Overview. Internet: villaggio globale. Sicurezza nei Sistemi Informativi Introduzione e concetti di base

Transcript

1 Overview Sicurezza nei Sistemi Informativi Introduzione e concetti di base Requisiti di sicurezza Tipologie di attacchi alla sicurezza Servizi di sicurezza Servizi/meccanismi/algoritmi Ing. Orazio Tomarchio Orazio.Tomarchio@diit.unict.it Dipartimento di Ingegneria Informatica e delle Telecomunicazioni Università di Catania O. Tomarchio Sicurezza nei Sistemi informativi 2 Internet: villaggio globale pro Consistente sviluppo delle applicazioni telematiche dovuto a: Evoluzione tecnologica delle trasmissioni Potenze elaborative sempre maggiori Tecnologie a basso costo Sistemi e prodotti sw sempre più semplici orientamento verso l uso di standard Sicuramente VANTAGGI disponibilità di dati commercio elettronico applicazioni commerciali uso pubblico O. Tomarchio Sicurezza nei Sistemi informativi 3 O. Tomarchio Sicurezza nei Sistemi informativi 4

2 e contro quindi Sicuramente PROBLEMI - da tenere sotto controllo - sicurezza dei dati sicurezza delle trasmissioni Integrità Riservatezza Reso facile ed economico il comunicare OCCORRE garantire comunicazioni sicure senza rischio alcuno né per gli interlocutori né per i loro dati. O. Tomarchio Sicurezza nei Sistemi informativi 5 O. Tomarchio Sicurezza nei Sistemi informativi 6 Requisiti degli utenti Requisiti (1) Riservatezza (privacy): dei dati, delle azioni, della posizione, Integrità Autenticazione: dei dati, della controparte Non-repudiation = integrità + origin authentication Autorizzazione Riservatezza dell informazione Ognuno desidera che nessuno eccetto lui e/o le persone autorizzate possa/no conoscere quelle informazioni. O. Tomarchio Sicurezza nei Sistemi informativi 7 O. Tomarchio Sicurezza nei Sistemi informativi 8

3 Requisiti (2) Requisiti (3) Integrità dell informazione Garanzia di autenticità degli interlocutori Ognuno desidera che nessuno possa modificare, alterare o distruggere quelle informazioni. Mittente e destinatario di una trasmissione dati desiderano che siano proprio loro e non altri ad aver spedito e ricevuto il messaggio. (Es. Il cliente che emette un ordine verso un fornitore e il fornitore che risponde con una conferma d ordine) O. Tomarchio Sicurezza nei Sistemi informativi 9 O. Tomarchio Sicurezza nei Sistemi informativi 10 Requisiti (4) Non ripudio (autenticazione) (prova formale usabile in tribunale che dimostra l appartenenza di un documento/firma ad una persona) Molti aspetti da considerare Sintassi (è la tua firma?) Semantica (hai capito ciò che stavi firmando?) Identificazione (sei stato tu a firmare?) Tempo (quando hai firmato?) Luogo (dove hai firmato?) Requisiti Un sistema sicuro di comunicazione DEVE proteggere gli interlocutori e le informazioni scambiate da possibili attacchi cui possono essere sottoposti O. Tomarchio Sicurezza nei Sistemi informativi 11 O. Tomarchio Sicurezza nei Sistemi informativi 12

4 Sicurezza: dove è il nemico? Tipi di attacchi (Fonte: CSI/FBI 2005 Computer Crime and SEcurity Survey) Fuori dalla nostra organizzazione difesa del perimetro (firewall) Fuori dalla nostra organizzazione, con l eccezione dei nostri partner protezione dell Extranet Dentro la nostra organizzazione protezione della Intranet Ovunque! protezione delle applicazioni O. Tomarchio Sicurezza nei Sistemi informativi 13 O. Tomarchio Sicurezza nei Sistemi informativi 14 I danni (Fonte: CSI/FBI 2005 Computer Crime and SEcurity Survey) Problemi di base Le reti sono insicure: Le comunicazioni avvengono in chiaro Le reti locali funziona(va)no in broadcast Le connessioni geografiche non avvengono tramite linee punto-punto ma: Attraverso linee condivise Tramite router di terzi Autenticazione debole degli (utenti) (di solito basata su password) Non c è autenticazione dei server Il software contiene molti bachi O. Tomarchio Sicurezza nei Sistemi informativi 15 O. Tomarchio Sicurezza nei Sistemi informativi 16

5 Problemi di sicurezza su Internet In rete, nessuno sa se... Le proprietà intrinseche di Internet sono la sorgente maggiore della sua vulnerabilità ad attacchi e failures Quando venne progettata, si badava all interoperabilità piuttosto che alla sicurezza Ciò andava bene quando essa era limitata ad una rete per la ricerca Oggi la mancanza di servizi di sicurezza ne rallenta l utilizzo in vari settori...sei un criminale Siti creati apposta per raccogliere numeri di carta di credito dei clienti, e poi sparire...sei qualcun altro Hai preso il posto di un server WEB legittimo Hai preso il posto di un utente legittimo...hai dipendenti disonesti...quanto il tuo sito è sicuro E soprattutto, quanto sono al sicuro i dati dei tuoi clienti che sono memorizzati lì! O. Tomarchio Sicurezza nei Sistemi informativi 17 O. Tomarchio Sicurezza nei Sistemi informativi 18 In rete, tutti sanno che... Attacchi alla sicurezza Molti (quasi tutti) gli utenti sono un po' sprovveduti Faranno tutto quello che il loro computer dirà loro di fare Molti utenti eseguono programmi difettosi Sono troppo pigri o non sanno che è necessario aggiornarli Non ci si può aspettare che gli utenti conoscano i protocolli di Internet Non controllano se la transazione è sicura oppure no Gli utenti configurano il loro sistema Con il minimo sforzo Per massimizzare la facilità d'uso Attacco (attack o threat): ogni azione tesa a compromettere la sicurezza delle informazioni possedute da una organizzazione Tipologie di attacchi: Attacchi passivi Attacchi attivi O. Tomarchio Sicurezza nei Sistemi informativi 19 O. Tomarchio Sicurezza nei Sistemi informativi 20

6 Attacchi passivi Attacchi attivi E un attentato alla riservatezza dei dati L intruso si limita a recuperare (e ad analizzare) i dati, senza, ovviamente esserne autorizzato L obbiettivo è quello di acquisire informazioni : Contenuto di dati altrui attività di un organizzazione ubicazione degli interlocutori struttura del sistema telematico L intruso cerca di modificare i dati, crearne di nuovi, sostituirsi ai legittimi partecipanti alla conversazione: modifica dell informazione (es., messaggio, file...) cancellazione dell informazione (es., messaggio, file...) impersonare un altro utente accesso non autorizzato alle risorse sistema impossibilitato a fornire i servizi Più difficili da eseguire rispetto agli attacchi passivi, ma anche più difficili da gestire per i sistemi di sicurezza O. Tomarchio Sicurezza nei Sistemi informativi 21 O. Tomarchio Sicurezza nei Sistemi informativi 22 Tipi di attacchi Principio di Sicurezza minimo Gli attacchi possono essere portati a diversi livelli Non tratteremo i possibili attacchi di sicurezza come argomento a sé stante: vedremo, per ciascun meccanismo di sicurezza che studieremo, i più comuni e rappresentativi attacchi possibili. Proteggersi dagli attacchi passivi Accorgersi degli attacchi attivi Non si tengono nascoste le strategie di sicurezza O. Tomarchio Sicurezza nei Sistemi informativi 23 O. Tomarchio Sicurezza nei Sistemi informativi 24

7 L architettura di sicurezza OSI Security services (X.800) Descrive un modo sistematico per definire e fornire requisiti di sicurezza Per i nostri scopi, fornisce una utile (anche se astratta) overview dei concetti che studieremo Servizi Meccanismi Attacchi Authentication (autenticazione) Access control (controllo degli accessi) Data confidentiality (confidenzialità, segretezza) Data integrity (integrità) Non-Repudiation (non ripudio) O. Tomarchio Sicurezza nei Sistemi informativi 25 O. Tomarchio Sicurezza nei Sistemi informativi 26 Autenticazione Controllo degli accessi Processo che permette di determinare (con una certa sicurezza) l identità di uno o più partecipanti ad una comunicazione Per partecipante si può intendere: Nodo di rete Persona Istanza di un particolare applicativo Pacchetto IP Vedremo più avanti nel corso, che l autenticazione si basa sulla capacità di provare la conoscenza di un certo dato, o il fatto che si possegga un certo oggetto Processo che permette di definire e controllare i diritti e i privilegi di accesso a risorse e servizi Presuppone qualche forma di autenticazione per poter funzionare L entità che gestisce i privilegi deve poter associare ciascuna richiesta di accesso ad un individuo/nodo di rete/applicativo/ specifico O. Tomarchio Sicurezza nei Sistemi informativi 27 O. Tomarchio Sicurezza nei Sistemi informativi 28

8 Confidenzialità Integrità Proprietà che permette di garantire (con un certo margine di sicurezza) che l accesso ai dati sia permesso solo ad un ristretto numero di entità autorizzate Anche in questo caso, presuppone una qualche forma di autenticazione per poter essere applicata Si applica sia alle informazioni in transito, sia alle informazioni memorizzate Servizio che permette di garantire che non vengano eseguite modifiche non autorizzate ai dati O. Tomarchio Sicurezza nei Sistemi informativi 29 O. Tomarchio Sicurezza nei Sistemi informativi 30 Non ripudio Sicurezza in rete: una visione complessiva Proprietà che permette di assicurare che l entità che ha generato dei dati non possa in seguito negare di averli generati O. Tomarchio Sicurezza nei Sistemi informativi 31 O. Tomarchio Sicurezza nei Sistemi informativi 32

9 La crittografia Elemento fondamentale per garantire in forma forte alcune delle proprietà di sicurezza, in particolare: Autenticazione Confidenzialità Non-ripudio Integrità Tre componenti fondamentali che vedremo in questo corso, inclusi gli aspetti matematici di base più importanti Crittografia simmetrica (detta anche a chiave privata ) Crittografia asimmetrica (detta anche a chiave pubblica ) Funzioni di hash Protocolli crittografici: metodi generali che combinano uno o più dei componenti fondamentali per raggiungere un determinato obiettivo (autenticazione, ) O. Tomarchio Sicurezza nei Sistemi informativi 33 Servizi, Meccanismi, Algoritmi Un tipico protocollo di sicurezza fornisce uno o più servizi di sicurezza SSL Signatures Encryption Hashing DSA RSA RSA DES SHA1 MD5 Servizi (nel protocollo di sicurezza) Meccanismi Algoritmi I servizi sono costruiti a partire dai meccanismi I meccanismi sono implementati usando algoritmi O. Tomarchio Sicurezza nei Sistemi informativi 34 Meccanismi di sicurezza Tre meccanismi di base sono utilizzati: ENCRYPTION per fornire confidenzialità, può essere anche usata per fornire autenticazione e integrità dei dati DIGITAL SIGNATURES per fornire autenticazione, integrità e non-repudiation Meccanismi di CHECKSUM/HASH per fornire integrità, possono fornire anche autenticazione Uno o più meccanismi di sicurezza sono combinati per fornire un servizio di sicurezza Meccanismi non crittografici Alcune delle funzionalità fondamentali dei servizi di sicurezza in rete possono essere (e sono) realizzate utilizzando meccanismi non crittografici Ad esempio: Autenticazione (debole) mediante indirizzi IP, o mediante l uso di valori casuali (nonces) in diversi protocolli (DNS, TCP, ) Controllo degli accessi (dove le entità da controllare sono i protocolli e i nodi di rete) mediante firewall Studieremo le classi più importanti di questi meccanismi, e vedremo come sono collocati all interno di un architettura integrata di rete sicura O. Tomarchio Sicurezza nei Sistemi informativi 35 O. Tomarchio Sicurezza nei Sistemi informativi 36

10 Sicurezza: un concetto sempre relativo Progettare un piano di sicurezza rispetto all ambito: Mondo delle reti Mondo delle transazioni monetarie cartacee Mondo della protezione delle abitazioni rispetto al valore, intrinseco o relativo, delle entità che si vogliono proteggere Sistema di controllo delle anagrafiche e dei dati accademici degli studenti universitari Sistemo di controllo degli accessi in un edificio Password degli account di posta elettronica degli studenti Codice pin del bancomat La relatività del concetto di sicurezza implica la relatività dei meccanismi appropriati per implementare i sistemi di sicurezza Non esistono, in pratica, sistemi di sicurezza completamente sicure: si tratta sempre di meccanismi che realizzano in compromesso tra costo/complessità e livello di protezione dagli attacchi Cost Total cost Cost of security exposures Level of security protection Cost of security implementation 100% O. Tomarchio Sicurezza nei Sistemi informativi 37 O. Tomarchio Sicurezza nei Sistemi informativi 38 Progettare un piano di sicurezza Standard di sicurezza Develop policies, procedures Secure the Internet connection Diversi tentativi, dagli anni 70 ad oggi, di creare criteri oggettivi per la valutazione del grado di sicurezza dei sistemi informativi (inclusi gli apparati di rete) Difficoltà intrinseca del problema Define business needs Calculate risk acceptance Design the security infrastructure Plan technical solution Achieve user awareness Secure business services Secure user services Manage, maintain, audit Cronologia Orange Book (USA, 1983) ITSEC (Canada + Europa, 1990) Common Criteria v1 (Canada + Europa + USA, 1994) Common Criteria v2.x (Canada + Europa + USA, 1999) Questi standard, in ultima analisi, si occupano solo della sicurezza di sistema O. Tomarchio Sicurezza nei Sistemi informativi 39 O. Tomarchio Sicurezza nei Sistemi informativi 40

11 Sicurezza di sistema vs. sicurezza di rete La sicurezza in rete: architettura Sicurezza di sistema Problematiche legate al design del singolo nodo di rete Riguarda soprattutto questioni legate al design dell hardware, del sistema operativo, degli gli applicativi e delle loro interazioni all interno del singolo nodo Sicurezza di rete Problematiche legate alle interazioni tra i nodi Protocolli (end-to-end, hop-by-hop), sistemi per il controllo degli accessi in rete O. Tomarchio Sicurezza nei Sistemi informativi 41 O. Tomarchio Sicurezza nei Sistemi informativi 42 La sicurezza in rete: architettura La sicurezza in rete: architettura - Meccanismi perimetrali Controllo, monitoraggio e gestione degli accessi. Separazione in insider-outsider - Alcune architetture permettono ad outsider di diventare temporaneamente insider (VPN), o di essere sempre insider per determinate classi di protocolli (previa autenticazione) - Diversi tipi di outsider - Le risorse da proteggere: dagli outsider, dagli insider - Meccanismi end-to-end, meccanismi locali - Meccanismi crittografici o non basati sulla crittografia - Architettura di rete: la posizione e l architettura interna contano O. Tomarchio Sicurezza nei Sistemi informativi 43 O. Tomarchio Sicurezza nei Sistemi informativi 44

12 Sicurezza ai diversi livelli della rete Livello fisico Livello di rete (IP) Livello di trasporto (TCP/UDP) Livello delle applicazioni Sicurezza al Livello fisico Al livello fisico la sicurezza interessa principalmente il controllo dell accesso e la confidenzialità delle informazioni trasmesse sul mezzo fisico. Dipende fortemente dalla tipologia del mezzo trasmissivo. Non ci occuperemo di sicurezza a questo livello in questo modulo. O. Tomarchio Sicurezza nei Sistemi informativi 45 O. Tomarchio Sicurezza nei Sistemi informativi 46 Sicurezza al Livello di rete (IP) Packet sniffing Network snooping (or packet sniffing) Message sender Msg Snooper Msg Message recipient Msg Lettura dei pacchetti destinati ad un altro nodo della rete Facile da fare in reti broadcast (es. LAN) o nei nodi di smistamento Attacchi: Permette di intercettare qualunque cosa (password, dati, etc.) Contromisure: Reti non broadcast Crittografia dei pacchetti Msg Msg O. Tomarchio Sicurezza nei Sistemi informativi 47 O. Tomarchio Sicurezza nei Sistemi informativi 48

13 Sicurezza al Livello di rete (IP) Attacchi di tipo replay Message replay In un attacco di tipo message replay, prima si effettua uno snooping ed una registrazione di una conversazione tra due sistemi (A e B); successivamente da una terza macchina (C), si effettua il playback dei messaggi inviati da A a B. In particolari condizioni, C può riuscire ad ottenere lo stesso effetto che prima ha ottenuto A. O. Tomarchio Sicurezza nei Sistemi informativi 49 O. Tomarchio Sicurezza nei Sistemi informativi 50 Sicurezza al Livello di rete (IP) Message alteration Attualmente nessun meccanismo che garantisca l integrità del messaggio è implementato su vasta scala al livello IP. Message delay Ritardare la consegna di un pacchetto Message denial Bloccare completamente il canale di comunicazione Sicurezza al Livello di rete (IP) Address masquerading Si parla di address masquerading quando un attacker configura la propria interfaccia di rete con l indirizzo di un altro sistema riuscendo quindi a far ridirigere sulla propria macchina il traffico diretto ad un altra macchina. Es: NFS può essere attaccato con questa tecnica O. Tomarchio Sicurezza nei Sistemi informativi 51 O. Tomarchio Sicurezza nei Sistemi informativi 52

14 Sicurezza al Livello di rete (IP) Source address spoofing (o TCP sequence number attack) Questo attacco sfrutta le debolezze del TCP, anche se però il suo effetto si realizza a livello IP. In questo attacco un host riesce ad impersonarne un altro. A differenza del masquerading teoricamente lo spoofing è possibile anche su una connessione che attraversa numerose reti su Internet. Sicurezza al Livello di trasporto (TCP/UDP) Packet filtering Il packet filtering può selettivamente bloccare l accesso a determinati host o reti. HiJacking Si ha quando un attacker riesce a modificare il software di sistema che controlla il comportamento locale del TCP. O. Tomarchio Sicurezza nei Sistemi informativi 53 O. Tomarchio Sicurezza nei Sistemi informativi 54 Denial-of-Service (DoS) Shadow server Si tiene impegnato un host in modo che non possa fornire i suoi servizi Esempi: Saturazione della posta/log Ping flooding ( guerra dei ping ) SYN attack Attacchi: Impedisce l uso di un sistema/servizio Contromisure Nessuna definitiva, solo palliativi quantitativi Elaboratore che si pone come fornitore di un servizio senza averne il diritto Richiede address spoofing e packet sniffing Il server ombra deve essere più veloce di quello reale, oppure questo non deve essere in grado di rispondere (guasto o sotto attacco, ad esempio tramite DoS) Attacchi: Fornitura di un servizio sbagliato Cattura di dati forniti al servizio sbagliato Contromisure: Autenticazione del server O. Tomarchio Sicurezza nei Sistemi informativi 55 O. Tomarchio Sicurezza nei Sistemi informativi 56

15 Sicurezza al Livello delle applicazioni Software bug Posta elettronica File transfer Telnet Web Anche il miglior software contiene dei bug che possono essere sfruttati per vari fini Sfruttamento più semplice: DoS Esempio: WinNT server (3.51, 4.0) telnet alla porta caratteri a caso, poi CR Server non disponibile! (CPU al 100% senza che venga svolto alcun lavoro) Soluzione: installare SP3 O. Tomarchio Sicurezza nei Sistemi informativi 57 O. Tomarchio Sicurezza nei Sistemi informativi 58 Pericoli per i clienti Contenuti attivi Gli utenti del WEB usano il proprio browser per navigare e accedere ai siti. Che pericoli corrono? Contenuti attivi Sono programmi incorporati nelle pagine WEB Controlli ActiveX, JavaScript, VBScript... Possono essere usati per mostrare oggetti in movimento, scaricare file audio, effettuare calcoli su pagine WEB... Sono molto usati dagli sviluppatori perché permettono di fare cose che con HTML da solo non risultano possibili Consentono di far eseguire alcune computazioni sul computer dell'utente anziché sul server WEB Possono anche essere nascosti sotto forma di istruzioni eseguibili contenuti in file binari Certi tipi di immagini, formati o altri documenti di cui il browser effettua automaticamente l'anteprima a video I contenuti attivi sono potenzialmente molto pericolosi, per due ragioni Vengono eseguiti di solito in modo totalmente trasparente all'utente Essendo programmi eseguibili, in teoria non ci sono limiti a quello che possono fare, incluso ogni genere di danno O. Tomarchio Sicurezza nei Sistemi informativi 59 O. Tomarchio Sicurezza nei Sistemi informativi 60

16 Immagini, plug-in e allegati di Problema con gli allegati Certi tipi di file possono contenere (direttamente o indirettamente) dei programmi eseguibili Direttamente: programmi che vengono eseguiti Indirettamente: istruzioni che vengono passate al programma che visualizza quel tipo di file Gli allegati di sono un problema tristemente famoso Gli allegati consentono di inviare informazioni non testuali in un sistema (la posta elettronica) che gestisce solo testo Quando ricevono un allegato, i programmi di posta elettronica di solito ne mostrano l'anteprima......ossia, eseguono l'applicazione che ha creato l'allegato Aprire un documento Word, di per sé, non è un problema per la sicurezza Il problema è che i documenti Word (o Excel o di altri tipi) possono contenere delle macro Una macro altro non è che una sequenza di comandi, cioè un vero e proprio programma I linguaggi per scrivere macro (di solito VBscript) sono sufficientemente potenti e versatili che qualunque cosa si può fare tramite una macro Compreso scrivere virus... Molti virus basati su macro Word o Excel sono in circolazione O. Tomarchio Sicurezza nei Sistemi informativi 61 O. Tomarchio Sicurezza nei Sistemi informativi 62 Sommario degli argomenti del corso Ricordate che Crittografia: teoria, algoritmi e protocolli Crittografia simmetrica Crittografia asimmetrica Funzioni hash Protocolli crittografici: cosa si fa con gli algoritmi La sicurezza nei protocolli e nei servizi di rete Protocolli che forniscono servizi di sicurezza in rete (SSL/TLS, ) Sicurezza per il livello applicativo Sicurezza infrastrutturale Architetture di rete sicure VPN e IPSec Firewall, sistemi di IDS Sviluppo di applicazioni sicure La gestione della sicurezza Il CNIPA in Italia: elementi normativi l obiettivo principale di questo corso è imparare a progettare reti e sistemi sicuri, non come effettuare attacchi in rete O. Tomarchio Sicurezza nei Sistemi informativi 63 O. Tomarchio Sicurezza nei Sistemi informativi 64