Introduzione alla Sicurezza Informatica - Università degli ...numeri telefoni, carte...
Transcript of Introduzione alla Sicurezza Informatica - Università degli ...numeri telefoni, carte...
Introduzione alla Sicurezza Informatica
Prof. Francesco Buccafurri
Università Mediterranea di Reggio Calabria
1
Crescita di Internet
1.776.000 3.212.000 8.200.00016.729.00026.053.00036.739.00056.218.000
93.047.000
125.888.000
162.128.000171638297
233.101.481
317.646.084
439.286.364
489.774.269
570.937.778
0
100.000.000
200.000.000
300.000.000
400.000.000
500.000.000
600.000.000
1993 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008
2
Problemi
• Internet consente alle aziende di– Effettuare commercio elettronico– Fornire un migliore servizio ai clienti– Ridurre i costi di comunicazione– Accedere facilmente alle informazioni
• …tuttavia…
• … espone i computer all’azione di attacchi daparte di malintenzionati– Il numero di incidenti aumenta di anno in anno– Le perdite finanziarie hanno raggiunto livelli
misurabili in miliardi di dollari
3
Hacker• Steven Levy, Hackers: Heroes of the Computer Revolution
– tipo positivo, studente di MIT o Stanford– ideale: rendere la tecnologia accessibile a tutti– risolvere i problemi e creare soluzioni
• Più recentemente, nei media:– tipo negativo– sfrutta buchi di sicurezza
4
Hacker(tipo positivo)
Una persona che ama esplorare i dettagli dei sistemi informatici e i modi con cui estenderne le capacità, contrariamente alla maggioranza degli utenti, che impara solo lo stretto necessario.
Chi programma con entusiasmo o che preferisce programmare piuttosto che disquisire sulla programmazione.
• Guy L. Steele, et al., The Hacker's Dictionary
5
Hackerclassificazione
• Cracker: programmatori specializzati nell’infrangere sistemi di sicurezza per sottrarre o distruggere dati
• Script Kiddie: cracker che adoperano script scritti da altri, non essendo in grado di produrli da sè
• Phracher: rubano programmi che offrono servizi telefonici gratuiti o penetrano computer e database di società telefoniche
• Phreaker: utilizzano informazioni telefoniche (numeri telefoni, carte telefoniche,…) per accedere ad altri computer
6
Hackerclassificazione
• Black hat: hacker “cattivo”, che sfrutta la propria abilità per delinquere
• White hat: hacker che si ritiene moralmente e legalmente integerrimo
• Grey hat: una via di mezzo tra white e black hat
• Termini coniati nel 1996, in occasione della prima conferenza Black Hat Briefings, a Las Vegas
7
Vulnerabilità e Attacchi
• Vulnerabilità– Debolezza di un sistema di sicurezza che può essere
utilizzata per causare danni
• Attacco– Sfruttamento di una vulnerabilità di un sistema
•
8
Tipi di attacchi
• Attacchi passivi: non alterano i dati in transito– Intercettazione del traffico– Analisi del traffico
• Attacchi attivi: modificano il flusso di dati o creano un falso flusso:– Mascheramento– Riproduzione– Modifica dei messaggi– Denial of service
9
Intrusioni
• Vari tipi di intruder– Adolescente curioso– Studente universitario che ha
sviluppato nuovo tool– “Spia” a pagamento – Dipendente licenziato o arrabbiato
• Vari tipi di motivazioni– Divertimento– Senso di potenza– Sfida intellettuale– Attenzione politica– Guadagno economico
10
Intrusioni• Il manager ragiona così:
– “Nessuno attaccherà la mia azienda, non c’è nulla di prezioso qui!”
• Gli attacker invece ragionano così: – ”Scelgo il target più facile, entro e poi guardo– Al massimo userò il sistema come ponte per altri
attacchi”
11
Condivisione della conoscenza
• Ci sono newsgroup, pubblicazioni, conferenze sulle ultime tecniche di intrusione
• Conoscenza condivisa su:sistemi mal configurati, usati per scambio di:– software pirata – numeri di carte di credito– strumenti facili da utilizzare– identità dei siti compromessi (inclusi account e password)
12
Tipi di incidenti
• Scanning• Attacchi alle password• Intercettazione di pacchetti (packet sniffing)• Compromissione di account (privilegiati e non)• Denial of Service• Codice malizioso (Virus, Worm, Trojan horse)• Attacchi all’infrastruttura di rete (name server,
access provider, grossi archivi di rete,…)• Frodi Informatiche (Phishing e furto di credenziali)
13
Tools Package• Mantenuti da programmatori competenti, includono
anche versione e documentazione• Possono contenere:
– Network Scanner– Tool per password cracking e grandi dizionari– Packet Sniffer– Virus, Trojan horse, programmi e librerie– Tool per la modifica selettiva dei file di log del sistema
14
Sicurezza Dati: obiettivi
• Confidenzialità• Autenticazione• Non-ripudio• Controllo Accessi• Integrità• Anonimia• Disponibilità Risorse
15
Confidenzialità
• Privacy, Segretezza
sono accessibili in lettura solo da chi è autorizzato
trasmessememorizzateInformazioni
16
Autenticazione
• messaggi entità tempo (Identificazione) (Timestamp)
17
Non-ripudio
non può negare latrasmissione o la paternità del
messaggio/docum.
Chi inviaChi riceve
18
Controllo Accessi
•Accesso alle informazioni controllatoda o
per il sistema
19
Integrità
Solo chi è autorizzato puòmodificare l’attività di un sistema o le informazioni trasmesse
modifica = scrittura, cambiamenti, cancellazione,creazione, ritardi, replay e riordino di messaggi, …
20
Anonimia
• Protezione dell’identità o del servizio utilizzato
21
Disponibilità Risorse
• Diverse attese:– presenza di oggetti e servizi utilizzabili– capacità di soddisfare le richieste di servizi– progresso: tempo di attesa limitato– adeguato tempo del servizio
Risorse disponibili a chi èautorizzato quando necessario
22
LA CRITTOGRAFIA
codifica
messaggio cifratoChiave dicodifica
Chiave didecodifica
Mittente
messaggio
Destinatario
messaggio
decodifica
23
CRITTOGRAFIA A SINGOLA CHIAVE
• CHIAVE DI CODIFICA = CHIAVE DI DECODIFICA
...xcgfterihgu...
BOBALICE
FIDANZATA DI BOB
24
UN ESEMPIO DI CRITTOGRAFIA CLASSICA:IL METODO DELLA TRASPOSIZIONE
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
chiave = 5dimensione dello spazio delle chiavi: 26
ROMA ⇒ VSQE
25
SICUREZZA DEI CIFRARI
• Algoritmo: noto
• Chiave: segreta
• Dimensione dello spazio delle chiavi grande
• Sono condizioni necessarie e sufficienti?
26
CRITTOANALISI
• ROMA ⇒ VSQE (trasposizione con chiave 4)
• ATTACCO BASATO SULLA FORZA BRUTA: ricerca in tutto lo spazio delle chiavi
Crittoanalista stupido
Le condizioni sono quindinecessarie
27
CODIFICA CESAREA METODO DI SOSTITUZIONE
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
X Q B J Z H T U L M E R O G K P F C V N I S A W D Y
ROMA ⇒ CKOX
chiave
Dimensione dello spazio delle chiavi: 26! = 4 x 1026
28
CRITTOANALISI “INTELLIGENTE”
crittoanalista arguto
ROMA ⇒ CKOX
Analisi delle frequenze...
Lo spazio e’ grande!Le condizioni non sono sufficienti...
29
LE REGOLE PER LA ROBUSTEZZA
• Lo spazio delle chiavi deve essere grande
• L’algoritmo deve essere “intelligente”
30
CRITTOGRAFIA MODERNA
• Agisce su bit (010110101…) piuttosto che su caratteri.
• La chiave e’ una sequenza di bit (es, 128 bit)
• Se la chiave e’ lunga K, lo spazio delle chiavi e’ 2K
• Dispone di mezzi di calcolo potenti
• Nascono gli standard
• Esempi:
– DES (la sua prima versione a 56 bit fu forzato nel 98)
– IDEA
31
CRITTOGRAFIA A DOPPIA CHIAVE
• Algoritmo di codifica: C• Chiave di codifica: Kc
X = C (Kc, M )
• Algoritmo di decodifica: D• Chiave di decodifica: Kd
M = D (Kd, X )
D MX
Kd
CM X
Kc
32
CRITTOGRAFIA A DOPPIA CHIAVE
• Le chiavi sono una coppia inscindibile.
• Quanto cifrato con una chiave può essere decifrato
solo con l’altra.
• La conoscenza del valore di una chiave non permette
di risalire al valore dell’altra.
33
ALGORITMI
• RSA (Rivest-Shamir-Adleman)– Basato sulla difficoltà di decomporre in fattori primi
numeri di valore elevato
• DSA (Digital Signature Algorithm)– Basato sulla difficoltà di determinare il logaritmo intero
di un intero di valore elevato
34
DOPPIA APPLICAZIONE
• RISERVATEZZA
– Chiave pubblica per la codifica
– Chiave segreta per la decodifica
• AUTENTICAZIONE (Firma Digitale)
– Chiave segreta per la codifica
– Chiave pubblica per la decodifica
35
ALICE E BOBRiservatezza
C D
Chiave pubblica di bob
Chiaveprivata di bob
36
ALICE, BOB E LA SUA FIDANZATARiservatezza
C D
D
37
ALICE E BOBAutenticazione
C D
Chiave privatadi Alice
Chiave pubblica di Alice
38
APPLICAZIONI REALI
• La codifica a doppia chiave si applica male a messaggi di grande dimensione
• Per la riservatezza si usa per trasferire la chiave di codifica di un algoritmo simmetrico (DES, IDEA)
• Nella firma, gli algoritmi non si applicano all’intero messaggio.
39
L’IMPRONTA E LA FIRMA
C D
40
L’IMPRONTA
• Può riguardarsi come generata dalla compressione,
con perdita di informazione, del testo.
• Il numero di bit dell’impronta è fisso (160).
• E’ determinata attraverso una funzione detta “hash”
• A testi diversi corrispondono impronte diverse.
• Non è possibile generare un testo cui corrisponde un
determinato valore dell’impronta.
• Non è possibile generare due testi che abbiano uguale
impronta.
41
CALCOLO DELL’IMPRONTA
INSIEME DI TUTTI I POSSIBILI DOCUMENTI
INSIEME DEGLI INTERI A N BIT
42
LE FUNZIONI DI HASH
Funzioni che generano impronte a 160 bit
– RIPEMD-160
– SHA-1
• Accettate dalla normativa (DPCM 13 Gennaio 2004)
• Funzioni robuste
43
LO SPAZIO DI TUTTE LE IMPRONTE
( ) =⋅=⋅=⋅>594548160 101400101400104,12
000.000.000.000.000.000.000.000.000.000.000.000.000.000.000.400.1
44
QUALCOSA NON VA
C D
Chiave privatadi Trudy
Falsa chiave pubblica di Alice
45
NECESSITA’ DELLA CERTIFICAZIONE
C D
Non puo’essere falsa!
46
ESEMPIO DI CERTIFICATO (X.509)
• Identificatore del certificato
• Soggetto emittente
• Soggetto titolare
• Periodo di validità
• Chiave pubblica del titolare
• Algoritmo di firma
• Attributi addizionali
47
FIRMA DIGITALE
DOCUMENTOFUNZIONEDI HASH
FIRMADIGITALE
IMPRONTADOCUMENTO
ALGORITMO DI CODIFICA
CHIAVEPRIVATA
GENERAZIONE
VERIFICA
ALGORITMO DI DECODIFICA
CHIAVEPUBBLICA
DOCUMENTOFIRMA
DIGITALEFUNZIONEDI HASH
IMPRONTADOCUMENTO
48
UN ALTRO PUNTO DEBOLE
• La chiave segreta deve rimanere tale
• L’intrusione dall’esterno e’ possibile
• Dispositivo esterno per la generazione della firma: la SMART CARD
49
LA PROTEZIONE DELLA CHIAVE SEGRETA
CHIAVE SEGRETA
IMPRONTA
FIRMA