La sicurezza dei sistemi e delle reti in ambito ICT · MODULO 1- INTRODUZIONE: Sicurezza...

1

La sicurezza dei sistemi e delle reti in ambito ICT

PRINCIPI SUI MECCANISMI E SERVIZI PER LA SICUREZZA

G.Manco ([email protected])

Napoli 9 Novembre 2016

Manco

Ordine degli Ingegneri della Provincia di Napoli

Commissione Tecomunicazioni, Reti e Sistemi

CORSO DI STUDIO

.

2 Manco


MODULO 1- INTRODUZIONE: Sicurezza Informatica

► SOMMARIO

● Presentazione della Commissione TRS OIN

● Presentazione del Corso

● La sicurezza nella Società dell’Informazione

● I modelli di sicurezza dei sistemi e reti

● I Meccanismi e i servizi per la sicurezza logica

♦ crittografia simmetrica e asimettrica, servizi di

autenticazione, Firma Digitale, i servizi di sicurezza nella pila

dei protocolli.

● Conclusioni

3 Manco

► Le attività della Commissione TRS dell’Ordine Ingegneri di Napoli

La Commissione nasce come nel 2006 come Comm. Tlc. Nel nuovo assetto

opera dalla fine del 2013.

Le aree tecniche di attività per le quali sono in via di costituzione dei

gruppi di lavoro:

● Campi, Comunicazioni Wireline/Wireless/Segnalazioni e Protocolli

● Reti Tlc pubbliche e private

● Reti specializzate e applicazioni: Smart City,

Automazione Servizi, Infomobilità, Domotica, Telecontrollo,,,

● Sistemi di Sicurezza

● Formazione

● Attività di comunicazione e servizi: Comunicazione, Norme, Sportello

Informativo,Studi sulle esigenze professionali nell’ambito ICT/TLC.

4 Manco

► Le attività nel campo della sicurezza svolte dalla Commissione TLC

● 2006- La Commissione Tlc crea GL sull‟HS

● 2007- Proposta City Protection per il Piano Strategico di Napoli

● 2008- Conversazione all‟Ordine sull‟HS

● 2009- Pubblicazione del volume

“I SISTEMI DI HOMELAND SECURITY: scenari, tecnologie e

applicazioni” a cura di G.Franceschetti e G.Manco

● Marzo 2010- Doc. Buon Governo per i candidati alla presidenza della

Regione Campania

● Aprile 2010-”HS tra presente e futuro” in collaborazione con Selex-SI,

Università Federico II di Napoli e AEIT-sez. di Napoli

● 2008, 2009, 2011, 2012, 2014,2015 Corso “Monitoraggio dei campi

elettromagnetici”

● 2011-2016- Corso di Progettazione Sistemi di VDS

● 2014-2016- Corso di Antintrusione

● 2014,2015-Corso Telerilevamento e reti di controllo ambientale

● 2015-2016-Corso Reti Telematiche in Fibra Ottica

5 Manco


PRESENTAZIONE DEL CORSO

► OBIETTIVO

● Il Corso si pone come obiettivo l‟aggiornamento professionale di ingegneri

operanti nel settore della progettazione e dell‟integrazione di reti e sistemi di

ICT orientati ai servizi, fornendo un‟adeguata panoramica sui meccanismi,

servizi per la sicurezza logica. Sono inoltre affrontate le tematiche della

Business Continuity&Disaster Recovery e trattati i principi di base della

Forensics.

● Il percorso didattico del Corso consiste nello studio dello stato dell‟arte

della sicurezza logica delle reti e dei sistemi ICT.

6 Manco


PROGRAMMA (18h)

► Lezione 1 (3h)

Principi sui meccanismi e servizi per la sicurezza (Ing. Giovanni Manco)

► Lezione 2 (3h)

Sicurezza dei sistemi e delle reti (Ing. Mario Di Mauro)

► Lezione 3 (3h)

Principi di Digital Forensics1(Ing. Lucio Di Cunzolo)

► Lezione 4 (3h)

Principi di Digital Forensics2 (Ing. Luca Del Pizzo)

7 Manco


PROGRAMMA (18h)

► Lezione 5 (3h)

Il Codice dell’Amministrazione Digitale : sicurezza dei sistemi e delle reti (Ing.

Vincenzo Curion)

► Lezione 6 (3h)

Principi di Business Continuity & Disaster Recovery (Ing. Salvatore Frasca)

Docenti

Ing. Manco Giovanni Coordinatore Commissione TLC, Reti e Sistemi (TRS) OIN

Ing. Vincenzo Curion Commissione TRS OIN

Ing. Salvatore Frasca Presidente Commissione ICT Ordine Ingegneri prov. di Sa

Ing. Luca Del Pizzo Commissione ICT Ordine Ingegneri prov. di Sa

Ing. Lucio Di Cunzolo Commissione ICT Ordine Ingegneri prov. di Sa

Ing. Mario Di Mauro Commissione ICT Ordine Ingegneri prov. di Sa

8 Manco


LA SICUREZZA NELLA SOCIETÀ DEL TERZO MILLENNIO

► LA SICUREZZA NEL MONDO SVILUPPATO E GLOBALIZZATO

● E’ sempre di più un problema emergente, legato a complessi fenomeni ambientali (naturali e antropici), culturali, sociali, economici, politici e multiculturali. ● E’ quasi sempre una lotta asimmetrica ● Include la prevenzione e protezione da: attacchi della criminalità, calamità naturali e uso di complesse e vitali infrastrutture,… ● Comprende diversi domini/scenari operativi: cyber attack, … ● Richiede una strategia e un’operatività con cui : ♦ prevenire ♦ rispondere tempestivamente in modo da minimizzare i danni ridurre i tempi dell’emergenza e quelli di ripristino/ ricostruzione

9 Manco


A SICUREZZA NELLA SOCIETÀ DEL TERZO MILLENNIO

► LA SICUREZZA OGGI ● E’ una reale emergenza Sempre di piu le persone vivono nelle città (fonte UNDP) ♦ 2007: 3,3Mld (51%) di persone ♦ 2015: 60 città con più di 8Ml di abitanti, nuove città con più di 20Ml diab. ♦ 2030 : 5,4Mld (60%) di persone ● Molti reati e atti terroristici oggi riguardano le reti e i sistemi ICT ● Come la si affronta? ♦ Politiche di integrazione e coesione sociale ♦ Coordinamento di tutte le forze in campo per la prevenzione e contrasto ♦ Supporto di sistemi ICT-based (ad es. Videosorveglianza,…) ♦ Realizzazione di reti e sistemi ICT resilienti grazie a soluzioni tecnologiche e architetturali ICT-based.

10 Manco



► ALCUNI DATI SULLE ESIGENZE DI SICUREZZA

► QUALCHE DATO STATISTICO ● Secondo una statistica della Symantec, l'Italia è al secondo posto in Europa come percentuale di computer infetti: sono il 12% del totale. Inoltre l’Italia è il primo paese, di lingua non inglese, per furto di dati e di identità via computer. ● Secondo un’indagine CNIPA (oggi AgID) di qualche anno fa i malware arrivano per il 70% via E.mail e il 30% via Internet

11 Manco



► ALCUNI DATI SULLE ESIGENZE DI SICUREZZA ● Nel 2015 1012 attacchi gravi nel mondo di cui il 10% in Italia (f.Clusit) ● +39% attacchi per spionaggio, +154% attacchi a Infrastrutture Critiche. Forte crescita del Ransomware cripto (malware estorsivi)

Manco


I TEMPI CHE CORRONO

SOCIETA’ DELL’INFORMAZIONE (S.I.)

Capacità di elaborare, memorizzare,

Trasmettere ogni informazione (voce, dati,

immagini) senza reali vincoli di distanza,

tempo e volume.

INFORMATICA

TELECOMUNICAZIONI

-NUOVE RETI COMMS.

-NUOVI SENSORI/

TERMINALI

-AZIENDA RETE

- E-COMMERCE

- SIST. DI TRASPORTO

INTELLIGENTE

- TELESERVIZI

-TELEMEDICINA

-E-GOVERNMENT

-TELEINTRATTENIM.

-TELEDIDATTICA

-TELELAVORO

- DOMOTICA

-SOCIAL NETWORK

-REALTA‟ „VIRTUALE

-- IoT

LA SICUREZZA E’ FONDAMENTALE PER LO SVILUPPO DELLA S.I.

13 Manco


LA SICUREZZA NEI SISTEMI E NELLE RETI ICT

LE RETI E I SISTEMI ► LE RETI PRIVATE (COMPUTER NETWORK) O PUBBLICHE (COMUNICAZIONE)

SONO ORMAI DEI SISTEMI COSTITUITI DA VARI COMPONENTI IL CUI SCOPO E’ QUELLO DI CONNETTERE NODI (COMPUTER SERVER, COMPUTER CLIENT, APPARATI UTENTI, ecc.) PER LO SCAMBIO DI INFORMAZIONI E L’EROGAZIONE DEI SERVIZI ANNESSI.

► I SISTEMI ICT SONO REALIZZAZIONI CON UN’ARCHITETTURA

CHE IMPIEGA COMPONENTI “INTELLIGENTI” (IN PRATICA DOTATI

DI HARDWARE, FIRMWARE E/O SOFTWARE) CHE DIALOGANO

MEDIANTE UNA RETE PRIVATA E/O PUBBLICA. INOLTRE, LE LORO

FUNZIONALITA’ SONO QUASI SEMPRE GESTITE DA UNO O PIU’

OPERATORI (RESPONSABILI, INCARICATI) A VOLTE

GEOGRAFICAMENTE DISTRIBUITI, CHE POSSONO APPARTENERE

ANCHE A PIU’ ENTI. TALI SISTEMI SPESSO REALIZZANO FUNZIONI

VITALI PER LA NS. SOCIETA’

14 Manco


LA SICUREZZA NEI SISTEMI E NELLE RETI ICT

PERCHE’ SERVONO MISURE DI SICUREZZA?

► DATA LA LORO NATURA E MISSIONE, E’ NECESSARIO PROTEGGERE I SISTEMI E LE RETI DA EVENTI INDESIDERATI (CALAMITA’ NATURALI, INCENDI, ERRORI UMANI) E ATTACCHI DELIBERATI, COME GLI ACCESSI INDEBITI DA PARTE DI SOGGETTI NON AUTORIZZATI CHE POSSONO AVERE L’OBIETTIVO DI CARPIRE/MANIPOLARE LE INFORMAZIONI, ALTERARE O BLOCCARE LE FUNZIONI DELL’INTERO SISTEMA O DI SUOI COMPONENTI.

15 Manco


L’EVOLUZIONE DELLE COMPUTER NETWORK

LAN

WLAN

Immagini da Internet

https://it.wikipedia.org/wiki/File:Schema_di_una_LAN.png

16 Manco


L’EVOLUZIONE DELLE COMPUTER NETWORK


17 Manco


L’EVOLUZIONE DELLE COMPUTER NETWORK Internet: la rete delle reti


Standard Internet: RFC: Request for comments

IETF: Internet Engineering Task Force

18 Manco


L’EVOLUZIONE DELLE RETI DI TLC

PRE NGN (Next Generation Network)

CORE NETWORK

( TRASPORTO)

Servizi

(Controllo /Applicativi)

Wireless

Access

Fixed

Access Altri

NGN (servizi 4 play (voce, dati, immagini,

mobilità)

PSTN

Rete Accesso

Servizi Servizi

Rete Accesso Rete Accesso

Servizi

Rete Accesso

Altre

Reti

(Internet) ISDN PLMN

Altre

Reti Altre

Reti Altre

Reti

19 Manco


Manco

1G (TACS)-2G(GSM)-3G(UMTS)-4G (LTE)…—>5G

EVOLUZIONE RETI PLMN

20 Manco


Sistema di Videosorveglianza Sistema di Domotica

ESEMPI DI SISTEMI

21 Manco


I PORTANTI FISICI

►MEZZI FISICI CONDUTTIVI (o “ELETTRICI”) ● CAVO COASSIALE ● DOPPINO RITORTO (TWISTED PAIR UTP, STP, FTP) ►MEZZI FISICI DIELETTRICI (o “OTTICI”) ● FIBRA OTTICA ►PORTANTI RADIO ● PONTI RADIO (ANALOGICI/DIGITALI) ● APPARATI RADIO PLMN (GSM, GPRS, UMTS, 4G, 5G) ● APPARATI RADIO RETI Wifi (802.11a, b, g), Wimax (802.16a/e), TETRA,SAT, ,

22 Manco


UNO SCENARIO PER IL FUTURO: LA FABRIC

23 Manco

RETI TELEMATICHE IN F.O.

UNO SGUARDO AL FUTURO

I TEMPI CHE CORRONO: la quarta rivoluzione industriale (Industry 4.0)

24 Manco

LE TECNOLOGIE ABILITANTI

VERSO UN MONDO CONNESSO IN REAL-TIME CON LE NUOVE RETI FISSE E MOBILI (5G,

WIFI-WIMAX, DSRC., SAT.)

RETI TELEMATICHE IN F.O.:UNO SGUARDO AL FUTURO

25 Manco

RETI TELEMATICHE IN F.O.:UNO SGUARDO AL FUTURO

DALLA NETWORK INFRASTRUCTURE ALLA FABRIC

I TEMPI CHE CORRONO: IoT, IoP, IoS, ,,

Immagine da Internet

26 Manco


LA SICUREZZA ICT ► QUADRO NORMATIVO DI RIFERIMENTO ● ISO/IEC TR 13335-3 (Modello per la valutazione e gestione del rischio informatico) ● ISO 2700x Certificazione Sist. Gest. Sicurezza Informazioni ● DPR n. 445 12/2000 T.U. Su Doc. Amministrativa ● Legge 196/2003 (Privacy) ● Legge 4/2004 (Accessibilità) ● D.Lgs. 82/2005 (Codice Amm. Digitale con introduzione firma digitale) ● TUSL Dlgs 81/2008 e sue evoluzioni (Confidenzialità e riservatezza dei dati). ● Enti di norme tecniche (RFC IETF , NIST, ITU, ISO, BSS, AgID,…)

27 Manco


LA SICUREZZA ICT

► MA COS’E’ LA SICUREZZA?

Definizione ISO: la sicurezza è l’insieme delle misure atte a garantire la disponibilità, la integrità e la riservatezza delle informazioni gestite. ● Disponibilità (non interruzione della disponibilità delle informazioni e delle funzioni) ● Integrità ( non alterazione indebita delle informazioni prodotte, memorizzate e scambiate ) ● Confidenzialità (riservatezza) (le informazioni non devono essere rese disponibili/note alle persone non autorizzate) ● Autenticità e non ripudio (le informazioni devono essere prodotte o scambiate solo da/tra componenti e persone identificate che non possono ripudiarle)

28 Manco


LA SICUREZZA ICT

► SICUREZZA INFORMATICA E BUSINESS CONTINUITY (BC)

Definizione BC La BC è L’insieme delle misure atte a garantire la disponibilità è l’integrità delle informazioni gestiste attraverso anche operazioni di manutenzione e recovery rispetto a eventi come: Calamità naturali; Malfunzionamenti HW/SW; Errori umani; atti criminali (terrorismo,ecc.). Il suo obiettivo è quello di minimizzare i conseguenti effetti negativi sul business, sugli utenti, sulla reputazione dell’impresa, ,,, Pe garantire la BC si interviene sull’architettura, con misure di sicurezza, con procedure di manutenzione, ecc,

La Sicurezza Informatica è quindi una componente importante della Business Continuity.

29 Manco


LA SICUREZZA ICT

► COME SI REALIZZA LA SICUREZZA?

OCCORRE UN APPROCCIO SISTEMATICO E GLOBALE:

MISURE TECNOLOGICHE E ORGANIZZATIVE (processi e

procedure), RISPETTO DI LEGGE E NORME

“Ogni nuova tecnologia apre la strada a nuovi crimini”

30 Manco


LA SICUREZZA NEI SISTEMI E NELLE RETI

► I COMPONENTI E LE AREE DA PROTEGGERE

Fisica ● Protezione dei vari componenti HW.

Logica ● Programmi e informazioni presenti nel Software dei vari componenti. ● La rete (Canali di comunicazioni).

► LA SICUREZZA DEI COMPONENTI HW (fisica)

● Si tratta di proteggere l’accesso fisico ai vari componenti mediante misure passive e attive (controllo di manomissione, sistemi di antintrusione, videosorveglianza,,,) . ● Se si pensa in un’ottica di business continuity si può agire anche sull’architettura ( es. ridondanza,…) e sulla manutenzione.

31 Manco


LA SICUREZZA INFORMATICA (logica)

► LE MINACCE ● Le minacce sono dovute ad attacchi deliberati o eventi accidentali (errori umani, malfunzionamenti, disastri, ecc.). ● Di seguito si tratteranno essenzialmente le problematiche relative agli attacchi deliberati che consistono in accessi indebiti ai sistemi/reti. ● Nei sistemi nelle reti la maggior parte delle minacce viene dalle Comunicazioni.

32 Manco


LA SICUREZZA INFORMATICA (COMUNICAZIONI)

► LE MODALITA’ DI ATTACCO NELLO SCAMBIO DI INFORMAZIONI

Da G. Cioffi V.Falzone Manuale Informatica- Calderini 2002

33 Manco


LA SICUREZZA INFORMATICA (COMUNICAZIONI)

► LA MODALITA’ DI ATTACCO DISTRIBUITED DENIAL of SERVICE (DDoS-

Distribuited Denial of Service)


34 Manco

La sicurezza dei sistemi e delle reti in ambito ICT LA SICUREZZA INFORMATICA

► LE MINACCE: i Malware Si definisce malware un qualsiasi software creato con il solo scopo di causare danni più o meno gravi al computer su cui viene eseguito. Virus E’ un malware che spesso si annida all’interno del codice di un altro programma. Dopo essere stato attivato, inizia a far danni, eliminando files, occupando risorse, aprendo porte del PC, così consentendo accessi indesiderati dall’esterno. Ci sono Virus di vario tipo: Boot sector, File Virus, Multipartiti, Gemelli Macro Worm Come i virus, essi hanno la capacità di autoreplicarsi e sfruttano le email come veicolo di diffusione, ma non distruggono informazioni. Trojan horse Si presentano sotto le mentite spoglie di programmi innocui ed utili ma aprono porte del PC, introducono virus e worm all’interno dei pc su cui vengono eseguiti . Ramsoware Hanno finalità estorsive attraverso la criptazione dei dati (v. Cryptolocker)

http://it.wikipedia.org/wiki/Software

http://it.wikipedia.org/wiki/Computer

35 Manco


LA SICUREZZA INFORMATICA

► LE MINACCE : i Malware Spyware E’ un malware che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete, etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto. Keylogger Programma in grado di registrare tutto ciò che un utente digita su una tastiera o che copia e incolla che vengono poi inviati a altri siti. Hijacker Sono programmi che si appropriano di applicazioni di navigazione in rete (v. Browser) e causano l'apertura automatica di pagine web indesiderate. Adware Programmi che presentano all'utente messaggi pubblicitari durante l'uso, Possono causare danni quali rallentamenti del pc e rischi per la privacy ----------- (la lista continua e si evolve)

https://it.wikipedia.org/wiki/Privacy

36 Manco



► LE MINACCE Intrusioni Accesso non autorizzato dal mondo esterno di hacker su pc o server, collegati alla rete, sfruttando vulnerabilità del perimetro esterno Spamming La posta indesiderata, oltre ad essere fonte di fastidio e perdite di tempo, è il principale veicolo di diffusione di virus e di malware in generale Phishing Una delle più gravi minacce informatiche annidate in internet, utilizzata per ottenere informazioni personali o riservate con la finalità del furto d'identità. Grazie a messaggi che imitano grafica e logo di aziende istituzionali, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc. Oggi si sta diffondendo anche il Vishing basato sulle comunicazioni telefoniche VoiP e il Social Engineering. In pratica si riceve una telefonata da un Call Center simulato che sfrutta la fiducia delle persone.

37 Manco



► MECCANISMI E SERVIZI

● Per garantire il massimo livello di sicurezza informatica è necessario contrastare gli attacchi creando dei servizi basati su dei meccanismi.

Servizi ♦ Disponibilità ♦ Integrità ♦ Confidenzialità (riservatezza) ♦ Autenticità ♦ Autorizzazione (per compiere certe operazioni sui dati e sul sistema è necessario avere le dovute autorizzazioni) ♦ Non Ripudio ( il destinatario deve poter dimostrare l’identità del mittente e viceversa) ♦ Auditing (registrazione permanente delle operazioni effettuate dai soggetti sul sistema e tra di loro per la scoperta di eventuali problemi)

38 Manco



► MECCANISMI E SERVIZI

● Per garantire il massimo livello di sicurezza informatica è necessario contrastare gli attacchi creando dei servizi basati su dei meccanismi.

Meccanismi ♦ Crittografia ♦ Autenticazione ♦ Gestione profili operatori (Access Control List) ♦ Password e identificazione ♦ Log attività ♦ Firma Digitale ♦ Firewall ♦ Antivirus, Antispyware, Antiphing, Monitoraggio rete,,, ♦ Ridondanze, bakcup/recovery

39 Manco


LA SICUREZZA INFORMATICA: modello sicurezza rete

Immagine e doc da Internet

Agente Agente

Attaccante

40 Manco


LA SICUREZZA INFORMATICA :modello sicurezza accesso al sistema

Attaccante

Immagine e doc da Internet

Firewall

Un Firewall (parete tagliafuoco) è un componente che opera una protezione

perimetrale. E‟ collocato trova fra due reti A e B e controlla tutto il traffico in

transito tra di esse secondo una precisa politica d'accesso (policy).

41 Manco



► CRITTOGRAFIA

La crittologia è la disciplina che si occupa delle scritture nascoste. Include la crittografia e la crittoanalisi.

La crittografia è un processo di conversione da un formato facilmente comprensibile per tutti ad un formato che sembra casuale e inutilizzabile.

L'operazione tramite la quale si nascondono le informazioni è chiamata cifratura oppure crittazione, ed è effettuata tramite un apposito algoritmo chiamato cifrario; l'informazione o il messaggio da cifrare è noto come testo chiaro ("plaintext"); la crittazione sfrutta come mezzo fondamentale una chiave detta chiave del cifrario per convertire il testo chiaro in testo cifrato o crittogramma ("ciphertext").

Con decrittazione si intende la conversione da testo cifrato a testo chiaro e anch'essa sfrutta la chiave del cifrario. L'ambito nel quale sono effettuate le operazioni di crittazione e di decrittazione è chiamato crittosistema.

Con crittoanalisi invece si intende la pratica del rivelare ciò che la crittografia tenta di nascondere.

42 Manco

La sicurezza dei sistemi e delle reti in ambito ICT LA SICUREZZA INFORMATICA

► CRITTOGRAFIA La crittografia è una discliplina antichissima che nell’era dei computer si basa su metodi matematici molto complicati. Per il principio ancora valido di Kerchoffs , la sicurezza di un sistema crittografico si basa sulla segretezza della chiave e non dell’algoritmo.

Mc = Fcod (KA, Morig.)

Morig = Fdec (KB, Mc)

43 Manco



► CRITTOGRAFIA Un sistema di cifratura è computazionalmente sicuro se il testo cifrato soddisfa uno dei seguenti criteri:

♦ Il costo per rendere inefficace il cifrario supera il valore dell’informazione cifrata; ♦ Il tempo richiesto per rendere inefficace il cifrario supera l’arco temporale in cui l’informazione è utile. ♦ I metodi crittografici e la lunghezza delle relative chiavi, sono elementi importanti per la robustezza di un crittosistema. ♦ Per scoprire una chiave si possono provare tutte chiavi possibili (attacco a forza bruta): Tempo=ttestx2n/N n=lunghezza chiave, N= n. test(processori) in parallelo. ♦ La crescita della potenza di calcolo dei computer e lo sviluppo di Intenet sta riducendo di molto i tempi di attacco alle chiavi, per cui sta emergendo la necessità di usare chiavi di lunghezza sempre più grandi con effetti sull’efficienza del crittosistema.

44 Manco



► CRITTOGRAFIA

● Classificazione sistemi crittografici ♦ Tipo di operazioni usate per trasformare il testo in chiaro in testo cifrato >Sostituzione: Ogni elemento del testo in chiaro e trasformato in un altro elemento >Trasposizione: Gli elementi del testo in chiaro sono riorganizzati ♦ Numero di chiavi (distinte) utilizzate > Chiave singola: crittografia a chiave simmetrica (o a chiave segreta) Le chiavi del mittente e del destinatario sono identiche > Due chiavi: crittografia a chiave asimmetrica (o a chiave pubblica) La chiave di cifratura e pubblica; la chiave di decifratura e privata ♦ Il modo in cui il testo in chiaro e elaborato > Cifrario a blocchi: Elabora in blocchi di dimensione fissa (il messaggio è diviso in blocchi). E’ il più diffuso. > Cifrario a flusso: Elabora una stringa di bit o byte senza una lunghezza predefinita

45 Manco



► CRITTOGRAFIA

●L’algoritmo più antico è il cifrario di Cesare – Considerare un messaggio di testo – Sostituire ogni carattere del testo con un altro sfasato di un numero k di posti nell’alfabeto – Per esempio: se k=3, “a” diventa “d”, “c” diventa “f”, ecc. – Ciclico: una volta terminato l’alfabeto si ricomincia con la lettera “a” – La chiave è il valore k – “Brad, I love you. Angelina” (con k=3) diventa “Eudg, Loryh brx. Dqjholqd” (nell’alfabeto inglese)

46 Manco



► CRITTOGRAFIA

● LA CRITTOGRAFIA SIMMETRICA O SECRET-KEY

Un crittosistema a secret-key è un sistema che utilizza una sola chiave sia per la crittazione che per l'operazione inversa cioè la decrittazione. E' ovvio che tale chiave deve essere mantenuta segreta onde evitare che malintenzionati, venuti a conoscenza di essa, la sfruttino per decifrare messaggi non inviati a loro. ● LA CRITTOGRAFIA ASIMMETRICA O A DOPPIA CHIAVE

Nei crittosistemi a public-key si usano sempre due chiavi diverse per la cifratura e decifratura, con la caratteristica di non poter essere derivate in nessun modo le une dalle altre. Questo significa che una può essere resa pubblica (public-key) e l'altra, invece, mantenuta segreta (secret-key).

47 Manco



► CRITTOGRAFIA SIMMETRICA O SECRET-KEY

● Un crittosistema a secret-key è il più antico dei sistemi. Esso utilizza una sola

chiave sia per la crittazione che per l'operazione inversa cioè la decrittazione. E' ovvio che tale chiave deve essere mantenuta segreta onde evitare che malintenzionati, venuti a conoscenza di essa, la sfruttino per decifrare messaggi non inviati a loro.

● Dal momento che ogni coppia di soggetti deve avere una chiave se un soggetto comunica con N soggetti in modo continuativo deve avere N-1 chiavi. Il che rende critica la loro riservatezza.

● La robustezza degli algoritmi simmetrici è legata alla lunghezza della chiave. I tempi di calcolo richiesti rispetto al sistema asimmetrico sono meno onerosi. A volte si usa un sistema misto: chiave segreta Ks on-time ( o di sessione) generata in modo casuale e scambiata con asimmetrici (RSA) e poi scambi Msg crittografati con Ks.

48 Manco




● I cifrari simmetrici Esempi di algoritmi simmetrici: DES e 3DES, AES, Blowfish3, IDEA2, RC5 e CAST-1285 ♦ IDEA (International Data Encryption Algorithm), a dispetto del nome, non ha nulla a che vedere con DES/DEA. Proposto nel 1991 dallo Swiss Federal Institute of Technology. Permette l’utilizzo di chiavi a 128 bit. ♦ Blowfish è stato proposto nel 1993 da B. Schneier, e permette l’utilizzo di chiavi con lunghezza fino a 448 bit; nella pratica viene utilizzato con chiavi di 128 bit. ♦ RC5 è stato sviluppato nel 1995 da R. Rivest permette l’utilizzo di chiavi di lunghezza fino a 2048 bit. ♦ CAST-128 è sviluppato dal 1997 dalla Entrust Technologies è permette l’uso di chiavi a lunghezza variabile tra i 40 ed i 128 bit.

49 Manco




● Data Encryption Standard (DES) ♦ E’ uno dei cifrari a blocco più ampiamente utilizzati nel mondo ♦ Adottato nel 1977 dall’attuale NIST. Cripta parole di 64-bit usando una chiave di 56 bit

Operazioni di base: - Permutazione inziale - 16 iterazioni intermedie identiche - Permutazione finale

50 Manco




● Data Encryption Standard 3DES (o TDES) Usa chiavi da 3*56=168bit. In pratica e come se usasse tre chiavi con cui cifra- decifra-cifra creando un Cipher Block Chaining. ● AES-Advanced Encryption Std Scelto dal NIST come sostituito di 3DES per migliorare in modo significativo l’efficienza. Usa blocchi a 128bit e chiavi a 128,192 e 256bit ● Nella crittografia simmetrica per lo scambio delle chiavi si usa il sistema KDC (Key Distribution Center). Si tratta quasi sempre di un Server che condivide una chiave segreta specifica per ogni utente del crittosistema. La procedura di scambio di fatto autentica i vari utenti. Se A vuole parlare con B fa una richiesta al KDC in cui indica la sua identità e quella di B, e la Ks che vuole utilizzare con B. Il KDC comunica in modo cifrato la Ks a B usando la sua chiave in comune con B.

51 Manco



► CRITTOGRAFIA ASIMMETRICA (CHIAVE PUBBLICA O DOPPIA CHIAVE)

● Il cifrari a chiave pubblica

Nascono nel 1976 dagli studi di Merkle e di Diffie-Hellman, ma non si affermano subito. Successivamente nasce al MIT il più diffuso sistema RSA, dal nome dei suoi tre suoi sviluppatori Rivest, Shamir e Adleman.

● RSA

E’ un cifrario a blocchi basato sui numeri primi e sulla fattorizzazione. Ogni utente del crittosistema possiede una chiave privata (segreta) Ks e una chiave pubblica Kp. La Kp è pubblicata nel crittosistema ed è nota a tutti i suoi utenti. Un complesso processo matematico genera le chiavi Ks e le Kp partendo dalla scelta di due numeri primi p e q grandi. Il sistema è oneway, ovvero non è possibile risalire a Morig conoscendo la Kp (non invertibile). Esistono varianti di RSA (es. Rabin 1979), ma sono più complessi e onerosi. Negli USA il NIST ha standardizzato il DSA (Digital Signature Algorithm) usato per la loro Firma Digitale.

52 Manco



► CRITTOGRAFIA ASIMMETRICA RSA

A: Mc= Fcod(KpB, Morig)

B: Morig=Fdec(KsB, Mc)

A B

Morig=Fdec(KpA (Fcod(KsA, Morig))

A B

Immagini . da Internet

53 Manco




E’ possibile realizzare con RSA anche l’autenticità e integrità. In questo caso A insieme al messaggio Mc (ciifrato) invia anche un altro messaggio (firma) C prodotto con KsA. ● A produce e invia a B i messaggi: Mc= Fcod(KpB, Morig) C= Fcod(KsA, Mx) ● B ricevuti Mc e C li decodicfica con KsB e KpA. Morig=Fdec(KsB, Mc) Mx=Fdec(KpA, C)

54 Manco




● Generazione delle chiavi

1. A genera due numeri primi grandi p e q ;

2. A calcola n = p × q e f(n) = (p - 1)(q - 1) ;

3. A sceglie un numero 1 < e < f(n) tale che MCD(e, f(n)) = 1;

4. A calcola d = e-1 mod f(n);

5. A pubblica n ed e come sua chiave pubblica KpA = (n, e).

6. A conserva n e d come sua chiave privata KsA = (n,d).

Esempio con piccoli numeri: p=47,q=7, n=3220, e=29, d=1019,

KpA(3220,29), KsA (3220,1019)

● Cifratura

Mc = Morige mod n

● Decifratura

Morig = Mcd mod n.

55 Manco



► INFRASTRUTTURA A CHIAVE PUBBLICA

● L’impiego di crittosistemi a chiave pubblica richiede la creazione di un’infrastruttura (sistema) di generazione, distribuzione delle chiavi che garantisca anche l’autenticità dei suoi possessori. Si pensi a sistemi con un grande numero di utenti come i servizi delle Banche o della a P.A. ● Una PKI (Public Key Infrastructure) prevede l’emissione di Certificati Digitali da parte di una Certification Authority (CA) che attestano in modo inoppugnabili l’identità del suo possessore e quindi della chiave pubblica. Lo standard scelto per il certificato è quello ITU-T X-509 vers.3 che è anche uno dei più diffusi sistemi di autenticazione.

CHIAVE PRIVATA

CHIAVE PUBBLICA CERTIFICATA

CHIAVE PUBBLICA COPPIA DI

CHIAVI

56 Manco



► IL SERVIZIO AUTENTICAZIONE

In generale i sistemi di autenticazione servono ad accertare l’identità di un utente che accede a una risorsa di rete o assicurare i soggetti della comunicazione/ dell’erogazione del servizio dell’identità reciproca. ● I sistemi di identificazione personale sono basati su ♦ qualcosa che io so (es. password, chiavi) ♦ qualcosa che io posseggo (es. smart card) ♦ qualcosa che io sono (es. sistemi biometrici) ● In rete si tratta di provare l’identità anche di apparati attivi (Router, Client, Server,,). Ciò può essere fatto mediante meccanismi e servizi di autenticazione.

57 Manco



► IL SERVIZIO FIRMA DIGITALE (FD)

● In Italia i servizi di Firma Elettronica sono definiti dal C.A.D. Dlgs n. 82/2005 e s.m.i. che attua la direttiva UE 199/93/CE. ● Tipologia Firme Elettroniche (art. 1 del C.A.D.) ♦ Firma Elettronica semplice-L’insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica; ♦ Firma Elettronica avanzata-Insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l’identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati; ♦ Firma Elettronica qualificata- Un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma;

58 Manco




♦ Firma Digitale-Un particolare tipo di firma elettronica avanzata basata su un certificato qualificato e su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica(nota: almeno di 1024bit).

● Lo scopo della Firma Digitale è quello di garantire: ♦ che il destinatario possa verificare l'identità del mittente (autenticazione); ♦ che il mittente non possa disconoscere un documento da lui firmato (non ripudio); ♦ che il destinatario o altri non possono inventarsi o modificare un documento firmato da qualcun altro (integrità)

● Negli USA lo std adottato è il DSS (Digital Signature Standard) che impiega il DSA del NIST (std FIPS 186-3).

59 Manco




● Per la creazione della Firma Digitale occorrono due strumenti: – una funzione che crei un riassunto di un oggetto binario (documento) chiamata funzione di hash (sminuzzare); – un sistema di cifratura

60 Manco



► IL SERVIZIO FIRMA DIGITALE

● Funzioni di hash ♦ Sono funzioni matematiche che a partire da una sequenza di bit (che può essere un testo, un file, un’immagine, un suono, …) di qualunque dimensione restituiscono una sorta di “bollino”, denominato Digest(hash), di una predeterminata lunghezza di bit (dipendente dalla funzione; tipicamente 128, 160, 256 bit). ♦ Proprieta’ delle funzioni di hash > è improbabile trovare due documenti che abbiano lo stesso Digest; > a partire da un Digest non deve essere possibile risalire al documento originale (non invertibilità); > la modifica anche di un solo bit dell’oggetto cambia completamente’ il Digest.

61 Manco




62 Manco





A- Firmatario B-Verificatore

(KpA)

(KsA)

63 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs. Pila protocolli ► Sono servizi che operano a diversi livelli della pila e quindi vanno dalla realizzazione

di canali di comunicazione sicuri fino a comunicazioni applicative (end-to-end)

sicure. I Firewall, SSL, HTTPS e X.509, saranno trattati nella lez.n.2 del presente corso.


64 Manco



► IL SERVIZIO AUTENTICAZIONE : codice MAC (Msg Authentication Code)

● Un codice MAC è un valore da allegare al messaggio per verificare la sua autenticità e integrità.

Immagini . da Internet ● Esiste anche una variante HMAC che fa usa di una HASH (RFC2104)

65 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs pila protocollI

►iPSec- IP Security

● IPSec è un meccanismo che opera a livello IP ed offre integrità, autenticazione, confidenzialità e gestione chiavi mediante crittografia. L’idea è quella di consentire connessioni sicure su una rete non sicura. Vale in ambiente IPv4 e IPV6. Prevede anche un meccanismo ISAKMP per la gestione delle connessioni logiche. IPSec è definito nelle RFC 2041, 2042, 2046, 2048 . Si tratta di una suite di protocolli (IKE, AH, ESP) e di un insieme di entità per instaziare i servizi: SA-Secure Association, SAD- SA DB, SPD- Secure Policy DB

● IPSec , ha due modalità di funzionamento Tunnel e Transport. Ognuna di esse ha poi una modalità trasparente (AH) o crittografata (ESP). Si può avere: AH, ESP, AH+ESP. La modalità Transport è usata per connessioni end-to-end attraverso reti insicure. La Tunnel è tipicamente usata tra i punti (security gateway) di ingresso e uscita di una rete sicura verso una non sicura.

66 Manco

La sicurezza dei sistemi e delle reti in ambito ICT LA SICUREZZA INFORMATICA: meccanismi e servizi vs pila protocollI

.

IPSec Packet Public

or Private

Network

IPSec Packet


a) Es. Transport

b) Es. Tunnel

67 Manco


LA SICUREZZA INFORMATICA :meccanismi e servizi vs pila protocollI

► IPSec : AH (Integrità+Autenticazione): Transport e Tunnel

Struttura AH

68 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs pila protocollI ► IPSec : ESP_ Encapusalating Secure Payload) (Integrità+Autenticazione+Confidenzialità): Transport e Tunnell Transport ESP

Dati cifrati

Dati cifrati

69 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs. pila protocolli

► SSL (Secure Socket Layer)

● È un servizio di sicurezza a livello del protocollo di trasporto ideato da Netscape ● La versione 3 è stata sviluppata con revisione pubblica ed è uno std Internet RFC 6101 col nome di TLS (Transport Layer Security ). ● SSL si poggia su TCP per ottenere un servizio di trasmissione punto-punto affidabile. E’ Indipendente dall’applicazione.

70 Manco



► IL SERVIZIO AUTENTICAZIONE KERBEROS

● E’ un servizio di autenticazione sviluppato dal MIT per Host che dialogano su reti aperte e insicure. ♦ Fa uso di un server “fidato” di chiavi . Il servizio di autenticazione centralizzato ha la funzione di autenticare gli utenti per i server e i server per gli utenti . ♦ Fa uso soltanto della crittografia simmetrica (DES). ♦ Ve ne sono due versioni in uso: la 4 e la 5 (RFC 1510). ● Lo scenario di riferimento è quello in cui ci sono delle postazioni accessibili da vari utenti e dei server che forniscono delle risorse . ♦ Un utente si siede presso una postazione e accede tramite una procedura di logon usando una password . ♦ L’obiettivo è quello di rendere questo sistema “sicuro”. Ovvero, solo gli utenti autorizzati devono poter usare i servizi/risorse dei server .

71 Manco




● Kerberos di fatto opera come un KDC che fornisce i suoi servizi a utenti e server applicativi (che erogano un servizio). I suoi componenti funzionali sono: ♦ Autentication Server (AS), cioè un server fidato che è necessario nella fase di identificazione del client. ♦ Un Ticket Granting Service (TGS) che ha il compito di generare i ticket che devono accompagnare le richieste. Nel momento in cui viene sottomessa una richiesta ad un server, il client deve fornire una chiave di sessione ed un ticket, che permettono la sua autenticazione. Il ticket scade dopo un certo intervallo temporale. ♦ Un DB, dove per ogni utente o server ci sono le informazioni per l’operatività del servizio (chiavi segrete, attributi e flags, durata validità dei ticket, ecc.)

72 Manco





73 Manco



► IL SERVIZIO AUTENTICAZIONE A LIVELLO APPLICATIVO: X.509 v.3

● E’ un servizio che ha le seguenti caratteristiche ♦ Fa parte delle raccomandazioni ITU-T X.500 che definiscono un servizio a directory ♦ La directory è un server (o un insieme di server) che gestisce un database di informazioni sugli utenti che può contenere i certificati di autenticazione degli utenti. ♦ I certificati e i protocolli X.509 sono ampiamente utilizzati in S/MIME, SSL/TLS, SET,.. ♦ X.509 si basa sull’uso della crittografia a chiave pubblica e delle firme digitali (lo std non impone un particolare algoritmo, anche se viene raccomandato RSA) ♦ Il cuore di X.509 è il certificato utente, che è creato da una CA e inserito nella directory.

74 Manco



► IL SERVIZIO AUTENTICAZIONE A LIVELLO APPLICATIVO: X.509 v.3

● I dati nel certificato X.509

75 Manco



► LA CREAZIONE E DISTRIBUZIONE DEI CERTIFICATI

● Un utente che vuole certificare la sua Kp deve fare richiesta alla CA, di cui è nota la Kp, fornendo una prova della sua identità. In pratica mediante una serie di procedure che in alcuni contesti possono prevedere anche passaggi manuali riceve il suo certificato dalla relativa CA. Le chiavi Ksutente e Kputente sono di norma generate sul computer dell’utente e solo la Kputente è inviata alla CA per produrre il certificato.

CHIAVE PRIVATA

CHIAVE PUBBLICA CERTIFICATA

CHIAVE PUBBLICA COPPIA DI

CHIAVI

Immagini da Internet Immagini da Internet

76 Manco



► IL SERVIZIO AUTENTICAZIONE X.509 : la gerarchia delle CA

77 Manco



►IL SERVIZIO DI AUTENTICAZIONE, AUTORIZZAZIONE E ACCOUNTING (AAA) PER

ACCESSO REMOTO

● Sono servizi AAA per l’accesso alla rete in dial-up da parte di utenti remoti di una LAN o WLAN. ES. RADIUS (Remote Access Dial In User Service)/DIAMETER o TACACS (Terminal Access Controller Access Control System)

Fig.1 Fig.2

Fig. 3


78 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs pila protocollI ► WEB SECURITY ● Il World Wide Web è ormai un elemento fondamentale della vita comune ● Internet & Web sono in realtà vulnerabili ● Vi sono una serie di minacce ♦ integrità ♦ confidenzialità ♦ denial of service ♦ autenticazione ● Vi è bisogno quindi di meccanismi supplementari di sicurezza

79 Manco


LA SICUREZZA INFORMATICA: meccanismi e servizi vs pila protocollI ►HTTPS (HTTP over SSL)

● HTTPS è la versione sicura di HTTP ampiamente usata dai browser più comuni per navigare in Internet. Con HTTPS le viene creato un canale di comunicazione criptato attraverso lo scambio di certificati in modo da garantire l'identita' delle parti e la riservatezza dei dati. ● HTTPS viene di norma utilizzato in tutte quelle situazioni in cui è richiesto un certo grado di sicurezza come transazioni elettroniche, acquisti online e lettura di messaggi di posta elettronica. A differenza di HTTP usa generalmente la porta TCP 443 e non l’80. ● HTTPS, basa il suo funzionamento sulla cifratura simmetrica e asimmetrica e sui certificati. In pratica sfrutta tutti i servizi di SSL.

80 Manco



► E-mail

● Il servizio di e-mail è una delle applicazioni più largamente usata dagli utenti di internet. Le e-mail comunemente utilizzate non sono crittografate possono quindi essere captate durante la loro trasmissione sulla rete, ● Requisiti di sicurezza desiderati : ♦ riservatezza (Protezione della privacy); ♦ autenticazione del mittente del messaggio; ♦ integrità (protezioni da modifiche) ; ♦ Non-ripudiabilità dell’origine (il mittente non deve poter negare l’invio del messaggio ).

81 Manco



► E-mail: Pretty Good Privacy (PGP)

● Sviluppato Phil Zimmermann, rappresenta uno standard “de facto” per l’e-mail sicura oggi è uno std Internet RFC 3156. All’origine era gratuito oggi esistono anche delle versioni commerciali. ● PGP comprende 5 servizi: ♦ Autenticazione ♦ Confidenzialità ♦ Compressione ♦ Compatibilità con la posta elettronica ♦ Segmentazione ● I servizi di autenticazione e confidenzialità possono essere usati insieme.

82 Manco




● AUTENTICAZIONE ♦ Procedura 1.Il mittente crea il messaggio 2. Con l’algoritmo SHA-1 viene generato un hash (firma) 3. Con Ksmitt e RSA (o DSA) viene criptato il codice hash 4. Il messaggio è accettato come autentico solo se l’hash generato in ricezione coincide con quello inviato

83 Manco




● COFIDENZIALITA’ (Segretezza) ♦ Procedura 1.Il mittente crea il messaggio e una KS on-time di Msg (sessione) 2. Il Msg viene cifrato con KS usando 3DES, IDEA , Cast-128 3. KS viene cifrato Kpdest con RSA (o DSA) 4. Msg cifrato e KS cifrata sono inviati al destinatario. ● CONFIDENZIALITA’+AUTENTICAZIONE ♦ Si combinano entrambe le procedure ● COMPRESSIONE ♦ I Msg firmati si comprime con ZIP (Lemprel-Liv) e poi eventualmente cifrato ● COMPATIBILITA’ CON E-MAIL ♦ Quando è richiesto i file binari sono convertititi in ASCII base 64 (Radix 64)

84 Manco



► E-mail: S/MIME (Secure/Multipurpose Internet Mail Extensions)

● S/MIME è una estensione del protocollo MIME su cui si basa la posta elettronica, In pratica aggiunge la cifratura e la firma elettronica.

● Il formato dei suoi servizi sono conformi allo standard PKCS≠7 (parte del Public Key Cryptographic Std)

● Prevede l’utilizzo di x509 v3 e di algoritmi di crittografia simmetrica (3DES) e asimmetrica (RSA, Diffie-Helman, SHA-1, MD5, DSS).

● Consente la cifratura di Msg e allegati.

85 Manco


LA SICUREZZA INFORMATICA: Servizi sicurezza per pagamenti

► Servizi per i sistemi di pagamento elettronico ● Il pagamento elettronico è un tasferimento di moneta contante digitale da un soggetto ad un altro. ● Nel mondo esistono vari sistemi di pagamento (Credit-Card, E-banking, Paypal, Square per Iphone,…) che sfruttano vari servizi di sicurezza, di cui il più usato è SET (transazioni commerciali). Ma esistono anche sistemi come Ecash (cash-like con anonimato dell’utente) e Netbill (chekc-like in sostituzione degli assegni). ► Secure Electronic Transactions (SET) È una specifica di sicurezza espressamente progettata nel 1996 per Visa e Mastercard per proteggere l’uso della carta di credito su Internet ● Non è un sistema di pagamento ma una suite di protocolli che forniscono ♦ Comunicazioni sicure tra i soggetti coinvolti ♦ Autenticazione tramite l’uso di certificati X.509v3 ♦ Privacy confinando l’informazione solo a chi ne ha bisogno effettivamente

86 Manco


LA SICUREZZA INFORMATICA: Servizi sicurezza per pagamenti

► Secure Electronic Transactions (SET • Cardholder. I consumatori e gli acquirenti interagiscono con i commercianti dal loro

personal computer attraverso Internet. Un cardholder è un possessore di carta di credito regolarmente registrato presso un istituto finanziario.

• Commerciante. E’ una persona o organizzazione che vende beni o servizi a possessori di carta di credito. Tipicamente questo viene fatto tramite Web o posta elettronica. Un commerciante deve essere in relazione con un acquirer per poter accettare carte di credito.

• Issuer. E’ un'istituzione finanziaria che fornisce conti per carte di credito. • Acquirer. E’ un'istituzione finanziaria che stabilisce un conto con un commerciante;

controlla inoltre le autorizzazioni dei pagamenti con carte di credito e i pagamenti stessi. In sostanza, un acquirer garantisce ad un commerciante che, dato un certo conto associato ad una carta di credito, esso è: attivo; abilitato al pagamento; in grado di affrontare la spesa.

• Gateway. E’ una terza figura che si interpone tra il commerciante e l'acquirer. Il commerciante scambia messaggi con il gateway attraverso Internet, mentre il gateway ha una connessione diretta con l'acquirer, ed ha la funzione di gestione delle autorizzazioni e delle operazioni di pagamento.

• Certification Authority (CA). E’ un'entità che mette a disposizione i certificati di chiavi pubbliche per cardholder, commercianti e gateway.

87 Manco


LA SICUREZZA INFORMATICA: Servizi di sicurezza per pagamenti

► Secure Electronic Transactions (SET) Una Transazione SET 1.Il cliente apre un conto 2.Il cliente riceve un proprio certificato 3.I commercianti hanno anch’essi i loro certificati 4.Il cliente emette un ordine (Msg Order Information (OI) per il commerciante e Payment Information (PI) per la banca. 5.L’ordine e il pagamento vengono inviati 6.Il commerciante verifica la richiesta e richiede l’autorizzazione al pagamento 7.Il commerciante conferma l’ordine 8.Il commerciante fornisce il prodotto richiesto 9.Il commerciante richiede il pagamento

88 Manco


LA SICUREZZA INFORMATICA: Sevizi di sicurezza per pagamenti

► Secure Electronic Transactions (SET)

89 Manco


LA SICUREZZA ICT

►Molti strumenti per la mitigazione del rischio sono già presenti all’interno dei S.O. più diffusi. Altre soluzioni sono fornite da terze parti. In generale tutti i meccanismi e spesso anche I servizi sono trasparenti per l’utente. L’amministratore del sistema o della rete dispone di Pannelli di controllo per la gestione di tutti i servizi di sicurezza.

►La progettazione delle soluzioni per la sicurezza deve essere basata sull’analisi delle minacce e quindi dei rischi, nel senso che i costi e la complessità delle soluzioni impiegate devono essere commisurati al valore delle informazioni e funzioni/servizi da proteggere.

90 Manco


LA SICUREZZA ICT

CONCLUSIONI ► La progettazione/gestione dei moderni sistemi e reti deve includere la problematica della sicurezza ► La garanzia della sicurezza non è solo un problema tecnologico ma anche un problema organizzativo che deve comportare anche un continuo monitoraggio e adeguamento dei processi e procedure atte a garantire la sicurezza. ► Le soluzioni tecnologiche adottate devono essere commisurate ai rischi e vanno adeguate all’evoluzione dei rischi e delle teconologie.

“La tecnologia non fa la sicurezza ma

senza tecnologia non si può fare sicurezza ”

91 Manco


[email protected]

La sicurezza dei sistemi e delle reti in ambito ICT · MODULO 1- INTRODUZIONE: Sicurezza...

Documents

Transcript of La sicurezza dei sistemi e delle reti in ambito ICT · MODULO 1- INTRODUZIONE: Sicurezza...