Now you can learn !!
This commit is contained in:
@@ -1,162 +1,9 @@
|
||||
# La Sicurezza di un sistema informatico
|
||||
|
||||
## 1. Introduzione alla Cybersecurity
|
||||
|
||||
La **sicurezza informatica (cybersecurity)** è l'insieme di pratiche, tecnologie e processi utilizzati per proteggere reti, sistemi e programmi dagli attacchi digitali.
|
||||
|
||||
Nel modello **DIKW** (Data, Information, Knowledge, Wisdom), la sicurezza informatica si colloca al di sopra della semplice informatica (livello 3): non si limita a elaborare dati, ma utilizza la conoscenza per comprendere le informazioni, identificare i rischi, mitigare i danni e garantire la continuità operativa.
|
||||
|
||||
> **Nota sui personaggi convenzionali:** In crittografia e sicurezza si usano nomi standard per gli esempi: **Alice e Bob** (comunicanti legittimi), **Cindy/Trudy** (intrusi attivi che alterano i messaggi), ed **Eve** (eavesdropper, spia che si limita ad ascoltare).
|
||||
|
||||
### I fondamenti: Il modello CIA
|
||||
La sicurezza delle informazioni si basa su tre obiettivi principali, noti come **Triangolo CIA (o RID in italiano)**. Comprometterne anche solo uno causa un incidente informatico:
|
||||
* **C - Confidentiality (Riservatezza):** Garantisce che le informazioni non siano accessibili a persone non autorizzate.
|
||||
* **I - Integrity (Integrità):** Garantisce che le informazioni non vengano modificate in modo non autorizzato (tramite crittografia, controlli, backup).
|
||||
* **A - Availability (Disponibilità):** Garantisce che i dati e i servizi siano sempre disponibili quando richiesti (es. tramite ridondanza).
|
||||
|
||||
---
|
||||
|
||||
## 2. Il lato oscuro: Minacce e Attacchi
|
||||
|
||||
Un **attacco informatico** è un atto volontario che sfrutta una minaccia per compromettere un sistema.
|
||||
Una **minaccia (threat)** è un evento esterno che tende a violare un obiettivo di sicurezza.
|
||||
|
||||
Le minacce si dividono principalmente in:
|
||||
1. **Malware:** Software malevoli (virus, worm, trojan, ransomware, spyware, ecc.).
|
||||
2. **Social Engineering (Ingegneria Sociale):** Manipolazione psicologica delle persone per spingerle a rivelare informazioni riservate (es. *Phishing*).
|
||||
|
||||
### Tipologie di Attacchi Specifici
|
||||
|
||||
* **APT (Advanced Persistent Threats):** Tecniche di hacking mirate e sofisticate, usate per sabotaggio o spionaggio a lungo termine. Prevedono fasi precise: identificazione, intrusione, creazione di backdoor, escalation dei privilegi ed esfiltrazione dei dati.
|
||||
|
||||
**Attacchi ai protocolli TCP/IP:**
|
||||
* **SYN Flood:** Sovraccarica il server di richieste (senza completare l'handshake) fino a farlo collassare.
|
||||
* **Spoofing IP:** Falsifica l'indirizzo IP per far credere che il traffico provenga da una fonte fidata.
|
||||
* **Man in the Middle (MitM):** L'hacker si interpone segretamente in una comunicazione tra due parti per intercettare o alterare i dati.
|
||||
* **Teardrop:** Invio di frammenti di pacchetti IP corrotti che il sistema non riesce a riassemblare, mandandolo in tilt.
|
||||
* **Botnet e DDoS:** Una rete di dispositivi infetti (botnet) controllati all'insaputa dei proprietari, usati per lanciare attacchi **DDoS (Distributed Denial of Service)**, mirati a disattivare un servizio sovraccaricandolo di richieste.
|
||||
|
||||
---
|
||||
|
||||
## 3. Vulnerabilità e Incidenti
|
||||
|
||||
Un **incidente di sicurezza** è un evento che mette a rischio l'integrità, la riservatezza o la disponibilità dei dati. Affinché si verifichi, devono esistere debolezza e vulnerabilità.
|
||||
|
||||
* **Debolezza (Weakness):** Un difetto interno al sistema (errore di programmazione, hardware difettoso). È intrinseca e non dipende dall'uso.
|
||||
* **Exploit:** Il codice o la tecnica usata per sfruttare una debolezza.
|
||||
* **Vulnerabilità:** È la debolezza specifica che *può* essere effettivamente sfruttata da un exploit per compromettere il sistema. *(Vulnerabilità = Debolezza + Minaccia in grado di sfruttarla).*
|
||||
|
||||
### Classificazione delle vulnerabilità
|
||||
* **Intrinseche:** Legate alla natura aperta delle reti (porte fisiche, protocolli Internet nativamente insicuri, invecchiamento dei software, vulnerabilità sconosciute note come *zero-day*).
|
||||
* **Tecnologiche:** Difetti hardware, software e di protocollo.
|
||||
* **Umane:** L'anello debole è spesso l'utente (chiamato ironicamente *Layer 8* del modello OSI), che agisce d'impulso cliccando su link dubbi.
|
||||
|
||||
### Classificazione standard: CWE e CVE
|
||||
La MITRE Corporation gestisce database fondamentali per catalogare questi problemi:
|
||||
* **CWE (Common Weakness Enumeration):** Un dizionario delle *debolezze* software/hardware (es. Buffer Overflow). Serve agli sviluppatori per non ripetere errori noti.
|
||||
* **CVE (Common Vulnerabilities and Exposures):** Un catalogo delle *vulnerabilità* specifiche già identificate, a cui viene assegnato un ID unico. Ad ogni CVE è associato un punteggio di gravità da 0 a 10 chiamato **CVSS (Common Vulnerability Scoring System)**.
|
||||
|
||||
---
|
||||
|
||||
## 4. Il Malware
|
||||
|
||||
Il termine deriva da *malicious software*. È un codice malevolo progettato per penetrare illecitamente in un sistema per rubare, alterare dati, spiare o assumere il controllo del dispositivo. Spesso l'infezione richiede l'inconsapevole complicità dell'utente (social engineering).
|
||||
|
||||
**Struttura di un malware:**
|
||||
In generale, un malware è composto da due parti funzionali (assimilabili a un missile):
|
||||
1. **Vettore (Carrier):** Il mezzo attraverso cui il malware si diffonde (un file allegato, un link, una chiavetta USB) e che serve a superare le difese del sistema sfruttando una vulnerabilità.
|
||||
2. **Carico utile (Payload):** Le istruzioni specifiche (la "testata esplosiva") che il malware esegue una volta dentro il sistema bersaglio (es. cifrare i file, rubare password, attivare la fotocamera).
|
||||
|
||||
### Tabella riassuntiva: Principali Tipologie di Malware
|
||||
* **Virus:** Frammento di codice che si inserisce in altri programmi (host). Ha bisogno dell'intervento umano (es. apertura di un file) per attivarsi e diffondersi.
|
||||
* **Worm:** Programma autonomo in grado di autoreplicarsi e diffondersi rapidamente sfruttando le reti e le vulnerabilità dei sistemi, senza bisogno dell'azione umana.
|
||||
* **Trojan (Cavallo di Troia):** Software apparentemente utile e innocuo che nasconde al suo interno funzionalità malevole. Spesso installa backdoor.
|
||||
* **Backdoor (Porta di servizio):** Metodo che consente di scavalcare le procedure di sicurezza standard per accedere illecitamente a un sistema.
|
||||
* **Ransomware:** Malware che cifra i dati della vittima, rendendoli inaccessibili, per poi richiedere il pagamento di un riscatto (ransom) per fornire la chiave di decifratura.
|
||||
* **Spyware:** Software progettato per spiare le attività dell'utente e raccogliere informazioni (password, dati bancari, abitudini) senza il suo consenso.
|
||||
* **Rootkit:** Insieme di software che permette di ottenere privilegi di amministratore (root) su un sistema, nascondendo la propria presenza e quella di altri malware.
|
||||
* **Adware:** Programma che mostra pubblicità indesiderata o pop-up in modo invasivo.
|
||||
|
||||
---
|
||||
|
||||
## 4. Politiche e Strategie di Sicurezza
|
||||
|
||||
* **Difesa in profondità (Defense in Depth):** Approccio basato su livelli multipli di sicurezza (come gli strati di una cipolla). Se un attaccante supera una barriera, ne troverà subito un'altra.
|
||||
* **Zero Trust (Fiducia Zero):** Modello di sicurezza basato sul principio "mai fidarsi, verificare sempre". Non viene concessa fiducia predefinita a nessun utente o dispositivo, anche se si trova all'interno della rete aziendale.
|
||||
|
||||
### Sicurezza Offensiva e Difensiva
|
||||
La sicurezza si avvale di team specializzati che simulano attacchi per migliorare le difese:
|
||||
* **Red Team:** Simula i criminali informatici effettuando attacchi mirati (Penetration Test) per scovare le vulnerabilità.
|
||||
* **Blue Team:** È il team di difesa interno. Monitora l'infrastruttura, rileva le intrusioni e risponde agli attacchi.
|
||||
* **Purple Team:** Coordina Red e Blue team per massimizzare l'apprendimento e migliorare l'efficacia complessiva della sicurezza.
|
||||
|
||||
---
|
||||
|
||||
## 5. Elementi di Crittografia
|
||||
|
||||
La **crittologia** è la scienza che studia le scritture segrete e si divide in:
|
||||
1. **Crittografia:** Studio degli algoritmi per offuscare (cifrare) le informazioni.
|
||||
2. **Crittoanalisi:** Tecniche usate per violare i sistemi crittografici.
|
||||
|
||||
*I concetti base:* Il **Testo in chiaro** (leggibile) viene trasformato in **Testo cifrato** tramite un **Algoritmo di cifratura** e una **Chiave** (una stringa di bit).
|
||||
> **Principio di Kerckhoffs:** La sicurezza di un sistema crittografico non deve dipendere dalla segretezza dell'algoritmo (che deve poter essere pubblico), ma esclusivamente dalla segretezza della chiave.
|
||||
|
||||
### Tipi di Crittografia
|
||||
* **Crittografia Simmetrica (a chiave segreta):** Mittente e destinatario usano la *stessa chiave* sia per cifrare che per decifrare.
|
||||
* *Pro:* Molto veloce.
|
||||
* *Contro:* Il problema dello scambio sicuro della chiave (come farla avere al destinatario senza che venga intercettata).
|
||||
* *Esempi:* DES, AES.
|
||||
* **Crittografia Asimmetrica (a chiave pubblica):** Ogni utente possiede una *coppia di chiavi*:
|
||||
1. **Chiave Pubblica:** Conosciuta da tutti, usata per cifrare i messaggi rivolti al proprietario.
|
||||
2. **Chiave Privata:** Segreta e nota solo al proprietario, usata per decifrare.
|
||||
* *Pro:* Risolve il problema dello scambio delle chiavi.
|
||||
* *Contro:* Molto lenta, richiede molta potenza di calcolo.
|
||||
* *Esempi:* RSA, Curve Ellittiche.
|
||||
|
||||
### Integrità e Firma Digitale
|
||||
* **Funzioni Hash:** Algoritmi matematici che prendono in input un file e restituiscono una stringa di lunghezza fissa chiamata *digest* (l'impronta digitale del file). È un processo unidirezionale (non si può tornare al file originale) e serve a garantire l'integrità dei dati.
|
||||
* **Firma Digitale:** Garantisce *Autenticità, Integrità e Non Ripudio*. Si ottiene cifrando l'hash del messaggio con la **chiave privata** del mittente. Il destinatario userà la **chiave pubblica** del mittente per decifrare l'hash e verificarlo.
|
||||
* **Certificati Digitali:** Documenti elettronici rilasciati da una **CA (Certification Authority)** che garantiscono l'identità del proprietario di una chiave pubblica.
|
||||
|
||||
---
|
||||
|
||||
## 6. Autenticazione e Controllo degli Accessi
|
||||
|
||||
* **Identificazione:** Dichiarare chi si è (es. inserire l'username).
|
||||
* **Autenticazione:** Dimostrare chi si è (es. inserire la password).
|
||||
* **Autorizzazione:** Stabilire a quali risorse l'utente autenticato ha diritto di accedere.
|
||||
|
||||
### Fattori di Autenticazione
|
||||
L'autenticazione si basa su tre paradigmi:
|
||||
1. **Something you know** (Qualcosa che sai): Password, PIN.
|
||||
2. **Something you have** (Qualcosa che hai): Token hardware, Smartcard, Smartphone.
|
||||
3. **Something you are** (Qualcosa che sei): Biometria (impronta digitale, riconoscimento facciale).
|
||||
|
||||
* **MFA (Multi-Factor Authentication):** L'utilizzo combinato di due o più di questi fattori per aumentare drasticamente il livello di sicurezza.
|
||||
|
||||
---
|
||||
|
||||
## 7. Strumenti di Difesa delle Reti
|
||||
|
||||
* **Firewall:** Dispositivo hardware o software che filtra il traffico di rete in entrata e in uscita, agendo come un "muro tagliafuoco" tra una rete interna sicura e una rete esterna (Internet) in base a regole predefinite. Tipi principali: *Packet filtering*, *Stateful inspection*, *Application gateway (Proxy)*.
|
||||
* **DMZ (Demilitarized Zone):** Sottorete isolata posta tra Internet e la rete locale (LAN). Contiene i server pubblici dell'azienda (es. server web) in modo che, se compromessi, gli attaccanti non abbiano accesso diretto alla rete aziendale interna.
|
||||
* **IDS e IPS:**
|
||||
* **IDS (Intrusion Detection System):** Monitora il traffico di rete e "lancia l'allarme" se rileva anomalie o firme di attacchi noti.
|
||||
* **IPS (Intrusion Prevention System):** Simile all'IDS, ma blocca attivamente il traffico malevolo.
|
||||
* **VPN (Virtual Private Network):** Crea un "tunnel" cifrato e sicuro attraverso una rete pubblica (come Internet), permettendo di comunicare o accedere alla rete aziendale in totale sicurezza.
|
||||
* **Honeypot:** Sistema informatico configurato intenzionalmente con vulnerabilità per attirare gli hacker, allo scopo di studiarne i comportamenti e le tecniche.
|
||||
|
||||
---
|
||||
|
||||
## 8. Backup e Continuità Operativa
|
||||
|
||||
Il **Backup** è la creazione di copie di sicurezza dei dati per poterli recuperare in caso di perdita.
|
||||
* **Backup Completo (Full):** Copia l'intero set di dati. Tempi lunghi, spazio elevato.
|
||||
* **Backup Incrementale:** Copia solo i dati che sono stati modificati dall'ultimo backup (di qualsiasi tipo). Molto veloce da eseguire, ma lento in fase di ripristino.
|
||||
* **Backup Differenziale:** Copia i dati modificati rispetto all'ultimo backup *completo*. È una via di mezzo per tempi e spazio.
|
||||
|
||||
> **La regola del 3-2-1:** Avere almeno **3** copie dei dati, archiviate su **2** supporti di memorizzazione differenti, di cui almeno **1** copia conservata off-site (in un luogo fisico diverso o in Cloud).
|
||||
|
||||
### Metriche per il ripristino
|
||||
* **RPO (Recovery Point Objective):** La quantità massima di dati (in termini di tempo) che l'azienda può permettersi di perdere in caso di disastro (indica la frequenza con cui fare i backup).
|
||||
* **RTO (Recovery Time Objective):** Il tempo massimo tollerato per ripristinare i sistemi ed essere nuovamente operativi.
|
||||
@@ -164,48 +11,3 @@ Il **Backup** è la creazione di copie di sicurezza dei dati per poterli recuper
|
||||
### Pianificazione delle emergenze
|
||||
* **DRP (Disaster Recovery Plan):** Documento tecnico che definisce le procedure passo-passo per ripristinare l'infrastruttura IT e i dati dopo un evento catastrofico.
|
||||
* **BCP (Business Continuity Plan):** Piano strategico più ampio che definisce come l'intera organizzazione continuerà a erogare i propri servizi e mantenere la propria operatività durante e dopo una crisi.
|
||||
|
||||
## 9. Sicurezza dei Protocolli di Rete
|
||||
|
||||
Per garantire la sicurezza delle comunicazioni su Internet, sono stati sviluppati protocolli crittografici specifici per i diversi livelli della pila di rete (ISO/OSI o TCP/IP).
|
||||
|
||||
### Sicurezza a Livello di Rete: IPsec
|
||||
**IPsec (Internet Protocol Security)** è una suite di protocolli che protegge il traffico IP a livello di rete, garantendo autenticazione, integrità e riservatezza. È ampiamente utilizzato per creare connessioni VPN.
|
||||
* **Modalità operative:**
|
||||
* **Transport Mode (Modalità Trasporto):** Viene cifrato *solo* il carico utile (payload) del pacchetto IP. L'intestazione (header) originale rimane in chiaro. È usato per comunicazioni end-to-end (es. da un PC a un Server).
|
||||
* **Tunnel Mode (Modalità Tunnel):** Viene cifrato *l'intero* pacchetto IP originale (sia header che payload) e viene incapsulato in un nuovo pacchetto con un nuovo header esterno. È ideale per le VPN Site-to-Site (es. tra i router di due sedi aziendali).
|
||||
* **Protocolli principali:**
|
||||
* **AH (Authentication Header):** Garantisce l'integrità dei dati e l'autenticazione del mittente, ma *non* cifra il contenuto (nessuna riservatezza).
|
||||
* **ESP (Encapsulating Security Payload):** Offre cifratura (riservatezza), oltre all'integrità e all'autenticazione. È il protocollo più completo e utilizzato.
|
||||
|
||||
### Sicurezza a Livello di Trasporto: SSL/TLS
|
||||
**SSL (Secure Sockets Layer)** e il suo standard evolutivo **TLS (Transport Layer Security)** forniscono comunicazioni sicure posizionandosi tra il livello di trasporto (TCP) e quello applicativo.
|
||||
Il funzionamento si divide in due fasi:
|
||||
1. **Handshake Protocol:** Fase iniziale in cui client e server si autenticano (di solito il server tramite un Certificato Digitale), negoziano gli algoritmi crittografici supportati e generano le chiavi di sessione.
|
||||
2. **Record Protocol:** Fase in cui i dati dell'applicazione vengono frammentati, compressi, cifrati (con crittografia simmetrica, più veloce) e trasmessi in modo sicuro.
|
||||
|
||||
> **Nota:** L'applicazione più nota di TLS è l'**HTTPS**, che protegge la navigazione web cifrando il normale traffico HTTP.
|
||||
|
||||
---
|
||||
|
||||
## 10. La Sicurezza delle Reti Wireless (WLAN)
|
||||
|
||||
Le reti Wi-Fi (standard IEEE 802.11) sono intrinsecamente più vulnerabili delle reti cablate poiché il mezzo trasmissivo (l'etere) è accessibile a chiunque si trovi nel raggio di copertura radio. L'uso di protocolli di cifratura è quindi obbligatorio.
|
||||
|
||||
### Evoluzione degli standard Wi-Fi:
|
||||
* **WEP (Wired Equivalent Privacy):** Il primo standard introdotto. Utilizza l'algoritmo di cifratura simmetrica RC4.
|
||||
* *Vulnerabilità:* Oggi è completamente obsoleto e insicuro. L'uso di una chiave statica (sempre uguale) e di un Vettore di Inizializzazione (IV) troppo breve permette a un attaccante di "craccare" la rete in pochi minuti analizzando il traffico.
|
||||
* **WPA (Wi-Fi Protected Access):** Creato come soluzione rapida per sostituire il WEP senza dover cambiare l'hardware dei router esistenti.
|
||||
* *Innovazione:* Introduce il protocollo **TKIP (Temporal Key Integrity Protocol)**, che cambia dinamicamente la chiave di cifratura per ogni pacchetto, risolvendo il problema principale del WEP.
|
||||
* **WPA2 (Standard 802.11i):** Lo standard globale per molti anni.
|
||||
* *Innovazione:* Abbandona RC4 e TKIP in favore del robusto algoritmo **AES** combinato con il protocollo **CCMP**. Risulta molto sicuro, sebbene rimanga vulnerabile ad attacchi di forza bruta offline (es. *dictionary attack*) se la password della rete è debole.
|
||||
* **WPA3:** L'ultimo e più moderno standard.
|
||||
* *Innovazioni:* Sostituisce la vecchia negoziazione delle chiavi con il protocollo **SAE (Simultaneous Authentication of Equals)**, rendendo l'handshake immune agli attacchi a dizionario offline. Introduce inoltre **OWE (Opportunistic Wireless Encryption)** per cifrare automaticamente il traffico anche sulle reti pubbliche aperte (quelle senza password di accesso).
|
||||
|
||||
---
|
||||
|
||||
## 11. Sicurezza a Livello Applicativo
|
||||
|
||||
Alcuni protocolli garantiscono la sicurezza e la riservatezza direttamente per specifiche applicazioni:
|
||||
* **PGP (Pretty Good Privacy) e S/MIME:** Standard crittografici utilizzati per firmare digitalmente e cifrare i messaggi di posta elettronica (e-mail). Garantiscono l'identità del mittente e impediscono l'intercettazione del testo da parte di server o soggetti terzi.
|
||||
* **SSH (Secure Shell):** Protocollo di rete crittografico utilizzato per accedere a distanza e amministrare sistemi informatici (es. riga di comando di un server Linux) in totale sicurezza. Ha sostituito i vecchi protocolli non cifrati come Telnet.
|
||||
Reference in New Issue
Block a user