|
Wiki
UniCrema
Materie per semestre
Materie per anno
Materie per laurea
Help
|
|
Uni.TemiEsameSP05 History
Hide minor edits - Show changes to output
Changed lines 49-50 from:
Nelle politiche mandatorie gli '''utenti''' sono le persone, che sono fidate.\\
I '''soggetti''' sono i processi(programmi in esecuzione) e non sono fidati. to:
Nelle politiche mandatorie gli '''utenti'''(od oggetti) sono le persone fisiche, sono entità passive che possono godere di autorizzazioni e che possono connettersi al sistema. Una volta connessi al sistema, gli utenti originano processi (i '''soggetti''') che si eseguono automaticamente e quindi sottopongono richieste al sistema.\\
Le politiche mandatorie prendono in considerazione tale distinzione tra utente e soggetto e valutano tutte le richieste sottoposte dal processo per conto di qualche utente verificandone la classe di sicurezza a cui appartengono.\\
L'assunto fondamentale è che gli utenti sono fidati, se hanno l'autorizzazione ad accedere alle informazioni, mentre processi non lo sono.
Added line 66:
La vulnerabilità delle stringhe di formato consiste nel rischio che, non utilizzando le specifiche di conversione e quindi non validando l'input dell'utente, esso possa inserire dei parametri che vengono poi valutati. Ciò consente gli attacchi di overflow.
Changed line 53 from:
Nello smurf attack l'attaccante intasa la vittima sfruttando il protocollo ICMP. Infatti invia una '''ICMP Echo Req''' con ''fonte'': indirizzo vittima e ''destinazione'': indirizzo broadcast. Quindi tutte le macchine che ricevono la richiesta generano una '''ICMP Echo Reply''' diretta alla vittima, così facendo le risposte generate intaseranno la vittima.\\ to:
Nello smurf attack l'attaccante intasa la vittima sfruttando il protocollo ICMP. Infatti invia una '''ICMP Echo Req''' con ''fonte'': indirizzo vittima e ''destinazione'': indirizzo broadcast(quindi tutti gli host della rete locale). Quindi tutte le macchine che ricevono la richiesta generano una '''ICMP Echo Reply''' diretta alla vittima, così facendo le risposte generate intaseranno la vittima.\\
Changed line 35 from:
Si basa sulle caratteristiche fisiche(impronte digitali; impronta della retina) e comportamentali(timbro della voce; firma) dell'utente. Richiede una fase iniziale di misurazione e di definizione di un template, cioè un valore medio delle misurazioni effettuate. to:
Si basa sulle caratteristiche fisiche(impronte digitali; impronta della retina) e comportamentali(timbro della voce; firma) dell'utente. Richiede una fase iniziale('''fase di enrollment''') di misurazione e di definizione di un template, cioè un valore medio delle misurazioni effettuate.
Changed line 1 from:
(:title Tema d'Esame di Sicurezza e Privatezza - 01/08/2008:) to:
(:title Tema d'Esame di Sicurezza e Privatezza - 08/01/2008:) Changed line 5 from:
%titolo%''':: Appello d'esame di Sicurezza e Privatezza - 01/08/2008 ::''' to:
%titolo%''':: Appello d'esame di Sicurezza e Privatezza - 08/01/2008 ::'''
Added lines 70-74:
Il principio del minimo privilegio('''Least Privilege''') consiste nel fatto che non bisogna concedere troppi privilegi ad un singolo utente, ma partizionare i privilegi tra più utenti. Questo viene fatto per limitare la possibilità di abusi e danni per violazioni.\\\
Gruppi e ruoli rappresentano lo stesso concetto, ma sono differenti:
* '''Gruppi''': insieme di utenti(statici). Statici significa che se un utente fa parte del gruppo, allora può sempre eseguire le operazioni concesse, senza dover attivare nessun ruolo. Quindi la definizione di gruppo non rimane invariata, si possono aggiungere altri utenti.
* '''Ruoli''': insieme di privilegi(dinamici). Dinamici significa che i privilegi dipendono dal ruolo che l'utente ha attivato.
Changed lines 40-41 from:
Un '''Trojan Horse''' è un programma di utilità che contiene del codice nascosto che esegue funzioni non legittime. Il problema è che le politiche discrezionarie controllano solo gli accessi diretti, non effettuano nessun controllo su cosa accade all'informazione una volta rilasciata. Quindi tutto ciò che l'applicazione esegue(quindi anche il codice nascosto) dipende dall'identità dell'utente che ha invocato l'applicazione e dai suoi permessi. to:
Un '''Trojan Horse''' è un programma di utilità che contiene del codice nascosto che esegue funzioni non legittime. Il problema è che le politiche discrezionarie controllano solo gli accessi diretti, non effettuano nessun controllo su cosa accade all'informazione una volta rilasciata. Quindi tutto ciò che l'applicazione esegue(quindi anche il codice nascosto) dipende dall'identità dell'utente che ha invocato l'applicazione e dai suoi permessi.\\\ Added lines 45-46:
Nell'esempio le istruzioni readMarket e writeStolen sono legittime perché ci si basa sull'identità di chi ha lanciato l'applicazione, cioè Jane. Quindi John rispettando la politica discrezionaria riesce ad ottenere informazioni non legittime.
Changed line 40 from:
Un '''Trojan Horse''' è un programma di utilità che contiene del codice nascosto che esegue funzioni non legittime. Il problema è che le politiche discrezionarie controllano solo gli accessi diretti, non effettuano nessun controllo su cosa accade all'informazione una volta rilasciata. Quindi tutto ciò che l'applicazione esegue dipende dall'identità dell'utente che ha invocato l'applicazione e dai suoi permessi. to:
Un '''Trojan Horse''' è un programma di utilità che contiene del codice nascosto che esegue funzioni non legittime. Il problema è che le politiche discrezionarie controllano solo gli accessi diretti, non effettuano nessun controllo su cosa accade all'informazione una volta rilasciata. Quindi tutto ciò che l'applicazione esegue(quindi anche il codice nascosto) dipende dall'identità dell'utente che ha invocato l'applicazione e dai suoi permessi. Added lines 42-43:
Attach:TemiEsameSP05Dom2.jpg
Changed lines 40-41 from:
to:
Un '''Trojan Horse''' è un programma di utilità che contiene del codice nascosto che esegue funzioni non legittime. Il problema è che le politiche discrezionarie controllano solo gli accessi diretti, non effettuano nessun controllo su cosa accade all'informazione una volta rilasciata. Quindi tutto ciò che l'applicazione esegue dipende dall'identità dell'utente che ha invocato l'applicazione e dai suoi permessi.
Esempio:
Changed lines 24-26 from:
** Vantaggi: è il più semplice, il più economico, il più implementabile.
** Svantaggi: è il più debole, perché le password possono essere acquisite in molti modi (guessing; spoofing; sniffed; snooping) to:
** {+Vantaggi+}: è il più semplice, il più economico, il più implementabile.
** {+Svantaggi+}: è il più debole, perché le password possono essere acquisite in molti modi (guessing; spoofing; sniffed; snooping) Changed line 29 from:
** Vantaggi: i token sono più sicuri delle password, mantenendo il controllo sul token l'utente mantiene controllo sull'utilizzo della sua identità.\\ to:
** {+Vantaggi+}: i token sono più sicuri delle password, mantenendo il controllo sul token l'utente mantiene controllo sull'utilizzo della sua identità.\\ Changed line 31 from:
** Svantaggi: i token possono essere persi, rubati, falsificati.\\ to:
** {+Svantaggi+}: i token possono essere persi, rubati, falsificati.\\ Changed lines 36-37 from:
** Vantaggi: è la forma di autenticazione più forte, infatti elimina le vulnerabilità dovute a impersonificazioni.
** Svantaggi: troppo costosa, intrusiva, potenziale mancanza di privacy. to:
** {+Vantaggi+}: è la forma di autenticazione più forte, infatti elimina le vulnerabilità dovute a impersonificazioni.
** {+Svantaggi+}: troppo costosa, intrusiva, potenziale mancanza di privacy.
Changed lines 35-38 from:
** Vantaggi:
** Svantaggi
to:
Si basa sulle caratteristiche fisiche(impronte digitali; impronta della retina) e comportamentali(timbro della voce; firma) dell'utente. Richiede una fase iniziale di misurazione e di definizione di un template, cioè un valore medio delle misurazioni effettuate.
** Vantaggi: è la forma di autenticazione più forte, infatti elimina le vulnerabilità dovute a impersonificazioni.
** Svantaggi: troppo costosa, intrusiva, potenziale mancanza di privacy.
Changed lines 22-30 from:
* '''Basata Sulla Conoscenza'''
** Vantaggi:
** Svantaggi:
* ''Basata Sul Possesso'''
** Vantaggi:
** Svantaggi:
* ''Basata Su Caratteristiche'' to:
* '''Basata Sulla Conoscenza'''.\\
Si basa sulla coppia ''login''(l'utente si identifica) ''password''(l'utente prova la sua identità).
** Vantaggi: è il più semplice, il più economico, il più implementabile.
** Svantaggi: è il più debole, perché le password possono essere acquisite in molti modi (guessing; spoofing; sniffed; snooping)
* '''Basata Sul Possesso'''\\
Si basa sul possesso da parte dell'utente di un Token, cioè qualcosa di tangibile che l'utente utilizza per identificarsi. Ogni token ha una chiave crittografica usata per dimostrare l'identità del token al computer.
** Vantaggi: i token sono più sicuri delle password, mantenendo il controllo sul token l'utente mantiene controllo sull'utilizzo della sua identità.\\
Si può usare questo tipo di autenticazione combinata con la Conoscenza, quindi servono token e password per autenticarsi.
** Svantaggi: i token possono essere persi, rubati, falsificati.\\
Chiunque acquisisca un token può impersonare l'utente.
* '''Basata Su Caratteristiche'''\\
Added lines 21-33:
Ci sono tre tipi di autenticazione:
* '''Basata Sulla Conoscenza'''
** Vantaggi:
** Svantaggi:
* '''Basata Sul Possesso'''
** Vantaggi:
** Svantaggi:
* '''Basata Su Caratteristiche'''
** Vantaggi:
** Svantaggi:
Changed line 12 from:
# '''Descrivere la differenza tra utenti e soggetti nelle politiche mandatorie.''' to:
# '''Descrivere la differenza tra utenti e soggetti nelle politiche mandatorie.''' Changed lines 23-25 from:
to:
Nelle politiche mandatorie gli '''utenti''' sono le persone, che sono fidate.\\
I '''soggetti''' sono i processi(programmi in esecuzione) e non sono fidati. Deleted lines 41-42:
Attach:TemiEsameSP04Dom6.jpg
Added lines 32-35:
%warning%WARNING\\
NOTA: questa contromisura l'ho trovata su internet. Non c'ero a lezione e non so se lei ha fatto qualche esempio.
Added lines 25-31:
Nello smurf attack l'attaccante intasa la vittima sfruttando il protocollo ICMP. Infatti invia una '''ICMP Echo Req''' con ''fonte'': indirizzo vittima e ''destinazione'': indirizzo broadcast. Quindi tutte le macchine che ricevono la richiesta generano una '''ICMP Echo Reply''' diretta alla vittima, così facendo le risposte generate intaseranno la vittima.\\
Slide chiarificatrice:
Attach:TemiEsameSP01Dom4.jpg
Contromisure:\\
Disattivare sul proprio router esterno la funzione di risposta delle richieste ICMP mandate all'indirizzo di broadcast della rete dall'aggressore.
Added lines 1-35:
(:title Tema d'Esame di Sicurezza e Privatezza - 01/08/2008:)
[[Torna alla pagina di Sicurezza & Privatezza -> ElementiSicurezzaPrivatezza]]
----
%titolo%''':: Appello d'esame di Sicurezza e Privatezza - 01/08/2008 ::'''
!!Domande
'''Rispondere brevemente ma in modo completo alle seguenti domande.'''
# '''Discutere i principali approcci che possono essere usati per autenticare gli utenti, evidenziando i loro vantaggi e svantaggi.'''
# '''Descrivere il concetto di Trojan Horse e fornire un esempio di come un Trojan Horse può violare le restrizioni imposte da una politica discrezionale. Descrivere inoltre perché tale Trojan Horse fallirebbe in presenza di una politica multilivello.'''
# '''Descrivere la differenza tra utenti e soggetti nelle politiche mandatorie.'''
# '''Descrivere lo smurf attack, come funziona e possibili contromisure.'''
# '''Descrivere la vulnerabilità delle stringhe di formato e fornire un esempio.'''
# '''Descrivere il processo di autenticazione di PGP.'''
# '''Nell’ambito delle politiche per il controllo dell’accesso, caratterizzare il principio del minimo privilegio (least privilege) e spiegare la differenza fra gruppi e ruoli .'''
%red%[-'''SOLUZIONE'''-]
'''1.'''\\
'''3.'''\\
'''4.'''\\
'''5.'''\\
'''6.'''\\
Attach:TemiEsameSP04Dom6.jpg
'''7.'''\\
----
[[Torna alla pagina di Sicurezza & Privatezza -> ElementiSicurezzaPrivatezza]]
|
|
