle informazioni che
sono : disponibilità, integrità e confidenzialità. La prima è il grado in cui l’informazione è accessibile agli
utenti che ne hanno diritto nel momento in cui gli servono ciò significa che le applicazioni che mi fa
accedere a quei dati deve essere disponibile a darmi il servizio quando io ne ho necessità; spesso sono
sferrati attacchi contro determinati sistemi per togliere la disponibilità del servizio agli utenti che ne devono
fare richiesta (tipo prenotazione di qualcosa). Questa disponibilità riguarda sia la parte software (logica) che
hardware (fisica), quindi devo salvare da un lato la disponibilità sull’apparato fisico e quella sulla parte
logica. La parte fisica la proteggo come qualsiasi altro bene materiali, invece quello logico lo devo difende
con tecniche di sicurezza non fisica perciò posso adottare sistemi di backup locati e remoti; la sicurezza
riguarda anche eventi naturali (c’è un terremoto che può mettere a rischio la disponibilità, quindi riguarda
tutta la sfera legata alla sicurezza non solo il furto intesa come sottrazione del bene). Quindi il primo aspetto
della disponibilità è rendere possibile agli utenti che ne hanno diritto in qualsiasi momento . Poi c’è
l’integrità che rappresenta il grado di correttezza e affidabilità dei dati, quindi il sistema deve essere
performante e non solo disponibile; essa viene meno quando i dati vengono modificati o cancellati sia in
maniera dolosa (intenzionale) che per errore umano che comunque causa un danno. C’è poi un continuo
“rincorrersi” perché così come io creo sistemi di sicurezza sempre più avanzati gli attaccanti creano sistemi
di offesa sempre più avanzati; ecco perché va fatto costantemente; quindi l’integrità serve per garantire che il
mio dato, anche inavvertitamente, sia coretto e affidabile. La business continuity serve a garantire la
continuità dei servizio. La confidenzialità è legata alla segretezza dell’informazione che consiste nel limitare
l’accesso alle informazioni solo alle persone che possono accedervi; chiaramente l’informazione è quella che
ci interessa data all’elaborazione di un dato a seguito di applicazioni di un algoritmo e ci restituisce un
qualcosa. Il dato è qualcosa di noto e diventa un’informazione a seguito di un’elaborazione che fa si che mi
restituisce un risultato diverso dal dato ma che mi spiega molte mi più cose ma diminuisce la mia incertezza.
pf3
pf4

Anteprima parziale del testo

Scarica lezione seconda di informatica e più Appunti in PDF di Scienza Forense solo su Docsity!

INFORMATICA FORENSE

Introduzione agli aspetti legati alla sicurezza , che è fondamentale per la tutela delle nostre informazioni. Per sicurezza informatica (libro “la sicurezza informatica”) si intende la protezione di un sistema informatico da parte di una persona che tenta illegalmente di sottrarre informazioni e/o materiali. A differenza di qualcuno che ruba qualcosa di materiale sta nel fatto che si può non accorgere di essere stati soggetti ad un furto perché si può fare una copia per cui te neanche te ne accorgi, per cui è bene fare tutta una serie di attività. Un altro aspetto è quello legato alla cancellazione di informazioni e documenti che può causare dei danni, quindi ci sono diversi aspetti. Esistono gruppi di ricerca che si occupano delle “vulnerabilità delle tecnologie” che producono trimestralmente report che ci dicono quali sono state le tecnologie hardware e software più soggette all’attacco quindi ci dicono cosa proteggere e che in quel sistema ci potrebbe essere una vulnerabilità. Ci sono diversa tecnologie di penetrazione, dei vettori, che sfruttano queste vulnerabilità che colpiscono soprattutto il database (contenitore del dato) e si sfrutta la cattiva programmazione che fa sì che si possa sfruttare per penetrare nel database; quindi questa cattiva progettazione fa sì che si possano preferire l’autentificazione degli utenti. Questi report ci dicono che la vulnerabilità è soprattutto legata ai programmi che uso per la navigazione (safari, ecc), l’attacco mediante questo sistema che è detto SQL injection all’interno che quindi sfruttano falle del browser di navigazione. Questi attacchi, portati attraverso il browser, dipendono dai PLUG IN che gli utenti istallano durante la navigazione; quindi questi plug in aprono i browser all’attacco, quindi si sfruttano le EXPLOIT quindi le falle dei plug in per istallare del codice malevolo. Il CODICE MALWARE TROJAN è uno strumento che può essere programmato e mutare con grande facilità, lo scopo di queste modificazioni è mantenere alta la vitalità dei malware e non consentire agli antivirus di eliminare il problema legato al codice malware, l’exploit (sfruttare) è un termine che viene usato in informatica per identificare una tipologia di software malware che sfrutta un bug per creare componenti e attività non previste nel mio software o hardware. Oggi è bene fare attenzione anche alla sfera personale (come il bluetooth che è una rete a corto raggio che trasporta contenuti), quindi lo smartphone si collega alla mia macchina la quale quindi sarà un potenziale punto d’accesso, quindi è bene adottare tutta una serie di accorgimenti. Quindi come difendiamo i nostri dati? Creando intorno ad essi una sorta di perimetro, ad esempio dobbiamo proteggere la transazioni online di soldi ed è bene proteggerli come un porta valori, quindi dobbiamo fare una serie di attività incentrata su la base della sicurezza dei dati delle informazioni che sono : disponibilità , integrità e confidenzialità. La prima è il grado in cui l’informazione è accessibile agli utenti che ne hanno diritto nel momento in cui gli servono ciò significa che le applicazioni che mi fa accedere a quei dati deve essere disponibile a darmi il servizio quando io ne ho necessità; spesso sono sferrati attacchi contro determinati sistemi per togliere la disponibilità del servizio agli utenti che ne devono fare richiesta (tipo prenotazione di qualcosa). Questa disponibilità riguarda sia la parte software (logica) che hardware (fisica), quindi devo salvare da un lato la disponibilità sull’apparato fisico e quella sulla parte logica. La parte fisica la proteggo come qualsiasi altro bene materiali, invece quello logico lo devo difende con tecniche di sicurezza non fisica perciò posso adottare sistemi di backup locati e remoti; la sicurezza riguarda anche eventi naturali (c’è un terremoto che può mettere a rischio la disponibilità, quindi riguarda tutta la sfera legata alla sicurezza non solo il furto intesa come sottrazione del bene). Quindi il primo aspetto della disponibilità è rendere possibile agli utenti che ne hanno diritto in qualsiasi momento. Poi c’è l’integrità che rappresenta il grado di correttezza e affidabilità dei dati, quindi il sistema deve essere performante e non solo disponibile; essa viene meno quando i dati vengono modificati o cancellati sia in maniera dolosa (intenzionale) che per errore umano che comunque causa un danno. C’è poi un continuo “rincorrersi” perché così come io creo sistemi di sicurezza sempre più avanzati gli attaccanti creano sistemi di offesa sempre più avanzati; ecco perché va fatto costantemente; quindi l’integrità serve per garantire che il mio dato, anche inavvertitamente, sia coretto e affidabile. La business continuity serve a garantire la continuità dei servizio. La confidenzialità è legata alla segretezza dell’informazione che consiste nel limitare l’accesso alle informazioni solo alle persone che possono accedervi; chiaramente l’informazione è quella che ci interessa data all’elaborazione di un dato a seguito di applicazioni di un algoritmo e ci restituisce un qualcosa. Il dato è qualcosa di noto e diventa un’ informazione a seguito di un’elaborazione che fa si che mi restituisce un risultato diverso dal dato ma che mi spiega molte mi più cose ma diminuisce la mia incertezza.

Informazione composta da più dati che aggregati restituiscono l’informazione, la riservatezza dei dati fa sì che sia garantita anche la sicurezza dell’informazioni (tipo sms che mi arriva con il codice sul telefono, quindi è un’ autenticazioni a più fattori per verificare che quella persona che sta tentando di accedere sia realmente autorizzata, aumentando questi fattori aumento la sicurezza anche se non arriva mai al 100%). Quindi la riservatezza può essere garantita da più fattori (nome utente e password, numero sul sms, la password di crittografia). Questi tre aspetti sono quindi legati alla sicurezza informatica, nonostante tutto c’è un anello debole cioè la persona che tipo si scrive la password e nome utente e le attacca da qualche parte, nelle aziende ci sono spesso sti cosi attaccati sui monitor e questa è una cattiva abitudine; anche per questo la sicurezza al 100% è impossibile dato che è legata all’attività umane. I processi organizzativi aziendali sono quelli deputati al trattamento dei dati e perciò devono essere regolamentati in modo chiaro così che non ci siano violazioni anche involontarie dei dati e informazioni (qua era partita l’integrità dato che è caduta la linea dati). Ora capiamo quali sono le normali tecniche usate negli attacchi, divisa in fase ognuna delle quali è preparativa all’attacco e il sistema non si accorge di essere preso di mira dato che non attività molto delicate. Ci sono diversi attacchi tra cui “l’ omografico ” che avviene direttamente al dominio del sistema. La comunità internazionale ha sviluppato un apposito sistema che prevede la catalogazione e codifica di tutti i caratteri di tutti gli alfabeti del mondo e questo codice di decodifica si chiama UNICOD e lo sviluppo di questo codice ha permesso la standardizzazione di tutti i linguaggi ma ha portato all’ omografia cioè l’uguaglianza grafica tra due parole che però hanno significato diversi, cioè l’occhio umano li vede uguali ma dal punto di vista informatico è diversi dato che hanno codici diversi e si sfrutta la così detta ambiguità semantica. Quindi posso effettuare un hacking omografico quindi vengono registrati domini (libero.it tipo) con nome molto simile agli originari per ingannare gli utenti. Sfruttando la codifica e decodifica si può sferrare l’hacking omografico quindi si registra un dominio utilizzando le lettere del dominio originale e cambiando la lettera che è identica visivamente parlando così che il sistema lo registra non si accorge che è identico dato che per lui è diverso e registra lo stesso dominio. Poi ci sono tutte le metodologie , la prima fase di attacco è chiamata footprinting cioè una raccolta di una notevole quantità di dati inerenti tutti gli aspetti del sistema che si vuole attaccare, l’obbiettivo è quello di determinare il foot sprint cioè il profilo in Internet della vittima e della tecnologia da lui utilizzata (quindi va a vedere i servizi IP = identificativo del sistema collegato in rete ecc, sta sulla slide/ UDP = streaming audio e video/ ogni servizio che io utilizzo in rete usa una porta (ognuna delle quali ci dà l’accesso ad un diverso servizio) e le devo proteggere con una difesa perimetrale tramite un apparato hardware chiamato fairword e se si è abilitati si può entrare; spesso le porte sono aperte quindi fa un controllo sui fairword per vedere se le porte sono aperte, se lo sono vanno analizzate

  • quindi con il footprinting trovare le porte aperte e poi fa lo scanning, quindi quando trova la porta dietro e vede cosa c’è dietro, sono informazioni che per un utente normali non sono nulla ma un attaccante può vedere a base del dispositivo che c’è dietro che se non aggiornati (visione PHP) capisce qual è la falla e già mi concentro solo sulla porta aperta mentre le altre le lascio fare) cioè la raccolta della maggior quantità dei dati possibili inerenti, la seconda parte è lo scanning cioè capire quali tipi di sistemi operativi e servizi che utilizza, in questa fase sono usati strumenti molto semplici da reperire quindi sta cercando di studiare il sistema che ha deciso di attaccare per vedere se ci sono delle falle (exploit), poi enumeration per elaborare tutte le informazioni ottenute nelle prime due fasi per trovare la falla del sistema, cioè dove colpire. Tutto quello che ha fatto ancora non è illegale dato che sono tutte cose presenti nel web, dove però si possono trovare informazioni molto utili per entrare e sferrare l’attacco. Lui quindi sfrutta un exploit (falla legata al dispositivo che utilizzo) e una cattiva configurazione (software non aggiornato) non aggiornamento dei sistemi che ha provocato la falla. Quindi lui istalla una backdoor (porta nascosta) Capiamo ora quali sono le componenti dei diversi dispositivi tecnologici, che sono composte da due parti: fisica (hardware) cioè la parte tangibile dove ci possono essere impronte digitali ecc e logica (software) cioè la parte intangibile e più complicata da capire dato che è un’astrazione logica (file che si può copiare o modificare). Quando parlo di tecnologia parlo anche di una terza componente, cioè il knoware che ci determina gli scopi e le motivazioni per cui noi utilizziamo quel determinato hardware e quel determinato software in un determinato ambiente e ambito. Quindi quando parliamo di tecnologia informatica dobbiamo tenere conto di questi aspetti, la prima la dobbiamo vedere perché l’azioni che io compio in una scena del crimine segue delle regole quindi è utile fare i rilievi sulla scena (quindi riguardando, impronte, cose