|
Wiki
UniCrema
Materie per semestre
Materie per anno
Materie per laurea
Help
|
|
Uni.ESP27febbraio2008 History
Hide minor edits - Show changes to output
Changed lines 14-16 from:
L''''integrity''' si rifà alle operazioni di scrittura: solo l'autorizzato può scrivere, gli altri no.
Infine, l''availability''' si riferisce al fatto che, sia in lettura che scrittura, le info devono essere reperibili quando servono. to:
L''''integrity''' si rifà alle operazioni di scrittura: solo l'autorizzato può scrivere, gli altri no. Ha due aspetti concorrenti:
* ''correttezza'', mi aspetto che un utente autorizzato esegua le operazioni in modo corretto
* ''fiducia'', quella riposta negli utenti autorizzati
Infine, l''''availability''' si riferisce al fatto che, sia in lettura che scrittura, le info devono essere sempre reperibili quando servono.
Changed lines 23-24 from:
Una debolezza del mio sistema che può permettere violazioni alla sicurezza, in una qualsiasi delle 3 proprietà viste qui sopra. Può essere di qualsiasi tipo, eg password stupide oppure una fonte di corrente inadeguata che ad un certo punto salta. to:
Una debolezza del mio sistema che può permettere violazioni alla sicurezza, in una qualsiasi delle 3 proprietà viste qui sopra. Può essere di qualsiasi tipo, eg password stupide (debolezza logica) oppure una fonte di corrente inadeguata che ad un certo punto salta (debolezza fisica). Rappresentano i punti critici del sistema informatico. Changed lines 33-35 from:
Non esiste un sistema completamente sicuro, ovvero per cui le difese siano perfette. Inoltre, applicare difese ha un certo costo: personale addestrato, software che gira in continuazione e che rallenta il sistema, l'obbligo di seguire certe lunghe procedure per proteggere i dati (perdita di flessibilità). Ma non applicare difese costa molto più caro.
Occorre quindi trovare una situazione di equilibrio, in cui la spesa per la difesa è commisurata a ciò che devo difendere. to:
Non esiste un sistema completamente sicuro, ovvero per cui le difese siano perfette. Inoltre, applicare difese ha un certo costo: personale addestrato, software che gira in continuazione e che rallenta il sistema, l'obbligo di seguire certe lunghe procedure per proteggere i dati (perdita di flessibilità). Ma non applicare difese costa molto più caro. Occorre quindi trovare una situazione di equilibrio, in cui la spesa per la difesa è commisurata a ciò che devo difendere. Changed line 37 from:
* logico, eg programmi che non crashano etc. to:
* logico, eg programmi che non crashano, sistemi di autenticazione, crittografia, etc. Changed lines 49-50 from:
I crimini possono essere non dolosi o dolosi. Però qui vorrei tanto sapere: se un crimine non è doloso, come fa ad avere come obiettivo la violazione della sicurezza? Mah... to:
I crimini possono essere non dolosi (compiuti senza esplicita volontà) o dolosi (viceversa). Però qui vorrei tanto sapere: se un crimine non è doloso, come fa ad avere come obiettivo la violazione della sicurezza? Mah... Changed lines 52-53 from:
Un'azione compiuta da utenti legittimi (traditori...) o anche illegittimi, volta a danneggiare fisicamente o logicamente un sistema. C'è anche il sabotaggio psicologico, anche se non ho idea di come applicarlo!:) to:
Un'azione compiuta da utenti legittimi (traditori...) o anche illegittimi, volta a danneggiare fisicamente o logicamente un sistema. C'è anche il sabotaggio psicologico, che ha come obiettivo l'utente finale del sistema, anche se non ho idea di come applicarlo!:) Changed lines 57-58 from:
Un accesso non autorizzato, sia fisico che logico to:
Un accesso non autorizzato, sia fisico che logico. Changed lines 60-61 from:
Un attacco all'integrità dei miei dati to:
Un attacco all'integrità dei miei dati (in particolare, alla correttezza). Changed lines 66-67 from:
Riguarda i messaggi inviati su canali di comunicazione.
to:
Fa riferimento a tutte quelle tematiche he coinvolgono la trasmissione di informazioni su un canale di comunicazione non sicuro
Changed lines 1-2 from:
(:title ESP: Lezione del 8 Ventoso dell'anno 216 della Rivoluzione Francese:)
%titolo%'''Lezione di ESP del 8 Ventoso 216''' to:
(:title ESP: Lezione del 9 Ventoso dell'anno 216 della Rivoluzione Francese:)
%titolo%'''Lezione di ESP del 9 Ventoso 216''' Changed lines 18-73 from:
to:
!!!Vulnerabilità
Una debolezza del mio sistema che può permettere violazioni alla sicurezza, in una qualsiasi delle 3 proprietà viste qui sopra. Può essere di qualsiasi tipo, eg password stupide oppure una fonte di corrente inadeguata che ad un certo punto salta.
!!!Minaccia
Tutti gli eventi che hanno come effetto una violazione della sicurezza, sia voluti che casuali. Eg. le persone jellate sono una minaccia involontaria.
!!!Difese, o Contromisure
Tutto le misure che si possono prendere per
# ridurre il numero di vulnerabilità
# ridurre gli effetti delle vulnerabilità
Non esiste un sistema completamente sicuro, ovvero per cui le difese siano perfette. Inoltre, applicare difese ha un certo costo: personale addestrato, software che gira in continuazione e che rallenta il sistema, l'obbligo di seguire certe lunghe procedure per proteggere i dati (perdita di flessibilità). Ma non applicare difese costa molto più caro.
Occorre quindi trovare una situazione di equilibrio, in cui la spesa per la difesa è commisurata a ciò che devo difendere.
Le misure di sicurezza si possono applicare a diversi livelli:
* fisico, eg porte blindate o sistema antincendio
* logico, eg programmi che non crashano etc.
* organizzativo, eg l'obbligo per gli impiegati di usare password di 10 caratteri
In questo corso non guarderemo alle misure di sicurezza fisica, né a quelle organizzative, bensì a quelle inerenti il piano logico.
!!!Pianificazione della sicurezza
In modo naïve, prima si tira in piedi un sistema, poi si pensa a renderlo sicuro. Eh no: si rischia di dover canmbiare su tutto. Quindi, occorre progettare la sicurezza di un sistema assieme al sistema stesso, così che sia ben integrato.
!!!Crimini informatici
Qualsiasi atto che viene eseguito nel sistema avente come ''obiettivo'' la violazione della sicurezza. È un crimine eg passare una calamita sul disco fisso, oppure rubare la password.
Noi ci occuperemo di crimini relativi ai dati, ovvero l'alterazione, cancellazione o ghigliottinamento dei dati.
I crimini possono essere non dolosi o dolosi. Però qui vorrei tanto sapere: se un crimine non è doloso, come fa ad avere come obiettivo la violazione della sicurezza? Mah...
!!!Sabotaggio
Un'azione compiuta da utenti legittimi (traditori...) o anche illegittimi, volta a danneggiare fisicamente o logicamente un sistema. C'è anche il sabotaggio psicologico, anche se non ho idea di come applicarlo!:)
Se danneggio un sistema, ghigliottino principalmente la proprietà dell'availability.
!!!Intrusione
Un accesso non autorizzato, sia fisico che logico
!!!Falsificazione dei dati
Un attacco all'integrità dei miei dati
!!!Aggiramento
Esecuzione illegittima di programmi che alterano i dati o le loro autorizzazioni. Viola tutte e tre le proprietà della sicurezza.
!!!Intercettazione
Riguarda i messaggi inviati su canali di comunicazione.
* Attiva: tampering, modificare l'info trasmessa sul canale di comunicazione e reinserirla in rete
* Passiva: registrare le info
!!!Codice Malizioso
'''Malware''' = Malicious Software Un software che sfrutta debolezze varie del sistema per aggirare le protezioni.
* Bomba logica: un programma che si esegue quando una certa condizione si verifica (eg il 14 luglio, anniversario della Rivoluzione Francese).
* Cavallo di Troia: un programma, inserito all'interno di un altro programma, che viene involontariamente attivato dall'utente quando attiva il secondo programma. Sopra la campa la capra campa sotto la panca la capra crepa.
Added lines 1-22:
(:title ESP: Lezione del 8 Ventoso dell'anno 216 della Rivoluzione Francese:)
%titolo%'''Lezione di ESP del 8 Ventoso 216'''
%titolo%'''Lezione di ESP del 27 febbraio 2008'''
[[Torna alla pagina di ESP -> ElementiSicurezzaPrivatezza]]
!!Introduzione
Parliamo di '''Sicurezza'''. Ci sono tre aspetti diversi che fanno capo alla parola sicurezza:
# confidentiality = mantenere le info segrete
# integrity = mantenere le info non corrotte
# availability = rendere le info disponibili
La '''confidentiality''' quindi si applica alle operazioni di '''lettura''': solo chi è autorizzato può leggere, gli altri no.
L''''integrity''' si rifà alle operazioni di scrittura: solo l'autorizzato può scrivere, gli altri no.
Infine, l''''availability''' si riferisce al fatto che, sia in lettura che scrittura, le info devono essere reperibili quando servono.
!!Terminologia
[[Torna alla pagina di ESP -> ElementiSicurezzaPrivatezza]]
----
[[!UniCrema]]
|
|
