Post on 11-Jul-2020
PRINCIPI DI COMPUTER SECURITY
Andrea Paoloni
2Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
3
Cade il segreto dei codici cifratiCorriere della Sera 26 febbraio 2008
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
4Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Gli hacker sono utili?
5Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Safety vs Security
SAFETY (salvezza): protezione, sicurezza da danni fisici
SECURITY(sicurezza): invulnerabilità da attacchi esterni
6Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Relazioni con “Safety”
Quali relazioni sussistono tra la sicurezza delle persone e i seguenti temi:
SicurezzaSistemi ad alta integritàQuality management
7
Beni da proteggere
• Hardware• Software• Informazioni (dati nel sistema)• Servizi (forniti dal sistema)
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
8
Protezione delle informazioni
• Riservatezza • Autenticità• Integrità• Disponibilità
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
9
ICT in rete
• Intercettazione (tapping the wire, sniffing)• Falsa identità (impersonation..)• Negazione dei servizi (DoS)• Virus, Cavalli di Troia
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
10
Anello debole
La protezione non deve necessariamente avvenire con i mezzi più ovvi né verrà colpito il punto più protetto.
11
Vulnerabilità e minacce
•Vulnerabilità•Minaccia
Una minaccia viene bloccata dal controllo di una vulnerabilità
12
Tipi di minacciaIntercettazione: viene consentito l’accesso a una risorsa del sistema ad una persona non autorizzata.Interruzione: una risorsa del sistema diventa non disponibileModifica: una risorsa del sistema viene alterataFalsificazione: una risorsa del sistema viene modificata
13
Protezione
• Dall’ esterno (internet)• Dall’interno (intranet)
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
14
Vulnerabilità dell’hardware
I computer portatili (laptop), in particolare, sono vulnerabili perché sono pensati per essere agevolati da trasportare. Il maggior rischio per la sicurezza proviene da chi lavora all’interno dell’organizzazione protetta.
15
Vulnerabilità del software
Un impiegato di banca scoprì che il software troncava l’interesse frazionario su ogni conto. Se l’interesse mensile su un conto era pari a 14.5467 euro, il software accreditava 14.54 euro. L’impiegato modificò il software in modo che l’interesse scartato venisse trasferito su un suo conto.
16
Vulnerabilità del softwareAltre categorie di modifiche al software:• Cavalli di Troia (trojan horse): che
apertamente svolgono un’operazione ma in segreto ne coprono un’altra;
• Virus: tipi specifici di cavalli di Troia che diffondono la loro “infezione” da un computer a un altro;
• Trapdoor: programmi con un punto di accesso segreto;
• Fughe di informazioni in un programma.
17
Principio della temporalità
Gli elementi di un sistema informatico devono essere protetti solo fino a quando possiedono un valore, e devono essere protetti a un grado connesso con il loro valore.
18
Confidenzialità dei dati
I dati possono venire raccolti con molti mezzi, per esempio sfrutttando i cavi, inserendo cimici nelle periferiche di output, passando al setaccio i cestini, monitorando le radiazioni elettromagnatiche, corrompendo i dipendenti chiave, deducendo un punto dati da altri valori, o semplicemente richiedendoli.
19
I principali metodi di attacco2006 DTI
• Virus o altri codici maliziosi, 35%• L’abuso dei dati o delle risorse da parte
del personale 21%• L’intrusione dall’esterno di hacker 17%.• Gli incidenti 8%• I guasti alle apparecchiature 29%.
20
Contromisure
• Sistemi di identificazione ed autenticazione dell’utente;
• Tecniche di cifratura;• Codici di autenticazione dei messaggi;• Sistemi di non ripudio;• Aggiornamenti del sistema operativo.
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
AUTENTICAZIONE
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 200921
Metodi di autenticazione
• Password statiche• Passworddinamiche (Kerberos)• Dispositivi di memorizzazione (Smart
card..)• Biometria
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 200922
CRITTOGRAFIA
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 200923
24Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Crittografia
• Crittografia: da kryptòs (nascosto) e graphein (scrittura) – alterazione di un messaggio con un procedimento noto al mittente ed al destinatario
• Steganografia: da stèganos (nascosto, coperto):nascondere l’esistenza stessa delle comunicazione)
25Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Codifica e Decodifica
•Codificare: testo in chiaro → testo codificato• Decodificare: testo codificato → testo in chiaroAmbedue basate su: algoritmo e chiaveEs: “Shiftare” di k una stringa
26Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Sistema crittografico
27Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Crittografia
•dzqpimqtpq c vzvvmOgni lettera viene sostituita con la seconda successiva (A c, B d, e così via)
•BUONGIORNO A TUTTICrittografia monoalfabetica
28Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Gli algoritmi a chiave simmetrica
29Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Crittografia simmetrica
• Medesima chiave per codifica e decodificaDi solito (DES) si usano chiavi di 64-128bit (17-34 cifre decimali) e sono moltoveloci
• Distribuire chiavi a coppie di utenti• Per n utenti servono n2 chiavi diverse
30Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Crittografia a chiave pubblicaUna soluzione al problema di distribuzione delle chiavi è data dai sistemi a chiave pubblica/privata•Esistono due chiavi per ogni utente:
–Chiave PRIVATA–(strettamente personale)– Chiave PUBBLICA–(liberamente distribuibile)
Un messaggio codificato con una delle due chiavi è decifrabile solo con l’altra chiave della coppia
31Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Crittografia asimmetrica
Una chiave per codifica, un’altra per decodifica. Ogni utente ha una coppia di chiavi:• chiave privata: segreto da custodire• chiave pubblica: informazione da diffondereEntrambe usabili per codificare o decodificare.
32
Diffie, Hellman e Merkle
33Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Gli algoritmi a chiave pubblica
34Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Autenticazione e integrità
35Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Comunicazioni sicure su Internet
La trasmissione di informazioni su Internet non è di per sé al riparo da rischi di intercettazione o di alterazione
In generale non è sicuro diffondere informazioni riservate su web attraversoform o email non protette
36Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
SSL: comunicazioni sicure su Internet
SSL (Secure Socket Layer) stabilisce uncanale sicuro di trasmissione dati mediante l’utilizzo della crittografia simmetrica.I siti che utilizzano SSL sono in genere identificati da “https”; durante la navigazione il browser segnala graficamente la protezione.
37
Livelli di cifratura
Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
38Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
SSL: comunicazioni sicure su Internet
39Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Caratteristiche dell’SSLCaratteristiche principali:• Autenticazione del server SSL. Consente a un utente di avere conferma dell’identita’ del server.•Un browser con supporto SSL mantiene elenco delle CA fidate insieme alle chiavi pubbliche delle CA.• Autenticazione del client SSL (opzionale)Permette al server di avere conferma sull’identita’del client.• Sessione SSL cifrata. Tutte le informazioni inviate tra browser e server sono cifrate.• Fornisce un meccanismo per rilevare contraffazione informazioni da parte di un intruso.
40Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009
Come opera l’SSLPer contattare una pagina sicura ospitata da un server SSL compatibile viene utilizzato nella URL il protocollo https al posto del semplice httpDa quel momento il client e il server attivano il protocollo SSL per l’handshake che:• Autentica il server• Genera chiave simmetrica condivisaEntrambe le azioni sono eseguite utilizzando la tecnologia RSA a chiave pubblica.