Confidenzialità Integrità Autenticazione Non-rifiuto

Transcript

1 SICUREZZA E PRIVACY

2 Sommario Introduzione alla sicurezza ICT Macro aree Rischi e minacce + Esempi Attacchi principali Crittografia Introduzione e definizione Cifratura a chiave simmetrica Cifratura a chiave asimmetrica e firma digitale Funzionalità di hash Sistema in sicurezza Firewall Legge sulla Privacy Esempi Gestione della password Principali frodi e precauzioni Sicurezza Wi-Fi Riferimenti

3 Introduzione alla security ICT Confidenzialità Integrità Autenticazione Non-rifiuto

4 Introduzione alla security ICT (2) Confidenzialità Riservatezza e privacy Information hiding Traffic confidentiality

5 Introduzione alla security ICT (3) Integrità Data integrity Originality Timeliness

6 Introduzione alla security ICT (4) Autenticazione Controllo degli accessi Disponibilità del servizio

7 Non rifiuto Introduzione alla security ICT (5) Non poter smentire una transazione vera (nonrepudiation) Non poter reclamare una transazione fasulla (nonforgeability)

8 Rischi e minacce: classificazione teorica e astratta Classificazione teorica ordinata in senso di pericolosità crescente: Disclosure(o rivelazione) Deception(o inganno) Disruption Usurpation

9 Rischi e minacce (2): classificazione contestuale Intercettazione (o snooping) Contromisure: cifratura dei dati per la loro confidenzialità Intercettazione Analisi del traffico

10 Rischi e minacce (3): classificazione contestuale Alterazione: Contromisure: garantire l integrità dei dati Esempio: attacco man-in-the-middle

11 Rischi e minacce (4): classificazione contestuale Mascheramento (o spoofing): presentarsi con una diversa identità Generazione di un hijacking(o dirottamento): es. Phishing Contromisure: protezione di tecniche di autenticazione per confermare l identità degli attori in gioco

12 Rischi e minacce (5): classificazione contestuale Blocco o ritardo Sfrutta le debolezze intrinseche del sistema o di sue procedure Contromisure: tecniche di autenticazione per garantire la disponibilitàdel sistema Replay Denial of Service

13 Attacchi principali Exploit Denial of service Dati forgiati opportunamente, codici malevoli (shellcode) file sovrascritti virus e worm Backdoor. Due interpretazioni: Decifrare un testo senza possederne la chiave Far girare del codice all interno di un sistema informatico e prelevare dati (e.g. trojan)

14 Attacchi principali (2) Intercettazione: Keylogger, Sniffer, Microfoni, telecamere Contromisura principale: crittografia. Attacchi man-in-the-middle ridotti ma non eliminati Ingegneria sociale: ingannare direttamente gli esseri umani I piùdifficili da contrastare (e.g. password su un pezzo di carta) Contromisure: educazione e formazione, ma non coprono tutte le casistiche

15 Crittografia Crittografia deriva dal greco e significa scrittura segreta Definizione: la crittografia è la disciplina che studia la trasformazione di dati allo scopo di nascondere il loro contenuto semantico, impedire il loro utilizzo non autorizzato o impedire qualsiasi loro modifica non rilevabile

16 Crittografia (2): cifratura a chiave simmetrica Partecipanti alla comunicazione sicura condividono la stessa chiave di cifratura messaggio in chiaro è cifrato con una chiave ed èrichiesta la stessa chiave per decifrare il testo cifrato La chiave simmetrica èspesso indicata come chiave segreta

17 Sistema in sicurezza Componenti per mettere in sicurezza un sistema: Gli algoritmi crittografici La distribuzione delle chiavi di cifratura I protocolli di autenticazione ESEMPI DI PROTOCOLLI DI SICUREZZA AI VARI STRATI Strato Protocollo A cosa fornisce sicurezza Applicativo Pretty Good Privacy, PGP Posta elettronica Secure Shell, SSH Servizio di login remoto: autenticazione e messaggi integri tra client e server Trasporto Transport Layer Security, TLS Secure Socket Layer, SSL Alle applicazioni sopra lo strato 4 (e.g. confidenzialità, integrità e autenticazione alle Rete IPsec: modalità Authentication Header AH (tunnel) e Encapsulating Security Payload ESP Collegamento IEEE i, IEEE con security-enabled transazioni su web, HTTPS) Flusso di dati sicuro tra due router/firewall possibilità di creare Virtual Private Network (VPN) Trasferimento dati sul collegamento tra due nodi di rete: autenticazione e integrità E.g. Extensible Authentication Protocol (EAP) e Cipher-Block Chaning con Message Authentication Code (CBC-MAC)

18 Sistema in sicurezza (2): Firewall Firewall = porte tagliafuocousate per bloccare la propagazione degli incendi Punto di accesso unificato per il traffico della rete Controllo generale e non distribuito sui singoli computer Si interpone tra la nostra rete locale e il mondo esterno In sostanza Fornisce un controllo agli accessi attraverso regole che restringono i pacchetti ammessi all interno della rete locale Riduce il traffico in uscita evitando fughe di materiale privato Stateless firewall(regole statiche), Statefull firewall (content filtering)

19 Legge sulla privacy Motivo: rispettare gli accordi di Schengen legge del 31 dicembre 1996 numero 675 aggiornata nel Testo Unico (D.L.30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali in vigore dal 1 gen04 Scopo: riconoscimento del diritto del singolo sui propri dati personali disciplina delle diverse operazioni di gestione dei dati (trattamento), riguardanti la raccolta, l'elaborazione, il raffronto, la cancellazione, la modificazione, la comunicazione o la diffusione degli stessi Obblighi e diritti: Informare preventivamente il soggetto di cui si voglia utilizzare i dati Ottenere il consenso del soggetto interessato Ulteriori attenzioni per i dati sensibili Redigere un Documento programmatico sulla sicurezza(dps) dove dovranno essere indicati i responsabili del trattamento dei dati e le misure prese per garantirne la sicurezza

20 Esempi: gestione della password Password: permette l accesso al sistema (autenticazione) secondo i privilegi dell utente Vulnerabilità: password corta o facile da indovinare Lunghezza Parola personale (e.g. nome del figlio, data di nascita) Parola di senso compiuto Parola nota (e.g. personaggi di sport o film) Strategie di selezione: Educazione dell utente Generazione dal computer password altamente casuale difficile da ricordare Installare dei controllori di password comunicazione se la password è scoperta Consigli per la scelta: Password lunga almeno 8 caratteri La password deve contenere una lettera maiuscola, una lettera minuscola, una cifra e un elemento di punteggiatura Cambiare la password ogni mese

21 Esempi (2): gestione della password

22 Esempi (3): principali frodi Dal sito di Poste Italiane: Phishing: realizzata con l'invio di contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati riservati Pharming: finalizzato all'acquisizione illecita di dati riservati, mediante il dirottamento dell'utente da un sito internet ufficiale ad un sito pirata modifica nel DNS o nei registri del PC della vittima Modifica degli abbinamenti tra il dominio e l'indirizzo IP corrispondente a quel dominio. Es. legame corretto ; legame modificato Spam: Ricezione di messaggi non autorizzati (generalmente commerciali) nella propria casella di posta Trojan: Si nascondono all'interno di programmi o di file eseguibili all'apparenza innocui, con lo scopo di raccogliere informazioni o aprire una porta nascosta per accedere al computer dall'esterno Virus: Frammenti di software che una volta eseguiti infettano dei file nel computer in modo da riprodursi, facendo copie di sé stessi Worm: èun malware(malicioussoftware) in grado di auto-replicarsi: èsimile ad un virus come finalità, ma non necessita di legarsi ad altri eseguibili per diffondersi Spyware: Software che raccolgono informazioni sull'attività in Internet dell'utente, senza il suo consenso Trasmissione di informazioni: spesso l'utente invia informazioni riservate su internet: èimportante assicurarsi che tali dati non possano essere registrati da malintenzionati Smishing(SMS Phishing): il nuovo sistema per rubare denaro e informazioni riservate con il cellulare

23 Esempi (4): phising Ricevete un (sembra autentica) Nel messaggio vi viene richiesta una login(inserire i dati personali) Usare un link rapido contenuto nel messaggio (unsito identico a quello dell'azienda ufficiale) Vi si informa poi che la procedura è andata a buon fine Il truffatore ha ora i vostri dati in suo possesso

24 Esempi (5): possibili precauzioni Regole di base prima di navigare in Internet: Disporre di un antivirus Disporre di un antispyware Disporre di un firewall Assicurasi che il sistema operativo, i programmi per la sicurezza e i programmi che si utilizzano per accedere alla rete siano sempre aggiornati Utilizzare con buon senso i servizi offerti Attenzione alle non aprite messaggi da sconosciuti, non aprite allegati, non comunicate mai informazioni personali via e- mail (username, password, codici) Nelle transazioni assicuratevi di essere in uno spazio reso sicuro dal protocollo di sicurezza SSL (certificati)

25 Esempi (6): sicurezza Wi-Fi Trasmissione via radio soggetta ad ulteriori rischi Misure per la sicurezza delle reti wireless: Chiave di Autenticazione Pubblica (WiredEquivalentPrivacy, WEP) Chiave di crittografia WPA(Wi-FiProtectedAccess). Chiavi per ogni utente attraverso una Pre-Shared Key(PSK) Modifiche per aumentare la sicurezza: cifratura basata su TKIP (Temporal Key Integrity Protocol) che cambia periodicamente la chiave di cifratura(ora fino a 256 bit) Controllo Access-List ristretta Nome della rete Wi-Fi(SSID) nascosto: necessaria la configurazione manuale Spegnere l AP per lunghi tempi di inattività, abilitare firewallsu PC e AP AP in posizione sicura, assegnazione statica degli indirizzi IP e non attraverso il DHCP

26 Riferimenti J. Joshi et al., Network Security: KnowItAll, ed. Elsevier. A. S. Tanenbaum, Reti di calcolatori, Ed. Pearson Education Italia, 4 ed., S. Piccardi, La gestionedellasicurezzacon GNU/Linux, available at W. Stallings, Cryptography and Network Security: Principles and Practices, 4th Ed., Pub. Prentice Hall, Nov wikipediaa supporto