seminario di informatica 2
TRANSCRIPT
Seminiario di Informatica
Andrea Barilli
sommario
Elementi di SicurezzaSistemi Operativi e SmartPhone Raspberry PI Professione informatico DomandeVarie ed Eventuali
professioni informatiche tlc telecomunication operator, manager management architect manager, businness manager
formation formator
help desk help desk opeartor, coordianator percorsi accademiciphd/ post doc/ ricercatore, professore,
in italia
il livello di preparazione degli operatori itc in italia é medio alto
remunerazione decisamente sotto la media europea scarsa comprensione delle competenze del settore
informatica vista come costo, non come una risorsa in cui investire
informatica vista come problema, non come strumenti per produrre meglio, piu' velocemente. informatica é una scienza, non un prodotto.
percorso di formazione continua
le tecnologie informatiche sono in continua evoluzione, questo impone un continuo percorso di formazione
- le aziende difficilmente pagano corsi presupposto di conoscenza - le risorse sono sottopagate presupposto di non competenza
- si impara lavorando di piu' straordinari non sempre pagati
mercato
il mercato ict é in espansionei contratti sono atipicino stabilitá
stipendi bassi
pericolo di fuga all'estero per ogni mente che va all'estero l'italia perde un investimento prezioso
professioni informatiche su cui puntare
iOS / Android developper network and system security web-oriented developper system administrator
virtualization manager
COSA VUOL DIRE
S I C U R E Z Z A ???
Sicurezza
La sicurezza (dal latino "sine cura": senza preoccupazione) può essere definita come la "conoscenza che l'evoluzione di un sistema non produrrà stati indesiderati" La CONOSCENZA è fondamentale poiché un SISTEMA può evolversi senza dar luogo a stati indesiderati, ma non per questo esso può essere ritenuto sicuro. Solo una conoscenza di tipo scientifico, basata quindi su osservazioni ripetibili, può garantire una valutazione sensata della sicurezza
Sicurezza Informatica
La Sicurezza informatica è quella branca dell'informatica che si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati. I principali aspetti di protezione del dato sono confidenzialita'
integrita'
disponibilita'
scenario: Internet e Reti Telematiche
Problema: vige una silente anarchia
● poche regolamentazioni/leggicaotica e difficile determinazione del territorio di applicazione
● chi si presenta non sempre e' chi ci si aspettala fiducia a prescindere e' una cattiva consigliera
● le informazioni tra A e B passano per altri n nodi
bisogno di sicurezza?
In un mondo dominato dalle comunicazioni globali, dovebuona parte delle informazioni sono digitalizzate etrasmesse per via telematica, la sicurezza sta pian pianodiventando un aspetto da non trascurare e, maggiore e' ilvalore delle informazioni in gioco, tanto piu' diventa unfattore di estrema rilevanza.
sfortunatamente anche le informazioni che sembrano di poco conto rivestono un ruolo importante, tanto da doverle preservare.
bisogno di sicurezza?
Ma ne ho veramente bisogno? Ho dati sensibili da proteggere? C'e' qualcuno che vorrebbe impossessarsene? C'e' qualcuno che vorrebbe spacciarsi per me? Potrei essere il mezzo per arrivare ad altri obiettivi?
Sicurezza nel software
l'uomo per sua natura e' un essere imperfetto portato ad errare
i programmi sono scritti dall'uomo e sono passibili di errori
● sintattici "il mano"● semantici "il melo ha peli del naso in caso fu"● runtime, operazioni non lecite come la divisione per 0● logici: causati da scelte fatte nell’algoritmo● strutturali e di progettazione.
gli insiemi di errori non si sommano ma si moltiplicano tra di loro
bugs
identifica un errore di un programma (ma anche un difetto hardware) che causa un comportamento imprevisto I bug in un programma possono essere gravi a tal punto da rendere vulnerabile ad attacchi informatici esistono decine di tecniche per abbassare il numero dei bug, ma e' praticamente impossibile azzerarli.
Individuazione
esistono aziende specializzate nello scovare problemi di sicurezza (quasi tutti riconducibili a errori) e' piu' difficile scovare gli errori nel codice chiuso
anche se scovati, non tutti i bug vengono documentati per evitare attacchi di massa per evitare perdite di immagine
Strada da seguire
Si ottiene una discreta politica di sicurezza quando siarriva ad un compromesso tra
Confidentiality (Confidenzialita')
Integrity (Integrita')
Availavility (Disponibilita')
Confidenzialita'
lo scambio di dati tra un mittente e uno o piu' destinatarideve risultare:
riservato (autenticazione)
segreto (crittografia)
dati identificazione timestamp crittografia
Integrita'
bisogna garantire che i dati scambiati tra piu' entita'restino intatti e vengano protetti da eventuali alterazioni;le modifiche potranno essere effettuate soltanto secondole policy dettate dal sistema, quindi rilevate e segnalatei dati dovranno essere quindi:
non modificabili (dati intatti)
modificabili da utenti o servizi aventi i permessi
garantiti da un controllo di rilevazione e correzione degli errori
Disponibilita'
bisogna tutelare l'operativita' del sistema; il sistema e lerisorse dovranno essere garantite ai legittimi utilizzatori enon dovranno presentarsi forme di non accessibilita'(denial of service) a queste ultime.In questo caso oltre ai dati entrano in gioco le risorse chedovranno garantire:
stabilita'
operativita'
velocita'
Tipologie di attacco
Sociale
Remoto
Locale
Fisico
Trashing, Phishing, Social Engineering ...
DoS, MITM attacks, spoofing, worms,remote exploits...
local exploits, DoS locali, rootkit, varie tecniche di privilege escalation..
lockpicking, furto deidispositivi di storage,disattivazione fisica
Tipologie di Attaccante
Il curioso
Il malizioso
La concorrenza
Lo sfruttatore
obbiettivi di un attacco Curiosita', Sfida, Ambizione, Vanita'
Conoscenza delle strutture dati di un sistema (DB e UTENTI)
Alterazione dei dati di un sistema Creare danni visibili (es. modifica di pagine web), per fama Attivazione di servizi non autorizzati (ircd, bot, ...) Sfruttamento di risorse (banda, disco,cpu) x repository illegali Sfruttamento di risorse per attacchi di tipo Dos || DDoS Utilizzo del sistema come base d'attacco verso altri sistemi
storia di un attacco tipo
1) Acquisizione delle informazioni sull'obiettivo (whois, interrogazione dei ns, google, traceroute, trashing, social engineering, ...)
2) Acquisizione delle informazioni sul tipo di OS (xprobe, p0f, netcraft, ...).
3) Acquisizione delle informazioni sullo stato dei servizi attivi (nmap, nessus, nikto, ecc..) 4) Ricerca di vulnerabilita' di un determinato servizio (google, bugtraq, ecc..)
storia di un attacco tipo
5) Lancio dell'attacco
exploit unprivileged exploit privileged software software
attacco remoto break in
attacco locale accesso locale accesso locale non privilegiato privilegiato privilege escalation
e la tipologia piu' pericolosa?
Sociale
Remoto
Locale
Fisico
Trashing, Phishing, Social Engineering ...
DoS, MITM attacks, spoofing, worms,remote exploits...
local exploits, DoS locali, rootkit, varie tecniche di privilege escalation..
lockpicking, furto deidispositivi di storage,disattivazione fisica
Social Engineering
per ingegneria sociale si intende lo studio del comportamento individuale di una persona al fine di carpire informazioni. Questa tecnica è anche un metodo improprio per ottenere informazioni rilevanti (password, nomi, account), come lo sono violenza tortura e ricatti, ma a differenza di queste il bersaglio da le informazioni che servono all'attaccante di sua spontanea volonta' e senza che ne sia costretto
l' ingegnere sociale
Se un CRACKER non trova bug da sfruttare l'unico modo che ha per procurarsi le informazioni e' quello di attuare un attacco di ingegneria sociale. Un ingegnere sociale deve saper fingere, sapere ingannare gli altri, in una parola saper mentire.
è molto bravo a nascondere la propria identità, fingendosi un'altra persona: cosi' riesce a ricavare informazioni che non potrebbe ottenere con la sua identità reale. In molti casi il cosiddetto ingegnere potrà riuscire a ricavare tutto ciò che gli serve dalla vittima ignara.
tecniche di social engineering
raccogliere le informazioni, in tutti i modi, tutte le informazioni sono utili.
presentarsi credibili, sicuri
presentarsi come altre persone
richiesta di aiuto>fare in modo che la vittima aiuti il carnefice
proposta di aiuto>l'attaccante finge di aiutare il bersaglio
phishing
è una attività illegale che sfrutta una tecnica di Ingegneria Sociale e' utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del Furto di IDENTITA' mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di email fasulli o messaggi istantanei, ma anche contatti telefonici. Grazie a messaggi che imitano grafico e logo dei siti istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.
attacco phishing
1. l'attaccante spedisce un messaggio email che simula, grafica contenuto, quello di una istituzione nota al destinatario (banca, provider, aste online).
2. l'email contiene avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account).
3. l'email invita il destinatario a seguire un link,al fine di risolvere il problema del punto 2
4. il link fornito porta a una copia fittizia simile al sito ufficiale, controllato dal phisher, allo scopo di ottenere dal destinatario dati personali con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.
5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.
perche' tutto questo funziona?
L'uomo è solitamente portato a fidarsi del prossimo Socialità insita nell'istinto umano Non si conosce il valore intrinseco delle informazioni, soprattutto quelle che si considerano di poco conto Se si viene raggirati con classe, le controdifese arrivano sempre tardivamente
Trashing
E' una tecnica ri ricera di dati sensibili tuffandosi direttamente nell'immondizzia. piatti ambinti dei trasher ricevute di trasazioniricevute carte di creditodocumenti interni di una aziendascontrini, addebiti, che possano essere utilizzati come pontiper carpire identita' , stili di vita, abitudini.
in italia quanto siamo furbi?
da una intervista Adiconsum. identia' scippata per 1 italiano su 4
frodi piu' frequenti: sottoscrizione contratti online senza accorgerseneacquisto di beni mai recapitatiaddebiti per prodotti mai richiestiattacchi phishing il 55 % non conosceva il problema prima dell'intervistail 35 % non adotta precauzioniil 44 % non sa cosa fare per poteggersi.
ciao sono Adria
ho freddo, sono una bella gnocca, sono giovane e straniera
ho bisogno di aiuto
invia foto/ contatti/ un eseguibile
offerta specialevisualizzazione contenutiprezzi scontati, clausole poco chiare
possibilitá di guadagni
download di programmi interessanti
download di programmi preliminari
offerte di pagamento con voucher o beni di consumo
trading finaziario, offerta di xxx $ di bonus a fronte di pagamento di x$ buono entrata
la difesa
Prevenire
Individuare
Reagire
correzione bug software, autenticazione sicura, strong password,firewall, crittografia, uso intelligente di permessi, intelligenza e attenzione verso gli attacchi sociali
monitoraggio della rete, IDS, analisi di log, file integrity checker, ...
security menagement
la sicurezza e' 1 processo non 1prodotto
Catene di S.Antonio
Sistemi Operativi ed evoluzione dei calcolatori
adattamento dei SO alle esigenze future
Sistemi Operativi
è l'insieme di routine e strutture dati responsabile del controllo e della gestione dei componenti hardware che costituiscono un computer e dei programmi che su di esso vengono eseguiti. Il sistema operativo mette anche a disposizione dell'utente una interfaccia software (grafica o testuale) per accedere alle risorse hardware (dischi, memoria, I/O in generale) del sistema. Il compito principale del sistema operativo è quello di permettere all'utente, umano o non, di interagire direttamente con la macchina.
Esigenza di Mobilita'
Mobile Phone
PDA
SmartPhones
Tablet
Sistemi Operativi Embedded
perche' uno Smartphone o un Tablet?
Uno smartphone è un dispositivo portatile che abbina funzionalità di gestione di dati (personali non) e di telefono. La caratteristica più interessante degli smartphone è la possibilità di installarvi altri programmi applicativi, che aggiungono nuove funzionalità. Giochi - Navigatori satellitari - notizie -servizi - libri eccOggi esistono smartphone con connessione Gsm/GPRS/EDGE/UMTS/HSDPA, che utilizzano le tecnolologie come Bluethooth/Wi-Fi per la comunicazione o il GPS per la localizzazione e in piu' tantissime altre come riproduzione audio/video, l'accelerometro, capacita' di calcolo da consolle portatile, acceleratore grafico ecc ecc
CONVERGENZA
perche' uno Smartphone o un Tablet?
Moda e Costume gli smartphone sono diventati status simbol (HTC, iPhone)
Perche' si ha sempre avuto un palmare ora le dimensioni ridotte e le funzioni telefoniche li rendono piu' allettanti per chi e' palmare-dipendente
Altre Prestazioni meno ingombranti dei NetBook offorono processori veloci, gps, alta connettivita', interfacce facili da usare e un bacino di programmi immenso
sono piccoli gioelli
sia per le prestazioni, sia per la quantita' di tecnologia racchiusa, sia dal prezzo non proprio polare questi piccoli computer portatili in alcuni casi sono proprio dei gioielli MA LE COSE STANNO CAMBIANDO
Concorrenza Altissima
sono nati dei veri e propri modelli di businnes atti a migliorare questo settore, un tempo di nicchia ora si affaccia al pubblico con standar qualitativi altissimi
+ concorrenza => + qualita' => minori prezzi
Classifica dei Produttori 2012
Apple = iPhone e' il modello di punta del settore Samsung = produttore di rilievo nel campo mobile Nokia = costruttore di telefoni per eccellenza. W7. downRIM = BlackBerry e' sinonimo di professionisti. down HTC = produttore di rilievo nei dispositivi mobili, monta Windows 7 e anche Android. da notare che Apple è il produttore più temuto anche se è quello con meno modelli. perché?
android sistema operativo basato suL I N U X
alternativa valida?
comunità attiva diverse case produttrici di telefoni lo installano più target di persone
fenomeno SmartPhones spunti per creare migliori prodotti in altri settori
processori - consumi future implementazioni di tecnologie simili per server PC e notebook che permettano di avere maggiore calcolo con minore consumobatterie piu' resistenti, meno capienti, meno inquinanti. notebookprocessori grafici e schermi migliori prestazioni per proc grafici di nuova concezione monitor lcd piu' leggeri, piu' luminosi, consolle portatili piu' performanti
nuovi modelli di marketing
poteri diritti doveri
lo zio Ben a Peter, in Spiderman «Da un grande potere derivano grandi responsabilità»
responsabilitá (x come si usano)sicurezza, (informazioni)
disponibilitá, (contenuti) your live is on a social network reputazione
Raspberry PI
Raspberry Pi
Perche'?● Per poter giocare imparando● Per poter imparare giocando● Per far rinascere una Commodore Generationma anche:●Per far nascere un nuovo artigianato...
cos'é?● Un computer a tutti gli effetti grande come una carta di credito
non é un super computer, é un computer con prestazioni paragonabili a un pc di 8/10 anni fa
Costa circa 35$
wikipediaL'idea di base è la realizzazione di un dispositivo economico, concepito per stimolare l'insegnamento di base dell'informatica e della programmazione nelle scuoleIl progetto ruota attorno a un System-on-a-chip (SoC) Broadcom BCM2835, che incorpora un processore ARM1176JZF-S a 700 MHz, una GPU VideoCore IV, e 256 o 512 Megabyte di memoria. Il progetto non prevede né hard disk né una unità a stato solido, affidandosi invece a una scheda SD per il boot e per la memoria non volatile.La scheda è stata progettata per ospitare sistemi operativi basati su un kernel Linux o RISC OS
dove nasce?
Lo sviluppo del dispositivo è portato avanti dalla Raspberry Pi Foundation, organizzazione di beneficenza registrata presso la Charity Commission for England and Wales. Il suo scopo è "promuovere lo studio dell'informatica e di argomenti correlati, soprattutto a livello scolastico, e di riportare uno spirito di divertimento nell'apprendimento del computer" La fondazione Raspberry Pi promuoverà principalmente l'apprendimento nel linguaggio di programmazione Python, ma sosterrà anche l'uso del BBC BASIC, del C e del Perl. Saranno disponibili molti altri linguaggi supportati da Linux e ARM.
cosa ci si puo' fare
● Si puo' navigare in rete● Scambiare E-mail● Scrivere testi fogli elettronici etc...ma questo non e' divertente!● Si puo' programmare● Si puo' interfacciare● Si puo' inventare (hardware e software)questo e' divertente!
si suda! si impara! si guadagna !!!
progetti possibili
Antifurto, cancello automaticoMedia Center (server/client)Remote ConsoleLIM (wi remote + proiettore)PABX (centralina telefonica )Domotica Contatore GeigerTermometro ambientale (caldaia-condizionatore) FirewallNAS Access PointWi-Fi projector Sensore Meterologico
domande????
varie ed eventuali
Grazie di Avermi Ascoltato
IN BOCCA AL LUPO PER GLI ESAMI