Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed...

Recenti sviluppi della sicurezza ICT

Prof. Alfredo De SantisDipartimento di Informatica ed Applicazioni “R.M. Capocelli”

Università degli Studi di Salerno

Fisciano (SA), 30 Novembre 2005

Prof. Alfredo De Santis - Università di Salerno

MOBILE

PSTN

INTERPHONET

INTERNET


Recenti problematiche per Internet

• Malware– Virus, cavalli di troia, adware, spyware, etc.

• Rintracciabilità

• Furto d’identità

• Pharming

• Phishing

Stesse problematiche

anche in Interphonet


RintracciabilitàRintracciabilità in Internet

– L’origine di una comunicazione è associata ad un indirizzo IP dell’apparato

– E’ difficile rintracciare un indirizzo IP se si utilizzano tecniche di anonimia

Rintracciabilità su reti telefoniche fisse o mobili

– L’origine di una comunicazione è il numero dell’utenza

– Più facile che su Internet

INTERNET

MOBILE

PSTN

In caso di indagine, rintracciare

l’origine è solo il primo passo per

rintracciare un utente


Rintracciabilità in Interphonet: VoIP VoIP permette ad un utente di Internet di avere un numero telefonico

– Si chiama/risponde tramite un computer connesso ad Internet

– Si possono avere numeri “regolari” in tempi brevissimi, gratuitamente e con un alto grado di anonimato

• Ad esempio 06-12345678

– L’utilizzatore del servizio può trovarsi fisicamente in qualsiasi punto della rete Internet (ad esempio in un’altra nazione)

Anche per un utente esperto è difficile distinguere un

numero VoIP da un numero della rete fissa tradizionale

Un numero VoIP nasconde la reale posizione geografica di chi lo utilizza


Rintracciabilità in Interphonet• Una comunicazione VoIP può avere come origine o destinazione le

reti mobili o fisse• Rintracciare un utente del servizio VoIP vuol dire rintracciarlo in

Interphonet• Se un utente VoIP usa le tecniche di anonimia per Internet

rintracciarlo è difficile

INTERNET

MOBILE

PSTN


Pharming

Un attacco di pharming dirotta

le chiamate della vittima

PSTN

INTERNET

Un malintenzionato può avvantaggiarsi del servizio di VoIP per lanciare attacchi di pharming

L’utente digita il numero della sua banca, ma in realtà chiama 089-1234567

Installazione di un IVR

raggiungibile al 089-1234567 (VoIP)


• SMS vengono “inseriti” nella rete di telefonia mobile tramite Internet– Appositi servizi Web

• L’indirizzo del mittente viene specificato dall’utente– Si può inserire un qualsiasi

numero

SMS falsi


Phishing con SMS falsi

INTERNET

Mittente: Banca Rella

Comunicazione URGENTE, chiamare al 089-1234567

“Buongiorno, è la Banca

Rella, mi servirebbero

informazioni sul suo Conto…”


M-commerce

• Prevede l’utilizzo di dispositivi mobili per – Acquisto o vendita di prodotti

– Accesso ad informazioni

– Transazioni finanziarie

• Diversi sistemi di pagamento basati su SMS– Acquisto biglietti trasporto pubblico con addebito su carta di

credito (Ticketless di Trenitalia e BIT di ATAC)

– Acquisto loghi e suonerie per cellulari (con addebito su SIM)

– Pagamento parcheggio


Acquisti via SMSun semplice esempio

• Basta inviare un SMS per farsi addebitare su SIM il costo di loghi e suonerie per cellulari

richiesta suoneria(via SMS)

• Problemi di sicurezza– Gli SMS possono essere falsificati– L’utente può ripudiare l’acquisto

Cliente Mercante


Banca

Cliente Mercanterichiesta merce, numero telefonico

(via GPRS)

numero telefonico, im

porto

(via HTTP)

richi

esta

di c

onfe

rma

(via

SM

S o

tele

fono

)co

nfer

ma

(via

SM

S)

importo(via SMS o telefono)

Acquisti via SMSun esempio più complesso


Banca

Cliente Mercante

Acquisti via SMSun esempio più complesso


Punti deboli della sicurezza in Interphonet

• Pharming e Phishing hanno successo perché è possibile impersonare un altro utente

Manca l’ autenticazione tra i due end-point in una connessione

• Si possono carpire informazioni riservate anche intercettando le comunicazioni mobili– La cifratura del GSM è debole

Manca una cifratura forte end-to-end a garanzia della privatezza delle

conversazioni


SPEECH: “Secure Personal End-to-End Communication with Handheld”

• Applicazione per PocketPC 2002 e superiori

• Permette conversazioni autenticate, cifrate e non ripudiabili

• Permette l’invio di SMS cifrati ed autenticati

• Utilizzabile su rete GSM (9600 bps o superiori) e reti TCP/IP

• Non necessita di hardware dedicato

• Dipartimento di Informatica ed Applicazioni “R.M. Capocelli”

• Provincia di Salerno


Come funziona SPEECH

A B

A stabilisce un canale di comunicazione con B

La mutua autenticazione tra A e B avviene tramite certificati digitali (SSL)

A e B negoziano una chiave di cifratura

La conversazione è cifrata con un elevato livello di sicurezza tramite AES

Autenticazione, confidenzialità e non

ripudio sono garantiti dai più moderni,

noti e robusti algoritmi conosciuti

A e B firmano la registrazione digitale della conversazione e si scambiano la firma


Servizi di call-center banche

PSTN

INTERNET

• La mutua autenticazione previene il furto di identità: Phishing e Pharming falliscono

• La cifratura del canale garantisce la riservatezza della conversazione

• Il non ripudio della conversazione protegge sia la banca che il cliente da operazioni bancarie non autorizzate

firmafirma

firmafirma


Acquisto e vendita di titoli azionari

Militare/Investigativo

Giudiziario

Antispionaggio industriale

Tutela della privacy

Altri scenari di utilizzo


Key Escrow• SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie

• Ogni agenzia singolarmente non è in grado di decifrare la comunicazione

Agenzia 1 Agenzia 1 Agenzia 2Agenzia 2

A B


Key Escrow• SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie

• Ogni agenzia singolarmente non è in grado di decifrare la comunicazione

Agenzia 1 Agenzia 1 Agenzia 2Agenzia 2

A B

La decifratura può essere richiesta

solo da un giudice• La privacy degli individui è

garantita• In casi estremi è consentita

l’intercettazione


Altri temi di ricerca e progetti attivi

• Informazioni nascoste nei documenti digitali (Office e PDF)

• E-voting

• Filesystem cifrato

• Time stamping

• Moneta elettronica e micro pagamenti

• Smart Card e sistemi di autenticazione


GRAZIE PER L’ATTENZIONE

Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed...

Documents

Transcript of Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed...