Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza Informatica: Introduzione ai Concetti di Base e alle Minacce, Dispense di Informatica

tutte le procedure per la sicurezza della navigazione web

Tipologia: Dispense

2023/2024

Caricato il 19/11/2023

marcgiu12
marcgiu12 🇮🇹

5 documenti

1 / 106

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Sicurezza informatica
Ei-book
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Anteprima parziale del testo

Scarica Sicurezza Informatica: Introduzione ai Concetti di Base e alle Minacce e più Dispense in PDF di Informatica solo su Docsity!

Sicurezza informatica

Ei-book

EIPASS 7 Moduli User

Premessa

Questo modulo introduce le regole e le buone prassi che consentono di minimizzare la vulnerabilità dei sistemi informatici. Di fatto, le nuove tecnologie informatiche consentono a un numero sempre più alto di persone di svolgere sempre più attività che hanno come oggetto anche dati e informazioni sensibili. Immagina il computer come la cassaforte delle nostre informazioni più preziose; devi gestirne con attenzione la sicurezza. Di seguito, analizzeremo tutti i metodi di prevenzione, i comportamenti che un utente diligente deve eseguire come netiquette e le tipologie più comuni di virus informatici. Nel linguaggio di Internet, con netiquette ci riferiamo all’insieme delle norme di comportamento, non scritte ma a volte imposte dai gestori, che regolano l’accesso dei singoli utenti alle reti telematiche, spec. alle chat-lines. www.treccani.it Acquisiremo, quindi, le competenze e le conoscenze necessarie per identificare e affrontare le principali minacce alla sicurezza informatica.

EIPASS 7 Moduli User

L’IT Security^7

1. L’IT Security

1.1. Concetti di base

L’ IT Security è l’insieme delle tecnologie con cui proteggere reti informatiche, sistemi operativi, programmi e dati, da possibili minacce molto spesso imprevedibili. Lo scopo principale dell’ IT Security è pertanto garantire la protezione dell’integrità fisica ( hardware ) e logico-funzionale ( software ) di un sistema informatico e dei dati in esso contenuti, minimizzandone la vulnerabilità (la vulnerabilità infatti misura il livello di esposizione del sistema rispetto alla minaccia). Considerata la pervasività delle tecnologie informatiche nella nostra sfera privata e lavorativa, l’ IT Security è diventato un tema centrale per tutti noi. Più tecnologie ICT ( Information and Communication Technology ) impieghiamo per svolgere le nostre attività quotidiane, più cresce il rischio di perdere o subire un furto di dati e informazioni.

1.1.1. Obiettivi dell’IT Security

L’ IT Security deve poter garantire efficacemente cinque requisiti.

  • Integrità dei dati. I dati devono effettivamente essere quelli che le parti in causa legittimamente sono convinti che siano. Soltanto le persone autorizzate devono pertanto poter modificare i dati. Il sistema informatico inoltre deve essere in grado di segnalare ogni modifica non autorizzata.
  • Confidenzialità. Soltanto le persone autorizzate devono poter accedere ai dati, in modo che nessun altro possa vederli e diffonderli.
  • Disponibilità. Le persone autorizzate devono poter sempre accedere ai servizi e risorse online a cui sono registrate. Il sistema informatico pertanto non deve chiedere ulteriori autorizzazioni o chiavi di accesso diverse da quelle in loro possesso.
  • Non ripudio. Una transazione o un’azione svolta non può essere negata a posteriori dall’operatore.

Sicurezza informatica 8

  • L’autenticazione. Verificare l’identità di un utente garantisce a ciascun corrispondente che il suo partner sia effettivamente quello che crede.

1.1.2. I diversi tipi di minacce

Le minacce informatiche sono riconducibili a due ordini di fenomeni: gli eventi accidentali e gli eventi indesiderati. Gli eventi accidentali sono la conseguenza di situazioni non ponderabili, legate a elementi casuali. Ad esempio, i fenomeni atmosferici — soprattutto quando sono di forte intensità — possono causare l’interruzione della corrente elettrica, e pertanto possono danneggiare i dispositivi informatici, con la conseguente perdita dei dati al loro interno. Gli eventi indesiderati sono le operazioni che soggetti malintenzionati eseguono per danneggiare i nostri dispositivi, e per sottrarci dati e informazioni. Possiamo così distinguere gli attacchi malevoli , lanciati per intaccare il funzionamento dei sistemi informatici, dagli accessi ai dispositivi da parte di soggetti non autorizzati , il cui scopo è sottrarre dati e informazioni dai sistemi informatici.

1.1.3. Crimini informatici e hacker

Attacchi malevoli e accessi non autorizzati a banche dati o memorie di archiviazione sono senza dubbio crimini informatici. Rientrano in questa categoria di crimini tutte le azioni compiute tramite l’utilizzo delle tecnologie informatiche, e che costituiscono un reato. Avendo conoscenza di sistemi informatici, un malintenzionato può infatti compromettere, anche in maniera grave, il funzionamento di un PC (o di un altro dispositivo), e minare pertanto l’integrità, la riservatezza e la disponibilità dei dati e delle informazioni in esso immagazzinate. A causa della natura immateriale di molte minacce informatiche, questo tipo di infrazioni sono più complesse da riconoscere, e costituiscono pertanto uno dei più importanti ambiti di studio dell’ IT Security. Per identificare gli autori di crimini informatici, si utilizza la parola inglese hacker. Come spesso accade, la traduzione in italiano delle parole inglesi non è molto precisa, almeno

Sicurezza informatica 10 Lo standard ISO/27001 ( Tecnologia delle informazioni — Tecniche di sicurezza — Sistemi di gestione della sicurezza delle informazioni — Requisiti ) è una norma internazionale che definisce i requisiti per configurare un sistema con cui gestire la sicurezza delle informazioni, e include aspetti relativi alla sicurezza logica, fisica e organizzativa. Ogni organizzazione, con l’assistenza di provider specializzati, può acquisire una certificazione di qualità che attesta l’allineamento del proprio sistema alle regole previste dallo standard.

1.2. Le principali misure di sicurezza online

Avendo compreso quali sono le minacce a cui sono esposti i nostri dispositivi, vediamo come possiamo difenderci.

1.2.1. L’autenticazione tramite nome utente e password

Per accedere a qualsiasi account (di posta elettronica, di una home banking , di Facebook , e così via), ci viene richiesto di autenticarci. Dobbiamo, cioè, farci riconoscere dal sistema, e inserire dunque la password da noi impostata quando abbiamo registrato l’account. Insieme alla password, molto spesso ci viene richiesto di digitare il nome utente. Il nome utente svolge una funzione diversa rispetto alla password. Stabilisce infatti la nostra identità, ma non è un vero e proprio sistema di sicurezza. Nella maggior parte dei casi, infatti, il nome utente corrisponde al nome dell’utilizzatore del servizio o al suo indirizzo email. Pertanto non è un codice unico, stabilito per accedere al proprio account. Nota. Il nome utente — che in inglese si pronuncia User name — è anche detto ID utente o User ID, o più semplicemente ID. La procedura secondo cui dobbiamo inserire il codice utente e la password per accedere al nostro account si chiama login. Eseguire il login significa dunque fornire i dati necessari per riconoscere la nostra identità prima di accedere a una rete, a un sistema informatico o a un servizio online.

L’IT Security^11 La procedura contraria invece si definisce logout , ed è importante eseguirla ogni volta che si esce dal proprio account. Il logout infatti determina la disconnessione dalla rete, dal sistema informatico o dal servizio online a cui ci eravamo collegati. Pertanto rappresenta un valido sistema di sicurezza per evitare che altre persone possano accedere alle nostre informazioni personali. Suggerimento. Per scegliere le password sicure, osserva queste indicazioni:

  • Utilizza combinazioni difficili da indovinare
  • Non usare mai i tuoi dati anagrafici
  • Utilizza password diverse per ognuno dei tuoi accessi (all’account di posta elettronica, al tuo account Google , al tuo profilo Facebook , Istagram , e così via)
  • Componi password di almeno 8 caratteri
  • Utilizza sia lettere maiuscole che minuscole, numeri e segni speciali (ad esempio,! /? _)
  • Cambia le tue password di tanto in tanto (ogni due o tre mesi, ad esempio) Nota. La One-Time Password (OTP) è una password valida solo per un accesso o una transazione. Se un hacker, quindi, riuscisse a intercettare una OTP appena utilizzata, non potrebbe più accedere ai dati protetti. È usata spesso nell’ambito delle transazioni bancarie: la OTP è generata da un dispositivo associato al login: ogni volta che l’utente deve accedere al servizio, crea una password usa e getta. Una volta che hai inserito correttamente username e password nel login (del tuo computer o della tua casella di posta elettronica, ad esempio), potrai autenticarti ed entrare nel sistema. Da questo momento, le tue attività sono tracciate e monitorate da parte di chi gestisce il sistema: questo monitoraggio si definisce accountability.

1.2.2. L’autenticazione a più fattori

L’autenticazione a più fattori è uno dei metodi più sicuri per proteggere qualsiasi account. Moltissimi siti e servizi online, come Google , Facebook , Microsoft , Apple offrono la possibilità di attivare l’autenticazione a due fattori. Il suo funzionamento è molto semplice: per poter accedere al proprio account, oltre all'username e alla password, occorre inserire il PIN (un codice di sicurezza monouso, composto solitamente da 4 o 6 cifre) che ci viene spedito istantaneamente tramite SMS, email, o che possiamo trovare su un'apposita applicazione.

L’IT Security^13 Lo scanner per le impronte digitali, ad esempio, è molto diffuso sugli smartphone: l’accesso allo schermo e alle app è molto più sicuro rispetto all’uso dei metodi di sblocco, come il PIN o la password. Nota. Con il termine “biometria” in informatica si intende un sistema in grado di riconoscere e identificare un individuo in base ad alcune caratteristiche fisiologiche. Si tratta di aspetti personali unici come iride, impronte digitali, retina, fisionomia, e così via. I dati biometrici sono dunque delle informazioni altamente riservate che un apparecchio registra per permettere all’utente di accedere al suo account o al suo dispositivo.

1.3. Le principali tecniche di violazione dei dati personali

I dati personali riguardano la sfera individuale delle persone fisiche. In base alle disposizioni del codice civile, le persone fisiche sono tutti gli individui a cui la legge attribuisce sia diritti che doveri. Gli istituti pubblici e privati raccolgono dati personali, e sono pertanto tenuti a rispettare precise norme sulla loro conservazione, in modo da impedire a malintenzionati di utilizzarli per scopi illegali. In Europa, la protezione dei dati personali è disciplinata dal GDPR ( General Data Protection Regulation ), ossia dal Regolamento (UE) 2016/679. A partire dal 24 maggio 2016, il GDPR ha sostituito la precedente fonte giuridica in materia di trattamento dei dati personali, ossia la Direttiva 95/46/CE del 24 ottobre 1995. Ai sensi di quanto disposto dal GDPR, il dato personale è qualsiasi informazione che riguarda una persona fisica, come il nome, i dati relativi all’ubicazione, un identificativo online o a uno o più elementi caratteristici della sua identità fisica, fisiologica, genetica, psichica, economica, culturale o sociale.

1.3.1. Le tecniche di ingegneria sociale

Sempre più hacker utilizzano sofisticate tecniche per trafugare dati e informazioni personali di ogni genere. Queste tecniche si definiscono di “ingegneria sociale” ( social engineering ), e sono a metà strada tra la psicologia e l’ingegneria.

Sicurezza informatica 14 L’ingegneria sociale è una manipolazione psicologica che induce chi ne è vittima a comportarsi in una determinata maniera o a rivelare informazioni personali senza rendersene realmente conto. Si tratta di attività più articolate dei normali malware, ma possono portare a risultati molto più fruttuosi, in termini di acquisizione di notizie personali. È chiaro che queste tecniche possono essere utilizzate anche nei confronti, ad esempio, dei dipendenti di un’azienda per carpirne i segreti organizzativi e produttivi. Esaminiamo dunque alcune tecniche di ingegneria sociale.

  • Spacciandosi per un’altra persona, come ad esempio il gestore della connessione Internet, il pirata informatico chiama al telefono le sue potenziali vittime, e cerca di ottenere da loro le informazioni che gli consentiranno di perseguire i suoi scopi fraudolenti. In questo caso, il pirata informatico usa tecniche precise che possono consentirgli di conoscere i dati personali delle sue vittime. Ad esempio, può fingersi il delegato di un preciso istituto per conto del quale esegue sondaggi. Sono le persone più anziane o poco esperte ad essere le vittime preferite per questo tipo di reati.
  • Un’altra tecnica di ingegneria sociale molto diffusa è il phishing. Questa tecnica fraudolenta si basa sull’invio di email ingannevoli. Di solito, il pirata informatico invia una email alla sua potenziale vittima, in cui la esorta a collegarsi a una specifica pagina web, e a inserire i suoi dati personali. Di solito i messaggi di queste email sono allarmanti. Possono ad esempio comunicare alla vittima che ci sono problemi con il suo conto bancario o con una sua spedizione, e che per risolverli sono necessari i suoi dati personali. Se la vittima della frode esegue le operazioni che gli vengono richieste nella email, il pirata informatico riesce a rubarle i dati, e in questo modo è in grado di utilizzarli per i suoi scopi fraudolenti.
  • Lo shoulder surfing è la tecnica con cui il pirata informatico spia la sua potenziale vittima per rubarle i dati. Ad esempio, questa tecnica viene spesso utilizzata per duplicare il PIN durante le operazioni di prelievo da un bancomat, oppure per conoscere il PIN che la vittima utilizza per accedere al suo computer.

Sicurezza informatica 16 https (la s sta per secure ) e il logo del lucchetto chiuso. Sono indicatori che ti fanno capire che il sito è sicuro.

  • Usa solo il tuo PC per fare ogni transazione finanziaria. Non pagare, non fare acquisti o altre attività finanziarie su computer pubblici o condivisi, oppure su dispositivi mobili come notebook o smartphone, che siano connessi a reti pubbliche wireless. La protezione, in questi casi, non è affidabile.
  • Usa sempre il buon senso e se hai dubbi di qualsiasi tipo, prima di fare alcunché, chiedi informazioni ai tuoi genitori, al tuo docente o a un amico che ne sappia più di te.

1.3.3. Il furto di identità

Un’altra attività dell’ingegneria sociale è il furto di identità e, cioè, il furto di dati personali e sensibili a scopo di frode, un crimine che esiste da sempre, ma che l’avvento del Web ha riportato in auge. Le tecniche usate sono diverse, come diversi sono gli obiettivi di chi li mette in atto. L’informatica e le nuove tecnologie hanno creato rischi fino a ieri impensabili, e ancora troppo poco conosciuti dai consumatori. A tutti coloro che usano Internet viene chiesto regolarmente di fornire informazioni personali per poter accedere a determinati siti o per poter acquistare beni e servizi. Queste informazioni viaggiano spesso in Rete in chiaro e non in modalità protetta. Un crescente numero di utenti, inoltre, fornisce un’elevata quantità di dati personali a blog, siti di chat, social networks, e questo ha attratto molto l’attenzione degli hacker. I dati personali hanno un mercato vastissimo e milionario: con essi si fabbricano documenti falsi, transazioni allo scopo di riciclaggio di denaro sporco, intestazioni di false polizze assicurative, contratti di finanziamento, e così via. Ma vi è di più: soprattutto tra i più giovani, si diffonde il furto d’identità non inteso in senso strettamente economico, ma attuato attraverso l’appropriazione indebita di profili di social network utilizzati, ad esempio, per ledere l’immagine o la professionalità altrui.

L’IT Security^17

1.3.4. Prevenire il furto di identità

Se ci informiamo, ci proteggiamo e gestiamo con attenzione i nostri dati, le possibilità di essere truffati diminuiscono. La prima regola è non sottovalutare la furbizia dei ladri d'identità. Se nel mondo reale possiamo riuscire a comprendere se qualcuno ci sta truffando, in quello virtuale è molto più difficile. Per prevenire il furto di identità, segui queste semplici indicazioni:

  • Proteggi il tuo PC con antivirus, firewall, antispamming, antiphishing, certificati digitali, patch.
  • Gestisci con attenzione la posta elettronica.
  • Non riutilizzare mai la stessa password per diversi account e modificale spesso.
  • Non memorizzare PIN, password, nome utente o altri parametri per l’accesso ai servizi delle banche sullo smartphone.
  • Non annotare password in nessun luogo, né cartaceo né elettronico, ma imparale a memoria.
  • Utilizza con circospezione computer pubblici, come quelli nelle biblioteche.
  • Visita siti il cui indirizzo inizi con il prefisso “https” con vicino il simbolo del lucchetto o di una chiave non rotta, e controlla sempre l’indirizzo, per esser certo che non si tratti di una copia.
  • Salva i siti che visiti più spesso tra i preferiti e accedi da lì.

1.3.5. Capire se la propria identità è stata rubata

Quando sospetti di essere vittima di un furto di identità, segui queste indicazioni:

  • Blocca le carte di credito e tutti i conti correnti interessati. La prudenza non è mai troppa: è meglio congelare tutto subito piuttosto che dover contestare, in seguito, eventuali acquisti fatti da un criminale informatico che ti ha rubato i dati.

L’IT Security^19 Nota. Facciamo un esempio: lavori in un’azienda e, alla fine di ogni mese, devi presentare al responsabile della contabilità un foglio elettronico di Excel con un report dei pagamenti ricevuti dai clienti. Potresti decidere di segnare di rosso e in grassetto tutti i clienti morosi: i clienti, cioè, che dovendo pagare entro la fine del mese, sono ancora insolventi. Potresti creare e eseguire una macro per applicare rapidamente queste modifiche di formattazione alle celle selezionate. Nonostante le macro siano scritte nel linguaggio di programmazione Visual Basic for Application , non ci vogliono particolari competenze per utilizzarle. È sufficiente infatti avviare il registratore di macro, ed eseguire le operazioni da memorizzare. In Microsoft Word , per avviare la registrazione di una macro, segui questa procedura:

  1. Apri la scheda Visualizza , e nel gruppo comandi Macro , fai clic sulla freccia verso il basso, al di sotto del pulsante Macro.
  2. Nel menu che si apre, seleziona l’opzione Registra macro.
  3. Nella finestra di dialogo Registra macro , inserisci il nome che desideri assegnare alla tua macro. Cerca di scegliere il nome in base alla funzione della macro: ti sarà più facile riconoscerla quando ne avrai registrate più di una. Ricorda inoltre che il nome può contenere soltanto lettere, numeri e trattini bassi (_). Non puoi utilizzare né spazi né altri caratteri.
  4. Scegli se eseguire la macro tramite un pulsante (che si aggiungerà a quelli già presenti nella barra di accesso rapido) oppure un comando da tastiera. Clicca su Pulsante per aprire la finestra di dialogo Opzioni di Word , e impostare il pulsante con cui eseguire la macro. Clicca invece sul pulsante Tastiera per aprire la finestra di dialogo in cui digitare la nuova combinazione con cui eseguire la macro.
  5. Nella casella Memorizza la macro in , scegli se memorizzare la macro in tutti i documenti, oppure soltanto in quello corrente.
  6. Fai clic sul pulsante OK per avviare la registrazione della macro.

Sicurezza informatica 20 Figura 1. 1 — La finestra di dialogo di Word da cui avviare la registrazione di una macro

  1. Esegui le operazioni che desideri associare alla macro. Ad esempio, potresti digitare del testo e scegliere come formattarlo, oppure inserire immagini o altri oggetti grafici a cui associare complesse procedure di formattazione.
  2. Per terminare la registrazione della macro, apri la scheda Visualizza , e nel gruppo comandi Macro , fai clic sulla freccia verso il basso, al di sotto del pulsante Macro. Nel menu che si apre, seleziona l’opzione Interrompi registrazione. In Microsoft Excel la procedura per registrare una macro è simile a quella che hai appena visto:
  3. Apri la scheda Visualizza , e nel gruppo comandi Macro , fai clic sulla freccia verso il basso, al di sotto del pulsante Macro.
  4. Nel menu che si apre, seleziona l’opzione Registra macro.
  5. Nella finestra di dialogo Registra macro , inserisci il nome che desideri assegnare alla tua macro.
  6. Scegli la combinazione di tasti per avviare velocemente la macro. Nella casella Tasto di scelta rapida , inserisci il pulsante da premere insieme al tasto CTRL , affinché Excel esegua la macro. La combinazione è del tipo CTRL + lettera.
  7. Fai clic sul pulsante OK per avviare la registrazione della macro.