Sicurezza informatica

Un libro sull'hacking che non parla di tecnologia. Nell'epoca dei mass-media chi controlla l'informazione detiene il potere. E l'informazione è archiviata e custodita da sistemi fisici ed elettronici, piccoli o grandi che siano. Questo libro spiega come possono essere violati, per insegnare a proteggerli meglio. E lo fa in maniera non convenzionale, che tocca i computer solo di sfuggita. Niente programmi e codici incomprensibili quindi, ma tecniche che chiunque può mettere in pratica nella vita di tutti i giorni, per strada, in ufficio, al telefono, semplicemente con qualche ricerca su Google o attraverso una rete di file-sharing. Queste tecniche fanno parte della conoscenza non scritta dell'underground hacker e l'autore le porta allo scoperto coadiuvato da Kevin Mitnick, l'hacker più famoso del mondo, e da altri hacker ed esperti di sicurezza "non tecnologici".

Perché gli antivirus non funzionano bene?. Come risolvere il problema? È vero che le macchine Apple OS X sono più sicure di quelle Windows? Che cosa Windows deve fare meglio? Come utilizzare meccanismi d'autenticazione robusti e pervasivi? Perché la gestione degli aggiornamenti degli applicativi funziona così male? È possibile fare qualcosa per evitare i furti d'identità? In questo volume John Viega, ex Chief Security Architect di McAfee, spiega perché l'industria della sicurezza informatica non funziona e offre suggerimenti concreti agli addetti ai lavori e ai comuni utenti su come affrontare il problema.

"Con l'industria della sicurezza (se così si può chiamare) ormai abbondantemente entrata nella seconda decade di vita, ci troviamo di fronte un nemico assai evoluto. Questo nemico non ha una faccia né una voce, né un dossier o un background tangibile; non ha nemmeno un nome. Sappiamo che esiste soltanto perché misuriamo i nostri progressi, quando ci sono, nel combatterlo. Il nuovo nemico è la compiacenza. Nella precedente edizione di questo libro abbiamo detto che il nuovo nemico era la vigilanza. Ma ciò che porta alla scarsa vigilanza è la compiacenza. Siamo diventati compiacenti, esattamente come lo eravamo prima dell'11 settembre 2001. Come direbbe il Signor Spock: "Gli umani sono affascinanti". Sappiamo solo reagire, non pro-agire. Non facciamo prevenzione, ma aspettiamo che succeda qualcosa. E allora è tardi. Decisamente troppo tardi. Esiste un'unica alternativa per riuscire ad attirare sul tema della sicurezza l'attenzione che merita, solo un modo per "far spegnere le luci di sala": mostrare il pericolo. Ed ecco dove entriamo in gioco. Prendete questo libro come la vostra guida, come la vostra ricetta per ottenere attenzione. Portatelo a chiunque vi ascolti, a chiunque guarderà lo schermo per dieci secondi, e mostrate loro (su sistemi di test, naturalmente) che cosa può accadere in un istante quando un malintenzionato, o un ragazzaccio che ha voglia di infastidire qualcuno, rivolge la sua attenzione verso di voi." (dall'introduzione)

L'informatica è sempre più presente, nelle attività lavorative come nella vita quotidiana, mentre il tempo che si può dedicare allo studio e alla formazione è sempre più ridotto. I libri della serie Pocket Apogeo rispondono alla sfida: volumi da portare con sé, brevi corsi per imparare tutto quello che serve di un linguaggio, di un sistema operativo, di un programma applicativo o di un particolare campo delle tecnologie dell'informazione e della comunicazione. Volumi compatti, dunque, ma non a scapito della qualità: la brevità è ottenuta eliminando il superfluo ed escludendo l'inessenziale, puntando invece a quanto serve veramente per avere le idee chiare e sapersi orientare. Questo libro è un viaggio che spiega in modo semplice e un po' romanzato, ma molto focalizzato sull'aspetto pratico, gli strumenti e le tecniche per fare indagini informatiche in modo facile.

I test sulla sicurezza sono forse i più importanti tra tutti quelli a cui vengono sottoposte le applicazioni web, eppure spesso sono trascurati. Le "ricette" di questo libro mostrano come gli sviluppatori e i tester verificano i più diffusi problemi di sicurezza sul Web tramite test unitari, di regressione ed esplorativi. E non si tratta di valutazioni della sicurezza ad hoc: si tratta di ricette sistematiche, concise e ripetibili, pronte per essere integrate nelle suite di test. I lettori troveranno tutte le informazioni di base, dall'osservazione dei messaggi tra client e server ai test in più fasi in cui gli script automatizzano il login e l'esecuzione delle funzioni delle applicazioni web; al termine del libro sarà possibile costruire test mirati alle funzioni Ajax, ma anche test vasti e complessi per scoprire le vulnerabilità agli attacchi di scripting cross-site e di iniezione.

Manuale tecnico, pensato come guida pratica per le figure professionali legate alla sicurezza informatica e per i responsabili ICT aziendali, spiega a fondo le possibili strategie per eliminare o ridurre il rischio derivante dall'esposizione del patrimonio informativo aziendale ad attacchi informatici. Sono illustrate le minacce a cui dati, servizi e reti restano esposti se si adottano le soluzioni tecnologiche standard, per poi passare a proporre adeguate contromisure per fronteggiare gli attacchi generati da hacker, da agenti software ostili e/o da vere e proprie organizzazioni criminali. Il libro, giunto alla sua terza edizione, si presenta nel suo insieme totalmente rinnovato con l'aggiunta di nuovi capitoli, in particolare riguardo le problematiche tecniche connesse con l'utilizzo dei mezzi di accesso mobili e/o wireless.

Un computer collegato alla Rete non è sicuro. Le minacce sono molte: virus, spyware, phishing, trojan ecc. Per difendersi e navigare sicuri non è necessario però avere una laurea, bastano alcuni accorgimenti e qualche consiglio, puntualmente elencati in questo volume. Questa guida pensata per tutti i computer dotati di Windows XP insegna a schermare Outlook Express dai pericoli di Internet; a setacciare il PC con l'antivirus a caccia di eventuali minacce; a difendersi con i firewall; a proteggere la privacy dagli spyware; a testare la sicurezza del PC simulando un attacco; a neutralizzare lo spamming e non cadere nel tranello del phishig.

Il volume illustra regole e metodiche per la stesura e l'aggiornamento di policy, standard e procedure in materia di sicurezza aziendale nonché per la verifica della loro corretta applicazione e l'individuazione delle relative contromisure. L'attivazione di tali misure - mirate alla tutela del business e alla salvaguardia dell'immagine aziendale - costituisce infatti elemento strategico determinante per il successo sul mercato di una società che intende essere realmente competitiva. Tra i temi trattati: la funzione di information security in azienda, analisi dei rischi e informazioni, le corporate information security policy, sicurezza e management dei database aziendali, classificazione e tutela delle informazioni aziendali classificate, identity management, distruzione delle informazioni, backup dei dati, accessi in mobilità ai servizi aziendali, la videosorveglianza in azienda, sicurezza e biometria in azienda, virus e antivirus in azienda, sicurezza fisica e logica dei sistemi IT nelle sale server, la sicurezza della rete TLC aziendale, norme per il corretto utilizzo delle risorse informative aziendali da parte dei dipendenti e controlli difensivi, internet e posta elettronica in azienda, monitoraggio delle policy aziendali: case study sulle cartelle condivise e sui sistemi antivirus aziendali - alcuni standard e certificazioni di sicurezza BS 7799, ISO 27001 e PCI/DSS.

Jon Erickson guida il lettore esperto in un vero e proprio percorso di iniziazione alle tecniche hacker. Il presupposto è che conoscere i metodi di attacco rappresenta la prima barriera contro gli hacker. Se la prima edizione di questo libro, pubblicata sul finire del 2003 in lingua inglese, aveva ottenuto vasti consensi confermati da ampie vendite, la seconda, dopo lunga attesa e con numero di pagine raddoppiato, promette di portare la conoscenza delle tecniche dell'hacking a un nuovo livello.

Il testo fornisce un panorama, aggiornato e orientato alle applicazioni in tema di sicurezza dei sistemi informativi, prendendo in esame i diversi strumenti disponibili di tipo tecnico, procedurale, operativo, ambientale, al fine di rendere disponibili al professionista supporti tecnici e procedurali per la progettazione, l'implementazione, e la gestione di un efficace programma di protezione delle infrastrutture e delle informazioni in una rete aziendale. Il testo affronta la gamma completa di argomenti utili alla progettazione di un sistema di rete sicuro, toccando argomenti di carattere generale come la gestione dei rischi e la vulnerabilità del software, e argomenti più specifici e di carattere tecnico (crittografia, firewall), con un approccio più orientato alle applicazioni. Approfondisce le tematiche relative alle applicazioni di più largo utilizzo in Internet e nelle reti aziendali.

II modo più efficace per proteggersi dai rischi della Rete è sicuramente quello di scollegare il computer, disattivare ogni connessione mettere fuori uso lettori DVD, porte USB e collegamenti senza fili. Peccato che un computer "messo in sicurezza" in questo modo sia quasi del tutto inutile e sicuramente molto noioso. Occorre scoprire allora come sfruttare tutti i vantaggi di Internet e delle nuove tecnologie e proteggersi efficacemente dai nuovi rischi che ci si trova a correre: dai più classici virus alle tecniche di raggiro per la sottrazione di dati sensibili. In questa guida, oltre a una quantità di informazioni sulle nuove minacce, il lettore scoprirà come scegliere i programmi e gli strumenti più adatti per proteggere i propri dati e, soprattutto, come configurarli per usare il computer in totale sicurezza senza limitarne le potenzialità e senza perdere tempo prezioso.