PRINCIPI DI COMPUTER SECURITYold.ording.roma.it/archivio/File/INTERNET SECURITY_v4.pdf · PRINCIPI...

PRINCIPI DI COMPUTER SECURITY

Andrea Paoloni

2Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009

3

Cade il segreto dei codici cifratiCorriere della Sera 26 febbraio 2008

Andrea Paoloni - La Sicurezza nel campo dell’ICT Commissione ICT - OdI 4 giugno 2009


Gli hacker sono utili?


Safety vs Security

SAFETY (salvezza): protezione, sicurezza da danni fisici

SECURITY(sicurezza): invulnerabilità da attacchi esterni


Relazioni con “Safety”

Quali relazioni sussistono tra la sicurezza delle persone e i seguenti temi:

SicurezzaSistemi ad alta integritàQuality management

7

Beni da proteggere

• Hardware• Software• Informazioni (dati nel sistema)• Servizi (forniti dal sistema)


8

Protezione delle informazioni

• Riservatezza • Autenticità• Integrità• Disponibilità


9

ICT in rete

• Intercettazione (tapping the wire, sniffing)• Falsa identità (impersonation..)• Negazione dei servizi (DoS)• Virus, Cavalli di Troia


10

Anello debole

La protezione non deve necessariamente avvenire con i mezzi più ovvi né verrà colpito il punto più protetto.

11

Vulnerabilità e minacce

•Vulnerabilità•Minaccia

Una minaccia viene bloccata dal controllo di una vulnerabilità

12

Tipi di minacciaIntercettazione: viene consentito l’accesso a una risorsa del sistema ad una persona non autorizzata.Interruzione: una risorsa del sistema diventa non disponibileModifica: una risorsa del sistema viene alterataFalsificazione: una risorsa del sistema viene modificata

13

Protezione

• Dall’ esterno (internet)• Dall’interno (intranet)


14

Vulnerabilità dell’hardware

I computer portatili (laptop), in particolare, sono vulnerabili perché sono pensati per essere agevolati da trasportare. Il maggior rischio per la sicurezza proviene da chi lavora all’interno dell’organizzazione protetta.

15

Vulnerabilità del software

Un impiegato di banca scoprì che il software troncava l’interesse frazionario su ogni conto. Se l’interesse mensile su un conto era pari a 14.5467 euro, il software accreditava 14.54 euro. L’impiegato modificò il software in modo che l’interesse scartato venisse trasferito su un suo conto.

16

Vulnerabilità del softwareAltre categorie di modifiche al software:• Cavalli di Troia (trojan horse): che

apertamente svolgono un’operazione ma in segreto ne coprono un’altra;

• Virus: tipi specifici di cavalli di Troia che diffondono la loro “infezione” da un computer a un altro;

• Trapdoor: programmi con un punto di accesso segreto;

• Fughe di informazioni in un programma.

17

Principio della temporalità

Gli elementi di un sistema informatico devono essere protetti solo fino a quando possiedono un valore, e devono essere protetti a un grado connesso con il loro valore.

18

Confidenzialità dei dati

I dati possono venire raccolti con molti mezzi, per esempio sfrutttando i cavi, inserendo cimici nelle periferiche di output, passando al setaccio i cestini, monitorando le radiazioni elettromagnatiche, corrompendo i dipendenti chiave, deducendo un punto dati da altri valori, o semplicemente richiedendoli.

19

I principali metodi di attacco2006 DTI

• Virus o altri codici maliziosi, 35%• L’abuso dei dati o delle risorse da parte

del personale 21%• L’intrusione dall’esterno di hacker 17%.• Gli incidenti 8%• I guasti alle apparecchiature 29%.

20

Contromisure

• Sistemi di identificazione ed autenticazione dell’utente;

• Tecniche di cifratura;• Codici di autenticazione dei messaggi;• Sistemi di non ripudio;• Aggiornamenti del sistema operativo.


AUTENTICAZIONE


Metodi di autenticazione

• Password statiche• Passworddinamiche (Kerberos)• Dispositivi di memorizzazione (Smart

card..)• Biometria


CRITTOGRAFIA



Crittografia

• Crittografia: da kryptòs (nascosto) e graphein (scrittura) – alterazione di un messaggio con un procedimento noto al mittente ed al destinatario

• Steganografia: da stèganos (nascosto, coperto):nascondere l’esistenza stessa delle comunicazione)


Codifica e Decodifica

•Codificare: testo in chiaro → testo codificato• Decodificare: testo codificato → testo in chiaroAmbedue basate su: algoritmo e chiaveEs: “Shiftare” di k una stringa


Sistema crittografico


Crittografia

•dzqpimqtpq c vzvvmOgni lettera viene sostituita con la seconda successiva (A c, B d, e così via)

•BUONGIORNO A TUTTICrittografia monoalfabetica


Gli algoritmi a chiave simmetrica


Crittografia simmetrica

• Medesima chiave per codifica e decodificaDi solito (DES) si usano chiavi di 64-128bit (17-34 cifre decimali) e sono moltoveloci

• Distribuire chiavi a coppie di utenti• Per n utenti servono n2 chiavi diverse


Crittografia a chiave pubblicaUna soluzione al problema di distribuzione delle chiavi è data dai sistemi a chiave pubblica/privata•Esistono due chiavi per ogni utente:

–Chiave PRIVATA–(strettamente personale)– Chiave PUBBLICA–(liberamente distribuibile)

Un messaggio codificato con una delle due chiavi è decifrabile solo con l’altra chiave della coppia


Crittografia asimmetrica

Una chiave per codifica, un’altra per decodifica. Ogni utente ha una coppia di chiavi:• chiave privata: segreto da custodire• chiave pubblica: informazione da diffondereEntrambe usabili per codificare o decodificare.

32

Diffie, Hellman e Merkle


Gli algoritmi a chiave pubblica


Autenticazione e integrità


Comunicazioni sicure su Internet

La trasmissione di informazioni su Internet non è di per sé al riparo da rischi di intercettazione o di alterazione

In generale non è sicuro diffondere informazioni riservate su web attraversoform o email non protette


SSL: comunicazioni sicure su Internet

SSL (Secure Socket Layer) stabilisce uncanale sicuro di trasmissione dati mediante l’utilizzo della crittografia simmetrica.I siti che utilizzano SSL sono in genere identificati da “https”; durante la navigazione il browser segnala graficamente la protezione.

37

Livelli di cifratura



SSL: comunicazioni sicure su Internet


Caratteristiche dell’SSLCaratteristiche principali:• Autenticazione del server SSL. Consente a un utente di avere conferma dell’identita’ del server.•Un browser con supporto SSL mantiene elenco delle CA fidate insieme alle chiavi pubbliche delle CA.• Autenticazione del client SSL (opzionale)Permette al server di avere conferma sull’identita’del client.• Sessione SSL cifrata. Tutte le informazioni inviate tra browser e server sono cifrate.• Fornisce un meccanismo per rilevare contraffazione informazioni da parte di un intruso.


Come opera l’SSLPer contattare una pagina sicura ospitata da un server SSL compatibile viene utilizzato nella URL il protocollo https al posto del semplice httpDa quel momento il client e il server attivano il protocollo SSL per l’handshake che:• Autentica il server• Genera chiave simmetrica condivisaEntrambe le azioni sono eseguite utilizzando la tecnologia RSA a chiave pubblica.

PRINCIPI DI COMPUTER SECURITYold.ording.roma.it/archivio/File/INTERNET SECURITY_v4.pdf · PRINCIPI...

Documents

Transcript of PRINCIPI DI COMPUTER SECURITYold.ording.roma.it/archivio/File/INTERNET SECURITY_v4.pdf · PRINCIPI...