Metodi e tecniche per la tutela e la protezione dei dati personali
1. Metodi e tecniche
per la tutela e la protezione
dei dati personali
Alberto Russo - Consulenza Informatica
alberto@wewantweb.it
www.WeWantWeb.it
2. Di cosa parleremo....
Sicurezza sul Lavoro
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 2
3. Di cosa parleremo....
Sicurezza Informatica
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 3
4. Di cosa parleremo....
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 4
5. Di cosa parleremo....
Protezione dei Dati nel PC
●
Scelta della password
●
Protezione delle reti Wi-Fi
●
Protezione dei file personali sul disco
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 5
6. Di cosa parleremo....
Protezione dei Dati nel PC
●
Scelta della password
●
Protezione delle reti Wi-Fi
●
Protezione dei file personali sul disco
Protezione durante la navigazione
●
Minacce informatiche
●
Phishing e truffe telematiche
●
La navigazione sicura con HTTPS
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 6
7. Di cosa parleremo....
Protezione dei Dati nel PC
●
Scelta della password
●
Protezione delle reti Wi-Fi
●
Protezione dei file personali sul disco
Protezione durante la navigazione
●
Minacce informatiche
●
Phishing e truffe telematiche
●
La navigazione sicura con HTTPS
Protezione delle comunicazioni
●
Comunicazione sincrona: Chat
●
Comunicazione asincrona: Email
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 7
8. Di cosa parleremo....
Glossario
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 8
9. Glossario
Cifratura e Crittografia
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 9
10. Glossario
Cifratura e Crittografia
Cosa è la Crittografia
●
La parola crittografia deriva dall'unione di due parole greche: κρυπτóς
(kryptós) che significa "nascosto", e γραφία (graphía) che significa
"scrittura" .
●
Metodi per rendere un messaggio "offuscato" in modo da non essere
comprensibile a persone non autorizzate a leggerlo.
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 10
11. Glossario
Cifratura e Crittografia
Cosa è la Crittografia
●
La parola crittografia deriva dall'unione di due parole greche: κρυπτóς
(kryptós) che significa "nascosto", e γραφία (graphía) che significa
"scrittura" .
●
Metodi per rendere un messaggio "offuscato" in modo da non essere
comprensibile a persone non autorizzate a leggerlo.
La cifratura è l'applicazione di uno di questi metodi
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 11
12. Glossario
Cifratura e Crittografia
Cifratura simmetrica
●
Si utilizza la stessa chiave (password) sia per cifrare che per decifrare un
messaggio
Cifratura asimmetrica
●
Si utilizzano due chiavi una per cifrare e una per decifrare un messaggio
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 12
13. Glossario
Protocollo di comunicazione
●
Insieme di regole che permettono la comunicazione tra 2 o più entità
Wi-FI
●
Connettività Wireless (senza fili)
Client-Server
●
Tipo di comunicazione che tra un PC che richiede un servizio ed un PC
che che esegue la richiesta
Falla di sicurezza
●
Problema che può avere un qualunque sistema informatico
normalmente utilizzata per attacchi informatici
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 13
14. Protezione dei Dati nel PC
Scelta della password
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 14
15. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 15
16. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 16
17. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
●
Password di facile intuizione (es. 1234, 0000, password, ecc.)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 17
18. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
●
Password di facile intuizione (es. 1234, 0000, password, ecc.)
●
Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 18
19. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
●
Password di facile intuizione (es. 1234, 0000, password, ecc.)
●
Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
●
Utilizzo di sequenze numeriche
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 19
20. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
●
Password di facile intuizione (es. 1234, 0000, password, ecc.)
●
Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
●
Utilizzo di sequenze numeriche
●
Utilizzo di parole di senso compiuto
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 20
21. Protezione dei Dati nel PC
Scelta della password
Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
●
Password di facile intuizione (es. 1234, 0000, password, ecc.)
●
Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
●
Utilizzo di sequenze numeriche
●
Utilizzo di parole di senso compiuto
●
Ecc.
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 21
22. Protezione dei Dati nel PC
Scoprire una password
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 22
23. Protezione dei Dati nel PC
Scoprire una password
Attacco di forza bruta
●
Utilizza la ricerca esaustiva (metodo forza bruta)
●
Verifica tutte le password teoricamente possibili fino a che si trova
quella effettivamente corretta
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 23
24. Protezione dei Dati nel PC
Scoprire una password
Attacco di forza bruta
●
Utilizza la ricerca esaustiva (metodo forza bruta)
●
Verifica tutte le password teoricamente possibili fino a che si trova
quella effettivamente corretta
Attacco a dizionario
●
Verifica solo le password ritenute più probabili
●
Queste password sono solitamente contenute in una lista (detta
dizionario) o un file
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 24
25. Protezione dei Dati nel PC
Fidarsi della propria password
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 25
26. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 26
27. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 27
28. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 28
29. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 29
30. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 30
31. Protezione dei Dati nel PC
Fidarsi della propria password
Controllandola attraverso strumenti Web
●
Utilizza strumenti web per testare la propria password
●
Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 31
32. Protezione dei Dati nel PC
Protezione delle reti Wi-Fi
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 32
33. Protezione dei Dati nel PC
Protezione delle reti Wi-Fi
4 tipi di chiavi di sicurezza
●
Aperta (nessuna chiave di accesso)
●
WEP
●
WPA
●
WPA2
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 33
34. Protezione dei Dati nel PC
Protezione delle reti Wi-Fi
4 tipi di chiavi di sicurezza
●
Aperta (nessuna chiave di accesso)
●
WEP
●
WPA
●
WPA2
Scopo della chiave di protezione ???
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 34
35. Protezione dei Dati nel PC
Protezione delle reti Wi-Fi
4 tipi di chiavi di sicurezza
●
Aperta (nessuna chiave di accesso)
●
WEP
●
WPA
●
WPA2
Scopo della chiave di protezione
●
Evitare accessi indesiderati (conservazione della banda internet)
●
Cifratura delle comunicazioni tra il PC ed il router/modem/access-point
Wi-Fi
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 35
36. Protezione dei Dati nel PC
Scoprire la chiave di protezione del Wi-Fi
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 36
37. Protezione dei Dati nel PC
Scoprire la chiave di protezione del Wi-Fi
Chiave WEP
●
Si può scoprire facilmente (< 30 min) ChopChop e Fragmentation
attack
●
Vulnerabile anche se non vi sono utenti collegati
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 37
38. Protezione dei Dati nel PC
Scoprire la chiave di protezione del Wi-Fi
Chiave WEP
●
Si può scoprire facilmente (< 30 min) ChopChop e Fragmentation
attack
●
Vulnerabile anche se non vi sono utenti collegati
Chiave WPA
●
Anche questa è vulnerabile
●
Il tempo per scoprirla è proporzionale alla lunghezza e alla complessità
●
Ha bisogno che vi siano utenti collegati
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 38
39. Protezione dei Dati nel PC
Scoprire la chiave di protezione del Wi-Fi
Chiave WEP
●
Si può scoprire facilmente (t < 30min) ChopChop e Fragmentation
attack
●
Vulnerabile anche se non vi sono utenti collegati
Chiave WPA
●
Anche questa è vulnerabile
●
Il tempo per scoprirla è proporzionale alla lunghezza e alla complessità
●
Ha bisogno che vi siano utenti collegati
Chiave WPA2
●
Vulnerabile, ma solo se la password di rete è debole
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 39
40. Protezione dei Dati nel PC
Fidarsi della propria chiave di rete
Vedi PASSWORD
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 40
41. Protezione dei Dati nel PC
Protezione dei file presenti sul disco
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 41
42. Protezione dei Dati nel PC
Protezione dei file presenti sul disco
Evitare la rimozione o la modifica non autorizzata e non voluta dei dati
sul disco
●
Utilizzo di algoritmi e software per la cifratura dei file e dei dischi
●
Utilizzo di sistemi per il salvataggio dei file (Backup)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 42
43. Protezione dei Dati nel PC
Processo di cifratura
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 43
44. Protezione dei Dati nel PC
Processo di cifratura
Testo o file da cifrare, es. “Alberto Russo”
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 44
45. Protezione dei Dati nel PC
Processo di cifratura
Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
●
Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 45
46. Protezione dei Dati nel PC
Processo di cifratura
Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
●
Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
●
es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 46
47. Protezione dei Dati nel PC
Processo di cifratura
Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
●
Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
●
es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Solo chi conosce la chiave può decifrare il testo
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 47
48. Protezione dei Dati nel PC
Processo di cifratura
Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
●
Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
●
es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Solo chi conosce la chiave può decifrare il testo
Test: EncryptOrDecrypt
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 48
49. Protezione dei Dati nel PC
Algoritmi di cifratura
AES
●
Advanced Encryption Standard
●
Standard del governo degli Stati Uniti d'America
●
Conosciuto anche con il nome Rijndael
●
1° posto nel 1997 al “Processo di standardizzazione dell'Advanced
Encryption Standard”
Serpent
●
2° posto nel 1997 al “Processo di standardizzazione dell'Advanced
Encryption Standard”
Twofish
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 49
50. Protezione dei Dati nel PC
Strumenti per la cifratura
TrueCrypt
●
www.truecrypt.org
●
Cifratura di singoli file o interi dischi
●
Utilizza AES, Serpent e Twofish
●
Possibilità di utilizzarli a cascata
●
Open Source
●
Versioni per Windows, Mac OS e Linux
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 50
51. Protezione dei Dati nel PC
Backup
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 51
52. Protezione dei Dati nel PC
Backup
Creare copie di backup
●
Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 52
53. Protezione dei Dati nel PC
Backup
Creare copie di backup
●
Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Dove eseguire un backup?
●
Per uso personale: in un hard disk esterno
●
Per un uso aziendale: su nastri magnetici
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 53
54. Protezione dei Dati nel PC
Backup
Creare copie di backup
●
Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Dove eseguire un backup?
●
Per uso personale: in un hard disk esterno
●
Per un uso aziendale: su nastri magnetici
Tipi di backup
●
Completo
●
Incrementale
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 54
55. Protezione dei Dati nel PC
Backup
Quando creare copie di backup
●
Backup incrementale: 1 volta a settimana
●
Backup completo: 1 volta al mese
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 55
56. Protezione dei Dati nel PC
Strumenti per il Backup
Windows
●
Cobian Backup
●
www.cobiansoft.com
●
Utilizzo di cifratura dei backup
Mac OS
●
Time Machine
●
Incluso in Mac OS X v10.5 e versioni successive
Linux
●
Déjà Dup
●
launchpad.net/deja-dup
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 56
57. Protezione durante
la navigazione
Minacce informatiche
Virus
●
È codice malevolo
●
Si diffondono da un computer a un altro tramite lo spostamento di file
infetti ad opera degli utenti
●
Il loro scopo non è sempre quello di far danni
Trojan horse
●
Permette l'accesso remoto non autorizzato al PC
●
Non possiedono funzioni di auto-replicazione fino alle password
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 57
58. Protezione durante
la navigazione
Minacce informatiche
Spyware
●
Raccolgono informazioni dal sistema su cui sono installati e per
trasmetterle ad un destinatario interessato
●
Le informazioni carpite possono andare dalle abitudini di navigazione
fino alle password
Keylogger
●
Programma in grado di registrare tutto ciò che un utente digita su una
tastiera o che copia e incolla
●
Modalità silenziosa
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 58
59. Protezione durante
la navigazione
Come difendersi dalle minacce
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 59
60. Protezione durante
la navigazione
Come difendersi dalle minacce
Antivirus e antispyware
●
Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
●
Esistono molti antivirus per uso personale (CASA) gratuiti
●
Per uso professionale bisogna acquistarne uno a pagamento
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 60
61. Protezione durante
la navigazione
Come difendersi dalle minacce
Antivirus e antispyware
●
Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
●
Esistono molti antivirus per uso personale (CASA) gratuiti
●
Per uso professionale bisogna acquistarne uno a pagamento
Navigare con criterio
●
Non scaricare e aprire file .exe se questi non vengono da fonti certe
●
Non aprire allegati di mail se questi non erano previsti
●
Limitare l'uso del peer to peer (p2p) es. Emule, torrent, ecc.
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 61
62. Protezione durante
la navigazione
Come difendersi dalle minacce
Antivirus e antispyware
●
Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
●
Esistono molti antivirus per uso personale (CASA) gratuiti
●
Per uso professionale bisogna acquistarne uno a pagamento
Navigare con criterio
●
Non scaricare e aprire file .exe se questi non vengono da fonti certe
●
Non aprire allegati di mail se questi non erano previsti
●
Limitare l'uso del peer to peer (p2p) es. Emule, torrent, ecc.
Aggiornare sempre programmi e sistema operativo
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 62
63. Protezione durante
la navigazione
Phishing e truffe telematiche
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 63
64. Protezione durante
la navigazione
Phishing e truffe telematiche
Ingegneria sociale
●
Intende lo studio del comportamento individuale di una persona al fine
di carpire informazioni utili
●
Viene utilizzata in campo informatico dai cracker, per trovare
informazioni utili per accedere ai suoi sistemi informatici
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 64
65. Protezione durante
la navigazione
Phishing e truffe telematiche
Ingegneria sociale
●
Intende lo studio del comportamento individuale di una persona al fine
di carpire informazioni utili
●
Viene utilizzata in campo informatico dai cracker, per trovare
informazioni utili per accedere ai suoi sistemi informatici
Phishing
●
Particolare tipo di Ingegneria sociale
●
Si utilizza una mail per attirare l'utente su un sito per poi estrorcere
informazioni importanti
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 65
66. Protezione durante
la navigazione
Difendersi dal Phishing
Ingegneria sociale
●
Evitare di accettare amicizie non tali sui social network
●
Non inserire informazioni troppo personali su internet
Phishing
●
Le società bancarie e assicurative non chiedono MAI le credenziali di
accesso tramite mail
●
Utilizzare browser che avvertono della contraffazione del sito
●
Prima di inserire dati importanti controlla sempre l'indirizzo web del sito
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 66
67. Protezione durante
la navigazione
La navigazione sicura con HTTPS
HTTPS
●
Protocollo di comunicazione
●
HyperText Transfer Protocol over Secure Socket Layer
●
Utilizza una cifratura di tipo asimmetrico (SSL/TLS)
Funzionamento
●
Utilizzo di un certificato digitale ovvero un documento elettronico che
associa l'identità di una persona ad una chiave pubblica
●
Impedire intercettazioni dei contenuti che potrebbero essere effettuati
tramite la tecnica di attacco del man in the middle
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 67
68. Protezione durante
la navigazione
Utilizzare HTTPS
Attivare il protocollo https
●
I siti più importanti hanno la possibilità di utilizzare https
●
Impostare la connessione sicura tra le opzioni di questi siti
●
Utilizzare programmi che forzino l'utilizzo di questo protocollo
Firefox e Chrome
●
HTTPS Everywhere
●
www.eff.org/https-everywhere
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 68
69. Protezione delle comuncazioni
Comunicazione sincrona: Chat
XMPP
●
Protocollo di comunicazione
●
Extensible Messaging and Presence Protocol
●
È usato da Facebook, Google e tra un po' anche MSN
●
Comunicazione Client-Server e Server-Client
Sicurezza
●
Uso di crittografia a simmetrica (TLS)
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 69
70. Protezione delle comuncazioni
Problemi di sicurezza
TLS
●
Utilizzo di crittografia non è obbligatorio
Keylogger o Spyware
●
Se presente un keylogger o uno spyware sul PC essi possono registrare
la conversazione in uscita
Soluzione
●
Controllare se presente un meccanismo di crittografia (Facebook)
●
Munirsi di antivirus
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 70
71. Protezione delle comuncazioni
Comunicazione asincrona: Email
POP3 e IMAP
●
Protocollo di comunicazione
●
Utilizzati per la ricezione di messaggi di posta
●
Comunicazione Client-Server e Server-Client
Sicurezza
●
Protocollo di comunicazione
●
Utilizzati per l'invio dei messaggi di posta
●
Comunicazione Client-Server e Server-Client
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 71
72. Protezione delle comuncazioni
Sicurezza nelle Email
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 72
73. Protezione delle comuncazioni
Sicurezza nelle Email
Crittografia simmetrica
●
Problema dell'invio della chiave
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 73
74. Protezione delle comuncazioni
Sicurezza nelle Email
Crittografia simmetrica
●
Problema dell'invio della chiave
Crittografia asimmetrica
●
Chiave pubblica
●
Chiave privata
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 74
75. Protezione delle comuncazioni
Sicurezza nelle Email
Crittografia simmetrica
●
Problema dell'invio della chiave
Crittografia asimmetrica
●
Chiave pubblica
●
Chiave privata
PGP e GNUPG
●
crittografia a chiave pubblica
●
www.gnupg.org
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 75
76. Protezione delle comuncazioni
Sicurezza nelle Email
Crittografia simmetrica
●
Problema dell'invio della chiave
Crittografia asimmetrica
●
Chiave pubblica
●
Chiave privata
PGP e GNUPG
●
crittografia a chiave pubblica
●
Esempio
Rimane sempre il problema della complessità della chiave
Alberto Russo - alberto@wewantweb.it - Metodi e tecniche per la tutela e la protezione dei dati personali - 76