|
| 1 | + |
| 2 | +\chapter{Security Administrator} |
| 3 | + |
| 4 | +\section{Security Operations} |
| 5 | + |
| 6 | +Operazioni relative alla sicurezza: |
| 7 | +\begin{itemize} |
| 8 | +\item Gestione delle identità e controllo degli accessi: per esempio badge |
| 9 | +all'ingresso ecc. Ma non solo! Anche controlli di tipo informatico devono essere |
| 10 | +aggiornati dopo ad esempio il licenziamento di un impiegato, al quale dev'essere |
| 11 | +negato l'accesso ai dati aziendali alla fine del suo ultimo giorno lavorativo. |
| 12 | +\item \textit{Patching} del sistema e gestione delle configurazioni: il patching |
| 13 | +è l'anno zero della sicurezza. |
| 14 | +\item Controlli dei cambiamenti e gestione dei rilasci: Il controllo dei |
| 15 | +cambiamenti ogni cambiamento deve essere documentato e i test sono stati |
| 16 | +eseguiti allora può essere introdotto. |
| 17 | +Una release nuova vuol dire che chi ha il livello di autorizzazione perchè una |
| 18 | +nuova release potrebbe comportare comportamenti anomali. |
| 19 | +\item Metriche per la sicurezza e reporting: Ogni società sa dove bisogna |
| 20 | +andare. Tipica metrica di sicurezza è il caso di \emph{awareness} interna |
| 21 | +testata con false email di spam. |
| 22 | +\item Mantenimento dei controlli tecnologici: i controlli vanno mantenuti. |
| 23 | +Il controllo di sicurezza è un qualcosa che da un risparmio in termini di costi |
| 24 | +se applicata in maniera efficace. Vendere la sicurezza è difficile, e un buon |
| 25 | +manager è in grado di venderla. |
| 26 | + |
| 27 | +\item Risposta all'incidente, investigazione e conseguente risoluzione |
| 28 | +Il problema non è come si viene attaccati ma quando si è attaccati: bisogna |
| 29 | +avere un buon grado di comunicazione e trovare la causa dell'incidente. Anche |
| 30 | +avere una buona soluzione, per prevenire che l'incidente occorra di nuovo. |
| 31 | +\textit{Investigation} è la fase successiva all'attacco e serve per capire |
| 32 | +perché e come è successo quello che è successo. |
| 33 | + |
| 34 | +\end{itemize} |
| 35 | + |
| 36 | +%io scrivo ma sono troppo rincoglionito dal pranzo, non capisco cosa scrivo e |
| 37 | +cosa dice -- bene ma non benissimo |
| 38 | + |
| 39 | +\subsection{IS Auditor e IT Governance} |
| 40 | + |
| 41 | +Esistono cinque indicatori per capire se l'azienda ha fatto un buon lavoro nel |
| 42 | +veicolare i propri obiettivi ai lavoratori. È importante che i dipendenti |
| 43 | +sappiano dare risposte a cosa è allineata la compagnia, qual è la sua missione, |
| 44 | +visione, valori, obiettivi e strategie. Quando un dipendente non lo sa o |
| 45 | +risponde ``solo per i soldi'' è un segnale negativo. |
| 46 | + |
| 47 | +\paragraph*{IT} L'IT serve per potare avanti obiettivi strategici di business, |
| 48 | +ed è importante sapere se l'IT è in grado di raggiungere le \textit{performance} |
| 49 | +e gli obiettivi stabiliti. Inoltre sono presenti requisiti a cui essi devono |
| 50 | +sottostare, come per esempio quelli legali o quelli lagati alla qualità. |
| 51 | + |
| 52 | +\paragraph*{Efficacia ed efficienza} L'efficienza è l'uso ottimale delle |
| 53 | +risorse, l'efficacia è il raggiungimento degli obiettivi e dei requisiti |
| 54 | +prefissati. |
| 55 | + |
| 56 | + |
| 57 | + |
| 58 | + |
| 59 | +%eserciziiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii |
| 60 | + |
| 61 | +Who can contribute the most to determining the priorities and risk impacts to |
| 62 | +the organization's information resources? |
| 63 | +\begin{itemize} |
| 64 | +\item Chief Risk Officier |
| 65 | +\item Business Process Owners (risposta esatta): gli owner sono quelli che hanno |
| 66 | +l'informazione, quindi è lui quello che ha tutti i dati! |
| 67 | +\item Security Manager |
| 68 | +\item Auditor |
| 69 | +\end{itemize} |
| 70 | + |
| 71 | +% Altro esercizio |
| 72 | +A document that describes how access permission is defined and allocated is the: |
| 73 | +\begin{itemize} |
| 74 | +\item Data Classification |
| 75 | +\item Acceptable Usage Policy |
| 76 | +\item End-User Computing Policy |
| 77 | +\item Access Control Policies (risposta esatta) % LESGOLD SEI UN FIGOOOO |
| 78 | +\end{itemize} |
| 79 | + |
| 80 | + |
| 81 | +%altro esercizio |
| 82 | + |
| 83 | +The role of the Information Security Manager in relation to the security |
| 84 | +strategy is: |
| 85 | +\begin{itemize} |
| 86 | +\item Primary author with business input (risposta esatta) |
| 87 | +\item Communicator to other departments |
| 88 | +\item Reviewer |
| 89 | +\item Approves the strategy |
| 90 | +\end{itemize} |
| 91 | + |
| 92 | + |
| 93 | +%altro esercizio |
| 94 | +The role most likely to test a control is the: |
| 95 | +\begin{itemize} |
| 96 | +\item Security Administrator (risposta esatta) |
| 97 | +\item Security Architect |
| 98 | +\item Quality Control Analyst: quel "quality control" non è il controllo della |
| 99 | +qualità in senso di sicurezza, ma è in senso più generico |
| 100 | +\item Security Steering Committee |
| 101 | +\end{itemize} |
| 102 | + |
| 103 | + |
| 104 | +%altro esercizio |
| 105 | +The role responsible for defining security objectives and instituting a security |
| 106 | +organization is the: |
| 107 | +\begin{itemize} |
| 108 | +\item Chief Security Officer |
| 109 | +\item Executive Management (risposta corretta) |
| 110 | +\item Board of Directors |
| 111 | +\item Chief Information Security Officer (CISO) |
| 112 | +\end{itemize} |
| 113 | + |
| 114 | + |
| 115 | +% altro esercizio |
| 116 | +When implmenting a control, the PRIMARY guide to implementation adheres to: |
| 117 | +\begin{itemize} |
| 118 | +\item Organization policy (risposta esatta) |
| 119 | +\item Security frameworks such as COBIT, NIST, IOS/IEC |
| 120 | +\item Preventionm Detection, Correction |
| 121 | +\item A layered defense |
| 122 | +\end{itemize} |
| 123 | + |
| 124 | + |
| 125 | +% altro esercizio |
| 126 | + |
| 127 | +The persons on the Security Steering Committee who can contribute the best |
| 128 | +information relating to insuring Information Security success is: |
| 129 | +\begin{itemize} |
| 130 | +\item Chief Information Securty Officer |
| 131 | +\item Business Process Owners (risposta esatta) |
| 132 | +\item Executive Management |
| 133 | +\item Chief Information Officer |
| 134 | +\end{itemize} |
| 135 | + |
| 136 | + |
| 137 | + |
| 138 | +%NUOVA PARTE STRONZIIIII |
| 139 | +\part{Secure Software} |
| 140 | + |
| 141 | +Analizzeremo come si è evoluto il software e i conseguenti attacchi, a partire |
| 142 | +dai ``classici'' \textit{buffer overflow}, per arrivare a sfruttare errori nella |
| 143 | +codifica dei caratteri negli URL degli indirizzi web. |
| 144 | + |
| 145 | +\chapter{Controlli} |
| 146 | + |
| 147 | +\section{Controlli su input} |
| 148 | + |
| 149 | +Ci sono diversi tipi di attacchi che sfruttano gli input, e questi sono: |
| 150 | +\textbf{dati falsi}, \textbf{buffer overflow}\footnote{Si sfrutta l'allocazione |
| 151 | +di memoria nei programmi per eseguire codice arbitrario. Molto difficile da |
| 152 | +applicare ma molto efficace una volta riuscito l'attacco. Da spesso la |
| 153 | +possibilità all'attaccante di ottenere il controllo della macchina. Vedere il |
| 154 | +paper: \textit{Smashing The Stack For Fun And Profit.}}. |
| 155 | + |
| 156 | +Per risolvere tutti questi problemi è necessario \textbf{validare l'input}, |
| 157 | +meglio se tramite le \textit{white list}, ovvero stendere una lista bianca in |
| 158 | +cui tutto ciò che è scritto nella lista è accettato. Usare una \textit{black |
| 159 | +list} è il complementare, e detta tutto ciò che non è possibile fare. Ovviamente |
| 160 | +la seconda è meno restrittiva della prima. |
| 161 | + |
| 162 | +%no dai, sono una componente insicura, non farmi del male |
| 163 | +\section{Interazioni insicure tra componenti} |
| 164 | + |
| 165 | +Un attacco tipico è quando un attaccante riesce a ``intrufolarsi'' in una |
| 166 | +comunicazione insicura, e riesce a trasmettere dati arbitrari. |
| 167 | +Qual è la debolezza qui? È che la associazione tra dispositivi è stata eseguita |
| 168 | +prima che per esempio uno dei due dispositivi vada in \textit{sleep}, e non |
| 169 | +viene eseguita dopo. Quindi una possibile soluzione è eseguire il login, e poi |
| 170 | +comunicare in maniera criptata. |
| 171 | + |
| 172 | +L'hash garantisce integrity. |
| 173 | + |
| 174 | +Un altro possibile attacco è quello dell'\textbf{SQL Injection}, dove un'intera |
| 175 | +stringa SQL viene mandata tramite input, che non viene sanitizzato. Un attacco |
| 176 | +simile con i comandi di sistema operativo si chiama \textbf{OS Command |
| 177 | +Injection}. Tutti questi problemi vengono risolvi separando i controlli dai |
| 178 | +dati. |
| 179 | + |
| 180 | +\section{Jail \& Sandbox} |
| 181 | + |
| 182 | +Jail: il sistema operativo mette dei limiti sulle risorse che si possono |
| 183 | +utilizzare. |
| 184 | +Da qui viene ``Jailbreak''. |
| 185 | +Sandbox: l'applicazione viene fatta girata in un ambiente controllato. |
| 186 | +\todo{rivedere questi appunti perché nessuno riesce più a seguirlo} |
| 187 | + |
| 188 | +\section{Interazione insicura dei componenti} |
| 189 | + |
| 190 | +Questo problema può essere visto anche quando la interazione dei componenti tra |
| 191 | +loro è sicura, ma quando ne esistono molto potrebber essere insicura. |
| 192 | + |
| 193 | +Un attacco simile può essere il \textit{Cross-Site Scripting}, ovvero quando si |
| 194 | +fa l'\textit{inject} di codice in una richiesta web. |
| 195 | + |
| 196 | + |
| 197 | +Esistono attacchi anche su componenti che pensiamo sicure come l'SSL. Un esempio |
| 198 | +è il \textit{SSL strype attack} \todo{Non so come si scriva.}. |
| 199 | + |
| 200 | +Un \textbf{nonce} è un numero che non deve essere casuale, ma dev'essere unico. |
| 201 | +Va bene che sia anche predicibile. Serve in tutti i livelli di |
| 202 | +\textit{encryption} decenti. |
| 203 | + |
0 commit comments