03 - Cenni sulla sicurezza informatica e privacy

Testo di riferimento per i vari corsi

Clicca per acquistare su Amazon il libro Programmazione Python per le scienze della vita

Le slide fanno riferimento al Capitolo 4 - Python e il Web (pp. 279 a pp 297)

Cenni sulla sicurezza  
informatica e privacy  
Prof. Salvatore Mancarella  
salvatore.mancarella@unisalento.it  
© Salvatore Mancarella  
Sommario  
üCenni sulla sicurezza  
informatica  
üPrivacy  
üIL Regolamento UE  
© Salvatore Mancarella  
Come facciamo a  
proteggere al 100%  
della nostra privacy?  
© Salvatore Mancarella  
https://www.youtube.com/watch?v=6eF-mwKhrVo  
© Salvatore Mancarella  
Comunicazione  
© Salvatore Mancarella  
Hacker  
© Salvatore Mancarella  
Client-Server  
© Salvatore Mancarella  
© Salvatore Mancarella  
APP  
© Salvatore Mancarella  
© Salvatore Mancarella  
Privacy Garante  
https://www.youtube.com/watch?v=DxQEk_G5gfU  
© Salvatore Mancarella  
Privacy  
´ Il concetto di privacy online è sempre più  
importante in una società che si basa sull’utilizzo  
di internet e delle nuove tecnologie.  
´ Oggi utilizziamo la rete per qualsiasi attività tanto  
che internet è diventato qualcosa di essenziale  
per tutti. Questa tendenza ha portato gli utenti ad  
affrontare una sfida enorme Inoltre è molto  
importante stare attenti a ciò che si clicca sul web.  
Da mobile è facile cliccare per sbaglio su un pop-  
up per quanto riguarda le app il consiglio è quello  
di scaricarle solo dagli store ufficiali.  
© Salvatore Mancarella  
La sicurezza online  
´ Anche in questo caso, infatti, il punto di partenza è  
avere sempre il nostro sistema operativo  
aggiornato è fondamentale, se il sistema non è  
aggiornato, si rende vano anche il ruolo degli  
antivirus; Inoltre bisogna che esso venga  
affiancato da un anti-malware per proteggersi da  
altrettanto virus pericolosi.  
© Salvatore Mancarella  
10 consigli per la sicurezza online  
1. Limitare e mantenere a un livello professionale le  
informazioni personali  
2. Continuare ad usare le impostazioni sulla privacy  
3. Navigare in maniera sicura (es: siti https..)  
4. Assicurarsi che la connessione Internet sia sicura  
5. Prestare attenzione a ciò che si scarica  
© Salvatore Mancarella  
10 consigli per la sicurezza online  
6. Scegliere password complesse ( es. MPng76?*)  
7. Fare acquisti online da siti sicuri  
8. Prestare attenzione a ciò che si posta  
9. Prestare attenzione a chi si incontra online  
10.Mantenere aggiornato il programma antivirus.  
© Salvatore Mancarella  
La critografia  
´ La crittografia (o criptografia, dal greco κρυπτóς  
[kryptós], "nascosto", e γραφία [graphía],  
"scrittura") è la branca della crittologia che tratta  
delle "scritture nascoste", ovvero dei metodi per  
rendere un messaggio "offuscato" in modo da  
non essere comprensibile/intelligibile a persone  
non autorizzate a leggerlo.  
© Salvatore Mancarella  
Differenza tra http e https  
´ HTTP  
´
L'Hypertext Transfer Protocol (HTTP) è il fondamento  
del World Wide Web, e viene utilizzato per caricare  
pagine web utilizzando link ipertestuali  
´ HTTPS  
´
l'HyperText Transfer Protocol over Secure Socket  
Layer, è un protocollo per la comunicazione sicura  
attraverso una rete di computer utilizzato su Internet.  
© Salvatore Mancarella  
Differenza tra http e htpps  
´
Riconoscere un sito sicuro  
© Salvatore Mancarella  
Cos’è la Privacy  
´ Prerogativa che ogni individuo ha di decidere in  
che misura e con che modalità vuole condividere  
una parte di sé con gli altri DIRITTO ALLA LIBERTÀ  
´ Potere dell'individuo di controllare la diffusione  
delle informazioni che lo riguardano, esercitando  
il DIRITTO DI PROPRIETÀ sui propri dati personali  
DEFINIZIONE Privacy Riservatezza  
© Salvatore Mancarella  
IL Regolamento UE  
© Salvatore Mancarella  
IL Regolamento UE  
© Salvatore Mancarella  
IL Regolamento UE  
© Salvatore Mancarella  
IL Regolamento UE  
´ Dato personale  
© Salvatore Mancarella  
IL Regolamento UE  
Dati  
giudiziari  
© Salvatore Mancarella  
IL Regolamento UE  
© Salvatore Mancarella  
IL Regolamento UE  
´ Dati  
© Salvatore Mancarella  
IL Regolamento UE  
´ Le figure coinvolte  
© Salvatore Mancarella  
IL Regolamento UE  
´ Titolare del trattamento  
´
è la persona fisica o giuridica (ad esempio una società) che  
tratta i dati personali degli interessati.  
´ Responsabile del trattamento  
´
può non è affatto una figura interna all’organizzazione ma è  
una persona fisica o giuridica che tratta i dati personali degli  
interessati per conto del titolare all’esterno  
dell’organizzazione.  
© Salvatore Mancarella  
IL Regolamento UE  
´ Incaricato (DPO – DATA PROTECTION OFFICER)  
´ è una figura specializzata nella protezione dei dati personali  
attraverso l’applicazione delle misure tecniche ed  
organizzative. E’ nominata solamente in presenza di alcune  
circostanze quali ad esempio il trattamento su larga scala di  
dati particolari ex “dati sensibili”. E’, di solito, un consulente  
esperto ma può essere anche interno all’organizzazione.  
´ Interessato  
´ Il GDPR nasce con l’obiettivo di tutelare i dati personali delle  
persone fisiche che nel Regolamento vengono definite  
“Interessati del trattamento”.  
© Salvatore Mancarella  
IL Regolamento UE  
´ I diritti degli interessati  
© Salvatore Mancarella  
© Salvatore Mancarella  
Account  
© Salvatore Mancarella  
Account  
´ Le credenziali sono sempre in pericolo se non gestite  
correttamente  
© Salvatore Mancarella  
Account  
´ Alcune delle abitudini sbagliate sono:  
´ Abitudine n° 1  
´ Salvare username / password di accesso per  
gestire la posta in maniera centralizzata attraverso  
un client di posta elettronica come Outlook o  
Thunderbird (i più utilizzati).  
´ Abitudine n° 2  
´Salvare username / password quando il browser  
Chrome o Firefox ci chiede di salvare le password  
appena inserite, ad esempio su un social network  
o casella di posta elettronica.  
© Salvatore Mancarella  
Account – Abitudini sbagliate  
´ Alcune delle abitudini sbagliate sono:  
´ Abitudine n°3  
´Salvare username / password di accesso a sistemi  
di backup in cloud.  
´ Abitudine n° 4  
´Salvare username / password su file TXT o su file  
XLS o DOC  
© Salvatore Mancarella  
Abitudini n°1  
´ Salvare username / password di accesso per gestire la  
posta in maniera centralizzata attraverso un client di  
posta elettronica come Outlook o Thunderbird (i più  
utilizzati).  
´ dobbiamo sapere che quando vengono memorizzate le  
credenziali di accesso su un client di posta elettronica,  
quest’ultimo le salva in una determinata cartella del  
disco fisso  
´ alcuni client le salvano in chiaro, altri ancora le salvano  
criptate con delle chiavi crittografiche scritte, alcune  
volte, da qualche parte sul disco fisso dello stesso  
computer.  
© Salvatore Mancarella  
Abitudine n°1  
´ Detto questo, è abbastanza banale capire che uno  
script malevolo (ad esempio un allegato arrivato sul  
nostro computer attraverso un messaggio di posta  
elettronica) potrebbe in maniera veramente molto  
semplice accedere a queste informazioni ed inviarle  
ad un malintenzionato pronto a riceverle e ad  
assumere il controllo completo delle n-caselle di posta  
elettronica con annesse credenziali che ha appena  
ricevuto.  
© Salvatore Mancarella  
Abitudine n°1  
´ Per fare questo lo script malevolo deve tener conto di  
solo 3 elementi:  
´ la posizione dei file in cui ci sono memorizzate le  
username e le credenziali;  
´ la posizione delle eventuali chiavi;  
´ il metodo con cui sono stati criptati.  
´ Purtroppo queste informazioni sono disponibili sul web  
per gran parte dei client di posta elettronica, come  
sono anche disponibili sul web una serie di strumenti  
pronti a compiere questo tipo di attività.  
© Salvatore Mancarella  
Abitudine n°1  
´ NIRSOFT MAIL Pass View  
´ https://www.nirsoft.net/utils/mailpv.html  
© Salvatore Mancarella  
© Salvatore Mancarella  
Abitudine n°1  
´ Addirittura, basterebbe rubare da un PC la cartella  
“profiles” di Thunderbird per poi analizzarla con calma  
su qualche altro sistema per estrarne le credenziali.  
Ancora più semplice dell’avviare uno script malevolo  
che con gli antivirus di nuova generazione potrebbe  
incontrare tanti problemi durante l’esecuzione,  
sarebbe fare un normalissimo copia ed incolla  
© Salvatore Mancarella  
Abitudine n°2  
´ Salvare username / password quando il browser  
Chrome o Firefox ci chiede di salvare le password  
appena inserite, ad esempio su un social network o  
casella di posta elettronica.  
© Salvatore Mancarella  
Abitudine n°2  
´ Lo strumento WebBrowserPassView, ad esempio, è  
famoso e dimostra quanto sia semplice un’operazione  
di recupero credenziali memorizzate attraverso un  
browser; attraverso tale semplice strumento, un  
malintenzionato potrebbe recuperare credenziali di  
accesso a social network, e-commerce, webmail e  
servizi web di ogni genere.  
´ https://www.nirsoft.net/utils/web_browser_password.ht  
ml  
© Salvatore Mancarella  
Abitudine n°3  
´ Salvare username / password di accesso a sistemi di  
backup in cloud  
´ presente simili problemi e rischi poiché anche i software  
che si occupano di Backup conservano in qualche  
cartella, le credenziali di accesso ad una connessione di  
rete, ad un sistema in cloud. E’ importante conoscere se  
il software di backup utilizzato conserva le credenziali in  
chiaro o criptate.  
© Salvatore Mancarella  
Abitudine n°4  
´ La possibilità di salvare le credenziali in un file TXT,  
quest’ultima risulta essere più sicura, nella sua  
pericolosità, rispetto al problema del client di posta  
elettronica.  
´ Ad esempio, il malware o il malintenzionato dovrebbe  
conoscere il nome del file su cui l’utente ha salvato  
alcune credenziali e la sua localizzazione all’interno del  
disco;  
© Salvatore Mancarella  
Consigli  
´ Applicare la Multi Factor Authentication ove  
L'autenticazione a più fattori  
´ Bisogna precisare che si può parlare di MFA quando si  
integrano almeno 2 soluzioni  
tra conoscere, avere ed essere rappresentati in modo  
univoco.  
´ Una password, una username, un PIN sono elementi che  
si conoscono;  
´ un token, una smart card, un SMS ricevuto sullo smartphone  
sono elementi che si hanno;  
´ l’impronta digitale, il riconoscimento facciale, la scansione  
dell’iride sono elementi che ci rappresentano in modo  
univoco.  
© Salvatore Mancarella  
Consiglio  
´ Utilizzare client di posta elettronica, in cui ci è permesso  
di usare chiavi crittografiche personalizzate, ad esempio  
Thunderbird con la Master Password.  
´ Utilizzare software e strumenti di backup, in cui le  
credenziali vengono criptate con una chiave  
personalizzata o attraverso metodologie di Hashing.  
´ Evitare di conservare credenziali su file TXT, XLS  
facilmente intercettabili da un malware o da un  
malintenzionato, ad esempio su un file password.xls  
all’interno della cartella documenti o desktop.  
© Salvatore Mancarella  
Controlliamo la mail  
´ https://haveibeenpwned.com/  
© Salvatore Mancarella  
Software  
´ Per criptare file (veracrypt)  
´ Ativirus  
© Salvatore Mancarella  
Software  
´ Per trovare eventuali Malware  
´ https://it.malwarebytes.com/mwb-download/  
© Salvatore Mancarella  
SPAM  
´ Lo SPAM è l’invio, spesso massiccio e ripetuto di  
comunicazioni promozionali senza il consenso del  
destinatario  
´ https://www.youtube.com/watch?v=hDOH09EcFr0  
© Salvatore Mancarella  
Messaggi  
© Salvatore Mancarella  
Mail  
© Salvatore Mancarella  
© Salvatore Mancarella  
Privacy su Android  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
© Salvatore Mancarella  
Deepfake  
´ Il deepfake (parola coniata nel 2017) è una tecnica  
per la sintesi dell’immagine umana basata  
sull’intelligenza artificiale, usata per combinare e  
sovrapporre immagini e video esistenti con video o  
immagini originali, tramite una tecnica di  
apprendimento automatico. È stata anche usata per  
creare falsi video pornografici ritraenti celebrità, ma  
può anche essere usato per creare fake news, bufale  
e truffe, per compiere atti di cyberbullismo o altri  
crimini informatici di varia natura oppure per satira.  
© Salvatore Mancarella  
Deepfake  
© Salvatore Mancarella  
Deepfake  
© Salvatore Mancarella  
Deepfake  
´ Video del garante  
´ https://youtu.be/OldG6BtLgc0  
© Salvatore Mancarella  
© Salvatore Mancarella  
Conclusione  
üCenni sulla sicurezza  
informatica  
üPrivacy  
üIL Regolamento UE  
© Salvatore Mancarella