Prof. Andrea Ferraresso Consulente Informatico, formatore - Cybersicurezza e privacy IISS Lombardo Radice Bojano (CB)
←
→
Trascrizione del contenuto della pagina
Se il tuo browser non visualizza correttamente la pagina, ti preghiamo di leggere il contenuto della pagina quaggiù
DeA Formazione
Cybersicurezza e privacy
IISS Lombardo Radice
Bojano (CB)
Prof. Andrea Ferraresso
Consulente Informatico, formatore
sui temi del digitale
Andrea Ferraresso Autore e formatore di De Agostini Scuola. Coding / Robotica / Tecnologia. Dal 2014 CoderDojo Fossò - Venezia @ Ca’ Foscari. Consulente informatico. Socio Federprivacy.
“ La sicurezza informatica è un processo, non è un prodotto. “
7 Ancora sulle reti (IP,
MAC, DNS…)
Indirizzo IP
È l’identificativo che contraddistingue un
dispositivo collegato a Internet, es. il nostro
smartphone, il nostro modem-router… dipende.
Foto di USA-Reiseblogger da Pixabay
IP statico o dinamico?
Dipende dal provider, dal contratto…
Foto di Pexels da Pixabay
Proteggete le reti wi-fi! Foto di USA-Reiseblogger da Pixabay
MAC (address)
Non c’entra con la Apple!
MAC = Media Access Control. È un “indirizzo” che
viene assegnato in modo univoco a ogni scheda
di rete fissa (ethernet) o wireless prodotta al
mondo.
h]ps://media.startech.com/cms/products/gallery_large/st1000bt32.main.jpg
Per conoscere il MAC del proprio computer Da Windows: Avviare il Prompt dei comandi e digitare ipconfig/all Da macOS: Preferenze di sistema -> Rete (Network) -> Avanzate -> Hardware.
Differenza tra IP e MAC address
L’IP è il numero di targa della connessione (può
cambiare).
Il MAC address è il numero di targa del dispositivo
(non cambia).
Foto di Capri23auto da PixabayDNS (Domain Name System) - 1 Ricordiamo che: ogni dispositivo connesso alla rete ha un indirizzo IP. Semplificando: anche un computer che ospita uno o più siti web ha un indirizzo IP.
DNS (Domain Name System) - 2
Che cosa è successo? L’indirizzo “letterale” deascuola.it corrisponde a un certo indirizzo IP. Il DNS è come un enorme archivio (gestito da una rete di server) che converte un indirizzo “letterale” in un IP. Tutto accade dietro le quinte!
DNS in sintesi (e semplificando) Quando scriviamo un indirizzo “letterale” nel nostro browser, il computer si connette a un server DNS (in genere quello del provider) che converte quello che abbiamo scritto in un indirizzo IP. Che pericoli ci possono essere?
Un dei pericoli maggiori I criminali sanno che se possono controllare le impostazioni DNS di un utente, possono controllarne la navigazione. Quindi anche “pilotare” i siti in cui l’utente naviga… ad esempio, ad esempio www..it porta l’utente in un sito “finto”.
Verificare il file hosts In Windows: si trova qui C:\Windows\ System32\drivers\etc\hosts In macOS: si trova qui /private/etc/hosts
Perché si cambiano le impostazioni DNS Per questioni di privacy Per una maggiore velocità Per connettersi a siti che altrimenti il nostro provider ci “blocca” (ad esempio IPTV). …fare sempre attenzione!
IPTV? Cerchiamo di capire Oggi le smart TV sono diventate dei veri e propri computer. Attraverso opportune applicazioni si ha accesso ai contenuti di Internet direttamente dal televisore. Foto di Capri23auto da Pixabay
Live o su richiesta? RAI, Mediaset e anche altri operatori della telecomunicazione consentono agli utenti di accedere ai contenuti sia “live” (cioè quando vengono trasmessi ufficialmente) sia “on demand” (cioè su richiesta). Streaming online: i dati vengono visualizzati mano a mano che vengono ricevuti.
La televisione attraverso Internet IPTV (Internet Protocol Television) è un sistema per trasmettere i segnali televisivi attraverso la rete Internet. Tale tecnologia è stata utilizzata da diversi provider, non solo italiani.
Pirateria televisiva Oggi, grazie all’aumento della velocità di connessione, questa tecnologia ha iniziato ad interessare il grande pubblico. Sfruttando il protocollo IPTV e collegando i decoder della TV satellitare a dei server esposti su Internet è possibile prelevare i flussi video da condividere in rete a pagamento. Ovviamente questa modo di operare è illegale sia per chi fornisce il segnale sia per chi lo riceve.
P2P e Torrent TV Nelle reti peer to peer (P2P) non esiste un server centrale, ma ogni nodo può essere server e client allo stesso tempo (quindi fornire contenuti e consultarli). Quanti più utenti formano la rete, più fluida sarà la visione dei contenuti. La legalità di queste reti dipende dal tipo di contenuti.
Software da scaricare e modifiche Spesso per entrare in queste rem è richiesta l’installazione di parmcolari app (oppure app famose ma modificate) e/o la modifica dei server DNS che umlizziamo per tradurre i nomi dei sim (nomi di dominio) in indirizzi IP. Queste operazioni non sono esenm da rischi, perché a questo punto i nostri computer potrebbero essere manipolam dall’esterno.
8 Cenni sui cookie dei
browserPerché le pubblicità ci corrono dietro? I cookie sono piccoli file che vengono scrio nel nostro computer quando accediamo a un sito web e consentono, in un certo senso, di contrassegnarci.
Normativa cookie h]ps://www.garanteprivacy.it/ cookie Nel sito della vostra scuola: h]ps://www.iissbojano.edu.it/ cookie-policy
Finestra anonima di Firefox h]ps://support.mozilla.org/it/kb/ navigazione-anonima-firefox-ios Mentre si è in Navigazione anonima non vengono salvam la cronologia, i cookie, le password, le preferenze dei sim o i file temporanei Internet. I segnalibri aggiunm verranno invece salvam sul disposimvo.
9 Che cos’è la
geolocalizzazioneDefinizione La geolocalizzazione è una tecnologia che perme]e di determinare la posizione geografica di un ogge]o, persona o disposimvo in modo abbastanza preciso. Lo strumento più conosciuto è il GPS.
Tipi di geolocalizzazione GPS (localizzazione quasi esa]a). Wi-Fi (errore di 100 metri, approssimamvamente). GSM (errore di 500 metri, approssimamvamente). Indirizzo IP (localizzazione a livello di ci]à).
GPS, come funziona La geolocalizzazione GPS usa una rete di satellim armficiali che ruotano a]orno alla terra in maniera sincronizzata. Si calcola il tempo che impiega il segnale dal satellite al disposimvo che ha lanciato la richiesta. Quando questa quanmtà di tempo è nota, si calcola la distanza con il satellite e si calcola la distanza per triangolazione.
Geolocalizzazione, quali servizi? Navigatore Videosorveglianza Local search Local Markemng …
Tu hai attivo il servizio di geolocalizzazione? - 1 Android 10: • apri l’app “Impostazioni del telefono”; • tocca “Posizione”; • in alto, aova o disaova l’opzione “Usa geolocalizzazione”.
Tu hai attivo il servizio di geolocalizzazione? - 2 Android pre versione 10: • apri l’app “Impostazioni del disposimvo”; • tocca “Sicurezza e posizione” e poi “Posizione”, per aovare o disaovare la geolocalizzazione.
Tu hai attivo il servizio di geolocalizzazione? - 3 iOS: • vai su Impostazioni > Privacy > Localizzazione; • assicuram che i servizi di localizzazione siano aovi; • scorri verso il basso per trovare l’app; • tocca l'app e seleziona un’opzione.
Tu hai attivo il servizio di geolocalizzazione? - 4 iOS (segue): • Mai: impedisce l'accesso alle informazioni sulla localizzazione. • Chiedi la prossima volta: m consente di scegliere “Sempre”, “Mentre usi l’app”, “Consenm una volta” o “Non consenmre”. • Mentre usi l’app: consente l'accesso ai servizi di localizzazione solo quando l'app o una delle relamve funzioni sono visibili sullo schermo. Se un’app è impostata su “Consenm quando umlizzi l’app", potresm vedere la barra di stato diventare di colore azzurro con un messaggio che indica che un'app sta umlizzando aovamente la tua posizione. • Sempre: consente l'accesso alla tua posizione anche quando l’app è in background.
Geolocalizzazione e privacy - 1 Lo storico dei luoghi che abbiamo visitato è un’informazione piu]osto importante; Secondo i dam di Google, dal 2015 al 2107, la ricerca “near me” è cresciuta del 150%; Per molm motori di ricerca, la vicinanza geografica è un fa]ore fondamentale nella resmtuzione dei risultam.
Geolocalizzazione e privacy - 2 Vuoi sapere come Google usa la tua posizione? Sul tuo telefono o tablet Android, apri l’app Google Maps. Tocca il simbolo
Geolocalizzazione e privacy - 3
Controlla i tuoi spostamenti - 1 Se hai un account Google collegato al tuo telefono, puoi vedere la cronologia dei tuoi spostamenm: “Nel periodo in cui Cronologia delle posizioni è aova, la tua cronologia registra dove vai e il modo in cui m muovi da un posto all'altro, ad esempio a piedi, in bicicle]a, in auto o con il trasporto pubblico.”
Controlla i tuoi spostamenti - 2
Controlla i tuoi spostamenti - 3 Sul tuo telefono o tablet Android, apri l'app Google Maps, tocca il menu
Controlla i tuoi spostamenti - 4 L’app m mostrerà gli spostamenm odierni, ma per visualizzare altre date: tocca su “oggi” e scegli la data dal calendario.
Elimina definitivamente la cronologia Fonte: h]ps://support.google.com/maps/answer/6258979?co=GENIE.Pla|orm%3DAndroid&hl=it
Salvare la cronologia per un periodo limitato Se invece vuoi salvare la cronologia per un periodo limitato, con il procedimento visto prima, vai su “Gesmone aovità”:
E Facebook? - 1 Collegam al link: facebook.com/locamon_history/view/ e conferma la tua idenmtà.
E Facebook? - 2 Dovrebbe apparire il seguente messaggio:
E Facebook? - 3 E se vedo una mappa? Se la mappa indica strane ci]à, mpo Boston, vuol dire che non ci sono dam registram. Se indica le tue posizioni allora puoi disaovare la localizzazione.
E Facebook? - 4 Verifica nel de]aglio se la cronologia è aova. Ora, nella finestra che si apre, devi usare il menù laterale a sinistra...
E Facebook? - 5
E Facebook? - 6 Se è aova (vedi slide precedente, allora bisogna andare in “Impostazioni”. Nella finestra che si apre, devi usare il menù laterale a sinistra.
E Facebook? - 7
E Facebook? - 8 E se vedo una mappa? Se la mappa indica strane ci]à, mpo Boston, vuol dire che non ci sono dam registram. Se indica le tue posizioni allora puoi disaovare la localizzazione.
Un occhio alla privacy Rendi i tuoi contenum privam. Se non vuoi che qualcosa si sappia… non pubblicarlo.
10 Cenni di crittografia
e funzione di cashConfondere i dati La crittografia è una scienza che si interessa di tutti quei metodi che vengono utilizzati per rendere un messaggio confuso e incomprensibile. Crittografare significa prendere un testo (messaggio) in chiaro, cioè comprensibile da chiunque e trasformarlo in un testo incomprensibile, cioè cifrato.
Il cifrario di Cesare Uno dei più antichi algoritmi di crittazione è il cosiddetto “Cifrario di Cesare”. Ogni lettera in chiaro viene sostituita, nel testo cifrato, dalla lettera che si trova un certo numero di posizioni dopo nell’alfabeto. Viene detto cifrario a scorrimento.
Crittografia oggi Cifrari simili (vedi slide precedente) sono sostanzialmente inutili se al testo cifrato viene applicata quella tecnica crittoanalitica denominata “analisi delle frequenze”, che studia le statistiche relative alla presenza dei singoli simboli o gruppi di simboli nel testo offuscato. La scienza crittologica ha ottenuto enormi benefici dall’uso degli odierni elaboratori elettronici.
Crittografia asimmetrica Il destinatario crea due chiavi. La prima (“privata”) è segreta e la tiene per sé, gli serve per decifrare i messaggi cifrati con seconda chiave, che è pubblica e viene utilizzata, appunto, per cifrare le informazioni. Partendo dalla chiave pubblica non è possibile calcolare la chiave privata (è possibile invece il percorso inverso).
Funzione di hash Partendo da un messaggio iniziale (numeri, testo...), applicando una funzione di hash si ottiene un output (digest) completamente diverso (spesso di lunghezza fissa). Non è possibile ricostruire in messaggio originale a partire dal digest. Piccole variazioni nel messaggio iniziali portano a grandi variazioni del digest.
A che cosa serve? Serve a creare un “impronta digitale” di un messaggio. Serve a memorizzare le password in maniera sicura (non vengono memorizzare le password ma il risultato della funzione di hash!).
11 Didattica digitale
integrataMisure tecniche e organizzative Legate alla sicurezza Pagina 6 di https://www.istruzione.it/ rientriamoascuola/allegati/Didattica-Digitale- Integrata-e-tutela-della-privacy-Indicazioni- generali.pdf
Misura n. 1 Adozione di adeguate procedure di identificazione e di autenticazione informatica degli utenti. -> Identificazione: Chi sei? (es. username). -> Autenticazione: Dimostralo! (es. password legata allo username).
Misura n. 2 Utilizzo di robusti processi di assegnazione agli utenti di credenziali o dispositivi di autenticazione. -> Devo conoscere le persone a cui affido le credenziali.
Misura n. 3 Definizione di differenti profili di autorizzazione da attribuire ai soggetti autorizzati in modo da garantire un accesso selettivo ai dati. -> Non tutti hanno bisogno dello stesso “potere” sui dati (lettura, modifica, scrittura, cancellazione…).
Misura n. 4 Definizione di password policy adeguate (es. regole di composizione, scadenza periodica, ecc.). -> Password troppo semplici da indovinare sono un pericolo, ma anche il riutilizzo delle password lo è.
Misura n. 5 Conservazione delle password degli utenti, mediante l’utilizzo di funzioni di hashing allo stato dell’arte (es. PBKDF2, bcrypt, ecc.) e di salt di lunghezza adeguata. -> Il salt è qualcosa che viene aggiunto alla password prima di passarla alla funzione di hash.
Misura n. 6 Utilizzo di canali di trasmissione sicuri tenendo conto dello stato dell’arte.
Misura n. 7 Adozione di misure atte a garantire la disponibilità dei dati (es. backup e disaster recovery). -> Il backup serve a poco se poi non riusciamo a ripristinare i sistemi.
Misura n. 8 Utilizzo di sistemi di protezione perimetrale, adeguatamente configurati in funzione del contesto operativo. -> Può essere intesa sia come protezione materiale sia come non materiale.
Misura n. 9 Aggiornamento periodico dei software di base al fine di prevenirne la vulnerabilità. -> Bisogna anche tener nota di quanti software dobbiamo aggiornare.
Misura n. 10 Registrazione degli accessi e delle operazioni compiute in appositi file di log, ai fini della verifica della correttezza e legittimità del trattamento dei dati.
Misura n. 11 Definizione di istruzioni da fornire ai soggetti autorizzati al trattamento. -> Dipendenti.
Misura n. 12 Formazione e sensibilizzazione degli utenti. -> Anche dell’utente finale.
Gestione delle password (1) La password la chiave per poter accedere ai propri dati. Come la chiave di ogni stanza della vostra casa. Oppure le chiavi di tanti garage che avete in affitto. Le dareste in giro? Vi piacerebbe che qualcuno ne avesse una copia?
12 Password. Sono
sicure?Gestione delle password (1) La password la chiave per poter accedere ai propri dati. Come la chiave di ogni stanza della vostra casa. Oppure le chiavi di tanti garage che avete in affitto. Le dareste in giro? Vi piacerebbe che qualcuno ne avesse una copia?
Gestione delle password (2) Chi sfrutta le nostre leggerezze è spesso interessato a raccogliere dati (altre email, dati specifici come date di nascita, cod. fiscale, carte di credito, conti correnti, password di altri account, dati di altre persone conosciute). Prima o poi userà questi dati.
Gestione delle password (3) Mai usare la stessa password per più account (diventa un passepartout per tutti i vostri account!). DIFFICILE: Almeno 8 caratteri con un carattere speciale (sempre! non ci sono profili importanti e meno importanti) Cambiarla periodicamente.
Gestione delle password (4) Dove possibile attivare l’autenticazione a più fattori (anche con FaceID o TouchID).
Gestione delle password (5) Attenzione ai sistemi o alle app che memorizzano le nostre password. Es. portachiavi iCloud di Apple. Es. Google Password Manager. Altri... Sono largamente utilizzati?
Gestione delle password (6) Password da non usare (esempi): • nomi di dizionario; • sequenze di tasti; • dati personali; • citazioni famose.
Sì a frasi lunghe, ma con simboli Esempio: #i>o>n>o>n>a>b>i>t>o>i>n>s> i>c>i>l>i>a>m>a>i>n>v>e>n>e >t>o+
SPAZIO ALLE DOMANDE Scrivi i tuoi quesiti al relatore nella sezione domande (sulla destra)
Grazie!
corsi@deascuola.it
blog.deascuola.it formazione.deascuola.it
/DeAScuola @DeAScuola deascuolaPuoi anche leggere
