Progetto Sicurezza

SICUREZZA INFORMATICA

La sicurezza informatica è quella branca dell’informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi o violazione della privaci. I principali aspetti di protezione del dato sono la confidenzialità, l’integrità e la disponibilità.

La protezione degli attacchi informatici viene ottenuta agendo su più livelli: innanzitutto a livello fisico e materiale, ponendo i server in luoghi il più possibile sicuri, dotati di sorveglia o di controllo degli accessi; anche se questo accorgimento fa parte della sicurezza normale e non della “SICUREZZA INFORMATICA” è sempre il caso di far notare come il fatto di adottare le tecniche più sofisticate generi un falso senso di sicurezza che può portare a trascurare quelle semplici. Il secondo livello normalmente è quello logico che prevede l’autenticazione e l’autorizzazione di un’entità che rappresenta l’utente del sistema. Successivamente al processo di autenticazione, le operazioni effettuate dall’utente sono tracciate in file di log. Questo processo di monitoraggio delle attività è detto audit o accountability.

Molti ex hacher sono oggi dirigenti di società di sicurezza informatica o responsabili di questa in grandi multinazionali. Ciò dimostra quello che molti dicono e scrivono: per capire le strategie migliori di sicurezza informatica è necessario prima entrare nella mentalità dell’attaccante per poterne prevedere ed ostacolare le mosse.

TIPI di SICUREZZA e di ATTACCHI

Quando si parla di sicurezza informatica spesso si distinguono i concetti di sicurezza passiva e di sicurezza attiva.

Per sicurezza passiva si intendono le tecniche e gli strumenti di tipo difensivo, ossia quel complesso di soluzioni il cui obiettivo è quello di impedire che utenti non autorizzati possano accedere a risorse, sistemi, impianti, informazioni e dati di natura riservata.

SICUREZZA ATTIVA

Per sicurezza attiva si intendono, invece, le tecniche e gli strumenti mediante i quali le informazioni e i dati di natura riservata sono resi sicuri ; proteggendo gli stessi sia dalla possibilità che un utente non autorizzato possa accedervi(confidenzialità)o possa modificarli(integrità).

È evidente che sia la sicurezza passiva che quella attiva sono tra di loro complementari ed indispensabili per raggiungere il livello di sicurezza desiderato.

Le possibili tecniche di attacco sono molteplici ; perciò è necessario usare contemporaneamente diverse tecniche difensive per proteggere un sistema informatico, realizzando più barriere tra l’attaccante e l’obiettivo.

SICUREZZA DEI PROGRAMMI

Il problema della sicurezza dei programmi e soprattutto dell’invio e ricezione di dati confidenziali protetti, si è posto all’attenzione degli sviluppatori di software come conseguenza della sensibile crescita dell’uso di internet e di strumenti informatici. Per quanto riguarda la produzione di software “protetti” possiamo partire col definire il concetto di sicurezza come l’assenza da condizioni conflittuali capaci di produrre danni mortali o irreparabili ad un sistema.

Nella progettazione di software è quindi fondamentale raggiungere il compromesso più funzionale tra l’efficienza dell’uso del programma in questione e la sua capacità di “sopravvivenza” ad attacchi esterni e ad errori più o meno critici.

CARATTERISTICHE di SICUREZZA

Due caratteristiche fondamentali esplicano il concetto di sicurezza

• Safety (sicurezza): una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all’interno del sistema.

• Reliability (affidabilità): prevenzione da eventi che possono produrre danni di qualsiasi gravità al sistema.

Un software (o programma) è tanto più sicuro quanto minori sono le probabilità di successo di un guasto e la gravità del danno conseguente al danno stesso.

POSSIBILI EFFETTI DI GUASTI

• NESSUN EFFETTO

• RISCHIO TRASCURABILE

• RISCHIO SIGNIFICATIVO

• RISCHIO ELEVATO

• RISCHIO CATASTROFICO

ERRORI DI PROGRAMMA

• ERROR : Un errore umano verificatosi durante un processo

• FAILURE: è un comportamento del software imprevisto ed incongruo rispetto alle specifiche del programma stesso

• FAULT: è un difetto del codice sorgente

PRINCIPALI TECNICHE DI ATTACCO

• EXPLOIT

• BUFFER OVERFLOW

• SHELLCODE

• CRACKING

• BACKDOOR

• PORT SCANNING

• SNIFFING

• KEYLOGGING

• SPOOFING

• TROYAN

• VIRUS INFORMATICI

• DOS

• INGEGNERIA SOCIALE

• CMD TRAMITE BROWSER

PRINCIPALI TECNICHE DI DIFESA

• ANTIVIRUS: consente di proteggere il proprio personal computer da software dannosi detti virus

• ANTISPJWARE: software facilmente reperibile sul web in versione freeware , shareware o a pagamento.

• FIREWALL: installato e configurato un firewall garantisce un sistema di controllo degli accessi verificando tutto il traffico che lo attraversa.

• CRITTOGRAFIA: è possibile proteggere documenti e dati sensibili da accessi non autorizzati utilizzando:la crittografia, la firma digitale, e certificati digitali per identificare le autorità di certificazione, un sito, un soggetto o un software

• BECKUP: sistema utile per recuperare dei dati eventualmente persi o danneggiati

• HONEJPOT: è un sistema usato come trappola a fini di protezione contro gli attacchi dei pirati informatici

• INTRUSION DETECTION SYSTEM(IDS): è un dispositivo usato per identificare accessi non autorizzati ai computer

• NETWORK INTRUSION DETECTION SYSTEM(NIDS): sono strumenti informatici dediti ad analizzare uno o più segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche

• STEGANOGRAFIA: questa si pone come obiettivo di mantenere nascosta l’esistenza di dati a chi non conosce la chiave atta ad estrarli

• SISTEMA DI AUTENTICAZIONE: potrebbe rivelarsi utili,in particolare per le aziende, l’utilizzo di un software per l’autenticazione sicura con un secondo elemento di autenticazione basato su un insieme di caratteri disposti in uno schema suddiviso in file e colonne conosciute dall’utente che dovrà poi inserirle in una combinazione di valori per dimostrare di essere in possesso dei dati corretti.

FINE

Un virus informatico è simile ad un virus biologico: si tratta di un piccolo programma, che contiene una sequenza di istruzioni di cui alcune sono deputate alla replicazione dell'intero programma.
Dopo la fase "riproduttiva", i virus informatici iniziano a svolgere attività di varia natura: distruttive e/o di ostruzionismo.
I virus informatici, come quelli biologici, sono pericolosi per la tendenza che hanno a dare delle epidemie.
Si diffondono tramite il trasferimento di files infetti da un computer ad un altro e, cosa ancor più grave, possono attaccare computers collegati fra loro in rete.

Mentre i virus della prima generazione attaccavano soltanto i file eseguibili (che nel sistema operativo DOS sono riconoscibili in quanto hanno un estensione .COM o .EXE), i virus attuali sono in grado di inquinare molti altri tipi di files e sono anche in grado di cambiare le istruzioni del BIOS caricate in RAM, di diffondersi attraverso gli stessi supporti fisici contenuti nel PC e di danneggiare fisicamente, persino l'hardware.

I virus informatici della prima generazione erano in grado di diffondersi, autoreplicandosi per mezzo degli stessi programmi che essi inquinavano. Tipicamente essi svolgevano due funzioni:

1. inizialmente copiavano se stessi in programmi non infettati;
2. in seguito, dopo un prestabilito numero di esecuzioni, eseguivano le loro istruzioni specifiche che consistevano nella visualizzazione di messaggi, nella cancellazione o nella alterazione di files, fino alla cancellazione del contenuto dell'intero hard disk, nella peggiore delle ipotesi.

In questi virus, la sequenza di istruzioni che si attaccava al programma sano era sempre la stessa.
I programmi antivirus riuscirono a contrastare tale tipo di infezione definendo al loro interno delle "librerie" contenenti le stringhe (sequenze di caratteri) di riconoscimento per i diversi virus.
Tali stringhe si riferivano ad alcune sequenze di istruzioni caratteristiche dei vari virus che via via venivano scoperti.
In questo modo gli antivirus potevano neutralizzare l'infezione, ma era necessario il loro continuo aggiornamento allo scopo di ampliare il contenuto delle librerie.

Un sostanziale passo in avanti nello sviluppo dei virus fu rappresentato ai cosiddetti Virus TSR (Terminate and Stay Resident).
Si trattava di virus che, una volta eseguiti insieme ad un programma infetto, rimanevano residenti nella memoria labile (memoria RAM) del computer e infettavano in maniera non obbligatoria altri programmi, solo qualora essi avessero particolari caratteristiche.
La contromossa delle case produttrici fu di dotare tali programmi della capacità di "marcare" (vaccinare) i programmi sani in modo di poter riconoscere immediatamente un'eventuale variazione a loro carico.

Il successivo passo nell'escalation dei virus fu la creazione dei Virus della Boot Area, cioè del primo settore dell'Hard Disk o dei diskette che, semplificando, è è quella parte del disco che è deputata al mantenimento delle conoscenze riguardanti l'organizzazione logica del contenuto del disco stesso.
I nuovi antivirus dovettero quindi provvedere a controllare la presenza di virus anche in queste aree critiche dei dischi.

Tutto il sistema di riconoscimento dei virus a mezzo di stringhe è è venuto meno con la recente comparsa dei cosiddetti Virus Multipartiti o Mutanti, la cui peculiarità risiede nel fatto che possono cambiare fino a milioni di volte il loro codice eseguibile, cioè la sequenza di istruzioni contenuta nei virus stessi. In alcuni casi cambiano le istruzioni, ma il comportamento rimane lo stesso; in altri casi cambiano anche le azioni che il virus compie. A tale famiglia di virus possono essere assimilati anche i cosiddetti Virus Extra Traccia che collocano una parte del loro codice sulle tracce dei dischi che loro stessi creano.
In tutti questi casi, ovviamente, il riconoscimento per stringhe specifiche perde gran parte del suo significato.

Per contrastare tali tipi di virus sono stati creati degli antivirus che effettuano ricerche euristiche, o che effettuano un controllo runtime.
La ricerca euristica si basa sul seguente assunto: ogni virus, quando entra in funzione, usa delle specifiche sequenze di istruzioni per:

1. Nascondersi
2. Assumere il controllo del PC
3. Modificare i programmi eseguibili ecc...

Avendo a disposizione una libreria delle funzioni impiegate dai vari virus si può pensare di intercettare anche virus sconosciuti purchè per attivarsi utilizzino tali funzioni.

Il problema che si pone in questo caso è che i virus possono impiegare delle routine di funzionamento perfettamente legali, utilizzate anche dai normali progammi.
Conseguentemente si rischia di creare degli antivirus "troppo sensibili" che riconoscono come virus anche dei programmi normali, o degli antivirus "troppo poco sensibili" che consentono ad alcuni virus di agire indisturbati.

Una ulteriore e fondamentale questione è relativa al fatto che chi, per primo, fra virus ed antivirus, riesce a prendere il controllo del PC, ha ovviamente le maggior possiblita' di risultare vincitore.

Lo stesso tipo di problema si pone con i cosiddetti sistemi di rilevamento runtime (trappole intelligenti) che agiscono con diverse modalità ma che, in definitiva, hanno anch'essi efficacia solo qualora prendano il controllo del PC prima dei virus.

Ad aggravare la situazione sono comparsi due altri tipi di virus:

1. Virus dell'I/O<
2. Virus delle directory

In questi casi il livello di azione del virus è estremamente sofisticato in quanto essi riescono ad assumere il controllo del PC indipendentemente dal sistema operativo impiegato intervenendo a livello del BIOS.

Da non molto tempo sono infine comparsi dei nuovi tipi di virus, i cosiddetti Virus delle Macro che si appiccicano a files documento generati per esempio con Microsoft Word per Windows, Microsoft Excel ecc...

Bisogna prestare particolare attenzione a questi virus in quanto essi si possono facilmente trasmettere mediante lo scambio di files di tipo "documento" (es. posta elettronica), anche fra sistemi operativi diversi (MacOS e DOS/Windows, magari passando per Unix).

Questi virus si pongono in memoria quando viene caricato il documento infetto che li contiene e quando vengono compiute determinate operazioni (salvataggio automatico, ricerca e sostituzione di parti di testo ecc...) essi prendono il controllo del programma in questione, in barba ad eventuali antivirus che non possono/debbono interferire con le normali attività del programma. Così può capitare che al momento del salvataggio finale, sparisca dal disco fisso un'intera directory per effetto di un ordine di cancellazione (perfettamente lecito dal punto di vista funzionale) impartito dal virus stesso. Ovviamente il documento infetto trasmetterà l'infezione a qualunque altro documento dello stesso tipo aperto durante la medesima sessione di lavoro e questo, a sua volta, se aperto in un altro PC trasmetterà a sua volta l'infezione ad altri documenti presenti in un altro PC.

I virus delle macro possono manifestarsi con una molteplicità di problemi quali:

1. Possibilità di salvare il documento solo in formato .txt
2. Cancellazione di icone
3. Occupazione eccessiva di memoria fino al blocco totale del sistema
4. Cancellazione di intere directory di files dati ecc...

Contro questi virus sono attivi solo gli antivirus più recenti.

Tutte le considerazioni fatte fin qui e la continua evoluzione dei virus consente di affermare che:

1. Non esiste un antivirus migliore degli altri
2. I migliori antivirus in circolazione, in media, mancano il bersaglio nei confronti del 10-12% dei virus presenti nel territorio in un certo momento
3. Non e' dotandosi di 5-6 antivirus che si risolve il problema della prevenzione e/o della disinfestazione.

In conclusione molto dipende dall'uso che un utente fa del proprio PC e in funzione di ciò vanno prese opportune misure.

Esiste una serie di misure di prevenzione che comunque conviene adottare e che rendono più difficili le infezioni o più facile il ripristino della situazione.