3. professioni informatiche
tlc
telecomunication operator, manager
management
architect manager, businness manager
formation
formator
help desk
help desk opeartor, coordianator
percorsi accademici
phd/ post doc/ ricercatore, professore,
4. in italia
il livello di preparazione degli operatori itc in italia é medio alto
remunerazione decisamente sotto la media europea
scarsa comprensione delle competenze del settore
informatica vista come costo, non come una risorsa in cui
investire
informatica vista come problema, non come strumenti per
produrre meglio, piu' velocemente.
informatica é una scienza, non un prodotto.
5. percorso di formazione continua
le tecnologie informatiche sono in continua evoluzione, questo
impone un continuo percorso di formazione
- le aziende difficilmente pagano corsi
presupposto di conoscenza
- le risorse sono sottopagate
presupposto di non competenza
- si impara lavorando di piu'
straordinari non sempre pagati
6. mercato
il mercato ict é in espansione
i contratti sono atipici
no stabilitá
stipendi bassi
pericolo di fuga all'estero
per ogni mente che va all'estero l'italia perde un investimento
prezioso
7. professioni informatiche su cui puntare
iOS / Android developper
network and system security
web-oriented developper
system administrator
virtualization manager
9. Sicurezza
La sicurezza (dal latino "sine cura": senza preoccupazione)
può essere definita come la "conoscenza che l'evoluzione di
un sistema non produrrà stati indesiderati"
La CONOSCENZA è fondamentale poiché un SISTEMA può
evolversi senza dar luogo a stati indesiderati, ma non per
questo esso può essere ritenuto sicuro. Solo una conoscenza
di tipo scientifico, basata quindi su osservazioni ripetibili, può
garantire una valutazione sensata della sicurezza
10. Sicurezza Informatica
La Sicurezza informatica è quella branca dell'informatica che
si occupa della salvaguardia dei sistemi informatici da
potenziali rischi e/o violazioni dei dati.
I principali aspetti di protezione del dato sono
confidenzialita'
integrita'
disponibilita'
11. scenario: Internet e Reti Telematiche
Problema: vige una silente anarchia
● poche regolamentazioni/leggi
caotica e difficile determinazione del territorio di
applicazione
● chi si presenta non sempre e' chi ci si aspetta
la fiducia a prescindere e' una cattiva consigliera
● le informazioni tra A e B passano per altri n nodi
12. bisogno di sicurezza?
In un mondo dominato dalle comunicazioni globali, dove
buona parte delle informazioni sono digitalizzate e
trasmesse per via telematica, la sicurezza sta pian piano
diventando un aspetto da non trascurare e, maggiore e' il
valore delle informazioni in gioco, tanto piu' diventa un
fattore di estrema rilevanza.
sfortunatamente anche le informazioni che sembrano di poco
conto rivestono un ruolo importante, tanto da doverle
preservare.
13. bisogno di sicurezza?
Ma ne ho veramente bisogno?
Ho dati sensibili da proteggere?
C'e' qualcuno che vorrebbe impossessarsene?
C'e' qualcuno che vorrebbe spacciarsi per me?
Potrei essere il mezzo per arrivare ad altri obiettivi?
14. Sicurezza nel software
l'uomo per sua natura e' un essere imperfetto portato ad errare
i programmi sono scritti dall'uomo e sono passibili di errori
● sintattici "il mano"
● semantici "il melo ha peli del naso in caso fu"
● runtime, operazioni non lecite come la divisione per 0
● logici: causati da scelte fatte nell’algoritmo
● strutturali e di progettazione.
gli insiemi di errori non si sommano ma si moltiplicano tra di
loro
15. bugs
identifica un errore di un programma (ma anche un difetto
hardware) che causa un comportamento imprevisto
I bug in un programma possono essere gravi a tal punto da
rendere vulnerabile ad attacchi informatici
esistono decine di tecniche per abbassare il numero dei bug,
ma e' praticamente impossibile azzerarli.
16. Individuazione
esistono aziende specializzate nello scovare problemi di
sicurezza (quasi tutti riconducibili a errori)
e' piu' difficile scovare gli errori nel codice chiuso
anche se scovati, non tutti i bug vengono documentati
per evitare attacchi di massa
per evitare perdite di immagine
17. Strada da seguire
Si ottiene una discreta politica di sicurezza quando si
arriva ad un compromesso tra
Confidentiality (Confidenzialita')
Integrity (Integrita')
Availavility (Disponibilita')
18. Confidenzialita'
lo scambio di dati tra un mittente e uno o piu' destinatari
deve risultare:
riservato (autenticazione)
segreto (crittografia)
dati identificazione timestamp crittografia
19. Integrita'
bisogna garantire che i dati scambiati tra piu' entita'
restino intatti e vengano protetti da eventuali alterazioni;
le modifiche potranno essere effettuate soltanto secondo
le policy dettate dal sistema, quindi rilevate e segnalate
i dati dovranno essere quindi:
non modificabili (dati intatti)
modificabili da utenti o servizi aventi i permessi
garantiti da un controllo di rilevazione e correzione degli errori
20. Disponibilita'
bisogna tutelare l'operativita' del sistema; il sistema e le
risorse dovranno essere garantite ai legittimi utilizzatori e
non dovranno presentarsi forme di non accessibilita'
(denial of service) a queste ultime.
In questo caso oltre ai dati entrano in gioco le risorse che
dovranno garantire:
stabilita'
operativita'
velocita'
21. Tipologie di attacco
Trashing, Phishing, Social
Sociale Engineering ...
DoS, MITM attacks, spoofing, worms,
Remoto remote exploits...
local exploits, DoS locali, rootkit,
Locale varie tecniche di privilege escalation..
lockpicking, furto dei
dispositivi di storage,
Fisico disattivazione fisica
23. obbiettivi di un attacco
Curiosita', Sfida, Ambizione, Vanita'
Conoscenza delle strutture dati di un sistema (DB e UTENTI)
Alterazione dei dati di un sistema
Creare danni visibili (es. modifica di pagine web), per fama
Attivazione di servizi non autorizzati (ircd, bot, ...)
Sfruttamento di risorse (banda, disco,cpu) x repository illegali
Sfruttamento di risorse per attacchi di tipo Dos || DDoS
Utilizzo del sistema come base d'attacco verso altri sistemi
24. storia di un attacco tipo
1) Acquisizione delle informazioni sull'obiettivo
(whois, interrogazione dei ns, google, traceroute, trashing,
social engineering, ...)
2) Acquisizione delle informazioni sul tipo di OS
(xprobe, p0f, netcraft, ...).
3) Acquisizione delle informazioni sullo stato dei servizi attivi
(nmap, nessus, nikto, ecc..)
4) Ricerca di vulnerabilita' di un determinato servizio
(google, bugtraq, ecc..)
25. storia di un attacco tipo
5) Lancio dell'attacco
exploit unprivileged exploit privileged
software software
attacco remoto
break in
attacco locale accesso locale accesso locale
non privilegiato privilegiato
privilege
escalation
26. e la tipologia piu' pericolosa?
Trashing, Phishing, Social
Sociale Engineering ...
DoS, MITM attacks, spoofing, worms,
Remoto remote exploits...
local exploits, DoS locali, rootkit,
Locale varie tecniche di privilege escalation..
lockpicking, furto dei
dispositivi di storage,
Fisico disattivazione fisica
27. Social Engineering
per ingegneria sociale si intende lo studio del comportamento
individuale di una persona al fine di carpire informazioni.
Questa tecnica è anche un metodo improprio per ottenere
informazioni rilevanti (password, nomi, account), come lo sono
violenza tortura e ricatti, ma a differenza di queste il bersaglio
da le informazioni che servono all'attaccante di sua spontanea
volonta' e senza che ne sia costretto
28. l' ingegnere sociale
Se un CRACKER non trova bug da sfruttare l'unico modo che ha per
procurarsi le informazioni e' quello di attuare un attacco di ingegneria sociale.
Un ingegnere sociale deve saper fingere, sapere ingannare gli altri, in una
parola saper mentire.
è molto bravo a nascondere la propria identità, fingendosi un'altra persona:
cosi' riesce a ricavare informazioni che non potrebbe ottenere con la sua
identità reale.
In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli
serve dalla vittima ignara.
29. tecniche di social engineering
raccogliere le informazioni, in tutti i modi, tutte le informazioni
sono utili.
presentarsi credibili, sicuri
presentarsi come altre persone
richiesta di aiuto>fare in modo che la vittima aiuti il carnefice
proposta di aiuto>l'attaccante finge di aiutare il bersaglio
30. phishing
è una attività illegale che sfrutta una tecnica di Ingegneria
Sociale e' utilizzata per ottenere l'accesso a informazioni
personali o riservate con la finalità del Furto di IDENTITA'
mediante l'utilizzo delle comunicazioni elettroniche, soprattutto
messaggi di email fasulli o messaggi istantanei, ma anche
contatti telefonici.
Grazie a messaggi che imitano grafico e logo dei siti
istituzionali, l'utente è ingannato e portato a rivelare dati
personali, come numero di conto corrente, numero di carta di
credito, codici di identificazione, ecc.
31. attacco phishing
1. l'attaccante spedisce un messaggio email che simula, grafica contenuto,
quello di una istituzione nota al destinatario (banca, provider, aste online).
2. l'email contiene avvisi di particolari situazioni o problemi verificatesi con il
proprio conto corrente/account (ad esempio un addebito enorme, la
scadenza dell'account).
3. l'email invita il destinatario a seguire un link,al fine di risolvere il problema
del punto 2
4. il link fornito porta a una copia fittizia simile al sito ufficiale, controllato dal
phisher, allo scopo di ottenere dal destinatario dati personali con la scusa
di una conferma o la necessità di effettuare una autenticazione al sistema;
queste informazioni vengono memorizzate dal server gestito dal phisher e
quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di
denaro o anche solo come "ponte" per ulteriori attacchi.
32. perche' tutto questo funziona?
L'uomo è solitamente portato a fidarsi del prossimo
Socialità insita nell'istinto umano
Non si conosce il valore intrinseco delle informazioni,
soprattutto quelle che si considerano di poco conto
Se si viene raggirati con classe, le controdifese arrivano
sempre tardivamente
33. Trashing
E' una tecnica ri ricera di dati sensibili tuffandosi direttamente
nell'immondizzia.
piatti ambinti dei trasher
ricevute di trasazioni
ricevute carte di credito
documenti interni di una azienda
scontrini, addebiti, che possano essere utilizzati come ponti
per carpire identita' , stili di vita, abitudini.
34. in italia quanto siamo furbi?
da una intervista Adiconsum.
identia' scippata per 1 italiano su 4
frodi piu' frequenti:
sottoscrizione contratti online senza accorgersene
acquisto di beni mai recapitati
addebiti per prodotti mai richiesti
attacchi phishing
il 55 % non conosceva il problema prima dell'intervista
il 35 % non adotta precauzioni
il 44 % non sa cosa fare per poteggersi.
35. ciao sono Adria
ho freddo,
sono una bella gnocca,
sono giovane e straniera
ho bisogno di aiuto
invia foto/ contatti/ un eseguibile
36. offerta speciale
visualizzazione contenuti
prezzi scontati, clausole poco chiare
possibilitá di guadagni
download di programmi interessanti
download di programmi preliminari
offerte di pagamento con voucher o beni di consumo
trading finaziario, offerta di xxx $ di bonus a fronte di
pagamento di x$ buono entrata
37. la difesa
Prevenire correzione bug software, autenticazione
sicura, strong password,firewall, crittografia,
uso intelligente di permessi, intelligenza e
attenzione verso gli attacchi sociali
Individuare monitoraggio della rete, IDS, analisi di log,
file integrity checker, ...
Reagire security menagement
la sicurezza e' 1 processo non 1prodotto
40. Sistemi Operativi
è l'insieme di routine e strutture dati responsabile del controllo e
della gestione dei componenti hardware che costituiscono un
computer e dei programmi che su di esso vengono eseguiti. Il
sistema operativo mette anche a disposizione dell'utente una
interfaccia software (grafica o testuale) per accedere alle
risorse hardware (dischi, memoria, I/O in generale) del sistema.
Il compito principale del sistema operativo è quello di
permettere all'utente, umano o non, di interagire direttamente
con la macchina.
41. Esigenza di Mobilita'
Mobile Phone
PDA
SmartPhones
Tablet
Sistemi Operativi Embedded
42. perche' uno Smartphone o un Tablet?
Uno smartphone è un dispositivo portatile che abbina
funzionalità di gestione di dati (personali non) e di telefono.
La caratteristica più interessante degli smartphone è la
possibilità di installarvi altri programmi applicativi, che
aggiungono nuove funzionalità.
Giochi - Navigatori satellitari - notizie -servizi - libri ecc
Oggi esistono smartphone con connessione
Gsm/GPRS/EDGE/UMTS/HSDPA, che utilizzano le
tecnolologie come Bluethooth/Wi-Fi per la comunicazione o il
GPS per la localizzazione e in piu' tantissime altre come
riproduzione audio/video, l'accelerometro, capacita' di calcolo
da consolle portatile, acceleratore grafico ecc ecc
CONVERGENZA
43. perche' uno Smartphone o un Tablet?
Moda e Costume
gli smartphone sono diventati status simbol (HTC, iPhone)
Perche' si ha sempre avuto un palmare
ora le dimensioni ridotte e le funzioni telefoniche li rendono pi
allettanti per chi e' palmare-dipendente
Altre Prestazioni
meno ingombranti dei NetBook offorono processori
veloci, gps, alta connettivita', interfacce facili da usare e un
bacino di programmi immenso
44. sono piccoli gioelli
sia per le prestazioni, sia per la quantita' di tecnologia
racchiusa, sia dal prezzo non proprio polare questi piccoli
computer portatili in alcuni casi sono proprio dei gioielli
MA LE COSE STANNO CAMBIANDO
45. Concorrenza Altissima
sono nati dei veri e propri modelli di businnes atti a migliorare
questo settore, un tempo di nicchia
ora si affaccia al pubblico con standar qualitativi altissimi
+ concorrenza => + qualita' => minori prezzi
46. Classifica dei Produttori 2012
Apple = iPhone e' il modello di punta del settore
Samsung = produttore di rilievo nel campo mobile
Nokia = costruttore di telefoni per eccellenza. W7. down
RIM = BlackBerry e' sinonimo di professionisti. down
HTC = produttore di rilievo nei dispositivi mobili, monta
Windows 7 e anche Android.
da notare che Apple è il produttore più temuto anche se è
quello con meno modelli. perché?
49. fenomeno SmartPhones
spunti per creare migliori prodotti in altri settori
processori - consumi
future implementazioni di tecnologie simili per server PC
e notebook che permettano di avere maggiore calcolo
con minore consumo
batterie
piu' resistenti, meno capienti, meno inquinanti. notebook
processori grafici e schermi
migliori prestazioni per proc grafici di nuova concezione
monitor lcd piu' leggeri, piu' luminosi, consolle portatili
piu' performanti
nuovi modelli di marketing
50. poteri diritti doveri
lo zio Ben a Peter, in Spiderman
«Da un grande potere derivano grandi responsabilità»
responsabilitá (x come si usano)
sicurezza, (informazioni)
disponibilitá, (contenuti)
your live is on a social network
reputazione
52. Raspberry Pi
Perche'?
● Per poter giocare imparando
● Per poter imparare giocando
● Per far rinascere una Commodore Generation
ma anche:
●
Per far nascere un nuovo artigianato...
53. cos'é?
● Un computer a tutti gli effetti grande come una carta di credito
non é un super computer, é un computer con prestazioni paragonabili a un pc
di 8/10 anni fa
Costa circa 35$
wikipedia
L'idea di base è la realizzazione di un dispositivo economico, concepito per
stimolare l'insegnamento di base dell'informatica e della programmazione nelle
scuole
Il progetto ruota attorno a un System-on-a-chip (SoC) Broadcom BCM2835,
che incorpora un processore ARM1176JZF-S a 700 MHz, una GPU VideoCore
IV, e 256 o 512 Megabyte di memoria. Il progetto non prevede né hard disk né
una unità a stato solido, affidandosi invece a una scheda SD per il boot e per la
memoria non volatile.
La scheda è stata progettata per ospitare sistemi operativi basati su un kernel
Linux o RISC OS
54. dove nasce?
Lo sviluppo del dispositivo è portato avanti dalla Raspberry Pi
Foundation, organizzazione di beneficenza registrata presso la
Charity Commission for England and Wales. Il suo scopo è
"promuovere lo studio dell'informatica e di argomenti correlati,
soprattutto a livello scolastico, e di riportare uno spirito di
divertimento nell'apprendimento del computer" La fondazione
Raspberry Pi promuoverà principalmente l'apprendimento nel
linguaggio di programmazione Python, ma sosterrà anche l'uso
del BBC BASIC, del C e del Perl. Saranno disponibili molti altri
linguaggi supportati da Linux e ARM.
55. cosa ci si puo' fare
● Si puo' navigare in rete
● Scambiare E-mail
● Scrivere testi fogli elettronici etc...
ma questo non e' divertente!
● Si puo' programmare
● Si puo' interfacciare
● Si puo' inventare (hardware e software)
questo e' divertente!
si suda! si impara! si guadagna !!!
56. progetti possibili
Antifurto, cancello automatico
Media Center (server/client)
Remote Console
LIM (wi remote + proiettore)
PABX (centralina telefonica )
Domotica
Contatore Geiger
Termometro ambientale (caldaia-condizionatore)
Firewall
NAS
Access Point
Wi-Fi projector
Sensore Meterologico
