fix(appunti): Aggiunte e correzioni appunti Bistarelli

magistrale/Anno 1/Cybersecurity/latex/bistarelli/capitoli/autenticazione/intruders.tex

@@ -3,65 +3,35 @@ \section{Intruder}
 Abbiamo tre classi di intruders (intrusi):
 
 \begin{itemize}
-      \item \textbf{Masquerader}: Un individuo che non è autorizzato a utilizzare il
-            computer e che penetra nei
-            controlli di accesso di un sistema per sfruttare l'account di un utente
-            legittimo;
-      \item \textbf{Misfeasor}\footnote{Ricordarsi che non è
-                  il nome di un pokemon !}: Un utente legittimo che accede a dati,
-            programmi o
-            risorse per i
-            quali tale
-            accesso non è autorizzato o che è autorizzato a tale accesso ma
-            abusa dei suoi
-            privilegi;
-      \item \textbf{Clandestine User}: Una persona che prende il controllo di supervisione
-            per eludere l'auditing
-            e i controlli di accesso o sopprimere la raccolta di audit;
+      \item \textbf{Masquerader}: Individuo che finge di essere qualcun altro per ottenere un accesso non autorizzato a informazioni o servizi.
+      \item \textbf{Misfeasor}\footnote{Ricordarsi che non è il nome di un pokemon !}: Un utente legittimo che accede a dati, programmi o risorse per i quali tale accesso non è autorizzato o che è autorizzato a tale accesso ma abusa dei suoi privilegi per eseguire azioni non autorizzate. Un esempio può essere il dipendente con accesso a dati aziendali sensibili che utilizza i propri privilegi per rubare o divulgare i dati;
+      \item \textbf{Clandestine User}: Una persona che prende il controllo di supervisione per eludere l'auditing e i controlli di accesso o sopprimere la raccolta di audit;
 \end{itemize}
 
 \paragraph{Intrusion Detection System: }
-L'Intrusion Detection System o \textbf{IDS} è un dispositivo software o hardware
-utilizzato per
-identificare accessi non autorizzati ai computer o alle reti locali.
-Le intrusioni rilevate possono
-essere quelle prodotte da cracker esperti, da tool automatici o da utenti
-inesperti che utilizzano
-programmi semiautomatici.
+L'Intrusion Detection System o \textbf{IDS} è un dispositivo software o hardware utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Lo scopo generale di un IDS è informare gli amministratori di sistema che potrebbe esserci un'intrusione nel sistema. Lo fa andando a lanciare degli allarmi che poi gli amministratori di sistema dovranno andare a controllare manualmente. Gli avvisi includono generalmente informazioni sull'indirizzo di origine dell'intrusione, l'indirizzo di
+destinazione/vittima e il tipo di attacco ``sospetto''.
+
+Un IDS può avere un'installazione o di tipo \textbf{HOST based} o di tipo \textbf{NETWORK based}. Nella \emph{Host based} l'IDS è installato nelle singole macchine utente ed ha quindi una vista ristretta alla singola macchina e non all'intero sistema. In questo caso lavora più a \emph{livello applicazione} per rilevare le intrusioni. Nel \emph{Network based} invece l'IDS è installato a livello di rete e quindi ha una visione più ampia e generale del sistema. In questo caso lavora appunto a livello di rete e quindi riesce a rilevare se un nuovo dispositivo si collega alla rete o se un dispositivo invia strane richieste.
+
+Un IDS può individuare una intrusione tramite 3 tipologie di rilevamento differenti:
+\begin{itemize}
+	\item \textbf{Threshold based detection}: si conta il numero di occorrenze di un determinato evento e se tale numero supera una determinata soglia allora viene considerato come ``attacco in corso''. E' una tecnica di rilevamento basata su anomalie (\emph{anomaly detection}).
+	\item \textbf{Profile based detection}: si traccia ciò che un account fa abitualmente e si guarda se in una giornata sta assumendo il solito comportamento o se si discosta molto dalle abitudini. Se si discosta troppo allora si considera come ``attacco in corso''.  E' una tecnica di rilevamento basata su anomalie (\emph{anomaly detection}).
+	\item \textbf{Signature based detection}: si usano modelli di attacchi già noti e si mette a confronto il comportamento rilevato con i modelli conosciuti per vedere se corrispondono a una minaccia nota.
+\end{itemize}
+
+È importante sapere che un IDS non può bloccare o filtrare i pacchetti in ingresso ed in uscita, né tanto meno può modificarli. Un IDS può essere paragonato ad un antifurto mentre il firewall alla porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino.
+Per ogni rete è necessario un IDS che agisce solo sulla stessa. 
+
+\paragraph{Intrusion Prevenction System}: L'Intrusion Prevenction System o \textbf{IPS} è un dispositivo software o hardware che ha le stesse funzionalità di un IDS ma in più può fermare un attacco in \textbf{real time} andando a compiere alcune azioni quali comunicare con un firewall e aggiungere delle regole per bloccare determinate connessioni malevole o mandare down l'intero network (solo nei casi peggiori) così da evitare ulteriori danni al sistema.
 
-Lo scopo generale di un IDS è informare che potrebbe esserci un'intrusione nella rete.
-Gli avvisi
-includono generalmente informazioni sull'indirizzo di origine dell'intrusione,
-l'indirizzo di
-destinazione/vittima e il tipo di attacco "sospetto”.
-Due sono le categorie base: sistemi basati sulle firme (signature) e sistemi
-basati sulle anomalie (anomaly).
-La tecnica basata sulle firme è in qualche modo analoga a quella per
-il rilevamento dei
-virus (adopera il machine learning), essa permette di bloccare file infetti e
-si tratta di una tra le tecniche più utilizzate. I sistemi basati sul rilevamento delle anomalie utilizzano un
-insieme di regole che
-permettono di distinguere ciò che è "normale" da ciò che è "anormale".
-È importante sapere che un IDS non può bloccare o filtrare i pacchetti in ingresso
-ed in uscita, né
-tanto meno può modificarli. Un IDS può essere paragonato ad un antifurto mentre
-il firewall alla
-porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che
-spetta al firewall, ma
-cerca di rilevarle laddove si verifichino.
-Per ogni rete è necessario un IDS che agisce solo sulla stessa. Se si volesse
-però avere
-un'architettura più complessa, si potrebbe includere un gestore centrale:
-gli IDS fanno da sensore,
-inviano tutto c'è che rilevano nella rete di pertinenza al gestore,
-il quale accumula ed analizza tutti i
-log ricevuti per capire se gli eventi hanno una qualche correlazione.
 
 \paragraph{Honeypot {\normalfont \emoji{honey-pot}}:}
 Un honeypot rappresenta una strategica misura di sicurezza con la quale gli
 amministratori
 di un server ingannano gli hacker e gli impediscono di colpire.
-Un “barattolo di miele” simula i
+Un ``barattolo di miele'' simula i
 servizi di rete o programmi per attirare i malintenzionati e proteggere il
 sistema da eventuali
 attacchi. In pratica gli utenti configurano gli honeypot, utilizzando delle

magistrale/Anno 1/Cybersecurity/latex/bistarelli/capitoli/autenticazione/tipi.tex

@@ -30,7 +30,7 @@ \section{Tipi di Autenticazione}
             da quella dove è avvenuto il
             collegamento; sul server digitando le proprie credenziali
             (per aprire file, fare login..);
-      \item \textbf{Indiretta}: l'autenticazione non sulla macchina ma su un server
+      \item \textbf{Indiretta}: l'autenticazione non avviene sulla macchina ma su un server
             di logging remoto (Windows
             domain, radius, kerberos, nis). Un esempio è l'autenticazione che
             facciamo in laboratorio. L'utente richiede al server l'accesso ad una
@@ -45,33 +45,33 @@ \section{Tipi di Autenticazione}
 
 \subsection{Autenticazione utente-computer}
 
-L’autenticazione tra un computer ed un utente solitamente avviene tramite
-l’utilizzo di \textbf{certificati} (come nel caso bancario); quella tra l’utente
-ed un computer avviene sulla base di qualcosa che l’utente:
+L'autenticazione tra un computer ed un utente solitamente avviene tramite
+l'utilizzo di \textbf{certificati} (come nel caso bancario); quella tra l'utente
+ed un computer avviene sulla base di qualcosa che l'utente:
 
 \begin{itemize}
       \item \textit{Conosce}: informazioni quali password, PIN, ecc.
-      \item \textit{Possiede}: cose fisiche o elettroniche che solo l’utente ha,
+      \item \textit{Possiede}: cose fisiche o elettroniche che solo l'utente ha,
             come chiavi convenzionali, carte magnetiche o smart, ecc.
       \item \textit{È}: caratteristiche biometriche quali
-            impronte digitali, l’iride, tono di voce, ecc
+            impronte digitali, l'iride, tono di voce, ecc
 \end{itemize}
 
 \subsection{Autenticazione su conoscenza}
 
 Questo metodo si basa sulla conoscenza di una coppia di elementi, \textbf{userID}
-e \textbf{password}, che forniscono una prova dell’identità.
+e \textbf{password}, che forniscono una prova dell'identità.
 Esiste un database locale dove si ricerca la coppia di informazioni:
-se viene trovata una corrispondenza, l’utente viene riconosciuto.
+se viene trovata una corrispondenza, l'utente viene riconosciuto.
 Questo metodo è \textit{antico} ma \textit{estremamente diffuso} per via della sua
 economicità e \textit{semplicità} di gestione ed implementazione.
 Risulta però essere debole e poco resistente una volta scoperta una password,
 in quanto la vulnerabilità agli attacchi sarà molto alta.
 
 \subsection{Gestione delle password}
 
-L’utente fornisce userID e password; questi vengono ricercati nel database e se
-sono presenti è consentito l’accesso.
+L'utente fornisce userID e password; questi vengono ricercati nel database e se
+sono presenti è consentito l'accesso.
 Questo sistema però presenta alcune debolezze. In primo luogo, nel database
 userID e password sono in chiaro: poteva capitare che queste informazioni
 venissero utilizzate per entrare illecitamente. Poteva anche presentarsi il
@@ -90,17 +90,17 @@ \subsection{Gestione delle password}
 chiaro e non vi era più la necessità di utilizzare il file memorizzato in RAM.
 Allo stesso tempo però il file degli hash poteva essere aperto in lettura da
 chiunque e per due password uguali si aveva il medesimo hash.
-Il problema delle password uguali viene risolto con l’aggiunta del \textit{sale}
+Il problema delle password uguali viene risolto con l'aggiunta del \textit{sale}
 (\textbf{salt}), ossia una sequenza di bit generata dal sistema. La password,
 quindi, risulta diversa dalla sua omonima grazie a questa informazione casuale
 in più.
 Nel file viene memorizzato non solo la password, ma anche il sale corrispondente.
 Questo viene posizionato in una directory nascosta (\textbf{shadow}), in nessun
 modo accessibile da alcun utente ad eccezione di root.
-Per quanto riguarda l’autenticazione, l’utente inserisce la password che conosce:
-dal file delle password viene preso il sale dalla riga che corrisponde all’userID
+Per quanto riguarda l'autenticazione, l'utente inserisce la password che conosce:
+dal file delle password viene preso il sale dalla riga che corrisponde all'userID
 e si codificano le due informazioni, \(salt + password\). Se il risultato è
-uguale alla riga memorizzata nel database, allora l’utente può entrare.
+uguale alla riga memorizzata nel database, allora l'utente può entrare.
 Anche questo file viene aperto in lettura da tutti.
 Tale problema verrà risolto solo nel 1987.
 
@@ -118,7 +118,7 @@ \subsubsection{Vulnerabilità delle password}
       \item \textbf{Spoofing}\footnote{Ricordarsi che il termine corretto è
                   \textit{Spoofing} e non \textit{Spooping}, qui lo SCAT non è bene
                   accetto \emoji{poop}}: acquisite da terze parti che impersonano
-            l’interfaccia di login (Trojan login);
+            l'interfaccia di login (Trojan login);
 
 \end{itemize}
 
@@ -152,11 +152,11 @@ \subsection{Autenticazione su possesso}
 Chi possiede un oggetto come una carta magnetica, una smart card o smart token,
 è autorizzato a compiere determinate azioni. Tale tipo di autenticazione
 solitamente non è nominale, ma può essere accompagnata dal riconoscimento
-dell’user. Rubando il token, infatti, non si fa altro che impersonare l’utente.
+dell'user. Rubando il token, infatti, non si fa altro che impersonare l'utente.
 Ogni token memorizza una chiave che deve essere inserita per sbloccarlo.
 Nel caso del bancomat, per esempio, viene richiesto un PIN per utilizzare la carta.
 Il vantaggio di questo strumento è che è molto complesso estrarre
-un’informazione dal token.
+un'informazione dal token.
 
 \paragraph{Tipi di Token: }
 
@@ -193,7 +193,7 @@ \subsection{Autenticazione su possesso}
 
 \section{Autenticazione su caratteristiche}
 
-Il possesso da parte dell’utente di alcune caratteristiche univoche fornisce
+Il possesso da parte dell'utente di alcune caratteristiche univoche fornisce
 prova della sua identità.
 Le caratteristiche possono essere:
 
@@ -206,23 +206,25 @@ \section{Autenticazione su caratteristiche}
             velocità nella scrittura, ecc.
 \end{itemize}
 
-Lo schema di funzionamento di tale tecnica, prevede una fase iniziale di
+Lo schema di funzionamento di tale tecnica prevede una fase iniziale di
 \textbf{campionamento} in cui vengono eseguite più misurazioni sulla
-caratteristica d’interesse, in modo da stabilire un margine d’errore e viene
+caratteristica d'interesse, in modo da stabilire un margine d'errore e viene
 definito un modello (\textbf{template}).
 Durante la fase di \textbf{autenticazione}, viene confrontata la caratteristica
-appena misurata rispetto al template: c’è successo se i due valori corrispondono
+appena misurata rispetto al template: c'è successo se i due valori corrispondono
 a meno di una \textit{tolleranza}, che va definita attentamente.
 Se è troppo alta consento l'accesso ad altri utenti, se è troppo bassa potrei
 non consentire l'accesso neanche all'utente a cui magari appartiene la
-caratteristica misurata.
-Ottenere una perfetta uguaglianza è tecnicamente un’operazione impossibile.
-Il problema fondamentale di questa tecnica sta nell’identificare il giusto
-template da associare all’individuo in analisi.
-Va fatto notare che l’autenticazione biometrica è sempre probabilistica,
+caratteristica misurata. 
+La tolleranza va decisa in base al livello di sicurezza che vogliamo adottare e quindi dall'ambiente di utilizzo. Ad 
+esempio se utilizzo l'impronta digitale per accedere al conto bancario allora il margine di errore dovrà essere minimo, con il rischio di creare dei falsi negativi. Se invece uso l'impronta digitale per fare accedere degli utenti in piscina allora posso permettermi di impostare un margine elevato ed avere a volte dei falsi positivi, così che i clienti non si lamentino. 
+Ottenere una perfetta uguaglianza è tecnicamente un'operazione impossibile.
+Il problema fondamentale di questa tecnica sta nell'identificare il giusto
+template da associare all'individuo in analisi.
+Va fatto notare che l'autenticazione biometrica è sempre probabilistica,
 ovvero dipende da come è settato il parametro soglia: se la soglia
-è \textbf{molto bassa} risulterà difficile che l’intruso si autentichi al posto
-dell’utente,
+è \textbf{molto bassa} risulterà difficile che l'intruso si autentichi al posto
+dell'utente,
 ma il numero di falsi negativi sarà alto; se invece la soglia
 è \textbf{molto alta}, non avrò mai falsi negativi in quanto l'utente reale
 verrà sempre autenticato ma potrebbero esserci falsi positivi da parte di un
@@ -233,7 +235,7 @@ \section{Autenticazione su caratteristiche}
 biometrica adatta alla circostanza. Occorre che il sistema non sia troppo
 invasivo, poiché ciò potrebbe non essere accettato dall'utente.
 Inoltre, non possono essere utilizzate informazioni che metterebbero a
-repentaglio la sua privacy. Per esempio, l’autenticazione tramite retina non
+repentaglio la sua privacy. Per esempio, l'autenticazione tramite retina non
 viene quasi mai impiegata in quanto da essa si potrebbe rinvenire alla presenza
 di alcune malattie. L'impronta digitale rimane il meccanismo più usato,
 anche se è il meno pratico ed efficace.