Sicurezza

Question 1

Tipologia di attacchi contro

Answer 1

-Disponibilità
Viene negato accesso a utenti legittimi
Es. Distribuito negazione di servizio
-Integrita
Attacco che danneggia sistema o dati
Es. Virus o Ransomware
-Rubare informazioni confidenziali
Es. data thief

Question 2

Cosé’ ransomware

Answer 2

Mix di tutte le tipologie di attacco precedenti

Question 3

Manutenzione per prevenire attacchi

Answer 3

Autenticazione e autorizzazione
Manutenzione delle infrastrutture del sistema
Da tenere ben configurate
Monitoraggio attacchi
Sistemi di backup

Question 4

Ulteriori protezioni per aumentare sicurezza, hint relative ad auth, operazioni users.

Answer 4

Fattore di auth doppio
User logging operations

Question 5

Attacchi inject

Answer 5

Buffer overflow
Riesce a inserire in zone di memoria come c++ pezzi di codice che verranno eseguiti
Sql injection
Per difendersi bisogna validare campi input

Question 6

Cos’é la sessione

Answer 6

Periodo durante il quale utente autenticato ha accesso valido al sistema

Question 7

Come hacker prende cookie

Answer 7

Tramite cross site scripting
Viene attaccato Sito e viene inserito codice malevolo nel sistema
Viene cosi preso cookie della sessione da client
Difesa avviene tramite form validation
Check input
Traffic monitor con wifi es.

Question 8

Differenza tra attacco passivo e attivo

Answer 8

Attivo tramite user session attacker effettua operazioni su server
Passivo vengono rubate infos

Question 9

Difesa da attacco alla sessione

Answer 9

encrypt es. https tra client server
Multi facto auth
Short timeouts per sessione

Question 10

Attacco Dos cos’é

Answer 10

Più computer violati mandano centinaia di migliaia di richieste a un servizio di una web app

Question 11

Brute force attack

Answer 11

Con buona password si evita

Question 12

Da cosa é formato https

Answer 12

HTTPS = HTTP + TLS

Question 13

TLS

Answer 13

serve a verificare identità digitale e per criptaggio di dati
Scambio digital certificato tra server e client
Utilizzo di trusted identity verification service (CA)

Question 14

Quando effettuare encrypt dati

Answer 14

Dati in transito sempre criptati
Dati stored decriptati
Dati in uso encrypt e decrypt rallenta sistema

Question 15

Chi puó occuparsi dell’encrypting dei dati

Answer 15

Applicazione che decripta immediatamente prima di utilizzo
Database può essere criptato quando smesso di utilizzare o ogni tabella criptata e decriptata
File ogni file é criptato alla chiusura
Media, ossia il sistema operativo cripta i dischi quando sono smontati
Manage key
Utilizza Key management system

Question 16

Problemi lagati alla privacy

Answer 16

Concetto relativo a uso appropriato dei dati utente
Importante
Controllo dei dati
Scopo
Consenso
Quanto durano
Storage sicuro
Dove salvati
Cercare dati e trovare errori da parte degli utenti
Problemi legali con dati
Storage solo di dati che ti servono
Dici agli utenti se vendi loro dati
Controllo su dati che utenti condividono

Question 17

Attacco Dos come difendersi

Answer 17

Difesa software speciale che permette di rifiutare pacchetti
Anche contro singolo user
Basta timeout dopo troppi tentativi stesso user
IP track per gli accessi inusuali

Question 18

Differenza tra autorizzazione e autenticazione

Answer 18

Autorizzazione sono operazioni che un utente può effettuare, per ogni oggetto nel sistema possiamo avere lista di autorizzati: Access Control Lists.
Autenticazione permette di verificare che utente sia effettivamente lui.

Question 19

Federate Auth

Answer 19

Affidiamo a servizi più affermati, come Google autenticazione utente.

Question 20

Cosa sono Key Managment system?

Answer 20

Database speciali che si occupano di salvare password, certificati ecc, importante le pass andranno criptate.

Question 21

Security di un sistema cos’è?

Answer 21

Abilità di resistere ad un attacco

Question 22

Superfice di attacco cos’è?

Answer 22

Numero di entry points da cui può essere effettuato un attacco

Question 23

Defense in depth cos’è?

Answer 23

Sicurezza del sistema data da una serie di layers e best practices per aumentare la sicurezza. es. castello.

Question 24

Quali sono i tre livelli in cui bisogna garantire sicurezza?

Answer 24

1)Infrastrutturale, mantenendo sicurezza tra tutti i sistemi e le connessioni tra questi.
2)Sicurezza applicativo: sicurezza della applicazione e di sistemi relativi
3)Operational security: sicurezza delle operazioni effettuate dagli utenti

Question 25

Che programma utilizziamo per fare static analysis?

Answer 25

Bandit, comando: bandit -r .
Riconosce 70 vulnerabilità di Py

Question 26

Cos’è static analysis?

Answer 26

Analisi del codice per trovare vulnerabilità, abbiamo falsi positivi e falsi negativi e intersezione tra reali vulnerabilità e segnalate sono le detected potential vulnerabilità

Question 27

Quali metodi per assicurarci di raggiungere sicurezza?

Answer 27

1)Evitiamo vulnerabilità del sistema:
sistema che progettato per evitare pericoli, es. disconnesso dal web
2)Attack detection e elimination:
Se ci sono attacchi in corso vengono trovati e eliminati es. antivirus
3)Limitazioni nelle esposizioni e recovery in caso di problemi. es. backup