1 / 18

BOLLETTINO DI SICUREZZA INFORMATICA

STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa. BOLLETTINO DI SICUREZZA INFORMATICA. N°5/2003. Il bollettino può essere visionato on-line sul sito www.cert.difesa.it. INDICE. SISTEMI OPERATIVI :

Download Presentation

BOLLETTINO DI SICUREZZA INFORMATICA

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. STATO MAGGIORE DIFESA Reparto Informazioni e Sicurezza Ufficio Sicurezza Difesa BOLLETTINO DI SICUREZZA INFORMATICA N°5/2003 Il bollettino può essere visionato on-line sul sito www.cert.difesa.it

  2. INDICE • SISTEMI OPERATIVI : - DIALER……………………………………………………………………………………….Pag. 1- NOVITA’ ANTIVIRUS IN OUTLOOK………………………………………………….Pag. 6 • FOCUS ON….: - SPAM……………………………………………………………………………………..Pag. 7 • SICUREZZA DELLA RETE: - LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET • (NONA PARTE)………………………………………………………………………….Pag. 13 PER CONTATTI ED EVENTUALI SUGGERIMENTI : TEL. 06/46917156–FAX 06/36000904 E-MAIL : ris.s@smd.difesa.it

  3. DIALER • 1. Cosa sono i dialer • I dialer (o webdialer) sono programmi (con estensione .exe) o componenti Active-X che se installati ed attivati disconnettono la connessione al provider utilizzato e, normalmente ad insaputa dell’utente, effettuano una nuova connessione verso un numero telefonico, cosiddetto a valore aggiunto, con prefisso 709, 899, ecc., o verso un numero internazionale del tipo +00773 ecc., con costi che vanno dai circa 2,5 euro al minuto più iva, oppure con connessioni consecutive di pochi secondi ciascuna al costo di 6 euro. • Spesso i programmi dialer sono camuffati da offerta per un rapido accesso a Internet, abbonamento a un servizio, ecc. o promettono altri vantaggi. Basta quindi confermare il download di questi programmi per ricevere fatture telefoniche talvolta inaspettatamente elevate. Attualmente, i dialer funzionano solo con il sistema operativo MS Windows. • 2. Siti dove vi è il rischio di incappare nei dialer • I siti che propongono di scaricare dialer sono prevalentemente: • siti che offrono Loghi o Suonerie per cellulari; • siti che offrono materiale a carattere pornografico (foto, filmati, ecc.); • siti che offrono Sfondi per Desktop; • siti che offrono musica in formato MP3; • siti che offrono programmi di Crack o Password per sbloccare software commerciale a pagamento. • Altro mezzo comunemente usato sono le e-mail “non desiderate” (SPAM) con file allegati di tipo .exe. Pagina 1

  4. 3. Come si presentano La figura 1 mostra cosa appare nel momento in cui si clicca su uno dei link. Figura 1 In questi casi conviene annullare l’operazione in modo da non scaricare il dialer. Un altro sistema che viene usato in rete per “convincere” gli utenti ad effettuare il download di un dialer, consiste nello scaricare un presunto certificato (figura 2). Figura 2 Pagina 2

  5. In questi casi bisogna ciccare No altrimenti il dialer verrà installato e risulterà di difficile rimozione. E’ bene far presente che non tutti i certificati contengono dialer; quindi l’utente deve essere in grado di riconoscerli, per esempio i certificati della Macromedia e della Microsoft sono dei veri certificati.  • I dialer possono inoltre trovarsi anche nelle fastidiose finestre di pop up (sempre come collegamento a un file) le quali si aprono durante la navigazione e potrebbero installare un dialer nel tentativo di chiuderle . Molti siti inoltre permettono anche il download di immagini contenute in file Zip. All’interno di questo file Zip oltre alle immagini ci potrebbe essere una icona con il personaggio che in realtà è un dialer e non una immagine. • 3.Come difendersi • Quando su internet, per ottenere documenti, fotografie, filmati o brani musicali viene chiesto di installare gratuitamente un programma bisogna fare molta attenzione. In tal senso è importante ricordare che: • è indispensabile leggere integralmente le istruzioni che  riguardano il programma da installare, scorrendo, senza fretta, tutto il testo con il  cursore; molto spesso viene spiegato che il programma, una volta installato, stabilirà una nuova connessione con un  numero telefonico (70X, 00X, 899XX) a tariffa più alta rispetto all’urbana, in genere dai 2,5 euro più iva al  minuto in su; • a volte l'avviso relativo alla nuova connessione è assente o poco leggibile, oppure non descrive alcune caratteristiche particolarmente insidiose del programma, quali ad esempio connessioni consecutive di pochi secondi ciascuna al costo di 6 euro; • se si sceglie di non  installare il programma è importante verificare se il modem cerca di chiamare un nuovo numero telefonico a vostra insaputa. • se si sceglie di installare il programma è importante verificare se il modem cerca di chiamare un nuovo numero telefonico a vostra  insaputa in altre circostanze (cioè dopo aver ottenuto il servizio offerto, ad esempio dopo  qualche minuto o nei giorni seguenti).Si può impedire  un'operazione non richiesta spegnendo il modem e verificando le istruzioni  di connessione (accesso remoto). • Comunque, per evitare di scaricare dalla rete i dialer esistono dei piccoli accorgimenti che cautelano l’utente dal problema in oggetto: • a.Esistono delle impostazioni restrittive a livello sistema operativo che evitano il download dei file e quindi anche dei Dialer.La procedura da attuare riferita al sistema operativo Windows 2000 è la seguente : • ·aprire Internet Explorer e cliccare su "Strumenti > Opzioni Internet“; Pagina 3

  6. cliccare su "Protezione" e infine su Livello personalizzato. Pagina 4

  7. sulla finestra che apparirà basterà scegliere "Disattiva" sulle seguenti voci: Ø"Active-X" - Disattiva TUTTE le voci che contengono la scritta "Active-X"; • “Download dei File” – Disattiva Questa risulta essere una soluzione un po' drastica ma e' la piu' sicura in assoluto, Questo e' anche il modo piu' sicuro ed efficace per evitare che altre persone poco esperte scarichino i dialer inavvertitamente. Detta procedura risulta reversibile nel caso ci sia necessità di scaricare un Active X o un file da Internet; in questo caso dovremo scegliere la voce “Attiva” nelle posizioni sopra descritte. • b.In rete esistono dei programmi chiamati Anti-dialer, i quali avvisano l’utente (connesso tramite dial-up o ISDN) nel momento in cui varia l’accesso remoto e di conseguenza il numero telefonico chiamato. Uno di questi prende il nome di: "STOP Dialers“ 1.2, questo impedisce che il modem si connetta a numeri telefonici differenti da quelli del provider (e quindi a tutti i numeri dei dialer). La versione attuale funziona egregiamente su Windows 95/98/ME e su Windows2000 e XP. Detto programma è completamente gratuito e scaricabile al seguente URL :http://www.akapulce.net/socket2000/stopdialer.asp Per una ulteriore scelta si consiglia di digitare la parola “programmi anti-dialer” come chiave, con un qualsiasi motore di ricerca. Esiste anche la possibilità tramite il servizio Telecom che risponde al numero 187 di disattivare sulla linea tutte le chiamate fatte ai numeri 899, 709, 166, e a tutti gli altri numeri a pagamento. Telecom offre di disattivare i numeri a pagamento solo da pochissimi mesi. La disattivazione di tutti questi e’ gratuita . Pagina 5

  8. NOVITA’ ANTIVIRUS IN OUTLOOK • La Microsoft nella partecipazione alla lotta contro l’espandersi dei virus, specialmente attraverso la posta elettronica, dalla versione di Outlook 2000 Sr1 (e successivi aggiornamenti) ha incluso nel client di posta elettronica un filtro in modo da bloccare gli allegati con deteminate estensioni. Le estensioni “incriminate” risultano le seguenti : .ade, .apd, .bas, .chm, .cmd, .com, .crt, .exe, .hlp, .hta, .inf, .isp, .js, .jse, .lnk, .mbd, .mde, .msc, .msi, .msp, .mst, .pcd, .pif, .reg, .scr, .sct, .url, .vb, .vbe, .vbs, .wsc, .wsf, .wsh. Il filtraggio di queste avviene perché allegati con le estensioni sopradesrcitte potrebbero contenere un codice dannoso, in definitiva dei virus. • Il problema sorge quando l’e-mail contiene un normale eseguibile (.exe) che viene sistematicamente bloccato da Outlook; la Microsoft dichiara che l’aggiornamento una volta installato si integra completamente con Outlook e per essere rimosso bisogna, per forza di cose, disinstallare Office. Per ovviare a questo problema la Microsoft suggerisce di farsi inviare in tal caso i dati compressi come file .zip. Il problema si può arginare creando una stringa di comandi nel registro di sistema. • Le operazioni da eseguire sono le seguenti : • Cliccare su start > esegui > quindi digitare “regedit”; • Una volta entrati nell’editor di registro selezionare il seguente percorso : • Hkey_Local_Machine\Software\Microsoft\Software\Office\Outlook • (se la cartella non esiste, occorre crearla: fare clic con il tasto destro su Office, poi scegliere Nuovo > Chiave, specificare Outlook come Nome, quindi premere invio); • 3. Dopo un clic con il tasto destro sulla cartella Outlook scegliere Nuovo > Dword il valore OldAttachmentDialog (figura 1) seguito da invio; Figura 1 4. Fare doppio clic sulla nuova voce e modificarne il valore in “1”; 5. Infine confermare ed uscire dall’editor. Da questo momento il meccanismo di protezione risulterà disabilitato; mentre se il valore viene modificato in “0” o si cancella la sottochiave, si riattiverà il meccanismo di protezione. Si consiglia, comunque di non aprire direttamente l’allegato, ma salvarlo su disco fisso; per farlo basta cliccare con il tasto destro sull’allegato e scegliere la voce “salva con nome”. Il file così salvato sarà pronto per essere esaminato da un buon antivirus. Pagina 6

  9. SPAM Che cosa è Lo spam su Internet consiste in uno o più messaggi non sollecitati, spediti o affissi come parte di un insieme più grande di messaggi, tutti aventi contenuto sostanzialmente identico.La parola “SPAM” deriva da un impasto di carne di maiale e prosciutto in scatola (spicy pork and ham). Questo tipo di carne diventò oggetto di una famosa scenetta dei Monty Python, che si svolgeva in un ristorante dove tutti i piatti offerti contenevano lo spam, così questa parola veniva ripetuta ossessivamente all'infinito. Così spam entrò nel gergo delle reti per indicare l'eccessiva, ripetitiva e fastidiosa diffusione dello stesso messaggio. Il termine spam fu usato originariamente in Usenet per descrivere pubblicità o posta fuori tema scambiato tra i vari newsgroup. Da quando questo fenomeno si è diffuso ha incluso messaggi di posta ordinaria sia di tipo UCE (unsolicited commercial email=pubblicità non richiesta) che UBE (unsolicited bulk email=quantità di posta non richiesta). Come difendersi 1. La prima azione da fare è quella di settare il proprio programma di posta elettronica, configurando dei filtri personalizzati, in modo da ridurre sostanzialmente la ricezione di junk mail (posta indesiderata). La configurazione che segue prende in esame il programma di posta elettronica “ Microsoft Outlook 2000”. Questo filtro permetterà di compilare una lista, dove l’utente man mano che riceverà posta elettronica, segnalerà i mittenti considerati come “non desiderati”, i quali se ricevuti una seconda volta saranno subito evidenziati o spostati automaticamente in un’altra casella. Il settaggio di un filtro personalizzato per la posta indesiderata avviene seguendo i seguenti passi : - aprire il programma e cliccare su “organizza” (figura 1) figura 1 Pagina 7

  10. - cliccando su “Organizza” e successivamente su “Posta indesiderata” apparirà una maschera che permetterà di evidenziare la posta indesiderata con dei colori a scelta, in più sarà data possibilità di spostare la posta indesiderata in un’altra locazione (figura 2); figura 2 - per visualizzare o modificare l’elenco della posta indesiderata bisognerà cliccare sulla scritta “fare clic qui”, comparirà un’altra schermata che darà la possibilità di configurare l’elenco (figura 3); figura 3 Pagina 8

  11. - infine il metodo più rapido per aggiungere elementi alla lista della posta indesiderata consiste nel cliccare con il tasto destro, sul mittente da aggiungere nell’elenco della posta indesiderata, di conseguenza cliccare su “Posta indesiderata” > “Aggiungi all’elenco Mittenti posta indesiderata” (figura 4). figura 4 • Questo settaggio comporterà la non visualizzazione di posta già considerata spam. • 2. Un secondo rimedio potrebbe consistere nell’installare un programma antispam, che svolga la funzione di controllo ed eliminazione della posta indesiderata. • I software attualmente in commercio si dividono in due categorie : Pop3 Proxy e Plug-in. • Pop3 Proxy : questi programmi si interpongono tra il server di posta e il client di posta elettronica (Outlook, Outlook Express, Netscape Messeger, Opera etc). I Pop3 Proxy filtrano il traffico isolando i messagi indesiderati; infatti quando l’utente accederà alla caselle di posta elettronica si vedrà recapitare solo la posta desiderata. • . Vantaggi • - questi programmi sono indipendenti dal client di posta elettronica usato; • . Svantaggi • - configurazione abbastanza complessa e possibili conflitti con programmi • antivirus già presenti sul PC; • - alcuni di questi programmi, cancellano le e-mail indesiderate senza • possibilità di verifica, dando così esito a “falsi positivi”, cioè la possibilità di • scartare e-mail reali. Pagina 9

  12. Plug-in : a differenza dei programmi Pop3 Proxy questi, una volta installati, diventano parte integrante del client di posta utilizzato, semplificando le operazioni di configurazione ed installazione. • . Svantaggi • - questi programmi sono specifici per client di posta elettronica. Per esempio il programma usato per Outlook non può essere usato per Netscape Messeger; • . Vantaggi • - i messaggi che vengono filtrati da questi programmi non sono direttamente cancellati, essi vengono scaricati in una specifica cartella della posta in arrivo, in modo che questi siano controllati prima della definitiva cancellazione. • La ricerca in rete di questi programmi avviene digitando la parola chiave “software antispamming” con un qualsiasi motore di ricerca. • 3. Un’altra soluzione consiste nell’aprire, presso un gestore di posta elettronica, una nuova casella (di nuova attuazione) che sia già provvista di filtri antivirus e antispam. Nella Figura 5 possiamo vedere, a grandi linee, come è strutturata l’architettura di posta elettronica (in ricezione). POP/IMAP Internet Anti- Spam Anti- Virus Delivery-in SMTP Figura 5 • Nel dettaglio vediamo come è composta la componente Anti-spam;i filtri principali applicati risultano i seguenti: • DNS-based Block list – liste di indirizzi IP di host che inviano SPAM, dette liste sono costantemente aggiornate in tempo reale e consultate via DNS; • Local Black List - liste di inidirizzi e-mail o IP di host che inviano SPAM, queste liste sono di solito aggiornate manualmente; • Filtri – filtri che rifiutano e-mail sulla base di parole chiave contenute nel messaggio stesso (header e/o body). • Vantaggi • questo tipo di casella non necessita di alcuna installazione o configurazione, in quanto servizio offerto dal gestore della posta elettronica; • Svantaggi • possibilità di “falsi positivi”; • alcune di queste caselle di posta risultano a pagamento. Pagina 10

  13. Come segnalare gli “Spammer” • Se si ricevono messaggi indesiderati di posta elettronica di tipo "spam", da un utente italiano collegato a un provider italiano, che arrecano turbativa, essi possono essere denunciati alla Telecom Italia scrivendo alla Direzione Regionale piu' vicina, all'attenzione del Direttore Responsabile della Sede, allegando: • copia della e-mail ricevuta; • le proprie generalità; • riferimento all'art. 26 del D.M. 197/97 del Regolamento di Servizio • Art. 26 D.M. 197/97 sul Regolamento di Servizio Telecom Italia • 1. L'abbonato non puo' servirsi del proprio impianto per effettaure comunicazioni che arrechino molestia o che violino le leggi vigenti. • 2. L'abbonato non puo' utilizzare il servizio in modo da creare turbativa ad altri abbonati. • 3. L'abbonato si impegna a non consentire ad altri di utilizzare il suo telefono per telefonate moleste. • 4. Il gestore ha la facolta' di sospendere immediatamente il servizio senza preavviso qualora l'abbonato ne faccia l'uso improprio indicato nei casi precedenti dandone, se del caso, idonea comunicazione alle Autorita' competenti. • Se invece l’e-mail provengono dall’estero l’unica cosa da fare è segnalare il mittente del messaggio al provider, chiedendo di aggiungere il mittente in argomento, nella “Black List” (lista di contatti indesiderati) così facendo, il server di posta invierà solo e-mail con mittenti non inseriti nella Black List. • Tipi di spam • Una variante meno conosciuta, ma non per questo meno dannosa e quella che consiste nell’utilizzare delle determinate tecniche, per cercare di ottenere posizioni più alte nei motori di ricerca. Un esempio potrebbe essere la ripetizione estrema di parole chiave o l’utilizzo di parole che non c’entrano con il contenuto effettivo del sito, sono considerate spam. Questo tipo di spam interessa direttamente i web master, che tenendo conto di questo problema, dovrebbero cautelarsi per quanto riguarda la creazione e la gestione della propria pagina Web. • Un tipo di spam, che non riguarda espressamente la posta elettronica ma gli ormai famosi messaggi SMS sui telefonini, vede la creazione di siti Web che promettono di “proteggere”, gratis ed in modo anonimo, cellulari dallo spam via SMS, richiedendo solo ed esclusivamente il numero del cellulare da proteggere. All’utente “malcapitato” potrebbero arrivare una serie imprecisata di messaggi SMS indesiderati. Pagina 11

  14. Il futuro dello spam • La nuova frontiera dello spam, consiste nello sfruttare servizi normalmente aperti in sistemi come Microsoft Windows 98,2000,XP. Programmi come “Mass Popup” e altri programmi simili, hanno la facoltà di inviare a milioni di computer in rete messaggi pubblicitari che compaiono all’improvviso, mentre si naviga in Internet. • I rimedi da mettere in atto sono essenzialmente due : • dotarsi di un firewall, dato che il programma Mass Popup per funzionare accetta solo connessioni non protette; • l’alternativa al firewall, consiste nel disabilitare il servizio che questi programmi sfruttano, nel nostro caso il servizio “Messenger”; per disabilitarlo agire come segue : • Windows 2000 : • 1. cliccare su Start > Impostazioni > Pannello di Controllo > Strumenti di Amministrazione > Servizi; • 2. scorrere sul video fino a trovare il servizio “Messenger”; • 3. cliccare sopra con il tasto destro successivamente , selezionare Arresta, dopodichè sempre nella stessa posizione cliccare su Proprietà; • 4. comparirà un maschera (figura 1) dove bisognerà configurare il “Tipo di avvio” di questo servizio su Manuale o su Disabilitato. Figura 1 Windows XP : per questo sistema operativo la procedura è simile, l’unico passo che varia è il numero 1 che risulta così variato : cliccare su Start > Pannello di Controllo > Strumenti di Amministrazione > Servizi; Windows 98/Me : per questi sistemi operativi bisognerebbe rimuovere o disabilitare tutti i file e le stampanti condivise, se questo non è possibile, si consiglia l’uso di un firewall. Pagina 12

  15. LE VENTI VULNERABILITA’ PIU’ CRITICHE PER LA SICUREZZA IN INTERNET (NONA PARTE) W7 Autenticazione generica di Windows    - Account senza password o con password deboli W7.1 Descrizione: In quasi tutte le interazioni tra gli utenti e i sistemi informativi vengono utilizzate password, frasi identificative o codici di sicurezza. La maggior parte delle forme di autenticazione, come la maggior parte delle protezioni per file e dati, si basa su password fornite dall’utente. Dal momento che gli accessi correttamente autenticati spesso non vengono registrati, o anche se vengono registrati non lo sono in modo da fornire alcun segnale di allarme, una password compromessa rappresenta un’opportunità di esplorare un sistema dall’interno potenzialmente senza essere identificati. Un aggressore avrebbe accesso completo a qualsiasi risorsa disponibile per quell’utente e sarebbe molto vicino ad essere in grado di accedere ad altri account, a macchine vicine e forse anche ad ottenere privilegi di amministrazione. Nonostante questi pericoli, gli account con password deboli o addirittura senza password rimangono estremamente diffusi e le società con una buona policy sull’utilizzo delle password ancora troppo rare. Le più comuni vulnerabilità delle password sono dovute (a) ad account senza password o con password deboli, (b) al fatto che, a prescindere dalla robustezza delle password, spesso gli utenti non le proteggono, (c) al fatto che il sistema operativo o il software applicativo creano account di amministrazione con password deboli o privi di password (d) al fatto che gli algoritmi di hashing delle password sono noti e spesso gli hash vengono memorizzati in modo da essere accessibili a chiunque. La difesa migliore e la più corretta contro queste vulnerabilità è una solida policy che includa le istruzioni per creare delle buone password e che riassuma i comportamenti corretti per conservarne la riservatezza, unita a una verifica proattiva dell’integrità delle password. W7.2 Sistemi operativi interessati Qualsiasi sistema operativo e applicazione per accedere alla quale gli utenti si autentichino tramite user ID e password. W7.3 Riferimenti CVE CAN-1999-0506, CAN-1999-0504, CVE-2000-0222, CAN-1999-0505 Pagina 13

  16. W7.4 Come determinare se siete vulnerabili • Per quanto vi siano alcuni sintomi osservabili di una generale debolezza delle password, come la presenza di account attivi appartenenti a utenti che non operano più all’interno dell’organizzazione o a servizi non più attivi, l’unico modo per accertarsi che ogni singola password sia sufficientemente robusta è quello di verificare tutte le password con gli stessi strumenti per la determinazione delle password utilizzati dagli aggressori. ATTENZIONE: Non utilizzate mai un password scanner, neanche sui sistemi per i quali avete un accesso da amministratore, senza autorizzazione esplicita e preferibilmente scritta da parte del vostro datore di lavoro. È già accaduto che amministratori di sistema con le migliori intenzioni siano stati licenziati per aver utilizzato strumenti per la determinazione delle password senza autorizzazione. • I migliori strumenti per la determinazione delle password sono: • LC4 (l0phtcrack versione 4) ;John the Ripper; Symantec NetRecon • W7.5 Come proteggersi • La difesa migliore e la più corretta contro la debolezza delle password è una solida policy che includa le istruzioni su come generare buone password e descriva i comportamenti corretti per mantenerne la sicurezza, assieme ad una verifica proattiva dell’integrità delle password. • Assicurarsi che le vostre password siano sufficientemente robuste. Disponendo di tempi e risorse hardware adeguate, qualsiasi password può essere violata utilizzando il sistema "brute force". Ma ci sono metodi più semplici e molto più efficaci per venire a conoscenza delle password con uno sforzo minore. I password cracker utilizzano metodi conosciuti come “attacchi da dizionario”. Dal momento che i metodi crittografici sono noti, gli strumenti per l’individuazione delle password non fanno altro che confrontare le password in forma crittata con le forme crittate di parole del dizionario (in diverse lingue), di nomi propri, e con le permutazioni di entrambi. Di conseguenza una password la cui radice assomigli in qualche modo a una parola è estremamente suscettibile di essere violata da un attacco da dizionario. Molte organizzazioni insegnano ai propri utenti a generare password che includano combinazioni di caratteri alfanumerici e caratteri speciali, e gli utenti la maggior parte delle volte prendono una parola (ad esempio "password") e convertono le lettere in numeri o caratteri speciali ("pa$$w0rd"). Queste permutazioni non proteggono, però, dagli attacchi da dizionario: "pa$$w0rd" ha la stessa possibilità di essere violata di "password."Una buona password, quindi, non deve avere come radice una parola o un nome proprio. Una solida policy sulle password dovrebbe indirizzare gli utenti verso la creazione di password derivate da qualcosa di più casuale, come una frase o il titolo di un libro o di una canzone. Concatenando una stringa più lunga (prendendo la prima lettera di ogni parola o associando alle parole un carattere speciale o togliendo le vocali, ecc.), gli utenti possono generare stringhe sufficientemente lunghe che combinano caratteri alfanumerici e caratteri speciali in modo tale da creare una grande difficoltà ai tentativi di attacco con metodi da dizionario. Pagina 14

  17. E in più se la frase è facile da ricordare, lo sarà anche la password. Una volta fornite agli utenti le corrette indicazioni su come generare buone password, possono essere messe in opera le procedure per controllare che queste indicazioni vengano seguite. Il modo migliore per farlo è quello di convalidare le password ogni volta che l’utente le cambia impiegando Passfilt. • Gli strumenti per la determinazione delle password devono essere utilizzati in modalità stand-alone come parte di un esame sistematico. FATE ANCORA ATTENZIONE: Non utilizzate mai un password scanner, neanche sui sistemi per i quali avete un accesso da amministratore, senza autorizzazione esplicita e preferibilmente scritta da parte del vostro datore di lavoro. È già accaduto che amministratori di sistema con le migliori intenzioni siano stati licenziati per aver utilizzato strumenti per la determinazione delle password senza autorizzazione Una volta ricevuta l’autorizzazione ad utilizzare strumenti per la determinazione delle password sul vostro sistema, attivateli regolarmente su una macchina protetta. Gli utenti le cui password vengono violate devono essere avvisati in modo confidenziale e devono essere fornite loro le istruzioni su come scegliere una buona password. Gli amministratori di sistema e il management dovrebbero sviluppare assieme questo tipo di procedure, in modo tale che il management possa provvedere quando gli utenti non rispondono alle notifiche. Un altro modo per proteggersi da password deboli o assenti è quello di utilizzare forme alternative di autenticazione come token generatori di password o sistemi di autenticazione biometrica. Se avete problemi derivati da password deboli, usate quindi metodi diversi per l’autenticazione degli utenti. • Proteggere le password robuste. Anche se le password sono robuste, gli account possono essere ugualmente compromessi se gli utenti non proteggono adeguatamente la propria password. Una buona policy include sempre istruzioni che specificano come gli utenti non devono mai riferire la propria password a nessun’altro, non devono mai trascrivere la password in supporti che possano essere letti da altri e devono rendere adeguatamente sicuro qualsiasi file nel quale sia conservata una password per l’autenticazione automatica (le password sono più facili da proteggere quando questa pratica è utilizzata solo quando assolutamente necessario). La modifica periodica della password deve essere fatta rispettare in modo che quelle password che non rispettano queste regole siano vulnerabili solo in una finestra temporale limitata, e deve essere tassativamente vietato che le vecchie password possano essere riutilizzate. Controllate che agli utenti giungano gli avvisi e sia data loro le possibilità di modificare la propria password prima della scadenza. Quando si trovano di fronte a frasi come: "la vostra password è scaduta e deve essere cambiata," gli utenti tendono a scegliere una cattiva password. Pagina 15

  18. 3. Controllare rigorosamente gli account.o Qualsiasi account per l’accesso a un servizio e qualsiasi account di amministrazione che non sia più in uso deve essere disabilitato o eliminato. Qualsiasi account per l’accesso a un servizio e qualsiasi account di amministrazione che siano in uso deve essere forniti di una password solida e recente. o Verificare gli account presenti sul vostro sistema e create una master list. Non dimenticate di verificare le password su dispositivi come router e stampanti digitali, fotocopiatrici e controller connessi a Internet. o Sviluppare procedure per aggiungere account autorizzati alla lista e per rimuove dalla lista gli account che non sono più in uso. o Verificare periodicamente la lista per controllare che non siano stati aggiunti nuovi account e che gli account non più in uso siano stati rimossi. o Adottare rigide procedure per la rimozione degli account quando i dipendenti o i collaboratori della società non lavorano più lì o quando gli account non sono più necessari. 4. Implementare una solida policy per le password in azienda. In aggiunta ai controlli a livello di sistema operativo o a livello di rete, esistono degli strumenti completi che aiutano a gestire una buona policy per le password. L’Enterprise Security Manager (ESM) di Symantec è uno strumento di monitoraggio che risiede sull’host che evidenzia qualsiasi cambiamento nella policy, la creazione di nuovi account e verifica la robustezza delle password. ESM inoltre può eseguire tentativi per verificare la violabilità delle password in accordo con la policy attiva nella vostra rete. ESM utilizza un ambiente client-manager: l’agente è posto sui server o sulle workstation e invia le segnalazioni a un gestore centralizzato. Utilizzando una console remota, è possibile vedere i log e possono essere generati dei report sullo stato attuale della situazione. ESM verificherà i log e segnalerà qualsiasi modifica che sia stata fatta dalla situazione di partenza. Pagina 16

More Related