Sicurezza e nuovi canali di distribuzione nel mondo finanziario

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza e nuovi canali di distribuzione nel mondo finanziario"

Transcript

1 Sicurezza e nuovi canali di distribuzione nel mondo finanziario Francesco Virili 1. Introduzione "Le banche sono sicure. Tutti noi lo diamo per scontato. La sicurezza si può vedere: mura robuste, serrature antiscasso, allarmi, caveaut blindati, agenti di vigilanza... Ma c'è un altro componente della sicurezza di una banca che non è così visibile: la sicurezza dell'informazione." (Tradotto da Online 2000]). Ovviamente, il problema della sicurezza dell'informazione è ben conosciuto dalle istituzioni finanziarie, ove tradizionalmente si prevedono piani e misure per la protezione e il controllo degli accessi agli archivi: sistemi informatici e reti di comunicazione protetti, livelli gerarchici di autorizzazione degli accessi, e così via. Il rapporto biennale ABI sulla sicurezza informatica delle aziende di credito [ABI 1999] distingue una serie di aree di intervento, tra cui quelle di sicurezza fisica, logica, organizzativa e delle comunicazioni. La conversione in formato elettronico di porzioni sempre maggiori degli archivi aziendali, l'automazione dei processi di business, la crescente diffusione di sistemi distribuiti su rete locale, hanno fatto sì che le banche italiane già da molti anni si siano strutturate adeguatamente per la gestione della sicurezza dell'informazione in tutti gli aspetti considerati: l'analisi dei rapporti ABI dal 1995 al 1999 [ABI 1995, 1999] testimonia una forte e crescente attenzione del sistema bancario a tale riguardo. Tuttavia, la recente affermazione dei canali di distribuzione elettronica basati direttamente o indirettamente su Internet, ha conseguenze sul piano della sicurezza dell'informazione molto più profonde di quanto ci si potrebbe aspettare a prima vista, che possono avere un impatto rilevante non solo sull'attività delle singole banche, ma anche a livello di sistema. Sul piano delle singole banche, i servizi on line permettono al cliente di effettuare transazioni via Internet, andando a modificare il contenuto di archivi chiave del back-office senza alcun intervento o controllo diretto del personale bancario. E' evidente che l'efficacia dei meccanismi di riconoscimento, autenticazione e abilitazione dell'utente deve essere fuori discussione, e che il rischio di intrusione è amplificato dal numero elevatissimo e sempre crescente di persone che hanno accesso potenziale al canale: ad esempio, se c'è una probabilità su un miliardo che una persona sia in grado di aggirare un sistema anti-intrusione, il rischio potrebbe essere accettabile con 100 utenti conosciuti, molto meno con milioni di persone sconosciute! Il fatto di poter accedere via Internet da luoghi remoti, in paesi soggetti a legislazioni diverse, utilizzando computer con indirizzi Internet mascherati e comunque difficilmente rintracciabili, dà la possibilità ai potenziali intrusi di agire di nascosto e in tutta calma, con poche probabilità di essere scoperti. Sul piano del sistema bancario, la diffusione dell'utilizzo di carte di credito per i pagamenti on line, che vengono abilitati senza poter accertare la effettiva disponibilità fisica della carta da parte dell'utente, come avviene tradizionalmente off line, aumenta il rischio potenziale di frode. La riduzione del grado di affidabilità delle carte di credito rappresenta una minaccia indiretta per le banche, che richiede l'adozione di contromisure efficaci e tempestive, con l'introduzione di appropriate contromisure accettate e riconosciute a livello di sistema. In questo capitolo cercheremo dunque di mettere in evidenza i rischi a cui le banche vanno incontro, sia in modo diretto (vulnerabilità alle intrusioni e agli altri attacchi via Internet), sia in modo indiretto (esposizione alle frodi dei pagamenti on line via Internet). Purtroppo, specie per la prima parte, esistono poche analisi e pochissimi dati per costruire un quadro chiaro e completo della situazione, rendendo ancora più impalpabili e incerte le passività latenti a cui il sistema bancario 1

2 rischia di esporsi. Riteniamo dunque di svolgere un servizio utile nel tentare di far luce su questi aspetti affascinanti e controversi quanto degni di attenzione. 2. Vulnerabilità delle singole istituzioni on line Le notizie relative alle intrusioni e ai danni degli 'hackers' ai sistemi informativi delle grandi organizzazioni sono ormai all'ordine del giorno. Nei primi tre mesi del 2001 Il Sole 24 Ore ha pubblicato 39 articoli che contengono la parola 'hacker'. Dato il rilievo che la stampa dà all'argomento, ci si potrebbe chiedere quale sia effettivamente l'entità dei danni prodotti dal crimine informatico e in particolare dagli attacchi diretti perpetrati dall'esterno via Internet. Un punto di riferimento importante, anche se è focalizzato sulla realtà statunitense, è quello del rapporto FBI del 2001 sulla sicurezza e il crimine informatico [FBI 2001]. Tale fonte riporta i risultati di un'inchiesta su un campione di 538 organizzazioni, prevalentemente formato da grandi società ed enti statunitensi, (comprese banche e istituzioni finanziarie) dipingendo un quadro piuttosto preoccupante: l'85% degli intervistati ha infatti dichiarato di aver rilevato problemi di sicurezza negli ultimi 12 mesi, e ben il 64% degli intervistati ha subito delle perdite per questo. In meno della metà dei casi (186) è stato possibile quantificare i danni riportati, che ammontano in media a poco più di 2 milioni di dollari per organizzazione, un valore quasi raddoppiato rispetto all'anno precedente. I danni più ingenti sono dovuti al furto di informazioni proprietarie e alla frode finanziaria. Non solo preoccupa la frequenza delle manomissioni e l'ammontare dei danni riportati: le manomissioni sono state perpetrate via Internet nel 70% dei casi, e solo nel 31% dei casi dall'interno. Il trend degli attacchi esterni appare in forte ascesa se solo si considera che nell'anno precedente quelli via Internet erano il 59% del totale. Anche la percentuale di casi denunciati alle autorità è in costante aumento, dal 16% nel 1995 al 36% nel Le manomissioni o intrusioni informatiche via Internet registrano dunque negli USA una dimensione tutt'altro che trascurabile e un trend in forte ascesa, sia come quantità che come entità dei danni. Anche se fonti certe sulle dimensioni del fenomeno in Italia non esistono ancora, non possiamo certo aspettarci una situazione radicalmente diversa, date le dimensioni globali del fenomeno e la pervasività del canale Internet. In tabella 1 sono evidenziate le principali attività svolte dagli intrusori, in ordine di importanza, secondo un'indagine svolta nel 1996 su 603 casi di intrusione in società appartenenti alle Fortune 1000 dal WarRoom Research Group [WRG 1996]. Anche se l'indagine è riferita al passato, ci dà una vista generale sull'argomento che può essere utile per identificare alcune delle tipologie di attacco più comuni. 2

3 Attività dell'intrusore N. % Ricerca/rilevazione punti deboli del sistema 88 14,6% Violazione e documenti 76 12,6% Introduzione di virus 64 10,6% Violazione di segreti commerciali 59 9,8% Furto dati (download non autorizzato) 49 8,1% Manipolazione dati 41 6,8% Installazione sniffer 40 6,6% Attacchi DoS (Denied use of Services, per paralizzare siti Web) 38 6,3% Installazione falsi logon per il furto di password (trojan logon) 35 5,8% Furto di password files 34 5,6% IP spoofing 29 4,8% Azioni illegali sul personale 27 4,5% Altro 18 3,0% Intrusione manifesta 3 0,5% Furto/trasferimento di denaro 2 0,3% Totale ,0% Tabella 1. Attività degli intrusori, da un indagine del 1996 su 603 casi di intrusione in società Fortune 1000 (fonte: WarRoom Research Information Security Survey, [WRG 1996]. Tipologia sito Num. host verificati % Totale vulnerabili % Giallo % Rosso Banche Credit Unions Siti federali Giornali Tabella 2. Vulnerabilità dei siti Web alla fine del 1996, da un indagine di Dan Farmer (Internet Security Survey [Farmer 1996]). Il livello 'rosso' di vulnerabilità individua problemi molto gravi; il livello giallo individua problemi meno gravi ma comunque rilevanti. La scansione dei sistemi target è la prima attività degli intrusori: per i più comuni sistemi operativi di rete esistono software in grado di effettuare analisi più o meno approfondite, evidenziando l'esistenza di eventuali porte di accesso secondarie (backdoor), bachi e malfunzionamenti del software che possono permettere la creazione di account o l'accesso alle password, account protetti in modo inadeguato e simili. Un famoso tool di questo genere, SATAN, è stato usato nel 1996 da un esperto di sicurezza, Dan Farmer, per la sua Internet Security Survey [Farmer 1996]. Usando SATAN, Dan Farmer ha rilevato che oltre il 35% di 660 siti di banche e oltre il 20% di 274 siti di credit unions presentavano seri problemi di vulnerabilità, evidenziati dal livello 'rosso' di tabella 2. L'attribuzione del livello rosso indica ci sono problemi di sicurezza facilmente identificabili che rendono il sito accessibile ad utenti non autorizzati (es. configurazione incorretta del servizio ftp). Il livello 'giallo' identifica una parziale esposizione, nel senso di una buona probabilità di esistenza di una vulnerabilità di livello rosso oppure di un limitato grado di esposizione a danni provenienti dall'esterno (es. possibilità di manomissione di alcuni files ma non dell'intero sistema). L'indagine di Dan Farmer è ormai datata ed ha comunque un puro valore indicativo: ad esempio un alto livello di vulnerabilità di un host Web non sempre espone a rischio i dati che potrebbero 3

4 risiedere almeno su altro host maggiormente protetto, a cui si ha accesso attraverso un sistema transazionale. Ciò nonostante è evidente che le attività di scansione con l'uso di tool come SATAN erano nel 1996 molto diffuse e rappresentano ancora oggi il primo livello di accesso ai sistemi da parte degli intrusori. La violazione di , al secondo posto in tabella 1, può avvenire in vari modi, dall'intercettazione al furto di password all'uso non autorizzato di indirizzi destinatari per l'invio di messaggi non graditi (spamming), ecc. Tale violazione può mettere a disposizione dell'intrusore informazioni riservate e documenti di ogni genere, oltre a provocare danni di altro tipo, come per esempio l'invio di false comunicazioni e/o la manomissione di quelle esistenti. Sull'argomento, vedi ad esempio [Chae 1999]. La terza voce in tabella 1 è quella dei computer virus, cioè dei programmi che hanno la capacità di autoreplicarsi diffondendosi da sistema a sistema con conseguenze spesso dannose. Essi rappresentano una minaccia da molti anni, che è in ascesa nonostante la diffusione di software e pratiche antivirus. La Security Survey 2001 dell'fbi [FBI 2001] evidenzia un trend ascendente dei computer virus (rilevati dal 94% degli intervistati contro l'85% del 2000), come in generale delle intrusioni dall'esterno (40% contro il 25% nel 2000). Per un'introduzione generale sull'argomento virus, far riferimento alla Web guide in [SecurityFocus2001]; [Grimes 2001] è invece una guida aggiornata e esaustiva dedicata ai programmi potenzialmente dannosi per piattaforme Windows, tra cui i virus, i trojan, ecc. Un trojan è un programma all'apparenza innocuo, che una volta lanciato svolge funzioni diverse, di solito dannose per l'utente: ad esempio un presunto programma di utilità che invece cancella degli archivi, oppure un falso comando 'logon' che mostra all'utente una schermata di accesso del tutto simile a quella originale ma cattura l'account e la password dell'utente inconsapevole per renderla disponibile all'intrusore. L'installazione di trojan logon viene classificata tra le prime dieci attività rilevate in tabella 1. Anche gli attacchi DoS, all'ottavo posto nel 1996 secondo la fonte riportata in tabella 1, sono oggi in ascesa: la FBI Security Survey 2001 rileva una percentuale del 38% contro il 27% nel Gli attacchi DoS (Denial of Service: negazione di servizio) non sono vere e proprie intrusioni, ma bensì dei sistemi per rendere inutilizzabili dei siti Web, sovraccaricando il sito con un numero elevatissimo di falsi accessi simulati per renderlo inservibile. Un introduzione su questo argomento è l'articolo di [Messmer e Pappalardo 2001]. L'installazione di sniffer [Graham 2000] consente di analizzare i dati trasmessi dai sistemi collegati in rete, per intercettarne il contenuto. E' l'equivalente in rete delle intercettazioni telefoniche e può essere usato per carpire password e informazioni riservate o per altri scopi, anche in combinazione con altri tipi di attacco. Il cosiddetto 'IP spoofing' [CERT 2000], all'undicesimo posto in tabella 1, è una tecnica molto utilizzata, anche in combinazione ad altre, per le intrusioni non autorizzate: consiste essenzialmente nell'inviare falsi pacchetti IP al sistema remoto, con l'identificativo del pacchetto 'preso in prestito' da quello di un utente autorizzato. L'intrusore non può ricevere dati dal sistema attaccato ma può inviare comandi al sistema. In tal modo, per esempio, è possibile dare i comandi necessari per effettuare il cosiddetto 'terminal hijacking' [CERT 1997]. Con questa tecnica l'intrusore si sostituisce ad un utente remoto del sistema intercettandone la connessione dopo che questi ha già effettuato un logon valido. In tal modo l'intrusore può effettuare tutte le operazioni consentite all'utente a cui ha 'rubato' la connessione attiva. Le attività delineate in tabella 1 e qui schematicamente prese in considerazione non costituiscono, ovviamente, un elenco esaustivo né permettono una classificazione soddisfacente: a tale proposito uno dei più completi studi sull'argomento è la tesi di PhD di John D. Howard, della Carnegie Mellon University [Howard 1997]: l'autore svolge un'analisi approfondita di 4299 casi riportati nel periodo al CERT-CC (Computer Emergency Response Team Coordination Center), uno 4

5 degli enti più rilevanti a livello mondiale per la prevenzione e la gestione degli incidenti di information security. La classificazione proposta dall'autore, sulla base di numerosi lavori sull'argomento, è schematizzata in figura 1. Essa si basa su cinque dimensioni che vengono qui illustrate schematicamente; per una trattazione più approfondita e per le fonti rinviamo ai capp. 5 e 6 di [Howard 1997]. La prima dimensione è quella degli 'attackers', (riquadro di sinistra in figura 1) cioè i soggetti che agiscono, che possono essere hacker, spie, terroristi, corporate raider, criminali professionisti o vandali. Essi si distinguono per i diversi obiettivi, che sono evidenziati nella quinta dimensione (riquadro di destra in figura 1). L'hacker in genere ha l'unico obiettivo di dimostrare le proprie capacità di violare un sistema (challenge, status), senza uno specifico intento di furto o frode. Quando il risultato della violazione si limita dunque all'accesso non autorizzato e l'obiettivo è quello del challenge, anche se l'intrusione resta comunque illegale, non di rado può tramutarsi in un servizio utile, in quanto la sua scoperta può mettere in allarme i responsabili della sicurezza e suggerire rimedi appropriati. Spesso le comunità degli hackers segnalano direttamente ai produttori del software le debolezze e le vulnerabilità dei loro prodotti. Accanto al personal challenge l'intrusore può comunque avere altri obiettivi: ad esempio le spie e i terroristi cercano di solito un vantaggio politico, anche se le spie non lo perseguono, come i terroristi, incutendo il terrore con azioni clamorose. Recentemente la categoria qui denominata 'spie' che ricerca un vantaggio politico si sta allargando a comunità sempre più ampie che utilizzano gli strumenti informatici per fini politici, con azioni di sabotaggio e di spionaggio generalizzate. Tale fenomeno, che viene denominato 'cyberwar', sta assumendo un'importanza crescente ed è presente, ad esempio, nel conflitto tra Israeliani e Palestinesi dei primi mesi del 2001, come testimoniato fra l'altro in [Galvin 2001]. I corporate raiders ricercano invece un vantaggio economico (financial gain) per la propria società, violando i sistemi dei competitors. Il vantaggio economico è anche la motivazione dei criminali professionisti, che però lo perseguono a titolo personale e non per la propria società. I vandali infine sono motivati dal desiderio di provocare un danno, a un particolare obiettivo o in generale al sistema. La seconda dimensione è quella degli strumenti (tools): un intrusore può far uso di semplici comandi utente, come quando tenta l'accesso remoto cercando di indovinare le password per tentativi; oppure con l'ausilio di programmi o script, come un password scanner o un trojan; o ancora per mezzo di agenti autonomi, che selezionano essi stessi il computer da attaccare (qui l'esempio più diffuso è quello dei virus e dei cosiddetti worms, agenti autonomi e autoreplicanti che non modificano altri programmi come i virus). Una serie di tool diversi può essere compresa in un toolkit, che spesso è messo a disposizione nei siti delle comunità hacker. Un distributed tool è invece uno strumento che opera l'attacco da più punti in contemporanea. Questi software di solito prima si diffondono in un certo numero di sistemi, poi operano un attacco sincronizzato verso un target comune; l'esempio più comune è quello dei DDoS (Distributed Denial of Service, cfr. [Dietrich et al 2000]). 5

6 Attackers Tools Access Results Objectives Hackers User Command Implementation Vulnerability Unauthorized Access Files Corruption of Information Challenge, Status Spies Script or Program Design Vulnerability Unauthorized Use Processes Data in Transit Disclosure of Information Political Gain Terrorists Autonomous Agent Configuration Vulnerability Theft of Service Financial Gain Corporate Raiders Professional Criminals Toolkit Denial-ofservice Damage Distributed Tool Vandals Data Tap Figura 1. Classificazione degli attacchi ai computer e alle reti, proposta in [Howard 1997], pag

7 Infine i cosiddetti 'data tap' sono degli strumenti hardware che catturano informazioni misurando l'attività del sistema target; per esempio attraverso la misurazione dei livelli di tensione e/o dei campi magnetici è possibile ottenere indicazioni utili per l'accesso alle informazioni che risiedono smart card o che vengono visualizzate nei terminali. La terza e più importante dimensione è quella del tipo di accesso al sistema, che è l'obiettivo dell'attacker: da sinistra verso destra vengono evidenziati nel riquadro centrale di figura 1 i tre possibili tipi di vulnerabilità del sistema target utilizzati per accedervi: di implementazione, di design o di configurazione. Al centro sono delineati le due possibili modalità alternative di intrusione: accesso non autorizzato (es. il logon non autorizzato come utente o amministratore di sistema), o abuso di accesso autorizzato (come ad esempio per gli attacchi DoS). Il riquadro di destra è basato sul concetto di processo: un accesso non autorizzato si effettua ad uno o più processi (il caso tipico è l'accesso alla cosiddetta 'shell' di sistema in ambiente Unix, cioè il login dell'intrusore come utente, superuser o amministratore) oppure utilizzando un processo (es. la shell) per accedere ai files (es. copia non autorizzata) o ai dati in transito (es. packet sniffing). Nei sistemi operativi di rete più diffusi, avere accesso alla shell dei comandi non sempre significa essere abilitati ad accedere anche a tutti i files, per i quali è prevista una gerarchia di autorizzazioni ulteriori. Accedere alla shell come root, cioè come amministratore del sistema (l'account dell'amministratore viene chiamato 'root' nel mondo Unix) dà all'intrusore il massimo grado di libertà, che comprende la definizione di nuovi utenti, l'alterazione dei diritti sui files e sui processi, ecc., ed è quindi uno dei primari obiettivi degli attacker. La quarta dimensione è quella del risultato dell'attacco, che può essere quello della manipolazione/alterazione di dati (corruption of information in figura 1), dell'accesso a informazioni riservate (disclosure of information), dell'utilizzo non autorizzato di servizi di elaborazione o di rete (theft of service) o infine della degradazione o del blocco intenzionale delle risorse messe a disposizione dal sistema (denial of service). In base a quanto esposto finora, la violazione di sistema più pericolosa è quella che viene di solito denominata 'root break in', che è l'accesso non autorizzato ad un sistema con i privilegi di amministratore. Si tratta di un accesso ad un processo (la shell di sistema) che però dà all'intrusore la possibilità non solo di agire su qualsiasi file, ma anche di effettuare qualsivoglia operazione all'interno del sistema target, come la cancellazione delle tracce di violazione (file di log, date di ultimo accesso/modifica dei files, ecc.) oppure la distruzione di tutti gli archivi. In tabella 3 si riporta una stima delle frequenze di root break-in, a confronto con quella di altri eventi a rischio comuni, secondo l'analisi di [Howard 1997]. L'analisi è basata su un campione attendibile ed effettuata con solidi criteri statistici, ma è riferita al 1995 e alla realtà statunitense, rivestendo quindi ancora una volta solo un valore indicativo, anche perché prescinde dalle caratteristiche hardware e software dei sistemi osservati. Si tratta peraltro di valori medi soggetti ad elevata varianza e che cambiano nel tempo. A tale proposito dalla figura 2 appare ovvio che il numero di incidenti riportati è in crescita con il passare del tempo e che tale trend del periodo è confermato anche dai dati più aggiornati di figura 3. Tuttavia non è del tutto chiaro se tale crescita sia superiore o inferiore a quella di Internet: il numero di incidenti per dominio, riportato in figura 4, appare in lieve crescita, mentre quello di incidenti per server Internet (figura 5) appare in lieve decontrazione. In ogni caso, anche se il tasso di incidenti per server/dominio fosse rimasto costante, la frequenza di un incidente ogni 540 anni che appare in tabella 3, riferita ad un qualsiasi server Internet, potrebbe sembrare a prima vista poco allarmante. Se però la confrontiamo con quella di altri eventi a rischio della vita comune, la prospettiva cambia. Uno degli esempi riportati da Howard è quello dell'hard disk: secondo analisi pubblicate nel 97, il tempo medio di esercizio senza che si verifichi un guasto (MTBF = Mean Time Between Failures) varia da ore a 1 milione di ore. 7

8 60 Incidents/Month Averaged over Quarter Access Attempts Account Break-Ins Root Break-Ins 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 2. Media trimestrale del numero di incidenti mensili rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag. 80. Numero totale incidenti di sicurezza riportati al CERT Figura 3. Totale annuo del numero di incidenti rilevati dal CERT nel periodo 1994/2000. Il trend ascendente di figura 2 viene più che confermato negli anni successivi. Fonte: CERT-CC (www.cert.org). Quindi, anche assumendo che un hard disk venga usato di continuo, ci si può aspettare un guasto con una frequenza che varia, in media, da una volta ogni 34 anni a una volta ogni 114 anni. In tabella 3 viene considerato un valore centrale di una volta ogni 75 anni. 8

9 200 Incidents/Month/100,000 Domains Averaged over Quarter Root Break-Ins Account Break-Ins Access Attempts 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 4. Media trimestrale del numero di incidenti mensili per ogni domini rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag Incidents/Month/10,000,000 Hosts Averaged over Quarter Root Break-Ins Account Break-Ins Access Attempts 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 5. Media trimestrale del numero di incidenti mensili per ogni di hosts rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag

10 Queste stime vanno corrette in aumento se l'hard disk non viene usato di continuo. Eppure tutti noi facciamo regolarmente dei backup dei nostri dati, e, considerando l'elevato numero di hard disk in circolazione, non è affatto infrequente imbattersi in questo tipo di incidenti. Un analogo ragionamento vale per eventi a frequenza ancora più bassa, come gli incendi o le morti per tumore: adeguate precauzioni e misure preventive vengono comunemente prese per mettersi al riparo. L'entità degli investimenti in misure preventive (miglioramento delle difese e strumenti di copertura del rischio) va commisurata alla probabilità dell'incidente e al presumibile danno, con criteri simili a quelli per la copertura degli altri tipi di rischio. Analisi qualitative e quantitative, basate per esempio sulle 'best practices' di settore e su strumenti come il VaR (Value at Risk: cfr. [Dowd 1998]), ormai ampiamente diffusi nella gestione del rischio finanziario, sono necessarie a tal fine. In ogni caso, i sistemi connessi a Internet restano comunque esposti agli attacchi, quindi le misure di sicurezza adottate devono tendere a garantirne le funzionalità essenziali anche in presenza di intrusioni. Questo è il fine di una disciplina nata di recente, denominata 'Survivability', che integra principi di analisi di rischio e misure di sicurezza: Nonostante gli sforzi degli esperti di sicurezza, nessuna misura può garantire che un sistema connesso ad una 'unbounded network' (Internet) sarà invulnerabile agli attacchi. La disciplina della 'Survivability' può aiutare a garantire che questi sistemi possano continuare a fornire i servizi essenziali e mantenere proprietà primarie come integrità, confidenzialità e performance, nonostante la presenza di intrusioni (Tradotto da [Ellison et al. 1999], pag. 1). Rischio Root break-in, dominio Internet Root break-in, server Internet Furto presso dettagliante Guasto hard disk Alluvione centennale Incendio strutturale edificio, NY. Morte di cancro al seno Incidente mortale motociclista Morte da incendio in NY City Frequenza stimata 1 su 10 anni 1 su 540 anni 1 su 1.5 anni 1 su 75 anni 1 su 100 anni 1 su 220 anni 1 su anni 1 su anni 1 su anni Tabella 3. Frequenza stimata di accesso non autorizzato con i diritti di amministratore (root break-in) confrontata con le frequenze di altri eventi a rischio riferiti agli USA. La stima delle frequenze di root break-in è riferita al 1995 ed è basata sull'analisi statistica delle rilevazioni CERT nel periodo Le frequenze sono individuali. Ad esempio la frequenza di un incidente motociclistico mortale ogni 6250 anni è basata sul fatto che in un anno negli USA ci sono stati 16 morti da incidente motociclistico per ogni persone. 6250=1/16* Da [Howard 1997], pag

11 3. Vulnerabilità del sistema dei pagamenti on line Nonostante il diffondersi dei nuovi mezzi di pagamento, il denaro contante e gli assegni sono ancora oggi usati per quasi i tre quarti degli acquisti al dettaglio nel mondo fisico: come mostrato in figura 6, a livello mondiale ben il 53% delle vendite al dettaglio vengono pagate in contanti, il 22% in assegni e il 19% con carta di credito; nel mondo virtuale, invece, contante e assegni sono praticamente assenti: il 96% degli esercizi on line accettano carte di credito, che sono utilizzate per il 93% delle transazioni [Gartner 2001]. Le carte di credito si sono dunque affermate come lo strumento di pagamento standard nel commercio elettronico business to consumer (B2C), grazie alla possibilità di verifica e autorizzazione in tempo reale, alla loro diffusione e alla semplicità di utilizzo. Con il sistema delle carte di credito le banche svolgono una duplice funzione di intermediazione: in una tipica transazione sono coinvolte la banca del compratore e quella del dettagliante che accetta il pagamento. Esse hanno dunque un ruolo fondamentale nel sistema delle carte di credito e hanno tutto l'interesse a mantenerlo almeno ai livelli di sicurezza che aveva prima dell'introduzione del commercio elettronico. L'utilizzo delle carte di credito tradizionali per i pagamenti on line, se da una parte ha reso possibile fino ad oggi lo sviluppo del commercio elettronico B2C, dall'altra solleva importanti preoccupazioni per l'elevato tasso di frode da cui è caratterizzato: una recente indagine di Gartner stima che le transazioni fraudolente siano intorno all'1.1% del totale on line [Gartner 2001]. Pagamenti vendite al dettaglio Figura 6. Strumenti di pagamento utilizzati per acquisti presso il dettagliante: l'utilizzo del contante è prevalente (53%); anche gli assegni (22%) sono più usati delle carte di credito (19%). Fonte: Gartner Consulting; da [Gartner 2001], pag. 2. La VISA, che gestisce oltre il 50% delle transazioni on line con carta di credito, dichiara che le transazioni fraudolente sono da 10 a 40 volte più frequenti su Internet rispetto al mondo fisico, e che in volume le frodi ammontano globalmente a circa 10 cents ogni cento dollari spesi [VISA 2001]. Su tali basi, potremmo stimare che (a parità di volume medio) dall'1 al 4% circa del volume totale di acquisti Internet con carta di credito VISA sia originato da frodi. Anche se il transato on line rappresenta ancora soltanto il 2% del volume d'affari globale di VISA, questo elevato impatto delle frodi Internet, unito al tasso di sviluppo previsto per il commercio elettronico B2C, è motivo di notevole preoccupazione. Per quale motivo le carte di credito risultano meno sicure su Internet? 11

12 L'avvento dei pagamenti on line ha reso vano uno dei sistemi di sicurezza più semplici ma anche efficaci, che aveva funzionato bene sia con le carte di credito che con quelle di debito (bancomat): perché una transazione fosse validata bisognava abbinare un mezzo di identificazione del possessore (un documento per la carta di credito, il PIN per il bancomat) con il possesso fisico della carta. Oggi la transazione effettuata via Internet con le carte di credito tradizionali rende impossibile l'accertamento del possesso fisico della carta e problematica l'identificazione dell'utente. La transazione viene di solito verificata sulla base di numero di carta di credito, data di scadenza, generalità del possessore e (in alcuni casi) di qualche altro elemento, come l'indirizzo di invio dell'estratto conto. Prima dell'avvento del commercio elettronico la segretezza del numero identificativo della carta era meno importante; senza il possesso fisico della carta questo non poteva essere utilizzato. Per un utilizzo fraudolento erano necessarie delle apparecchiature in grado di registrare o clonare carte di credito valide. Oggi i numeri di carta di credito, abbinati a poche informazioni che identificano il possessore, possono essere usati per acquisti on line senza che ci sia bisogno di dimostrare in altro modo il possesso del titolo. I livelli di vulnerabilità del sistema sono dunque molteplici, tra cui ad esempio: 1) Intercettazione della comunicazione di numeri e anagrafiche 2) Acquisizione dei numeri e delle anagrafiche attraverso altri canali (es. scontrini nella carta straccia, database carpiti a siti Web, trascrizione durante l'uso presso dettaglianti convenzionati) 3) Mancata autenticazione: difficoltà per l'utente di distinguere i siti Web degni di fiducia dai cloni creati a scopo fraudolento o dai merchant che potrebbero fare usi impropri delle informazioni sulla carta di credito; difficoltà per il venditore di identificare il compratore in legittimo possesso del titolo 4) Possibilità di generazione dei numeri attraverso appositi software/siti Web 5) Clonazione della carta di credito Paradossalmente il rischio di frode coinvolge anche chi, per motivi di sicurezza, non effettua acquisti on line e continua ad usare le carte di credito esclusivamente presso i dettaglianti convenzionati. Il numero di carta di credito e le informazioni correlate possono venire a conoscenza di terzi anche se non sono mai stati usati prima per acquisti on line, anzi, in linea di principio qualsiasi numero valido ed esistente potrebbe addirittura essere generato via software! Il fenomeno attualmente è circoscritto, data la limitatissima incidenza delle transazioni on line sul totale del mercato: la VISA dichiara che negli ultimi 5 anni a livello globale il tasso di frode è stato ridotto del 50%. Ciononostante, con la crescita prevista delle transazioni B2C, il loro elevato tasso di frode rappresenta, alle condizioni attuali, un potenziale fattore di rischio da tenere ben presente. Tale rischio è percepito dai consumatori e viene considerato come uno dei maggiori impedimenti attuali allo sviluppo del commercio elettronico: secondo recenti indagini presso esercenti di commercio elettronico, la frode è considerato il problema principale da circa un quarto degli operatori, mentre oltre due terzi ha dichiarato di considerarlo tra i più importanti [Gartner 2001]. Quali sono le soluzioni possibili per ridurre le frodi sui pagamenti on line? 3.1 Contro l'intercettazione delle comunicazioni riservate: SSL I numeri di carta di credito andrebbero comunicati attraverso canali sicuri, quindi, per esempio, non attraverso la posta elettronica. La trasmissione via Web è di per sé poco sicura: le comunicazioni via Internet sono facilmente intercettabili, sia lungo la linea telefonica (se presente), sia attraverso appositi software che possono essere installati dall'esterno (es. packet sniffer, vedi sezione precedente). Per risolvere questo problema si è fatto ricorse a tecniche di crittografia applicate alle 12

13 comunicazioni via Web. Le tecniche crittografiche permettono di cifrare un messaggio in modo che non sia leggibile a chi non conosce la modalità e le eventuali chiavi di decodifica. Per una introduzione concisa e aggiornata sull'argomento, si suggerisce la lettura dei primi quattro capitoli di [Fugini et al. 2001]; un autorevole classico sull'argomento, completo, approfondito e molto chiaro, è [Schneier 1995]. Un concetto fondamentale nella crittografia è quello di chiave. Una chiave è un numero o un gruppo di cifre alfanumeriche che viene usato per cifrare il messaggio, alterandone il contenuto originale secondo regole prestabilite che fanno uso della chiave. Una diversa chiave genera una diversa cifratura dello stesso messaggio. Esistono sostanzialmente due modalità di cifratura: a chiave segreta (o singola, o simmetrica) e a chiave pubblica (o doppia, o asimmetrica). Nel primo caso la chiave viene usata sia per cifrare che per decifrare il messaggio (la decodifica avviene con un procedimento analogo a quello di cifratura, ma invertito), e deve essere conosciuta sia dal mittente (che la usa per cifrare il messaggio) che dal destinatario (che la usa per decifrarlo). Questa modalità è semplice ed efficace, ma ha un serio problema: mittente e destinatario devono essere già a conoscenza della chiave. Se il destinatario non conosce la chiave, non è possibile inviare una comunicazione segreta senza aver prima inviato la chiave attraverso qualche altro canale protetto, che non sempre esiste o è conveniente usare. Il sistema a doppia chiave serve ad ovviare a quest'inconveniente: ogni utente ha due chiavi, di cui una è pubblica (conosciuta da tutti) e l'altra privata (conosciuta solo dal possessore). Ogni messaggio cifrato con una delle due chiavi può essere decifrato solo utilizzando l'altra chiave della coppia. Per garantire la riservatezza della comunicazione, il mittente cifra il messaggio con la chiave pubblica del destinatario. Solo quest'ultimo conosce la corrispondente chiave privata (la sua) ed è dunque in grado di decifrarlo. Il sistema a doppia chiave è utile anche a garantire la autenticazione del mittente: se il mittente cifra il messaggio con la propria chiave privata, chiunque può leggerla (usando la corrispondente chiave pubblica), ed essere certo che è stato cifrato dall'unica persona che ne possiede la chiave privata (il mittente). Perché il sistema funzioni ci deve essere un terzo che genera e rilascia agli utenti le coppie di chiavi, pubblicando l'elenco delle chiavi pubbliche con i nomi dei possessori e garantendo l'integrità e la segretezza delle chiavi private. Questo terzo viene denominato 'autorità di certificazione'. La firma digitale, che è riconosciuta come legalmente valida dallo Stato Italiano, funziona secondo questo principio. In Italia esistono già un certo numero di autorità di certificazione per la firma digitale, il cui elenco è pubblicato sul sito Web dell'aipa (Autorità per l'informatica nella Pubblica Amministrazione, La Netscape, qualche anno fa, ha proposto uno meccanismo, basato su entrambi i metodi qui sopra delineati, per rendere più sicure le comunicazioni che si è rapidamente affermato come standard ed è adesso supportato in tutti i browser più comuni: si chiama SSL (Secure Socket Layer) e viene illustrato in entrambi i riferimenti citati sopra: per una Web guide, consultare il sito della Netscape (www.netscape.com). SSL nasce dall'osservazione che la crittografia a chiave pubblica, pur essendo il mezzo più efficace, richiede notevoli risorse computazionali e appesantirebbe troppo le attività di cifratura/decifratura se effettuate in tempo reale; d'altra parte, il sistema a chiave singola risulta molto più veloce ed efficiente, ma richiede un canale sicuro per la comunicazione della chiave al destinatario. Con SSL il sistema a chiave pubblica viene usato solo all'inizio della sessione per comunicare una ulteriore chiave segreta e temporanea (chiave di sessione) che verrà impiegata per la successiva cifratura e decifrazione in tempo reale dei contenuti, effettuata attraverso il metodo della chiave singola che è molto più semplice e rapido. Alla fine della sessione la chiave temporanea viene abbandonata. In questo modo viene assicurata da un lato la riservatezza della comunicazione, dall'altro (se entra in gioco una autorità di certificazione riconosciuta dalle parti) anche l'autenticazione dei contenuti del sito. SSL è sicuro? La riservatezza della comunicazione dipende in larga misura dalle dimensioni della chiave: se le chiavi sono di ridotte dimensioni, l'insieme totale di tutte le chiavi possibili è abbastanza piccolo da permettere agli intrusori un tentativo di decodifica dei messaggi basato sulla generazione casuale di tutte le possibili chiavi. Attualmente i browser di ultima generazione 13

14 supportano SSL con chiavi a 128 bit, che sono ritenute affidabili almeno per qualche anno. Con il trascorrere degli anni, infatti, si rendono necessarie chiavi di dimensioni più lunghe per controbilanciare l'aumento della potenza di elaborazione che l'evoluzione tecnologica mette a disposizione degli intrusori. A questo proposito cfr. [Gilmore 1998]. Per quanto riguarda l'autenticazione dei contraenti, invece, l'efficacia di SSL dipende dalla presenza di autorità di certificazione riconosciute dalle parti; una tale infrastruttura di supporto allo standard SSL non è in questo momento presente in Italia come avviene per la forma digitale. Inoltre, SSL non pone completamente al riparo da alcuni tipi di frode, come la clonazione di un intero sito Web, cfr. [Seifried 1999]. Accanto a SSL, altre forme di protezione dal furto dei numeri di carta sono, tra l'altro, i meccanismi di verifica delle carte (CVM=Card Verification Mechanism come CVV, CID, CVC2, ecc.) che aggiungono al numero di carta un codice ulteriore di sicurezza che non appare negli scontrini e negli estratti conto, né è memorizzato nella banda magnetica. Tali meccanismi possono aiutare a combattere la frode, ma non sono risolutivi. Per queste ed altre soluzioni simili, cfr. [Gartner 2001]. 3.2 Contro le difficoltà di autenticazione dei contraenti: VISA 3D SET SET (Secure Electronic Transaction, è uno standard sviluppato da VISA e MasterCard per garantire l'autenticazione reciproca delle parti coinvolte in una transazione on line. In particolare la sua evoluzione 3D SET è basata su una a architettura denominata "Three Domain Model" (modello a tre domini), visibile in figura 7. I messaggi di autenticazione vengono scambiati tra la banca che ha emesso la carta di credito dell'acquirente (issuer) e la banca del venditore (acquirer): quando un utente avvia una transazione, egli trasmette al merchant soltanto le proprie generalità; il merchant si collega con la propria banca che a sua volta si collega con la banca dell'acquirente. La banca dell'acquirente si mette in contatto con questi e chiede conferma della transazione. I numeri di carta di credito non vengono in nessun modo comunicati dall'acquirente al venditore. Altre forme di identificazione sono possibili (es. via Wap, WebTV, ecc.). Le informazioni riservate (numeri di carta ecc.), vengono scambiati in forma crittografata tra le due banche e non vengono comunicate al merchant. Figura 7. Il modello a tre domini 3D SET. Fonte:VISA EU, 14

15 La VISA ha recentemente lanciato un'iniziativa per estendere entro Ottobre 2001 il supporto del modello SET 3D a tutte le banche europee convenzionate. Per incentivare gli esercizi commerciali, è stata prevista una copertura totale dai rischi di frode per 'carta non presente' a partire da Giugno 2001 per tutti gli esercenti che adotteranno 3D SET. 3.3 American Express Online Wallet Una soluzione completamente diversa, basata sulla tecnologia delle smart card, è quella proposta da American Express sotto il nome di 'Online Wallet'. Sostanzialmente si tratta di una carta a microchip che viene fornita con tanto di lettore e software di gestione, entrambi ceduti in forma gratuita. Quando un cliente fa uso di Online Wallet, un esercizio convenzionato può verificare che l'acquirente possegga effettivamente la carta di credito e l'abbia inserita nel lettore. Oltre al possesso della carta è richiesta la digitazione di un PIN, con un meccanismo di autenticazione simile a quello delle carte bancomat. Dato che oltretutto la duplicazione delle carte a microchip è sensibilmente più difficile di quella delle carte a banda magnetica, la sicurezza del sistema carte di credito nel suo complesso viene notevolmente incrementata. Dall'altra parte, la necessità di adottare hardware e software appositi da parte del cliente potrebbe frenare lo sviluppo di questo sistema, di per sé certamente molto interessante. 4. Riflessioni conclusive Il sistema dei pagamenti on line, che attualmente è basato sulle carte di credito tradizionali, nonostante la diffusione dello standard SSL per le comunicazioni sicure via Web, presenta ancora livelli elevati di frode, legati soprattutto alla difficoltà di identificazione reciproca dei contraenti. Fortunatamente, i rischi collegati all'utilizzo delle carte di credito on-line sembrano essere destinati a ritornare presto alla normalità, con l'imminente adozione, almeno in Europa, dei nuovi standard di autenticazione che utilizzano le banche come autorità di certificazione (3D SET). Anche l'introduzione di carte di credito basate su dispositivi smartcard, (Online Wallet) risponde compiutamente all'esigenza di contenere i rischi di frode legati alle transazioni on line, sebbene la necessità di assicurarne il gradimento da parte dei consumatori e dei merchants, a costi possibilmente elevati, potrebbe costituire un ostacolo. Naturalmente, l'efficacia di questi strumenti dipende dalla loro diffusione, che dovrà essere rapida e capillare. Le società di gestione stanno incentivando attivamente il sistema 3D SET presso banche e merchants: i tempi molto brevi previsti per la campagna di adozione da parte di VISA Europe sembrano indicare un forte commitment in questa direzione. Mentre i rischi di sicurezza del sistema dei pagamenti on line sono continuamente sotto controllo e sembra che torneranno presto a valori contenuti ed accettabili, lo stesso non si può dire delle vulnerabilità della banca multicanale. La prima osservazione importante è che questo aspetto è poco conosciuto e non sufficientemente osservato. Si sa ancora troppo poco sulla frequenza e l'entità e degli incidenti di sicurezza: mancano rilevazioni sistematiche a livello globale e risulterebbe comunque molto difficile ottenere dati attendibili, dato che le intrusioni potrebbero passare inosservate e che in ogni caso non sempre vengono rese note. Anche prescindendo dalle frequenti notizie stampa che riportano imbarazzanti incidenti di sicurezza anche nel settore bancario (cfr. ad esempio [Knight 2000]), le dimensioni del fenomeno in base alle analisi citate nella sezione 2 appaiono comunque rilevanti e in crescita ed è dunque opportuno che ogni istituzione si tuteli in modo più appropriato. La seconda osservazione è che in mancanza di dati una valutazione dei livelli di rischio individuale risulta molto difficile: essa dovrebbe essere effettuata sotto il profilo qualitativo attraverso l'analisi degli incidenti già verificatisi, lo studio delle attività e dei settori potenzialmente pericolosi e il confronto con la situazione dei concorrenti nello stesso settore; sotto il profilo quantitativo, laddove 15

16 una stima dei valori a rischio e delle probabilità sia possibile, l'uso di strumenti di risk management come il VaR, menzionati in sezione 2, può risultare utile per il dimensionamento delle iniziative di copertura del rischio. La terza osservazione è che risulta altresì difficile individuare le misure necessarie per la gestione del rischio. Si è indicato come le iniziative debbano tendere non tanto alla eliminazione degli attacchi dall'esterno, quanto alla garanzia del livello minimo di servizio e al mantenimento delle proprietà del sistema considerate irrinunciabili in ogni situazione (survivability). Per il raggiungimento di tale obiettivo, che risulta tutt'altro che scontato, ci sono importanti implicazioni organizzative: quest'aspetto è analizzato in molti studi del CERT (www.cert.org) e, tra l'altro, nei capp. 15 e 18 di [Power 2000]. Un esempio di un tipico organigramma di massima della funzione sicurezza dell'informazione è riportato in figura 9. Il dipartimento di sicurezza dell'informazione dovrebbe operare in tre macroaree: Strategia e pianificazione (architettura, norme e direttive, valutazione del rischio, investigazione sugli incidenti, consulenza, interfaccia con l'audit e le altre funzioni, ); Monitoring (piattaforma IBM, DEC, NT, UNIX, Workstations, PC, ecc., Firewalls, , applicazioni, databases, ); Comunicazione e disseminazione (sito Web sicurezza, rapporti periodici, consulenza e training, ). Un aspetto particolarmente importante è quello della certificazione e del monitoring della sicurezza del software, specie se ad interfaccia Web. Il direttore della funzione sicurezza dell'informazione dovrebbe porsi allo stesso livello del direttore della funzione IT, e il grado di accentramento della struttura dovrebbe essere accuratamente studiato: in genere strutture più accentrate sono necessarie in presenza di più elevati fattori di rischio, ed è comunque buona norma accentrare almeno il monitoring degli ambienti di rete locale e mainframe. Alcuni utili esempi e dettagliate linee guida per la progettazione organizzativa della funzione information security sono forniti in [Power 2000]. 16

17 Direttore Security Team Strategie Security Componente Team: Componente Team: Componente Team: Componente Team: Supervisore Sicurezza Fisica Norme per la Security Supervisore Security Monitoring e Amministrazione (tutte le piattaforme) Supervisore Security E- Commerce - Firewall Vigilanza Sicurezza Fisica Amministrazione Security Unix, NT Specialista Firewall Intrusion Detection Amministrazione Security IBM, DEC Security Monitoring (tutte le piattaforme) Figura 9. Esempio di organigramma della funzione information security (adattato da [Power 2000], pag. 234). 17

18 5. Riferimenti [ABI 1999] Associazione Bancaria Italiana, Rilevazione dello stato della sicurezza informatica delle aziende di credito. Situazione al 31 dicembre 1997, Bancaria Editrice, 1999, [ABI 1995] Associazione Bancaria Italiana, Rilevazione dello stato della sicurezza informatica delle aziende di credito. Situazione al 31 dicembre 1993, Bancaria Editrice, [CERT-CC 2000] Computer Emergency Response Team Coordination Center - Carnegie Mellon University, CERT Advisory CA TCP SYN Flooding and IP Spoofing Attacks, 29/11/2000, [CERT-CC 1997] Computer Emergency Response Team Coordination Center - Carnegie Mellon University, CERT Advisory CA IP Spoofing Attacks and Hijacked Terminal Connections, 23/9/1997, [Chae 1999] Lee Chae, security, Network Magazine, 15/1/1999, [Dowd 1998] Beyond Value at Risk: The New Science of Risk Management, Wiley, [Dietrich et al 2000] Sven Dietrich, Neil Long e David Dittrich, Analyzing Distributed Denial Of Service Tools:The Shaft Case, Proceedings della 14. Systems Administration Conference (LISA 2000) New Orleans, Louisiana, US, 3/12/2000, [Ellison et al. 1999] Robert J. Ellison, David A. Fisher, Richard C. Linger, Howard F. Lipson, Thomas A. Longstaff e Nancy R. Mead: Survivability: Protecting Your Critical Systems, Proceedings of the International Conference On Requirements Engineering, 6/4/98, Colorado Springs, Colorado, [Farmer 1996] Dan Farmer, Internet Security Survey 1996, [FBI 2001] Federal Bureau of Investigation, 2001 Computer Crime and Security Survey, [Fugini et al. 2001] Mariagrazia Fugini, Fabrizio Maio, Pierluigi Plebani: Sicurezza dei Sistemi Informatici, Apogeo, [Galvin 2001] John Galvin, The Real Online Battleground, SmartBusiness, 12/2/2001, [Gartner 2001] Gartner Consulting, Online Fraud Prevention for the E-commerce Fraud Prevention Network, 12/3/2001, [Gilmore 1998] John Gilmore, Cracking DES: Secrets of Encryption Research, Wiretap Politics & Chip Design, Electronic Frontier Foundations, [Graham 2000] Robert Graham. Sniffing (network wiretap, sniffer) FAQ, 14/9/2000, [Grimes 2001] Roger Grimes, Malicious Mobile Code: Virus Protection for Windows, O'Reilly & Associates, [Howard 1997] John D. Howard, An Analysis Of Security Incidents On The Internet , Tesi di PhD, Carnegie Mellon University, 1997, [Knight 2000] Will Knight, Roundup: UK online banking security crisis, ZDNet UK News, 11/08/00, 18

19 [Messmer e Pappalardo 2001] Ellen Messmer e Denise Pappalardo, One year after DoS attacks, vulnerabilities remain, CNN.com SCI-Tech, 8/2/2001, [Power 2000] Richard Power, Tangled Web, Que-Macmillan, Online Online, Online Bank Security: Cover Your Assets!, Novembre 2000, [Schneier 1995] Bruce Schneier, Applied Cryptography: Protocols, Algorithms, and Source Code in C, Wiley, [SecurityFocus 2001] SecurityFocus.com Introduction to Viruses, [Seifried 2001] Kurt Seifried, EndingTrust in Certificates, SecurityPortal, 26/3/01, [Seifried 1999] Kurt Seifried, Special Kurt's Closet: Is SSL dead? SecurityPortal, 30/9/99, [VISA 2001] VISA EU, E-Commerce FAQ, [WRG 1996] WarRoom Research Group, WarRoom Research Information Security Survey 1996, 19

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Regolamento per l'accesso alla rete Indice

Regolamento per l'accesso alla rete Indice Regolamento per l'accesso alla rete Indice 1 Accesso...2 2 Applicazione...2 3 Responsabilità...2 4 Dati personali...2 5 Attività commerciali...2 6 Regole di comportamento...3 7 Sicurezza del sistema...3

Dettagli

SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1

SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1 SMARTCARD Studente: Elvis Ciotti Prof: Luciano Margara 1 Introduzione SmartCard: Carta intelligente Evoluzione della carta magnetica Simile a piccolo computer : contiene memoria (a contatti elettrici)

Dettagli

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus

EUROPEAN COMPUTER DRIVING LICENCE. IT Security. Syllabus EUROPEAN COMPUTER DRIVING LICENCE IT Security Syllabus Scopo Questo documento presenta il syllabus di ECDL Standard IT Security. Il syllabus descrive, attraverso i risultati del processo di apprendimento,

Dettagli

Rischi e Opportunità nella gestione della sicurezza ecommerce

Rischi e Opportunità nella gestione della sicurezza ecommerce Rischi e Opportunità nella gestione della sicurezza ecommerce Andrea Gambelli Head of Functional Analysis, Fraud, Test and Client Service Management Financial Services Division Roma, 3 Novembre 2011 AGENDA

Dettagli

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software.

Firewall. Generalità. Un firewall può essere sia un apparato hardware sia un programma software. Generalità Definizione Un firewall è un sistema che protegge i computer connessi in rete da attacchi intenzionali mirati a compromettere il funzionamento del sistema, alterare i dati ivi memorizzati, accedere

Dettagli

Allegato 8 MISURE MINIME ED IDONEE

Allegato 8 MISURE MINIME ED IDONEE Allegato 8 MISURE MINIME ED IDONEE SOMMARIO 1 POLITICHE DELLA SICUREZZA INFORMATICA...3 2 ORGANIZZAZIONE PER LA SICUREZZA...3 3 SICUREZZA DEL PERSONALE...3 4 SICUREZZA MATERIALE E AMBIENTALE...4 5 GESTIONE

Dettagli

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu

COME FRODE. la possibilità propri dati. brevissimo. Reply www.reply.eu FRAUD MANAGEMENT. COME IDENTIFICARE E COMB BATTERE FRODI PRIMA CHE ACCADANO LE Con una visione sia sui processi di business, sia sui sistemi, Reply è pronta ad offrire soluzioni innovative di Fraud Management,

Dettagli

Come difendersi dai VIRUS

Come difendersi dai VIRUS Come difendersi dai VIRUS DEFINIZIONE Un virus è un programma, cioè una serie di istruzioni, scritte in un linguaggio di programmazione, in passato era di solito di basso livello*, mentre con l'avvento

Dettagli

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY

GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY GUIDA ALLE BEST PRACTICE PER MOBILE DEVICE MANAGEMENT E MOBILE SECURITY Con Kaspersky, adesso è possibile. www.kaspersky.it/business Be Ready for What's Next SOMMARIO Pagina 1. APERTI 24 ORE SU 24...2

Dettagli

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE.

UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. UNIVERSITÀ DEGLI STUDI DI TRENTO DOCUMENTO ELETTRONICO, FIRMA DIGITALE E SICUREZZA IN RETE. INTRODUZIONE ALL ARGOMENTO. A cura di: Eleonora Brioni, Direzione Informatica e Telecomunicazioni ATI NETWORK.

Dettagli

Architettura di un sistema informatico 1 CONCETTI GENERALI

Architettura di un sistema informatico 1 CONCETTI GENERALI Architettura di un sistema informatico Realizzata dal Dott. Dino Feragalli 1 CONCETTI GENERALI 1.1 Obiettivi Il seguente progetto vuole descrivere l amministrazione dell ITC (Information Tecnology end

Dettagli

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a:

Talento LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) L'UTILIZZO DI ALTRI SERVIZI INTERNET. In questa lezione imparerete a: Lab 4.1 Utilizzare FTP (File Tranfer Protocol) LAB 4.1 - UTILIZZARE FTP (FILE TRANSFER PROTOCOL) In questa lezione imparerete a: Utilizzare altri servizi Internet, Collegarsi al servizio Telnet, Accedere

Dettagli

Note e informazioni legali

Note e informazioni legali Note e informazioni legali Proprietà del sito; accettazione delle condizioni d uso I presenti termini e condizioni di utilizzo ( Condizioni d uso ) si applicano al sito web di Italiana Audion pubblicato

Dettagli

Il pos virtuale di CartaSi per le vendite a distanza

Il pos virtuale di CartaSi per le vendite a distanza X-Pay Il pos virtuale di CartaSi per le vendite a distanza Agenda CartaSi e l e-commerce Chi è CartaSi CartaSi nel mercato Card Not Present I vantaggi I vantaggi offerti da X-Pay I vantaggi offerti da

Dettagli

progettiamo e realizziamo architetture informatiche Company Profile

progettiamo e realizziamo architetture informatiche Company Profile Company Profile Chi siamo Kammatech Consulting S.r.l. nasce nel 2000 con l'obiettivo di operare nel settore I.C.T., fornendo servizi di progettazione, realizzazione e manutenzione di reti aziendali. Nel

Dettagli

SERVIZIO P.O.S. POINT OF SALE

SERVIZIO P.O.S. POINT OF SALE Pag. 1 / 6 SERVIZIO P.O.S. POINT OF SALE Foglio Informativo INFORMAZIONI SULLA BANCA Banca Monte dei Paschi di Siena S.p.A. Piazza Salimbeni 3-53100 - Siena Numero verde. 800.41.41.41 (e-mail info@banca.mps.it

Dettagli

QUIPAGO - MODALITÀ PAYMENT

QUIPAGO - MODALITÀ PAYMENT E-Commerce Qui Pago è l offerta di Key Client per il Commercio Elettronico: un Pos virtuale altamente affidabile ed efficiente che prevede diverse modalità d utilizzo: Payment (integrazione col sito del

Dettagli

rischi del cloud computing

rischi del cloud computing rischi del cloud computing maurizio pizzonia dipartimento di informatica e automazione università degli studi roma tre 1 due tipologie di rischi rischi legati alla sicurezza informatica vulnerabilità affidabilità

Dettagli

GESTIONE DELLA E-MAIL

GESTIONE DELLA E-MAIL GESTIONE DELLA E-MAIL Esistono due metodologie, completamente diverse tra loro, in grado di consentire la gestione di più caselle di Posta Elettronica: 1. tramite un'interfaccia Web Mail; 2. tramite alcuni

Dettagli

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni

Note legali. Termini e condizioni di utilizzo. Modifiche dei Termini e Condizioni di Utilizzo. Accettazione dei Termini e Condizioni Note legali Termini e condizioni di utilizzo Accettazione dei Termini e Condizioni L'accettazione puntuale dei termini, delle condizioni e delle avvertenze contenute in questo sito Web e negli altri siti

Dettagli

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp.

Symbolic. Ambiti Operativi. Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. Symbolic Presente sul mercato da circa 10 anni Specializzata in Network Security Partner e distributore italiano di F-Secure Corp. La nostra mission è di rendere disponibili soluzioni avanzate per la sicurezza

Dettagli

Accordo d Uso (settembre 2014)

Accordo d Uso (settembre 2014) Accordo d Uso (settembre 2014) Il seguente Accordo d uso, di seguito Accordo, disciplina l utilizzo del Servizio on line 4GUEST, di seguito Servizio, che prevede, la creazione di Viaggi, Itinerari, Percorsi,

Dettagli

Intrusion Detection System

Intrusion Detection System Capitolo 12 Intrusion Detection System I meccanismi per la gestione degli attacchi si dividono fra: meccanismi di prevenzione; meccanismi di rilevazione; meccanismi di tolleranza (recovery). In questo

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Deutsche Bank. db Corporate Banking Web Guida al servizio

Deutsche Bank. db Corporate Banking Web Guida al servizio Deutsche Bank db Corporate Banking Web Guida al servizio INDICE 1. INTRODUZIONE... 3 2. SPECIFICHE DI SISTEMA... 4 3 MODALITÀ DI ATTIVAZIONE E DI PRIMO COLLEGAMENTO... 4 3. SICUREZZA... 5 4. AUTORIZZAZIONE

Dettagli

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard

Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali. Payment Card Industry Data Security Standard Standard di Sicurezza sui Dati previsti dai Circuiti Internazionali Payment Card Industry Data Security Standard STANDARD DI SICUREZZA SUI DATI PREVISTI DAI CIRCUITI INTERNAZIONALI (Payment Card Industry

Dettagli

LA SICUREZZA NEI SISTEMI INFORMATIVI. Antonio Leonforte

LA SICUREZZA NEI SISTEMI INFORMATIVI. Antonio Leonforte LA SICUREZZA NEI SISTEMI INFORMATIVI Antonio Leonforte Rendere un sistema informativo sicuro non significa solo attuare un insieme di contromisure specifiche (di carattere tecnologico ed organizzativo)

Dettagli

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi

L evoluzione del software per l azienda moderna. Gestirsi / Capirsi / Migliorarsi IL GESTIONALE DEL FUTURO L evoluzione del software per l azienda moderna Gestirsi / Capirsi / Migliorarsi IL MERCATO ITALIANO L Italia è rappresentata da un numero elevato di piccole e medie aziende che

Dettagli

SISSI IN RETE. Quick Reference guide guida di riferimento rapido

SISSI IN RETE. Quick Reference guide guida di riferimento rapido SISSI IN RETE Quick Reference guide guida di riferimento rapido Indice generale Sissi in rete...3 Introduzione...3 Architettura Software...3 Installazione di SISSI in rete...3 Utilizzo di SISSI in Rete...4

Dettagli

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003

PRIVACY POLICY MARE Premessa Principi base della privacy policy di Mare Informativa ai sensi dell art. 13, d. lgs 196/2003 PRIVACY POLICY MARE Premessa Mare Srl I.S. (nel seguito, anche: Mare oppure la società ) è particolarmente attenta e sensibile alla tutela della riservatezza e dei diritti fondamentali delle persone e

Dettagli

TorrentLocker Enti Italiani sotto riscatto

TorrentLocker Enti Italiani sotto riscatto Digital Forensics Bureau www.difob.it TorrentLocker Enti Italiani sotto riscatto Paolo DAL CHECCO, Giuseppe DEZZANI Studio DIgital Forensics Bureau di Torino 20 ottobre 2014 Da mercoledì 15 ottobre stiamo

Dettagli

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux.

Esiste la versione per Linux di GeCo? Allo stato attuale non è prevista la distribuzione di una versione di GeCo per Linux. FAQ su GeCo Qual è la differenza tra la versione di GeCo con installer e quella portabile?... 2 Esiste la versione per Linux di GeCo?... 2 Quali sono le credenziali di accesso a GeCo?... 2 Ho smarrito

Dettagli

LA CRITTOGRAFIA Le applicazioni della crittografia e della firma digitale a cura di Sommaruga Andrea Guido

LA CRITTOGRAFIA Le applicazioni della crittografia e della firma digitale a cura di Sommaruga Andrea Guido INDICE LA FIRMA DIGITALE O ELETTRONICA...2 LA LEGISLAZIONE IN MATERIA...5 NOTA SUI FORMATI DI FILE...6 COME FUNZIONA IL MECCANISMO DELLE FIRME ELETTRONICHE...7 FIRMA DI PIÙ PERSONE... 7 DOCUMENTO SEGRETO...

Dettagli

Alimentazione 1. INFORMAZIONI GENERALI

Alimentazione 1. INFORMAZIONI GENERALI Alimentazione 1. INFORMAZIONI GENERALI Il cavo di alimentazione è rigidamente fissato nella parte inferiore del terminale (fig.1), tale cavo deve essere connesso al trasformatore esterno (fig. ) e, questi,

Dettagli

iphone in azienda Guida alla configurazione per gli utenti

iphone in azienda Guida alla configurazione per gli utenti iphone in azienda Guida alla configurazione per gli utenti iphone è pronto per le aziende. Supporta Microsoft Exchange ActiveSync, così come servizi basati su standard, invio e ricezione di e-mail, calendari

Dettagli

Cosa fare in caso di violazioni di sicurezza

Cosa fare in caso di violazioni di sicurezza OUCH! Settembre 2012 IN QUESTO NUMERO I vostri account utente I vostri dispositivi I vostri dati Cosa fare in caso di violazioni di sicurezza L AUTORE DI QUESTO NUMERO Chad Tilbury ha collaborato alla

Dettagli

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI

DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI DIFENDERSI DAI MODERNI ATTACCHI DI PHISHING MIRATI 2 Introduzione Questa email è una truffa o è legittima? È ciò che si chiedono con sempre maggiore frequenza

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Le Reti Informatiche

Le Reti Informatiche Le Reti Informatiche modulo 10 Prof. Salvatore Rosta www.byteman.it s.rosta@byteman.it 1 Nomenclatura: 1 La rappresentazione di uno schema richiede una serie di abbreviazioni per i vari componenti. Seguiremo

Dettagli

AUTENTICAZIONE CON CERTIFICATI DIGITALI MOZILLA THUNDERBIRD

AUTENTICAZIONE CON CERTIFICATI DIGITALI MOZILLA THUNDERBIRD AUTENTICAZIONE CON CERTIFICATI DIGITALI MOZILLA THUNDERBIRD 1.1 Premessa Il presente documento è una guida rapida che può aiutare i clienti nella corretta configurazione del software MOZILLA THUNDERBIRD

Dettagli

DigitPA. Dominio.gov.it Procedura per la gestione dei sottodomini di terzo livello

DigitPA. Dominio.gov.it Procedura per la gestione dei sottodomini di terzo livello DigitPA Dominio.gov.it Procedura per la gestione dei sottodomini di terzo livello Versione 3.0 Dicembre 2010 Il presente documento fornisce le indicazioni e la modulistica necessarie alla registrazione,

Dettagli

Guida alla scansione su FTP

Guida alla scansione su FTP Guida alla scansione su FTP Per ottenere informazioni di base sulla rete e sulle funzionalità di rete avanzate della macchina Brother, consultare la uu Guida dell'utente in rete. Per ottenere informazioni

Dettagli

TERMINI E CONDIZIONI DI UTILIZZO

TERMINI E CONDIZIONI DI UTILIZZO Informazioni Societarie Fondazione Prada Largo Isarco 2 20139 Milano, Italia P.IVA e codice fiscale 08963760965 telefono +39.02.56662611 fax +39.02.56662601 email: amministrazione@fondazioneprada.org TERMINI

Dettagli

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis

Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis Sempre attenti ad ogni dettaglio Bosch Intelligent Video Analysis 2 Intervento immediato con Bosch Intelligent Video Analysis Indipendentemente da quante telecamere il sistema utilizza, la sorveglianza

Dettagli

Autenticazione con CNS (Carta Nazionale dei Servizi) Configurazione e utilizzo con il portale GisMasterWeb (v1.02 del 09/07/2014)

Autenticazione con CNS (Carta Nazionale dei Servizi) Configurazione e utilizzo con il portale GisMasterWeb (v1.02 del 09/07/2014) Autenticazione con CNS (Carta Nazionale dei Servizi) Configurazione e utilizzo con il portale GisMasterWeb (v1.02 del 09/07/2014) La Carta Nazionale dei Servizi (CNS) è lo strumento attraverso il quale

Dettagli

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail

Windows Mail Outlook Express 6 Microsoft Outlook 2003 Microsoft Outlook 2007 Thunderbird Opera Mail Mac Mail Configurare un programma di posta con l account PEC di Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account ii nel programma di

Dettagli

Procedura per il ripristino dei certificati del dispositivo USB

Procedura per il ripristino dei certificati del dispositivo USB Procedura per il ripristino dei certificati del dispositivo USB 30/04/2013 Sommario - Limitazioni di responsabilità e uso del manuale... 3 1 Glossario... 3 2 Presentazione... 4 3 Quando procedere al ripristino

Dettagli

I vostri documenti sempre disponibili e sincronizzati.

I vostri documenti sempre disponibili e sincronizzati. gestione documentale I vostri documenti sempre disponibili e sincronizzati. In qualsiasi momento e da qualsiasi parte del mondo accedendo al portale Arxidoc avete la possibilità di ricercare, condividere

Dettagli

Come difendersi dalla clonazione?

Come difendersi dalla clonazione? Come difendersi dalla clonazione? Guida per l utente In collaborazione con Premessa L utilizzo di carte bancomat e di credito è ormai molto diffuso, ma con la diffusione aumentano i rischi a carico degli

Dettagli

E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI E-MAIL INTEGRATA Ottimizzazione dei processi aziendali Con il modulo E-mail Integrata, NTS Informatica ha realizzato uno strumento di posta elettronica

Dettagli

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT

Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Come configurare un programma di posta con l account PEC di GLOBALCERT.IT Il Titolare di una nuova casella PEC può accedere al sistema sia tramite Web (Webmail i ), sia configurando il proprio account

Dettagli

Non è compresa nel presente contratto l assistenza tecnica sui sistemi hardware e software dell UTENTE.

Non è compresa nel presente contratto l assistenza tecnica sui sistemi hardware e software dell UTENTE. CONDIZIONI GENERALI DI UTILIZZO DEL PROGRAMMA ONEMINUTESITE 1. PREMESSA L allegato tecnico contenuto nella pagina web relativa al programma ONEMINUTESITE(d ora in avanti: PROGRAMMA, o SERVIZIO O SERVIZI)

Dettagli

Guida Titolo firma con certificato remoto DiKe 5.4.0. Sottotitolo

Guida Titolo firma con certificato remoto DiKe 5.4.0. Sottotitolo Guida Titolo firma con certificato remoto DiKe 5.4.0 Sottotitolo Pagina 2 di 14 Un doppio clic sull icona per avviare il programma. DiKe Pagina 3 di 14 Questa è la pagina principale del programma DiKe,

Dettagli

RELAZIONI TRA SERVIZI PER L IMPIEGO

RELAZIONI TRA SERVIZI PER L IMPIEGO RELAZIONI TRA SERVIZI PER L IMPIEGO E AZIENDE-UTENTI L IMPATTO DELLE PROCEDURE INFORMATIZZATE a cura di Germana Di Domenico Elaborazione grafica di ANNA NARDONE Monografie sul Mercato del lavoro e le politiche

Dettagli

GUIDA DELL UTENTE IN RETE

GUIDA DELL UTENTE IN RETE GUIDA DELL UTENTE IN RETE Memorizza registro di stampa in rete Versione 0 ITA Definizione delle note Nella presente Guida dell'utente viene utilizzata la seguente icona: Le note spiegano come intervenire

Dettagli

Processi ITIL. In collaborazione con il nostro partner:

Processi ITIL. In collaborazione con il nostro partner: Processi ITIL In collaborazione con il nostro partner: NetEye e OTRS: la piattaforma WÜRTHPHOENIX NetEye è un pacchetto di applicazioni Open Source volto al monitoraggio delle infrastrutture informatiche.

Dettagli

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler

Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler Mettere in sicurezza l infrastruttura dei desktop virtuali con Citrix NetScaler 2 Le aziende attuali stanno adottando rapidamente la virtualizzazione desktop quale mezzo per ridurre i costi operativi,

Dettagli

CARATTERISTICHE DELLE CRYPTO BOX

CARATTERISTICHE DELLE CRYPTO BOX Secure Stream PANORAMICA Il sistema Secure Stream è costituito da due appliance (Crypto BOX) in grado di stabilire tra loro un collegamento sicuro. Le Crypto BOX sono dei veri e propri router in grado

Dettagli

Cos è un protocollo? Ciao. Ciao 2:00. tempo. Un protocollo umano e un protocollo di reti di computer:

Cos è un protocollo? Ciao. Ciao 2:00. <file> tempo. Un protocollo umano e un protocollo di reti di computer: Cos è un protocollo? Un protocollo umano e un protocollo di reti di computer: Ciao Ciao Hai l ora? 2:00 tempo TCP connection request TCP connection reply. Get http://www.di.unito.it/index.htm Domanda:

Dettagli

Di seguito due profili carta realizzabili combinando le diverse modalità di addebito, esemplificativi della versatilità che caratterizza YouCard.

Di seguito due profili carta realizzabili combinando le diverse modalità di addebito, esemplificativi della versatilità che caratterizza YouCard. YouCard, la prima carta in Italia che consente di personalizzare il codice PIN, è anche l unica carta al mondo che unisce la sicurezza delle carte prepagate, la semplicità delle carte di debito e la flessibilità

Dettagli

G e s t i o n e U t e n z e C N R

G e s t i o n e U t e n z e C N R u t e n t i. c n r. i t G e s t i o n e U t e n z e C N R G U I D A U T E N T E Versione 1.1 Aurelio D Amico (Marzo 2013) Consiglio Nazionale delle Ricerche - Sistemi informativi - Roma utenti.cnr.it -

Dettagli

Web Solution 2011 EUR

Web Solution 2011 EUR Via Macaggi, 17 int.14 16121 Genova - Italy - Tel. +39 010 591926 /010 4074703 Fax +39 010 4206799 Cod. fisc. e Partita IVA 03365050107 Cap. soc. 10.400,00 C.C.I.A.A. 338455 Iscr. Trib. 58109 www.libertyline.com

Dettagli

Informatica per la comunicazione" - lezione 9 -

Informatica per la comunicazione - lezione 9 - Informatica per la comunicazione" - lezione 9 - Protocolli di livello intermedio:" TCP/IP" IP: Internet Protocol" E il protocollo che viene seguito per trasmettere un pacchetto da un host a un altro, in

Dettagli

AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0

AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0 AGGIORNAMENTO PROTOCOLLO VERSIONE 3.9.0 Con questo aggiornamento sono state implementate una serie di funzionalità concernenti il tema della dematerializzazione e della gestione informatica dei documenti,

Dettagli

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone

Mod. 4: L architettura TCP/ IP Classe 5 I ITIS G. Ferraris a.s. 2011 / 2012 Marcianise (CE) Prof. M. Simone Paragrafo 1 Prerequisiti Definizione di applicazione server Essa è un servizio che è in esecuzione su un server 1 al fine di essere disponibile per tutti gli host che lo richiedono. Esempi sono: il servizio

Dettagli

USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO

USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO USO DEGLI STRUMENTI DI PAGAMENTO ELETTRONICO LA POLIZIA POSTALE E DELLE COMUNICAZIONI La Polizia Postale e delle Comunicazioni si occupa della prevenzione e repressione di tutti i reati commessi per il

Dettagli

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini

Security Governance. Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007. Feliciano Intini Technet Security Day Milano/Roma 2007 NSEC Security Excellence Day Milano 2007 Security Governance Chief Security Advisor Microsoft Italia feliciano.intini@microsoft.com http://blogs.technet.com/feliciano_intini

Dettagli

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1

Configuration Managment Configurare EC2 su AWS. Tutorial. Configuration Managment. Configurare il servizio EC2 su AWS. Pagina 1 Tutorial Configuration Managment Configurare il servizio EC2 su AWS Pagina 1 Sommario 1. INTRODUZIONE... 3 2. PROGRAMMI NECESSARI... 4 3. PANNELLO DI CONTROLLO... 5 4. CONFIGURARE E LANCIARE UN ISTANZA...

Dettagli

- Antivirus, Firewall e buone norme di comportamento

- Antivirus, Firewall e buone norme di comportamento Reti Di cosa parleremo? - Definizione di Rete e Concetti di Base - Tipologie di reti - Tecnologie Wireless - Internet e WWW - Connessioni casalinghe a Internet - Posta elettronica, FTP e Internet Browser

Dettagli

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account

Outlook Express 6 Microsoft Internet Explorer, Avvio del programma Creare un nuovo account Outlook Express 6 è un programma, incluso nel browser di Microsoft Internet Explorer, che ci permette di inviare e ricevere messaggi di posta elettronica. È gratuito, semplice da utilizzare e fornisce

Dettagli

Polizza CyberEdge - questionario

Polizza CyberEdge - questionario Note per il proponente La compilazione e/o la sottoscrizione del presente questionario non vincola la Proponente, o ogni altro individuo o società che la rappresenti all'acquisto della polizza. Vi preghiamo

Dettagli

G.U. 11 luglio 2002, n. 161 IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI

G.U. 11 luglio 2002, n. 161 IL PRESIDENTE DEL CONSIGLIO DEI MINISTRI Direttiva del Presidente del Consiglio dei Ministri 30 maggio 2002 Conoscenza e uso del dominio internet ".gov.it" e l'efficace interazione del portale nazionale "italia.gov.it" con le IL PRESIDENTE DEL

Dettagli

Protocollo HTTP. Alessandro Sorato

Protocollo HTTP. Alessandro Sorato Un protocollo è un insieme di regole che permettono di trovare uno standard di comunicazione tra diversi computer attraverso la rete. Quando due o più computer comunicano tra di loro si scambiano una serie

Dettagli

P.O.S. (POINT OF SALE)

P.O.S. (POINT OF SALE) P.O.S. (POINT OF SALE) INFORMAZIONI SULLA BANCA Banca Popolare dell Emilia Romagna società cooperativa Sede legale e amministrativa in Via San Carlo 8/20 41121 Modena Telefono 059/2021111 (centralino)

Dettagli

IBM Cloud Computing - esperienze e servizi seconda parte

IBM Cloud Computing - esperienze e servizi seconda parte IBM Cloud Computing - esperienze e servizi seconda parte Mariano Ammirabile Cloud Computing Sales Leader - aprile 2011 2011 IBM Corporation Evoluzione dei modelli di computing negli anni Cloud Client-Server

Dettagli

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking

Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Seminario associazioni: Seminario a cura di itsmf Italia Problem Management proattivo di sicurezza secondo ITIL: attività di Etichal Hacking Andrea Praitano Agenda Struttura dei processi ITIL v3; Il Problem

Dettagli

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici

Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Modulo di assunzione di responsabilità per l'acquisizionee il mantenimentodi uno spazio Web presso il Centro Servizi Informatici Art. 1 Oggetto Il presente modulo di assunzione di responsabilità (di seguito

Dettagli

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade)

2. Infrastruttura e sicurezza (Equivalente al Pillar 2-3 e 4 della Ade) AGENDA DIGITALE ITALIANA 1. Struttura dell Agenda Italia, confronto con quella Europea La cabina di regia parte con il piede sbagliato poiché ridisegna l Agenda Europea modificandone l organizzazione e

Dettagli

2013 Skebby. Tutti i diritti riservati.

2013 Skebby. Tutti i diritti riservati. Disclaimer: "# $%&'(&)'%# *("# +,(-(&'(# *%$).(&'%#,/++,(-(&'/# 0"#.(1"0%# *(""20&3%,./40%&(# /# &%-',/# disposizione. Abbiamo fatto del nostro meglio per assicurare accuratezza e correttezza delle informazioni

Dettagli

Gestire le comunicazione aziendali con software Open Source

Gestire le comunicazione aziendali con software Open Source Gestire le comunicazione aziendali con software Open Source Data: Ottobre 2012 Firewall pfsense Mail Server Zimbra Centralino Telefonico Asterisk e FreePBX Fax Server centralizzato Hylafax ed Avantfax

Dettagli

Sicurezza del DNS. DNSSEC & Anycast. Claudio Telmon ctelmon@clusit.it

Sicurezza del DNS. DNSSEC & Anycast. Claudio Telmon ctelmon@clusit.it Sicurezza del DNS DNSSEC & Anycast Claudio Telmon ctelmon@clusit.it Perché il DNS Fino a metà degli anni '80, la traduzione da nomi a indirizzi IP era fatta con un grande file hosts Fino ad allora non

Dettagli

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP

DOCUMENTO TECNICO Un sistema più intel igente per control are i punti vendita: sorveglianza IP DOCUMENTO TECNICO Un sistema più intelligente per controllare i punti vendita: sorveglianza IP Guida descrittiva dei vantaggi dei sistemi di gestione e di sorveglianza IP per i responsabili dei punti vendita

Dettagli

Corso di Amministrazione di Sistema Parte I ITIL 3

Corso di Amministrazione di Sistema Parte I ITIL 3 Corso di Amministrazione di Sistema Parte I ITIL 3 Francesco Clabot Responsabile erogazione servizi tecnici 1 francesco.clabot@netcom-srl.it Fondamenti di ITIL per la Gestione dei Servizi Informatici Il

Dettagli

Di seguito sono descritti i prerequisiti Hardware e Software che deve possedere la postazione a cui viene collegata l Aruba Key.

Di seguito sono descritti i prerequisiti Hardware e Software che deve possedere la postazione a cui viene collegata l Aruba Key. 1 Indice 1 Indice... 2 2 Informazioni sul documento... 3 2.1 Scopo del documento... 3 3 Caratteristiche del dispositivo... 3 3.1 Prerequisiti... 3 4 Installazione della smart card... 4 5 Avvio di Aruba

Dettagli

Il software per la gestione smart del Call Center

Il software per la gestione smart del Call Center Connecting Business with Technology Solutions. Il software per la gestione smart del Call Center Center Group srl 1 Comunica : per la gestione intelligente del tuo call center Comunica è una web application

Dettagli

Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo

Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo Il trattamento dei dati personali e l utilizzo degli strumenti informatici in ambito lavorativo Argomenti 1) Trattamento dei dati personali. Cenno ai principi generali per il trattamento e la protezione

Dettagli

Cosa fare in caso di perdita di smartphone o tablet

Cosa fare in caso di perdita di smartphone o tablet OUCH! Ottobre 2012 IN QUESTO NUMERO Introduzione Le precauzioni da prendere Cosa fare in caso di smarrimento o furto Cosa fare in caso di perdita di smartphone o tablet L AUTORE DI QUESTO NUMERO Heather

Dettagli

INFORMATIVA SUI COOKIE

INFORMATIVA SUI COOKIE INFORMATIVA SUI COOKIE I Cookie sono costituiti da porzioni di codice installate all'interno del browser che assistono il Titolare nell erogazione del servizio in base alle finalità descritte. Alcune delle

Dettagli

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1

Istituto Comprensivo Statale Villanova d Asti (AT) Scuola dell Infanzia, Primaria, Secondaria di 1 Pagina 1 di 8 REGOLAMENTO SULL USO DI INTERNET E DELLA POSTA ELETTRONICA MESSO A DISPOSIZONE DEI DIPENDENTI PER L ESERCIZIO DELLE FUNZIONI D UFFICIO () Approvato con deliberazione del Consiglio di Istituto

Dettagli

Modello OSI e architettura TCP/IP

Modello OSI e architettura TCP/IP Modello OSI e architettura TCP/IP Differenza tra modello e architettura - Modello: è puramente teorico, definisce relazioni e caratteristiche dei livelli ma non i protocolli effettivi - Architettura: è

Dettagli

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option

Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Manuale dell'utente di Symantec Backup Exec System Recovery Granular Restore Option Il software descritto nel presente

Dettagli

Come installare e configurare il software FileZilla

Come installare e configurare il software FileZilla Come utilizzare FileZilla per accedere ad un server FTP Con questo tutorial verrà mostrato come installare, configurare il software e accedere ad un server FTP, come ad esempio quello dedicato ai siti

Dettagli

Dipartimento Comunicazione. Guida all Identificazione al Portale di Roma Capitale

Dipartimento Comunicazione. Guida all Identificazione al Portale di Roma Capitale Dipartimento Comunicazione Guida all Identificazione al Portale di Roma Capitale Sommario 1. Premessa... 3 2. Identificazione al Portale di Roma Capitale tramite documento d identità... 4 2.1 Registrazione

Dettagli

Relazione sul data warehouse e sul data mining

Relazione sul data warehouse e sul data mining Relazione sul data warehouse e sul data mining INTRODUZIONE Inquadrando il sistema informativo aziendale automatizzato come costituito dall insieme delle risorse messe a disposizione della tecnologia,

Dettagli

FileMaker Server 12. Guida introduttiva

FileMaker Server 12. Guida introduttiva FileMaker Server 12 Guida introduttiva 2007 2012 FileMaker, Inc. Tutti i diritti riservati. FileMaker, Inc. 5201 Patrick Henry Drive Santa Clara, California 95054 FileMaker e Bento sono marchi di FileMaker,

Dettagli

MANUALE Gest-L VERSIONE 3.2.3

MANUALE Gest-L VERSIONE 3.2.3 MANUALE Gest-L VERSIONE 3.2.3 Installazione GEST-L 4 Versione per Mac - Download da www.system-i.it 4 Versione per Mac - Download da Mac App Store 4 Versione per Windows 4 Prima apertura del programma

Dettagli