Cenni sulla sicurezza

informatica e privacy

Prof. Salvatore Mancarella

salvatore.mancarella@unisalento.it

Sommario

üCenni sulla sicurezza

informatica

üPrivacy

üIL Regolamento UE

Come facciamo a

proteggere al 100%

della nostra privacy?

https://www.youtube.com/watch?v=6eF-mwKhrVo

Comunicazione

Hacker

Client-Server

APP

Privacy Garante

https://www.youtube.com/watch?v=DxQEk_G5gfU

Privacy

´ Il concetto di privacy online è sempre più

importante in una società che si basa sull’utilizzo

di internet e delle nuove tecnologie.

´ Oggi utilizziamo la rete per qualsiasi attività tanto

che internet è diventato qualcosa di essenziale

per tutti. Questa tendenza ha portato gli utenti ad

affrontare una sfida enorme Inoltre è molto

importante stare attenti a ciò che si clicca sul web.

Da mobile è facile cliccare per sbaglio su un pop-

up per quanto riguarda le app il consiglio è quello

di scaricarle solo dagli store ufficiali.

La sicurezza online

´ Anche in questo caso, infatti, il punto di partenza è

avere sempre il nostro sistema operativo

aggiornato è fondamentale, se il sistema non è

aggiornato, si rende vano anche il ruolo degli

antivirus; Inoltre bisogna che esso venga

affiancato da un anti-malware per proteggersi da

altrettanto virus pericolosi.

10 consigli per la sicurezza online

1. Limitare e mantenere a un livello professionale le

informazioni personali

2. Continuare ad usare le impostazioni sulla privacy

3. Navigare in maniera sicura (es: siti https..)

4. Assicurarsi che la connessione Internet sia sicura

5. Prestare attenzione a ciò che si scarica

10 consigli per la sicurezza online

6. Scegliere password complesse ( es. MPng76?*)

7. Fare acquisti online da siti sicuri

8. Prestare attenzione a ciò che si posta

9. Prestare attenzione a chi si incontra online

10.Mantenere aggiornato il programma antivirus.

La critografia

´ La crittografia (o criptografia, dal greco κρυπτóς

[kryptós], "nascosto", e γραφία [graphía],

"scrittura") è la branca della crittologia che tratta

delle "scritture nascoste", ovvero dei metodi per

rendere un messaggio "offuscato" in modo da

non essere comprensibile/intelligibile a persone

non autorizzate a leggerlo.

Differenza tra http e https

´ HTTP

´

L'Hypertext Transfer Protocol (HTTP) è il fondamento

del World Wide Web, e viene utilizzato per caricare

pagine web utilizzando link ipertestuali

´ HTTPS

´

l'HyperText Transfer Protocol over Secure Socket

Layer, è un protocollo per la comunicazione sicura

attraverso una rete di computer utilizzato su Internet.

Differenza tra http e htpps

´

Riconoscere un sito sicuro

Cos’è la Privacy

´ Prerogativa che ogni individuo ha di decidere in

che misura e con che modalità vuole condividere

una parte di sé con gli altri DIRITTO ALLA LIBERTÀ

´ Potere dell'individuo di controllare la diffusione

delle informazioni che lo riguardano, esercitando

il DIRITTO DI PROPRIETÀ sui propri dati personali

DEFINIZIONE Privacy Riservatezza

IL Regolamento UE

´ Dato personale

IL Regolamento UE

Dati

giudiziari

IL Regolamento UE

´ Dati

IL Regolamento UE

´ Le figure coinvolte

IL Regolamento UE

´ Titolare del trattamento

´

è la persona fisica o giuridica (ad esempio una società) che

tratta i dati personali degli interessati.

´ Responsabile del trattamento

´

può non è affatto una figura interna all’organizzazione ma è

una persona fisica o giuridica che tratta i dati personali degli

interessati per conto del titolare all’esterno

dell’organizzazione.

IL Regolamento UE

´ Incaricato (DPO – DATA PROTECTION OFFICER)

´ è una figura specializzata nella protezione dei dati personali

attraverso l’applicazione delle misure tecniche ed

organizzative. E’ nominata solamente in presenza di alcune

circostanze quali ad esempio il trattamento su larga scala di

dati particolari ex “dati sensibili”. E’, di solito, un consulente

esperto ma può essere anche interno all’organizzazione.

´ Interessato

´ Il GDPR nasce con l’obiettivo di tutelare i dati personali delle

persone fisiche che nel Regolamento vengono definite

“Interessati del trattamento”.

IL Regolamento UE

´ I diritti degli interessati

Account

´ Le credenziali sono sempre in pericolo se non gestite

correttamente

Account

´ Alcune delle abitudini sbagliate sono:

´ Abitudine n° 1

´ Salvare username / password di accesso per

gestire la posta in maniera centralizzata attraverso

un client di posta elettronica come Outlook o

Thunderbird (i più utilizzati).

´ Abitudine n° 2

´Salvare username / password quando il browser

Chrome o Firefox ci chiede di salvare le password

appena inserite, ad esempio su un social network

o casella di posta elettronica.

Account – Abitudini sbagliate

´ Alcune delle abitudini sbagliate sono:

´ Abitudine n°3

´Salvare username / password di accesso a sistemi

di backup in cloud.

´ Abitudine n° 4

´Salvare username / password su file TXT o su file

XLS o DOC

Abitudini n°1

´ Salvare username / password di accesso per gestire la

posta in maniera centralizzata attraverso un client di

posta elettronica come Outlook o Thunderbird (i più

utilizzati).

´ dobbiamo sapere che quando vengono memorizzate le

credenziali di accesso su un client di posta elettronica,

quest’ultimo le salva in una determinata cartella del

disco fisso

´ alcuni client le salvano in chiaro, altri ancora le salvano

criptate con delle chiavi crittografiche scritte, alcune

volte, da qualche parte sul disco fisso dello stesso

computer.

Abitudine n°1

´ Detto questo, è abbastanza banale capire che uno

script malevolo (ad esempio un allegato arrivato sul

nostro computer attraverso un messaggio di posta

elettronica) potrebbe in maniera veramente molto

semplice accedere a queste informazioni ed inviarle

ad un malintenzionato pronto a riceverle e ad

assumere il controllo completo delle n-caselle di posta

elettronica con annesse credenziali che ha appena

ricevuto.

Abitudine n°1

´ Per fare questo lo script malevolo deve tener conto di

solo 3 elementi:

´ la posizione dei file in cui ci sono memorizzate le

username e le credenziali;

´ la posizione delle eventuali chiavi;

´ il metodo con cui sono stati criptati.

´ Purtroppo queste informazioni sono disponibili sul web

per gran parte dei client di posta elettronica, come

sono anche disponibili sul web una serie di strumenti

pronti a compiere questo tipo di attività.

Abitudine n°1

´ NIRSOFT MAIL Pass View

´ https://www.nirsoft.net/utils/mailpv.html

Abitudine n°1

´ Addirittura, basterebbe rubare da un PC la cartella

“profiles” di Thunderbird per poi analizzarla con calma

su qualche altro sistema per estrarne le credenziali.

Ancora più semplice dell’avviare uno script malevolo

che con gli antivirus di nuova generazione potrebbe

incontrare tanti problemi durante l’esecuzione,

sarebbe fare un normalissimo copia ed incolla

Abitudine n°2

´ Salvare username / password quando il browser

Chrome o Firefox ci chiede di salvare le password

appena inserite, ad esempio su un social network o

casella di posta elettronica.

Abitudine n°2

´ Lo strumento WebBrowserPassView, ad esempio, è

famoso e dimostra quanto sia semplice un’operazione

di recupero credenziali memorizzate attraverso un

browser; attraverso tale semplice strumento, un

malintenzionato potrebbe recuperare credenziali di

accesso a social network, e-commerce, webmail e

servizi web di ogni genere.

´ https://www.nirsoft.net/utils/web_browser_password.ht

ml

Abitudine n°3

´ Salvare username / password di accesso a sistemi di

backup in cloud

´ presente simili problemi e rischi poiché anche i software

che si occupano di Backup conservano in qualche

cartella, le credenziali di accesso ad una connessione di

rete, ad un sistema in cloud. E’ importante conoscere se

il software di backup utilizzato conserva le credenziali in

chiaro o criptate.

Abitudine n°4

´ La possibilità di salvare le credenziali in un file TXT,

quest’ultima risulta essere più sicura, nella sua

pericolosità, rispetto al problema del client di posta

elettronica.

´ Ad esempio, il malware o il malintenzionato dovrebbe

conoscere il nome del file su cui l’utente ha salvato

alcune credenziali e la sua localizzazione all’interno del

disco;

Consigli

´ Applicare la Multi Factor Authentication ove

L'autenticazione a più fattori

´ Bisogna precisare che si può parlare di MFA quando si

integrano almeno 2 soluzioni

tra conoscere, avere ed essere rappresentati in modo

univoco.

´ Una password, una username, un PIN sono elementi che

si conoscono;

´ un token, una smart card, un SMS ricevuto sullo smartphone

sono elementi che si hanno;

´ l’impronta digitale, il riconoscimento facciale, la scansione

dell’iride sono elementi che ci rappresentano in modo

univoco.

Consiglio

´ Utilizzare client di posta elettronica, in cui ci è permesso

di usare chiavi crittografiche personalizzate, ad esempio

Thunderbird con la Master Password.

´ Utilizzare software e strumenti di backup, in cui le

credenziali vengono criptate con una chiave

personalizzata o attraverso metodologie di Hashing.

´ Evitare di conservare credenziali su file TXT, XLS

facilmente intercettabili da un malware o da un

malintenzionato, ad esempio su un file password.xls

all’interno della cartella documenti o desktop.

Controlliamo la mail

´ https://haveibeenpwned.com/

Software

´ Per criptare file (veracrypt)

´ https://www.veracrypt.fr/en/Downloads.html

´ Ativirus

´ https://www.mcafee.com/it-it/index.html (a pagamento)

´ https://www.avast.com (Free)

Software

´ Per trovare eventuali Malware

´ https://it.malwarebytes.com/mwb-download/

SPAM

´ Lo SPAM è l’invio, spesso massiccio e ripetuto di

comunicazioni promozionali senza il consenso del

destinatario

´ https://www.youtube.com/watch?v=hDOH09EcFr0

Messaggi

Mail

Privacy su Android

Deepfake

´ Il deepfake (parola coniata nel 2017) è una tecnica

per la sintesi dell’immagine umana basata

sull’intelligenza artificiale, usata per combinare e

sovrapporre immagini e video esistenti con video o

immagini originali, tramite una tecnica di

apprendimento automatico. È stata anche usata per

creare falsi video pornografici ritraenti celebrità, ma

può anche essere usato per creare fake news, bufale

e truffe, per compiere atti di cyberbullismo o altri

crimini informatici di varia natura oppure per satira.

Deepfake

´ Video del garante

´ https://youtu.be/OldG6BtLgc0

Conclusione

üCenni sulla sicurezza

informatica

üPrivacy

üIL Regolamento UE

03 - Cenni sulla sicurezza informatica e privacy

Testo di riferimento per i vari corsi

Clicca per acquistare su Amazon il libro Programmazione Python per le scienze della vita

Le slide fanno riferimento al Capitolo 4 - Python e il Web (pp. 279 a pp 297)