









Studia grazie alle numerose risorse presenti su Docsity
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
Prepara i tuoi esami
Studia grazie alle numerose risorse presenti su Docsity
Prepara i tuoi esami con i documenti condivisi da studenti come te su Docsity
Trova i documenti specifici per gli esami della tua università
Preparati con lezioni e prove svolte basate sui programmi universitari!
Rispondi a reali domande d’esame e scopri la tua preparazione
Riassumi i tuoi documenti, fagli domande, convertili in quiz e mappe concettuali
Studia con prove svolte, tesine e consigli utili
Togliti ogni dubbio leggendo le risposte alle domande fatte da altri studenti come te
Esplora i documenti più scaricati per gli argomenti di studio più popolari
Ottieni i punti per scaricare
Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium
SICUREZZA INFORMATICA ED ETHICAL HACKER
Tipologia: Appunti
1 / 16
Questa pagina non è visibile nell’anteprima
Non perderti parti importanti!










ISO 27002: Ad oggi sostituita con la 27001, rimane tuttavia un valido ‘manuale pratico’ ( Security Code of Practice). Fondata nel 2007 caratterizza ^ la sicurezza dell’informazione da : integrità , riservatezza e disponibilità. È organizzata in 10 aree di controllo:
_1. Security Policy
_5. Physical and Environmental Security
Fin qui abbiamo visto degli standard su cui lavora principalmente la figura professionale dell’Auditor. Ovvero, parliamo di tutta una serie di pratiche e di standard che abbracciano anche a livello burocratico l’approccio alla sicurezza informatica. Per quanto riguarda i test di sicurezza ( Penetration Testing, Vulnerability Assessment ) il discorso si fa più complesso. Bisogna partire dal presupposto che ogni hacker sperimenta una sua metodologia, un suo approccio. Solitamente prima si acquisiscono più informazioni possibili sul sistema, e poi si elabora la strategia di attacco in base alle informazioni ricavate.
Gli standard sulla sicurezza informatica sono molto recenti e parlando di Penetration Testing non c’è ancora nulla di veramente ufficiale come la ISO ( ricordatevi che la ISO, per esempio la 27001 o la 270 02 ) non danno metodologie su come fare un penetration test, quindi dobbiamo andare alla ricerca di una metodologia standard specifica per i penetration test. Oggi, sul mercato, ci sono standard e certificati, alcuni open source, altri vendor, quindi che bisogna necessariamente pagare, seguendo un apposito corso. Vediamo i più famosi, i più utilizzati e i più ricercati.
Ce ne sono ovviamente di altre, altrettanto famose, questa voleva essere una panoramica generale su quello che è il mondo degli standard nella sicurezza informatica.
È di buona norma ricordare sempre che ogni certificazione o standard può essere specifico o molto generico, e quindi abbracciare più categorie. Per esempio, nel sistema dei pagamenti online, la leader è la PCI DSS, che merita sicuramente un’occhiata più da vicino, visitando il sito: https://it.pcisecuritystandards.org/
Come accennato nell’introduzione di questo corso, in molti paesi, i crimini informatici sono severamente puniti, c’è un ottima polizia informatica e sistemi molto avanzati di monitoring. Altri paesi invece non hanno ancora alcun approccio sull’argomento, e moltissimi black hat ne approfittano per far partire ( fisicamente o virtualmente ) gli attacchi informatici. Facendo un discorso generale, che abbraccia anche il nostro paese, attaccare un sistema informatico ( o anche solamente tentare di farlo) è considerato illegale e quindi punibile dal codice penale ( è prevista anche la reclusione). Non ha importanza il motivo per cui si vuole attaccare un determinato sistema, ( per esempio, se rubo una mela perché ho fame, verrò comunque punito, la fame non è una scusante )
Ci sono due figure importanti nell’ambito dell’hacking. Chi si muove per fini di lucro ( come abbiamo visto prima con i black hat ) e chi si muove per fini sociali, di attivismo ( per esempio l’associazione Anonymous ). Tali figure vengono definiti Hacktivisti, e vantano di una grande comunità. I loro attacchi possono essere molto potenti ed efficienti proprio perché vengono la maggior parte delle volte, espletati in massa. Il loro obbiettivo potrebbe essere quello di mandare fuori servizio un sistema ( DOS denial of service – DDOS distributed denial of service ) oppure obiettivi più complessi come quello di raccogliere informazioni riservate ( intercettando email, entrando nei server, ecc. ) e pubblicarli poi online.
Proprio per questo motivo, chi effettua i test e il proprietario del sistema, devono sottoscrivere un accordo con delle regole ben precise che regolamentino per l’appunto ogni fase, sia tecnica che burocratica. Sono vere e proprie ‘regole di comportamento’ che chi effettua il test deve seguire alla lettera per non trasformarsi inconsciamente in un black hat. Questo documento sarà solo il primo di una serie, in quanto il report finale, dovrà elencare in un certo modo, le vulnerabilità trovate, l’approccio utilizzato e dei consigli su come risolvere le falle trovate.