Sicurezza e nuovi canali di distribuzione nel mondo finanziario

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Sicurezza e nuovi canali di distribuzione nel mondo finanziario"

Transcript

1 Sicurezza e nuovi canali di distribuzione nel mondo finanziario Francesco Virili 1. Introduzione "Le banche sono sicure. Tutti noi lo diamo per scontato. La sicurezza si può vedere: mura robuste, serrature antiscasso, allarmi, caveaut blindati, agenti di vigilanza... Ma c'è un altro componente della sicurezza di una banca che non è così visibile: la sicurezza dell'informazione." (Tradotto da Online 2000]). Ovviamente, il problema della sicurezza dell'informazione è ben conosciuto dalle istituzioni finanziarie, ove tradizionalmente si prevedono piani e misure per la protezione e il controllo degli accessi agli archivi: sistemi informatici e reti di comunicazione protetti, livelli gerarchici di autorizzazione degli accessi, e così via. Il rapporto biennale ABI sulla sicurezza informatica delle aziende di credito [ABI 1999] distingue una serie di aree di intervento, tra cui quelle di sicurezza fisica, logica, organizzativa e delle comunicazioni. La conversione in formato elettronico di porzioni sempre maggiori degli archivi aziendali, l'automazione dei processi di business, la crescente diffusione di sistemi distribuiti su rete locale, hanno fatto sì che le banche italiane già da molti anni si siano strutturate adeguatamente per la gestione della sicurezza dell'informazione in tutti gli aspetti considerati: l'analisi dei rapporti ABI dal 1995 al 1999 [ABI 1995, 1999] testimonia una forte e crescente attenzione del sistema bancario a tale riguardo. Tuttavia, la recente affermazione dei canali di distribuzione elettronica basati direttamente o indirettamente su Internet, ha conseguenze sul piano della sicurezza dell'informazione molto più profonde di quanto ci si potrebbe aspettare a prima vista, che possono avere un impatto rilevante non solo sull'attività delle singole banche, ma anche a livello di sistema. Sul piano delle singole banche, i servizi on line permettono al cliente di effettuare transazioni via Internet, andando a modificare il contenuto di archivi chiave del back-office senza alcun intervento o controllo diretto del personale bancario. E' evidente che l'efficacia dei meccanismi di riconoscimento, autenticazione e abilitazione dell'utente deve essere fuori discussione, e che il rischio di intrusione è amplificato dal numero elevatissimo e sempre crescente di persone che hanno accesso potenziale al canale: ad esempio, se c'è una probabilità su un miliardo che una persona sia in grado di aggirare un sistema anti-intrusione, il rischio potrebbe essere accettabile con 100 utenti conosciuti, molto meno con milioni di persone sconosciute! Il fatto di poter accedere via Internet da luoghi remoti, in paesi soggetti a legislazioni diverse, utilizzando computer con indirizzi Internet mascherati e comunque difficilmente rintracciabili, dà la possibilità ai potenziali intrusi di agire di nascosto e in tutta calma, con poche probabilità di essere scoperti. Sul piano del sistema bancario, la diffusione dell'utilizzo di carte di credito per i pagamenti on line, che vengono abilitati senza poter accertare la effettiva disponibilità fisica della carta da parte dell'utente, come avviene tradizionalmente off line, aumenta il rischio potenziale di frode. La riduzione del grado di affidabilità delle carte di credito rappresenta una minaccia indiretta per le banche, che richiede l'adozione di contromisure efficaci e tempestive, con l'introduzione di appropriate contromisure accettate e riconosciute a livello di sistema. In questo capitolo cercheremo dunque di mettere in evidenza i rischi a cui le banche vanno incontro, sia in modo diretto (vulnerabilità alle intrusioni e agli altri attacchi via Internet), sia in modo indiretto (esposizione alle frodi dei pagamenti on line via Internet). Purtroppo, specie per la prima parte, esistono poche analisi e pochissimi dati per costruire un quadro chiaro e completo della situazione, rendendo ancora più impalpabili e incerte le passività latenti a cui il sistema bancario 1

2 rischia di esporsi. Riteniamo dunque di svolgere un servizio utile nel tentare di far luce su questi aspetti affascinanti e controversi quanto degni di attenzione. 2. Vulnerabilità delle singole istituzioni on line Le notizie relative alle intrusioni e ai danni degli 'hackers' ai sistemi informativi delle grandi organizzazioni sono ormai all'ordine del giorno. Nei primi tre mesi del 2001 Il Sole 24 Ore ha pubblicato 39 articoli che contengono la parola 'hacker'. Dato il rilievo che la stampa dà all'argomento, ci si potrebbe chiedere quale sia effettivamente l'entità dei danni prodotti dal crimine informatico e in particolare dagli attacchi diretti perpetrati dall'esterno via Internet. Un punto di riferimento importante, anche se è focalizzato sulla realtà statunitense, è quello del rapporto FBI del 2001 sulla sicurezza e il crimine informatico [FBI 2001]. Tale fonte riporta i risultati di un'inchiesta su un campione di 538 organizzazioni, prevalentemente formato da grandi società ed enti statunitensi, (comprese banche e istituzioni finanziarie) dipingendo un quadro piuttosto preoccupante: l'85% degli intervistati ha infatti dichiarato di aver rilevato problemi di sicurezza negli ultimi 12 mesi, e ben il 64% degli intervistati ha subito delle perdite per questo. In meno della metà dei casi (186) è stato possibile quantificare i danni riportati, che ammontano in media a poco più di 2 milioni di dollari per organizzazione, un valore quasi raddoppiato rispetto all'anno precedente. I danni più ingenti sono dovuti al furto di informazioni proprietarie e alla frode finanziaria. Non solo preoccupa la frequenza delle manomissioni e l'ammontare dei danni riportati: le manomissioni sono state perpetrate via Internet nel 70% dei casi, e solo nel 31% dei casi dall'interno. Il trend degli attacchi esterni appare in forte ascesa se solo si considera che nell'anno precedente quelli via Internet erano il 59% del totale. Anche la percentuale di casi denunciati alle autorità è in costante aumento, dal 16% nel 1995 al 36% nel Le manomissioni o intrusioni informatiche via Internet registrano dunque negli USA una dimensione tutt'altro che trascurabile e un trend in forte ascesa, sia come quantità che come entità dei danni. Anche se fonti certe sulle dimensioni del fenomeno in Italia non esistono ancora, non possiamo certo aspettarci una situazione radicalmente diversa, date le dimensioni globali del fenomeno e la pervasività del canale Internet. In tabella 1 sono evidenziate le principali attività svolte dagli intrusori, in ordine di importanza, secondo un'indagine svolta nel 1996 su 603 casi di intrusione in società appartenenti alle Fortune 1000 dal WarRoom Research Group [WRG 1996]. Anche se l'indagine è riferita al passato, ci dà una vista generale sull'argomento che può essere utile per identificare alcune delle tipologie di attacco più comuni. 2

3 Attività dell'intrusore N. % Ricerca/rilevazione punti deboli del sistema 88 14,6% Violazione e documenti 76 12,6% Introduzione di virus 64 10,6% Violazione di segreti commerciali 59 9,8% Furto dati (download non autorizzato) 49 8,1% Manipolazione dati 41 6,8% Installazione sniffer 40 6,6% Attacchi DoS (Denied use of Services, per paralizzare siti Web) 38 6,3% Installazione falsi logon per il furto di password (trojan logon) 35 5,8% Furto di password files 34 5,6% IP spoofing 29 4,8% Azioni illegali sul personale 27 4,5% Altro 18 3,0% Intrusione manifesta 3 0,5% Furto/trasferimento di denaro 2 0,3% Totale ,0% Tabella 1. Attività degli intrusori, da un indagine del 1996 su 603 casi di intrusione in società Fortune 1000 (fonte: WarRoom Research Information Security Survey, [WRG 1996]. Tipologia sito Num. host verificati % Totale vulnerabili % Giallo % Rosso Banche Credit Unions Siti federali Giornali Tabella 2. Vulnerabilità dei siti Web alla fine del 1996, da un indagine di Dan Farmer (Internet Security Survey [Farmer 1996]). Il livello 'rosso' di vulnerabilità individua problemi molto gravi; il livello giallo individua problemi meno gravi ma comunque rilevanti. La scansione dei sistemi target è la prima attività degli intrusori: per i più comuni sistemi operativi di rete esistono software in grado di effettuare analisi più o meno approfondite, evidenziando l'esistenza di eventuali porte di accesso secondarie (backdoor), bachi e malfunzionamenti del software che possono permettere la creazione di account o l'accesso alle password, account protetti in modo inadeguato e simili. Un famoso tool di questo genere, SATAN, è stato usato nel 1996 da un esperto di sicurezza, Dan Farmer, per la sua Internet Security Survey [Farmer 1996]. Usando SATAN, Dan Farmer ha rilevato che oltre il 35% di 660 siti di banche e oltre il 20% di 274 siti di credit unions presentavano seri problemi di vulnerabilità, evidenziati dal livello 'rosso' di tabella 2. L'attribuzione del livello rosso indica ci sono problemi di sicurezza facilmente identificabili che rendono il sito accessibile ad utenti non autorizzati (es. configurazione incorretta del servizio ftp). Il livello 'giallo' identifica una parziale esposizione, nel senso di una buona probabilità di esistenza di una vulnerabilità di livello rosso oppure di un limitato grado di esposizione a danni provenienti dall'esterno (es. possibilità di manomissione di alcuni files ma non dell'intero sistema). L'indagine di Dan Farmer è ormai datata ed ha comunque un puro valore indicativo: ad esempio un alto livello di vulnerabilità di un host Web non sempre espone a rischio i dati che potrebbero 3

4 risiedere almeno su altro host maggiormente protetto, a cui si ha accesso attraverso un sistema transazionale. Ciò nonostante è evidente che le attività di scansione con l'uso di tool come SATAN erano nel 1996 molto diffuse e rappresentano ancora oggi il primo livello di accesso ai sistemi da parte degli intrusori. La violazione di , al secondo posto in tabella 1, può avvenire in vari modi, dall'intercettazione al furto di password all'uso non autorizzato di indirizzi destinatari per l'invio di messaggi non graditi (spamming), ecc. Tale violazione può mettere a disposizione dell'intrusore informazioni riservate e documenti di ogni genere, oltre a provocare danni di altro tipo, come per esempio l'invio di false comunicazioni e/o la manomissione di quelle esistenti. Sull'argomento, vedi ad esempio [Chae 1999]. La terza voce in tabella 1 è quella dei computer virus, cioè dei programmi che hanno la capacità di autoreplicarsi diffondendosi da sistema a sistema con conseguenze spesso dannose. Essi rappresentano una minaccia da molti anni, che è in ascesa nonostante la diffusione di software e pratiche antivirus. La Security Survey 2001 dell'fbi [FBI 2001] evidenzia un trend ascendente dei computer virus (rilevati dal 94% degli intervistati contro l'85% del 2000), come in generale delle intrusioni dall'esterno (40% contro il 25% nel 2000). Per un'introduzione generale sull'argomento virus, far riferimento alla Web guide in [SecurityFocus2001]; [Grimes 2001] è invece una guida aggiornata e esaustiva dedicata ai programmi potenzialmente dannosi per piattaforme Windows, tra cui i virus, i trojan, ecc. Un trojan è un programma all'apparenza innocuo, che una volta lanciato svolge funzioni diverse, di solito dannose per l'utente: ad esempio un presunto programma di utilità che invece cancella degli archivi, oppure un falso comando 'logon' che mostra all'utente una schermata di accesso del tutto simile a quella originale ma cattura l'account e la password dell'utente inconsapevole per renderla disponibile all'intrusore. L'installazione di trojan logon viene classificata tra le prime dieci attività rilevate in tabella 1. Anche gli attacchi DoS, all'ottavo posto nel 1996 secondo la fonte riportata in tabella 1, sono oggi in ascesa: la FBI Security Survey 2001 rileva una percentuale del 38% contro il 27% nel Gli attacchi DoS (Denial of Service: negazione di servizio) non sono vere e proprie intrusioni, ma bensì dei sistemi per rendere inutilizzabili dei siti Web, sovraccaricando il sito con un numero elevatissimo di falsi accessi simulati per renderlo inservibile. Un introduzione su questo argomento è l'articolo di [Messmer e Pappalardo 2001]. L'installazione di sniffer [Graham 2000] consente di analizzare i dati trasmessi dai sistemi collegati in rete, per intercettarne il contenuto. E' l'equivalente in rete delle intercettazioni telefoniche e può essere usato per carpire password e informazioni riservate o per altri scopi, anche in combinazione con altri tipi di attacco. Il cosiddetto 'IP spoofing' [CERT 2000], all'undicesimo posto in tabella 1, è una tecnica molto utilizzata, anche in combinazione ad altre, per le intrusioni non autorizzate: consiste essenzialmente nell'inviare falsi pacchetti IP al sistema remoto, con l'identificativo del pacchetto 'preso in prestito' da quello di un utente autorizzato. L'intrusore non può ricevere dati dal sistema attaccato ma può inviare comandi al sistema. In tal modo, per esempio, è possibile dare i comandi necessari per effettuare il cosiddetto 'terminal hijacking' [CERT 1997]. Con questa tecnica l'intrusore si sostituisce ad un utente remoto del sistema intercettandone la connessione dopo che questi ha già effettuato un logon valido. In tal modo l'intrusore può effettuare tutte le operazioni consentite all'utente a cui ha 'rubato' la connessione attiva. Le attività delineate in tabella 1 e qui schematicamente prese in considerazione non costituiscono, ovviamente, un elenco esaustivo né permettono una classificazione soddisfacente: a tale proposito uno dei più completi studi sull'argomento è la tesi di PhD di John D. Howard, della Carnegie Mellon University [Howard 1997]: l'autore svolge un'analisi approfondita di 4299 casi riportati nel periodo al CERT-CC (Computer Emergency Response Team Coordination Center), uno 4

5 degli enti più rilevanti a livello mondiale per la prevenzione e la gestione degli incidenti di information security. La classificazione proposta dall'autore, sulla base di numerosi lavori sull'argomento, è schematizzata in figura 1. Essa si basa su cinque dimensioni che vengono qui illustrate schematicamente; per una trattazione più approfondita e per le fonti rinviamo ai capp. 5 e 6 di [Howard 1997]. La prima dimensione è quella degli 'attackers', (riquadro di sinistra in figura 1) cioè i soggetti che agiscono, che possono essere hacker, spie, terroristi, corporate raider, criminali professionisti o vandali. Essi si distinguono per i diversi obiettivi, che sono evidenziati nella quinta dimensione (riquadro di destra in figura 1). L'hacker in genere ha l'unico obiettivo di dimostrare le proprie capacità di violare un sistema (challenge, status), senza uno specifico intento di furto o frode. Quando il risultato della violazione si limita dunque all'accesso non autorizzato e l'obiettivo è quello del challenge, anche se l'intrusione resta comunque illegale, non di rado può tramutarsi in un servizio utile, in quanto la sua scoperta può mettere in allarme i responsabili della sicurezza e suggerire rimedi appropriati. Spesso le comunità degli hackers segnalano direttamente ai produttori del software le debolezze e le vulnerabilità dei loro prodotti. Accanto al personal challenge l'intrusore può comunque avere altri obiettivi: ad esempio le spie e i terroristi cercano di solito un vantaggio politico, anche se le spie non lo perseguono, come i terroristi, incutendo il terrore con azioni clamorose. Recentemente la categoria qui denominata 'spie' che ricerca un vantaggio politico si sta allargando a comunità sempre più ampie che utilizzano gli strumenti informatici per fini politici, con azioni di sabotaggio e di spionaggio generalizzate. Tale fenomeno, che viene denominato 'cyberwar', sta assumendo un'importanza crescente ed è presente, ad esempio, nel conflitto tra Israeliani e Palestinesi dei primi mesi del 2001, come testimoniato fra l'altro in [Galvin 2001]. I corporate raiders ricercano invece un vantaggio economico (financial gain) per la propria società, violando i sistemi dei competitors. Il vantaggio economico è anche la motivazione dei criminali professionisti, che però lo perseguono a titolo personale e non per la propria società. I vandali infine sono motivati dal desiderio di provocare un danno, a un particolare obiettivo o in generale al sistema. La seconda dimensione è quella degli strumenti (tools): un intrusore può far uso di semplici comandi utente, come quando tenta l'accesso remoto cercando di indovinare le password per tentativi; oppure con l'ausilio di programmi o script, come un password scanner o un trojan; o ancora per mezzo di agenti autonomi, che selezionano essi stessi il computer da attaccare (qui l'esempio più diffuso è quello dei virus e dei cosiddetti worms, agenti autonomi e autoreplicanti che non modificano altri programmi come i virus). Una serie di tool diversi può essere compresa in un toolkit, che spesso è messo a disposizione nei siti delle comunità hacker. Un distributed tool è invece uno strumento che opera l'attacco da più punti in contemporanea. Questi software di solito prima si diffondono in un certo numero di sistemi, poi operano un attacco sincronizzato verso un target comune; l'esempio più comune è quello dei DDoS (Distributed Denial of Service, cfr. [Dietrich et al 2000]). 5

6 Attackers Tools Access Results Objectives Hackers User Command Implementation Vulnerability Unauthorized Access Files Corruption of Information Challenge, Status Spies Script or Program Design Vulnerability Unauthorized Use Processes Data in Transit Disclosure of Information Political Gain Terrorists Autonomous Agent Configuration Vulnerability Theft of Service Financial Gain Corporate Raiders Professional Criminals Toolkit Denial-ofservice Damage Distributed Tool Vandals Data Tap Figura 1. Classificazione degli attacchi ai computer e alle reti, proposta in [Howard 1997], pag

7 Infine i cosiddetti 'data tap' sono degli strumenti hardware che catturano informazioni misurando l'attività del sistema target; per esempio attraverso la misurazione dei livelli di tensione e/o dei campi magnetici è possibile ottenere indicazioni utili per l'accesso alle informazioni che risiedono smart card o che vengono visualizzate nei terminali. La terza e più importante dimensione è quella del tipo di accesso al sistema, che è l'obiettivo dell'attacker: da sinistra verso destra vengono evidenziati nel riquadro centrale di figura 1 i tre possibili tipi di vulnerabilità del sistema target utilizzati per accedervi: di implementazione, di design o di configurazione. Al centro sono delineati le due possibili modalità alternative di intrusione: accesso non autorizzato (es. il logon non autorizzato come utente o amministratore di sistema), o abuso di accesso autorizzato (come ad esempio per gli attacchi DoS). Il riquadro di destra è basato sul concetto di processo: un accesso non autorizzato si effettua ad uno o più processi (il caso tipico è l'accesso alla cosiddetta 'shell' di sistema in ambiente Unix, cioè il login dell'intrusore come utente, superuser o amministratore) oppure utilizzando un processo (es. la shell) per accedere ai files (es. copia non autorizzata) o ai dati in transito (es. packet sniffing). Nei sistemi operativi di rete più diffusi, avere accesso alla shell dei comandi non sempre significa essere abilitati ad accedere anche a tutti i files, per i quali è prevista una gerarchia di autorizzazioni ulteriori. Accedere alla shell come root, cioè come amministratore del sistema (l'account dell'amministratore viene chiamato 'root' nel mondo Unix) dà all'intrusore il massimo grado di libertà, che comprende la definizione di nuovi utenti, l'alterazione dei diritti sui files e sui processi, ecc., ed è quindi uno dei primari obiettivi degli attacker. La quarta dimensione è quella del risultato dell'attacco, che può essere quello della manipolazione/alterazione di dati (corruption of information in figura 1), dell'accesso a informazioni riservate (disclosure of information), dell'utilizzo non autorizzato di servizi di elaborazione o di rete (theft of service) o infine della degradazione o del blocco intenzionale delle risorse messe a disposizione dal sistema (denial of service). In base a quanto esposto finora, la violazione di sistema più pericolosa è quella che viene di solito denominata 'root break in', che è l'accesso non autorizzato ad un sistema con i privilegi di amministratore. Si tratta di un accesso ad un processo (la shell di sistema) che però dà all'intrusore la possibilità non solo di agire su qualsiasi file, ma anche di effettuare qualsivoglia operazione all'interno del sistema target, come la cancellazione delle tracce di violazione (file di log, date di ultimo accesso/modifica dei files, ecc.) oppure la distruzione di tutti gli archivi. In tabella 3 si riporta una stima delle frequenze di root break-in, a confronto con quella di altri eventi a rischio comuni, secondo l'analisi di [Howard 1997]. L'analisi è basata su un campione attendibile ed effettuata con solidi criteri statistici, ma è riferita al 1995 e alla realtà statunitense, rivestendo quindi ancora una volta solo un valore indicativo, anche perché prescinde dalle caratteristiche hardware e software dei sistemi osservati. Si tratta peraltro di valori medi soggetti ad elevata varianza e che cambiano nel tempo. A tale proposito dalla figura 2 appare ovvio che il numero di incidenti riportati è in crescita con il passare del tempo e che tale trend del periodo è confermato anche dai dati più aggiornati di figura 3. Tuttavia non è del tutto chiaro se tale crescita sia superiore o inferiore a quella di Internet: il numero di incidenti per dominio, riportato in figura 4, appare in lieve crescita, mentre quello di incidenti per server Internet (figura 5) appare in lieve decontrazione. In ogni caso, anche se il tasso di incidenti per server/dominio fosse rimasto costante, la frequenza di un incidente ogni 540 anni che appare in tabella 3, riferita ad un qualsiasi server Internet, potrebbe sembrare a prima vista poco allarmante. Se però la confrontiamo con quella di altri eventi a rischio della vita comune, la prospettiva cambia. Uno degli esempi riportati da Howard è quello dell'hard disk: secondo analisi pubblicate nel 97, il tempo medio di esercizio senza che si verifichi un guasto (MTBF = Mean Time Between Failures) varia da ore a 1 milione di ore. 7

8 60 Incidents/Month Averaged over Quarter Access Attempts Account Break-Ins Root Break-Ins 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 2. Media trimestrale del numero di incidenti mensili rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag. 80. Numero totale incidenti di sicurezza riportati al CERT Figura 3. Totale annuo del numero di incidenti rilevati dal CERT nel periodo 1994/2000. Il trend ascendente di figura 2 viene più che confermato negli anni successivi. Fonte: CERT-CC (www.cert.org). Quindi, anche assumendo che un hard disk venga usato di continuo, ci si può aspettare un guasto con una frequenza che varia, in media, da una volta ogni 34 anni a una volta ogni 114 anni. In tabella 3 viene considerato un valore centrale di una volta ogni 75 anni. 8

9 200 Incidents/Month/100,000 Domains Averaged over Quarter Root Break-Ins Account Break-Ins Access Attempts 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 4. Media trimestrale del numero di incidenti mensili per ogni domini rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag Incidents/Month/10,000,000 Hosts Averaged over Quarter Root Break-Ins Account Break-Ins Access Attempts 0 Jan-89 Jan-90 Jan-91 Jan-92 Jan-93 Jan-94 Jan-95 Jan-96 Year Figura 5. Media trimestrale del numero di incidenti mensili per ogni di hosts rilevati dal CERT nel periodo 1989/96. Gli incidenti sono classificati in root break-in (accesso con diritti di amministratore), account break-in (accesso con diritti di utente e non di amministratore) e tentativi di accesso (access attempt). Da [Howard 1997], pag

10 Queste stime vanno corrette in aumento se l'hard disk non viene usato di continuo. Eppure tutti noi facciamo regolarmente dei backup dei nostri dati, e, considerando l'elevato numero di hard disk in circolazione, non è affatto infrequente imbattersi in questo tipo di incidenti. Un analogo ragionamento vale per eventi a frequenza ancora più bassa, come gli incendi o le morti per tumore: adeguate precauzioni e misure preventive vengono comunemente prese per mettersi al riparo. L'entità degli investimenti in misure preventive (miglioramento delle difese e strumenti di copertura del rischio) va commisurata alla probabilità dell'incidente e al presumibile danno, con criteri simili a quelli per la copertura degli altri tipi di rischio. Analisi qualitative e quantitative, basate per esempio sulle 'best practices' di settore e su strumenti come il VaR (Value at Risk: cfr. [Dowd 1998]), ormai ampiamente diffusi nella gestione del rischio finanziario, sono necessarie a tal fine. In ogni caso, i sistemi connessi a Internet restano comunque esposti agli attacchi, quindi le misure di sicurezza adottate devono tendere a garantirne le funzionalità essenziali anche in presenza di intrusioni. Questo è il fine di una disciplina nata di recente, denominata 'Survivability', che integra principi di analisi di rischio e misure di sicurezza: Nonostante gli sforzi degli esperti di sicurezza, nessuna misura può garantire che un sistema connesso ad una 'unbounded network' (Internet) sarà invulnerabile agli attacchi. La disciplina della 'Survivability' può aiutare a garantire che questi sistemi possano continuare a fornire i servizi essenziali e mantenere proprietà primarie come integrità, confidenzialità e performance, nonostante la presenza di intrusioni (Tradotto da [Ellison et al. 1999], pag. 1). Rischio Root break-in, dominio Internet Root break-in, server Internet Furto presso dettagliante Guasto hard disk Alluvione centennale Incendio strutturale edificio, NY. Morte di cancro al seno Incidente mortale motociclista Morte da incendio in NY City Frequenza stimata 1 su 10 anni 1 su 540 anni 1 su 1.5 anni 1 su 75 anni 1 su 100 anni 1 su 220 anni 1 su anni 1 su anni 1 su anni Tabella 3. Frequenza stimata di accesso non autorizzato con i diritti di amministratore (root break-in) confrontata con le frequenze di altri eventi a rischio riferiti agli USA. La stima delle frequenze di root break-in è riferita al 1995 ed è basata sull'analisi statistica delle rilevazioni CERT nel periodo Le frequenze sono individuali. Ad esempio la frequenza di un incidente motociclistico mortale ogni 6250 anni è basata sul fatto che in un anno negli USA ci sono stati 16 morti da incidente motociclistico per ogni persone. 6250=1/16* Da [Howard 1997], pag

11 3. Vulnerabilità del sistema dei pagamenti on line Nonostante il diffondersi dei nuovi mezzi di pagamento, il denaro contante e gli assegni sono ancora oggi usati per quasi i tre quarti degli acquisti al dettaglio nel mondo fisico: come mostrato in figura 6, a livello mondiale ben il 53% delle vendite al dettaglio vengono pagate in contanti, il 22% in assegni e il 19% con carta di credito; nel mondo virtuale, invece, contante e assegni sono praticamente assenti: il 96% degli esercizi on line accettano carte di credito, che sono utilizzate per il 93% delle transazioni [Gartner 2001]. Le carte di credito si sono dunque affermate come lo strumento di pagamento standard nel commercio elettronico business to consumer (B2C), grazie alla possibilità di verifica e autorizzazione in tempo reale, alla loro diffusione e alla semplicità di utilizzo. Con il sistema delle carte di credito le banche svolgono una duplice funzione di intermediazione: in una tipica transazione sono coinvolte la banca del compratore e quella del dettagliante che accetta il pagamento. Esse hanno dunque un ruolo fondamentale nel sistema delle carte di credito e hanno tutto l'interesse a mantenerlo almeno ai livelli di sicurezza che aveva prima dell'introduzione del commercio elettronico. L'utilizzo delle carte di credito tradizionali per i pagamenti on line, se da una parte ha reso possibile fino ad oggi lo sviluppo del commercio elettronico B2C, dall'altra solleva importanti preoccupazioni per l'elevato tasso di frode da cui è caratterizzato: una recente indagine di Gartner stima che le transazioni fraudolente siano intorno all'1.1% del totale on line [Gartner 2001]. Pagamenti vendite al dettaglio Figura 6. Strumenti di pagamento utilizzati per acquisti presso il dettagliante: l'utilizzo del contante è prevalente (53%); anche gli assegni (22%) sono più usati delle carte di credito (19%). Fonte: Gartner Consulting; da [Gartner 2001], pag. 2. La VISA, che gestisce oltre il 50% delle transazioni on line con carta di credito, dichiara che le transazioni fraudolente sono da 10 a 40 volte più frequenti su Internet rispetto al mondo fisico, e che in volume le frodi ammontano globalmente a circa 10 cents ogni cento dollari spesi [VISA 2001]. Su tali basi, potremmo stimare che (a parità di volume medio) dall'1 al 4% circa del volume totale di acquisti Internet con carta di credito VISA sia originato da frodi. Anche se il transato on line rappresenta ancora soltanto il 2% del volume d'affari globale di VISA, questo elevato impatto delle frodi Internet, unito al tasso di sviluppo previsto per il commercio elettronico B2C, è motivo di notevole preoccupazione. Per quale motivo le carte di credito risultano meno sicure su Internet? 11

12 L'avvento dei pagamenti on line ha reso vano uno dei sistemi di sicurezza più semplici ma anche efficaci, che aveva funzionato bene sia con le carte di credito che con quelle di debito (bancomat): perché una transazione fosse validata bisognava abbinare un mezzo di identificazione del possessore (un documento per la carta di credito, il PIN per il bancomat) con il possesso fisico della carta. Oggi la transazione effettuata via Internet con le carte di credito tradizionali rende impossibile l'accertamento del possesso fisico della carta e problematica l'identificazione dell'utente. La transazione viene di solito verificata sulla base di numero di carta di credito, data di scadenza, generalità del possessore e (in alcuni casi) di qualche altro elemento, come l'indirizzo di invio dell'estratto conto. Prima dell'avvento del commercio elettronico la segretezza del numero identificativo della carta era meno importante; senza il possesso fisico della carta questo non poteva essere utilizzato. Per un utilizzo fraudolento erano necessarie delle apparecchiature in grado di registrare o clonare carte di credito valide. Oggi i numeri di carta di credito, abbinati a poche informazioni che identificano il possessore, possono essere usati per acquisti on line senza che ci sia bisogno di dimostrare in altro modo il possesso del titolo. I livelli di vulnerabilità del sistema sono dunque molteplici, tra cui ad esempio: 1) Intercettazione della comunicazione di numeri e anagrafiche 2) Acquisizione dei numeri e delle anagrafiche attraverso altri canali (es. scontrini nella carta straccia, database carpiti a siti Web, trascrizione durante l'uso presso dettaglianti convenzionati) 3) Mancata autenticazione: difficoltà per l'utente di distinguere i siti Web degni di fiducia dai cloni creati a scopo fraudolento o dai merchant che potrebbero fare usi impropri delle informazioni sulla carta di credito; difficoltà per il venditore di identificare il compratore in legittimo possesso del titolo 4) Possibilità di generazione dei numeri attraverso appositi software/siti Web 5) Clonazione della carta di credito Paradossalmente il rischio di frode coinvolge anche chi, per motivi di sicurezza, non effettua acquisti on line e continua ad usare le carte di credito esclusivamente presso i dettaglianti convenzionati. Il numero di carta di credito e le informazioni correlate possono venire a conoscenza di terzi anche se non sono mai stati usati prima per acquisti on line, anzi, in linea di principio qualsiasi numero valido ed esistente potrebbe addirittura essere generato via software! Il fenomeno attualmente è circoscritto, data la limitatissima incidenza delle transazioni on line sul totale del mercato: la VISA dichiara che negli ultimi 5 anni a livello globale il tasso di frode è stato ridotto del 50%. Ciononostante, con la crescita prevista delle transazioni B2C, il loro elevato tasso di frode rappresenta, alle condizioni attuali, un potenziale fattore di rischio da tenere ben presente. Tale rischio è percepito dai consumatori e viene considerato come uno dei maggiori impedimenti attuali allo sviluppo del commercio elettronico: secondo recenti indagini presso esercenti di commercio elettronico, la frode è considerato il problema principale da circa un quarto degli operatori, mentre oltre due terzi ha dichiarato di considerarlo tra i più importanti [Gartner 2001]. Quali sono le soluzioni possibili per ridurre le frodi sui pagamenti on line? 3.1 Contro l'intercettazione delle comunicazioni riservate: SSL I numeri di carta di credito andrebbero comunicati attraverso canali sicuri, quindi, per esempio, non attraverso la posta elettronica. La trasmissione via Web è di per sé poco sicura: le comunicazioni via Internet sono facilmente intercettabili, sia lungo la linea telefonica (se presente), sia attraverso appositi software che possono essere installati dall'esterno (es. packet sniffer, vedi sezione precedente). Per risolvere questo problema si è fatto ricorse a tecniche di crittografia applicate alle 12

13 comunicazioni via Web. Le tecniche crittografiche permettono di cifrare un messaggio in modo che non sia leggibile a chi non conosce la modalità e le eventuali chiavi di decodifica. Per una introduzione concisa e aggiornata sull'argomento, si suggerisce la lettura dei primi quattro capitoli di [Fugini et al. 2001]; un autorevole classico sull'argomento, completo, approfondito e molto chiaro, è [Schneier 1995]. Un concetto fondamentale nella crittografia è quello di chiave. Una chiave è un numero o un gruppo di cifre alfanumeriche che viene usato per cifrare il messaggio, alterandone il contenuto originale secondo regole prestabilite che fanno uso della chiave. Una diversa chiave genera una diversa cifratura dello stesso messaggio. Esistono sostanzialmente due modalità di cifratura: a chiave segreta (o singola, o simmetrica) e a chiave pubblica (o doppia, o asimmetrica). Nel primo caso la chiave viene usata sia per cifrare che per decifrare il messaggio (la decodifica avviene con un procedimento analogo a quello di cifratura, ma invertito), e deve essere conosciuta sia dal mittente (che la usa per cifrare il messaggio) che dal destinatario (che la usa per decifrarlo). Questa modalità è semplice ed efficace, ma ha un serio problema: mittente e destinatario devono essere già a conoscenza della chiave. Se il destinatario non conosce la chiave, non è possibile inviare una comunicazione segreta senza aver prima inviato la chiave attraverso qualche altro canale protetto, che non sempre esiste o è conveniente usare. Il sistema a doppia chiave serve ad ovviare a quest'inconveniente: ogni utente ha due chiavi, di cui una è pubblica (conosciuta da tutti) e l'altra privata (conosciuta solo dal possessore). Ogni messaggio cifrato con una delle due chiavi può essere decifrato solo utilizzando l'altra chiave della coppia. Per garantire la riservatezza della comunicazione, il mittente cifra il messaggio con la chiave pubblica del destinatario. Solo quest'ultimo conosce la corrispondente chiave privata (la sua) ed è dunque in grado di decifrarlo. Il sistema a doppia chiave è utile anche a garantire la autenticazione del mittente: se il mittente cifra il messaggio con la propria chiave privata, chiunque può leggerla (usando la corrispondente chiave pubblica), ed essere certo che è stato cifrato dall'unica persona che ne possiede la chiave privata (il mittente). Perché il sistema funzioni ci deve essere un terzo che genera e rilascia agli utenti le coppie di chiavi, pubblicando l'elenco delle chiavi pubbliche con i nomi dei possessori e garantendo l'integrità e la segretezza delle chiavi private. Questo terzo viene denominato 'autorità di certificazione'. La firma digitale, che è riconosciuta come legalmente valida dallo Stato Italiano, funziona secondo questo principio. In Italia esistono già un certo numero di autorità di certificazione per la firma digitale, il cui elenco è pubblicato sul sito Web dell'aipa (Autorità per l'informatica nella Pubblica Amministrazione, La Netscape, qualche anno fa, ha proposto uno meccanismo, basato su entrambi i metodi qui sopra delineati, per rendere più sicure le comunicazioni che si è rapidamente affermato come standard ed è adesso supportato in tutti i browser più comuni: si chiama SSL (Secure Socket Layer) e viene illustrato in entrambi i riferimenti citati sopra: per una Web guide, consultare il sito della Netscape (www.netscape.com). SSL nasce dall'osservazione che la crittografia a chiave pubblica, pur essendo il mezzo più efficace, richiede notevoli risorse computazionali e appesantirebbe troppo le attività di cifratura/decifratura se effettuate in tempo reale; d'altra parte, il sistema a chiave singola risulta molto più veloce ed efficiente, ma richiede un canale sicuro per la comunicazione della chiave al destinatario. Con SSL il sistema a chiave pubblica viene usato solo all'inizio della sessione per comunicare una ulteriore chiave segreta e temporanea (chiave di sessione) che verrà impiegata per la successiva cifratura e decifrazione in tempo reale dei contenuti, effettuata attraverso il metodo della chiave singola che è molto più semplice e rapido. Alla fine della sessione la chiave temporanea viene abbandonata. In questo modo viene assicurata da un lato la riservatezza della comunicazione, dall'altro (se entra in gioco una autorità di certificazione riconosciuta dalle parti) anche l'autenticazione dei contenuti del sito. SSL è sicuro? La riservatezza della comunicazione dipende in larga misura dalle dimensioni della chiave: se le chiavi sono di ridotte dimensioni, l'insieme totale di tutte le chiavi possibili è abbastanza piccolo da permettere agli intrusori un tentativo di decodifica dei messaggi basato sulla generazione casuale di tutte le possibili chiavi. Attualmente i browser di ultima generazione 13

14 supportano SSL con chiavi a 128 bit, che sono ritenute affidabili almeno per qualche anno. Con il trascorrere degli anni, infatti, si rendono necessarie chiavi di dimensioni più lunghe per controbilanciare l'aumento della potenza di elaborazione che l'evoluzione tecnologica mette a disposizione degli intrusori. A questo proposito cfr. [Gilmore 1998]. Per quanto riguarda l'autenticazione dei contraenti, invece, l'efficacia di SSL dipende dalla presenza di autorità di certificazione riconosciute dalle parti; una tale infrastruttura di supporto allo standard SSL non è in questo momento presente in Italia come avviene per la forma digitale. Inoltre, SSL non pone completamente al riparo da alcuni tipi di frode, come la clonazione di un intero sito Web, cfr. [Seifried 1999]. Accanto a SSL, altre forme di protezione dal furto dei numeri di carta sono, tra l'altro, i meccanismi di verifica delle carte (CVM=Card Verification Mechanism come CVV, CID, CVC2, ecc.) che aggiungono al numero di carta un codice ulteriore di sicurezza che non appare negli scontrini e negli estratti conto, né è memorizzato nella banda magnetica. Tali meccanismi possono aiutare a combattere la frode, ma non sono risolutivi. Per queste ed altre soluzioni simili, cfr. [Gartner 2001]. 3.2 Contro le difficoltà di autenticazione dei contraenti: VISA 3D SET SET (Secure Electronic Transaction, è uno standard sviluppato da VISA e MasterCard per garantire l'autenticazione reciproca delle parti coinvolte in una transazione on line. In particolare la sua evoluzione 3D SET è basata su una a architettura denominata "Three Domain Model" (modello a tre domini), visibile in figura 7. I messaggi di autenticazione vengono scambiati tra la banca che ha emesso la carta di credito dell'acquirente (issuer) e la banca del venditore (acquirer): quando un utente avvia una transazione, egli trasmette al merchant soltanto le proprie generalità; il merchant si collega con la propria banca che a sua volta si collega con la banca dell'acquirente. La banca dell'acquirente si mette in contatto con questi e chiede conferma della transazione. I numeri di carta di credito non vengono in nessun modo comunicati dall'acquirente al venditore. Altre forme di identificazione sono possibili (es. via Wap, WebTV, ecc.). Le informazioni riservate (numeri di carta ecc.), vengono scambiati in forma crittografata tra le due banche e non vengono comunicate al merchant. Figura 7. Il modello a tre domini 3D SET. Fonte:VISA EU, 14

15 La VISA ha recentemente lanciato un'iniziativa per estendere entro Ottobre 2001 il supporto del modello SET 3D a tutte le banche europee convenzionate. Per incentivare gli esercizi commerciali, è stata prevista una copertura totale dai rischi di frode per 'carta non presente' a partire da Giugno 2001 per tutti gli esercenti che adotteranno 3D SET. 3.3 American Express Online Wallet Una soluzione completamente diversa, basata sulla tecnologia delle smart card, è quella proposta da American Express sotto il nome di 'Online Wallet'. Sostanzialmente si tratta di una carta a microchip che viene fornita con tanto di lettore e software di gestione, entrambi ceduti in forma gratuita. Quando un cliente fa uso di Online Wallet, un esercizio convenzionato può verificare che l'acquirente possegga effettivamente la carta di credito e l'abbia inserita nel lettore. Oltre al possesso della carta è richiesta la digitazione di un PIN, con un meccanismo di autenticazione simile a quello delle carte bancomat. Dato che oltretutto la duplicazione delle carte a microchip è sensibilmente più difficile di quella delle carte a banda magnetica, la sicurezza del sistema carte di credito nel suo complesso viene notevolmente incrementata. Dall'altra parte, la necessità di adottare hardware e software appositi da parte del cliente potrebbe frenare lo sviluppo di questo sistema, di per sé certamente molto interessante. 4. Riflessioni conclusive Il sistema dei pagamenti on line, che attualmente è basato sulle carte di credito tradizionali, nonostante la diffusione dello standard SSL per le comunicazioni sicure via Web, presenta ancora livelli elevati di frode, legati soprattutto alla difficoltà di identificazione reciproca dei contraenti. Fortunatamente, i rischi collegati all'utilizzo delle carte di credito on-line sembrano essere destinati a ritornare presto alla normalità, con l'imminente adozione, almeno in Europa, dei nuovi standard di autenticazione che utilizzano le banche come autorità di certificazione (3D SET). Anche l'introduzione di carte di credito basate su dispositivi smartcard, (Online Wallet) risponde compiutamente all'esigenza di contenere i rischi di frode legati alle transazioni on line, sebbene la necessità di assicurarne il gradimento da parte dei consumatori e dei merchants, a costi possibilmente elevati, potrebbe costituire un ostacolo. Naturalmente, l'efficacia di questi strumenti dipende dalla loro diffusione, che dovrà essere rapida e capillare. Le società di gestione stanno incentivando attivamente il sistema 3D SET presso banche e merchants: i tempi molto brevi previsti per la campagna di adozione da parte di VISA Europe sembrano indicare un forte commitment in questa direzione. Mentre i rischi di sicurezza del sistema dei pagamenti on line sono continuamente sotto controllo e sembra che torneranno presto a valori contenuti ed accettabili, lo stesso non si può dire delle vulnerabilità della banca multicanale. La prima osservazione importante è che questo aspetto è poco conosciuto e non sufficientemente osservato. Si sa ancora troppo poco sulla frequenza e l'entità e degli incidenti di sicurezza: mancano rilevazioni sistematiche a livello globale e risulterebbe comunque molto difficile ottenere dati attendibili, dato che le intrusioni potrebbero passare inosservate e che in ogni caso non sempre vengono rese note. Anche prescindendo dalle frequenti notizie stampa che riportano imbarazzanti incidenti di sicurezza anche nel settore bancario (cfr. ad esempio [Knight 2000]), le dimensioni del fenomeno in base alle analisi citate nella sezione 2 appaiono comunque rilevanti e in crescita ed è dunque opportuno che ogni istituzione si tuteli in modo più appropriato. La seconda osservazione è che in mancanza di dati una valutazione dei livelli di rischio individuale risulta molto difficile: essa dovrebbe essere effettuata sotto il profilo qualitativo attraverso l'analisi degli incidenti già verificatisi, lo studio delle attività e dei settori potenzialmente pericolosi e il confronto con la situazione dei concorrenti nello stesso settore; sotto il profilo quantitativo, laddove 15

16 una stima dei valori a rischio e delle probabilità sia possibile, l'uso di strumenti di risk management come il VaR, menzionati in sezione 2, può risultare utile per il dimensionamento delle iniziative di copertura del rischio. La terza osservazione è che risulta altresì difficile individuare le misure necessarie per la gestione del rischio. Si è indicato come le iniziative debbano tendere non tanto alla eliminazione degli attacchi dall'esterno, quanto alla garanzia del livello minimo di servizio e al mantenimento delle proprietà del sistema considerate irrinunciabili in ogni situazione (survivability). Per il raggiungimento di tale obiettivo, che risulta tutt'altro che scontato, ci sono importanti implicazioni organizzative: quest'aspetto è analizzato in molti studi del CERT (www.cert.org) e, tra l'altro, nei capp. 15 e 18 di [Power 2000]. Un esempio di un tipico organigramma di massima della funzione sicurezza dell'informazione è riportato in figura 9. Il dipartimento di sicurezza dell'informazione dovrebbe operare in tre macroaree: Strategia e pianificazione (architettura, norme e direttive, valutazione del rischio, investigazione sugli incidenti, consulenza, interfaccia con l'audit e le altre funzioni, ); Monitoring (piattaforma IBM, DEC, NT, UNIX, Workstations, PC, ecc., Firewalls, , applicazioni, databases, ); Comunicazione e disseminazione (sito Web sicurezza, rapporti periodici, consulenza e training, ). Un aspetto particolarmente importante è quello della certificazione e del monitoring della sicurezza del software, specie se ad interfaccia Web. Il direttore della funzione sicurezza dell'informazione dovrebbe porsi allo stesso livello del direttore della funzione IT, e il grado di accentramento della struttura dovrebbe essere accuratamente studiato: in genere strutture più accentrate sono necessarie in presenza di più elevati fattori di rischio, ed è comunque buona norma accentrare almeno il monitoring degli ambienti di rete locale e mainframe. Alcuni utili esempi e dettagliate linee guida per la progettazione organizzativa della funzione information security sono forniti in [Power 2000]. 16

17 Direttore Security Team Strategie Security Componente Team: Componente Team: Componente Team: Componente Team: Supervisore Sicurezza Fisica Norme per la Security Supervisore Security Monitoring e Amministrazione (tutte le piattaforme) Supervisore Security E- Commerce - Firewall Vigilanza Sicurezza Fisica Amministrazione Security Unix, NT Specialista Firewall Intrusion Detection Amministrazione Security IBM, DEC Security Monitoring (tutte le piattaforme) Figura 9. Esempio di organigramma della funzione information security (adattato da [Power 2000], pag. 234). 17

18 5. Riferimenti [ABI 1999] Associazione Bancaria Italiana, Rilevazione dello stato della sicurezza informatica delle aziende di credito. Situazione al 31 dicembre 1997, Bancaria Editrice, 1999, [ABI 1995] Associazione Bancaria Italiana, Rilevazione dello stato della sicurezza informatica delle aziende di credito. Situazione al 31 dicembre 1993, Bancaria Editrice, [CERT-CC 2000] Computer Emergency Response Team Coordination Center - Carnegie Mellon University, CERT Advisory CA TCP SYN Flooding and IP Spoofing Attacks, 29/11/2000, [CERT-CC 1997] Computer Emergency Response Team Coordination Center - Carnegie Mellon University, CERT Advisory CA IP Spoofing Attacks and Hijacked Terminal Connections, 23/9/1997, [Chae 1999] Lee Chae, security, Network Magazine, 15/1/1999, [Dowd 1998] Beyond Value at Risk: The New Science of Risk Management, Wiley, [Dietrich et al 2000] Sven Dietrich, Neil Long e David Dittrich, Analyzing Distributed Denial Of Service Tools:The Shaft Case, Proceedings della 14. Systems Administration Conference (LISA 2000) New Orleans, Louisiana, US, 3/12/2000, [Ellison et al. 1999] Robert J. Ellison, David A. Fisher, Richard C. Linger, Howard F. Lipson, Thomas A. Longstaff e Nancy R. Mead: Survivability: Protecting Your Critical Systems, Proceedings of the International Conference On Requirements Engineering, 6/4/98, Colorado Springs, Colorado, [Farmer 1996] Dan Farmer, Internet Security Survey 1996, [FBI 2001] Federal Bureau of Investigation, 2001 Computer Crime and Security Survey, [Fugini et al. 2001] Mariagrazia Fugini, Fabrizio Maio, Pierluigi Plebani: Sicurezza dei Sistemi Informatici, Apogeo, [Galvin 2001] John Galvin, The Real Online Battleground, SmartBusiness, 12/2/2001, [Gartner 2001] Gartner Consulting, Online Fraud Prevention for the E-commerce Fraud Prevention Network, 12/3/2001, [Gilmore 1998] John Gilmore, Cracking DES: Secrets of Encryption Research, Wiretap Politics & Chip Design, Electronic Frontier Foundations, [Graham 2000] Robert Graham. Sniffing (network wiretap, sniffer) FAQ, 14/9/2000, [Grimes 2001] Roger Grimes, Malicious Mobile Code: Virus Protection for Windows, O'Reilly & Associates, [Howard 1997] John D. Howard, An Analysis Of Security Incidents On The Internet , Tesi di PhD, Carnegie Mellon University, 1997, [Knight 2000] Will Knight, Roundup: UK online banking security crisis, ZDNet UK News, 11/08/00, 18

19 [Messmer e Pappalardo 2001] Ellen Messmer e Denise Pappalardo, One year after DoS attacks, vulnerabilities remain, CNN.com SCI-Tech, 8/2/2001, [Power 2000] Richard Power, Tangled Web, Que-Macmillan, Online Online, Online Bank Security: Cover Your Assets!, Novembre 2000, [Schneier 1995] Bruce Schneier, Applied Cryptography: Protocols, Algorithms, and Source Code in C, Wiley, [SecurityFocus 2001] SecurityFocus.com Introduction to Viruses, [Seifried 2001] Kurt Seifried, EndingTrust in Certificates, SecurityPortal, 26/3/01, [Seifried 1999] Kurt Seifried, Special Kurt's Closet: Is SSL dead? SecurityPortal, 30/9/99, [VISA 2001] VISA EU, E-Commerce FAQ, [WRG 1996] WarRoom Research Group, WarRoom Research Information Security Survey 1996, 19

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup La sicurezza informatica Il tema della sicurezza informatica riguarda tutte le componenti del sistema informatico: l hardware, il software, i dati,

Dettagli

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Obiettivo: realizzazione di reti sicure Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative Per quanto riguarda le scelte tecnologiche vi sono due categorie di tecniche: a) modifica

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof. Operatore Informatico Giuridico Informatica Giuridica di Base A.A 2003/2004 I Semestre Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi prof.

Dettagli

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali

CORSO EDA Informatica di base. Sicurezza, protezione, aspetti legali CORSO EDA Informatica di base Sicurezza, protezione, aspetti legali Rischi informatici Le principali fonti di rischio di perdita/danneggiamento dati informatici sono: - rischi legati all ambiente: rappresentano

Dettagli

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof.

Introduzione alla. Sicurezza: difesa dai malintenzionati. Proprietà Attacchi Contromisure. Prof. Filippo Lanubile. Prof. Introduzione alla sicurezza di rete Proprietà Attacchi Contromisure Sicurezza: difesa dai malintenzionati Scenario tipico della sicurezza di rete: man in the middle Proprietà fondamentali della sicurezza

Dettagli

L'insicurezza del Web: dai Trojan alle frodi online

L'insicurezza del Web: dai Trojan alle frodi online Information Security n. 3 Anno 2, Marzo 2011 p. 1 di 6 L'insicurezza del Web: dai Trojan alle frodi online Sommario: Il grande successo dell'utilizzo di Internet per le transazioni economiche ha portato

Dettagli

La sicurezza nel commercio elettronico

La sicurezza nel commercio elettronico La sicurezza nel commercio elettronico Dr. Stefano Burigat Dipartimento di Matematica e Informatica Università di Udine www.dimi.uniud.it/burigat stefano.burigat@uniud.it Sicurezza digitale Budget per

Dettagli

SICUREZZA. Sistemi Operativi. Sicurezza

SICUREZZA. Sistemi Operativi. Sicurezza SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1

Sistemi Operativi SICUREZZA. Sistemi Operativi. D. Talia - UNICAL 14.1 SICUREZZA 14.1 Sicurezza Il Problema della Sicurezza Convalida Pericoli per i Programmi Pericoli per il Sistema Difendere i Sistemi Scoperta di Intrusioni Cifratura Esempio: Windows NT 14.2 Il Problema

Dettagli

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni PRINCIPI DI COMPUTER SECURITY Andrea Paoloni 2 Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3 Gli hacker sono utili? 4 Safety vs Security SAFETY (salvezza): protezione, sicurezza

Dettagli

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE

UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE UNA PIATTAFORMA SICURA PER I PAGAMENTI ONLINE Marco Gallone Sella Holding Banca 28 Novembre 2006 Il Gruppo Banca Sella ed il Commercio Elettronico Dal 1996 Principal Member dei circuiti Visa e MasterCard

Dettagli

Sicurezza: credenziali, protocolli sicuri, virus, backup

Sicurezza: credenziali, protocolli sicuri, virus, backup Sicurezza: credenziali, protocolli sicuri, virus, backup prof. Monica Palmirani Lezione 13 Sicurezza Sicurezza dell autenticazione dei soggetti attori autenticazione Sicurezza degli applicativi autorizzazione

Dettagli

Convegno Nazionale di Information Systems Auditing

Convegno Nazionale di Information Systems Auditing Convegno Nazionale di Information Systems Auditing Strategie di difesa dalle frodi: IT Governance e metodologie Verona, 25 Maggio 2006 Massimo Chiusi UniCredit S.p.A. Divisione Global Banking Services

Dettagli

Security Scan e Penetration Testing

Security Scan e Penetration Testing Security Scan e Penetration Testing esperienze di una realtà specializzata http://www.infosec.it info@infosec.it Il Net Probing INFOSEC Relatore: Stefano Venturoli Infosecurity 2002 Security Scan e Penetration

Dettagli

Introduzione alla Sicurezza Informatica

Introduzione alla Sicurezza Informatica Introduzione alla Sicurezza Informatica Prof. Francesco Buccafurri Università Mediterranea di Reggio Calabria Crescita di Internet 0.000 570.937.7 0.000 439.286.364 489.774.269 0.000 0.000 233.101.481

Dettagli

Sicurezza nell'utilizzo di Internet

Sicurezza nell'utilizzo di Internet Sicurezza nell'utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009

La sicurezza nelle comunicazioni fra PC. Prof. Mauro Giacomini A.A. 2008-2009 La sicurezza nelle comunicazioni fra PC Prof. Mauro Giacomini A.A. 2008-2009 Sommario Cosa significa sicurezza? Crittografia Integrità dei messaggi e firma digitale Autenticazione Distribuzione delle chiavi

Dettagli

Sommario. Introduzione alla Sicurezza Web

Sommario. Introduzione alla Sicurezza Web Sommario Introduzione alla Sicurezza Web Considerazioni generali IPSec Secure Socket Layer (SSL) e Transport Layer Security (TLS) Secure Electronic Transaction (SET) Introduzione alla crittografia Introduzione

Dettagli

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza

Esigenza della sicurezza. La sicurezza nei sistemi informatici. Requisiti per la sicurezza. Sicurezza. Politiche di siscurezza Esigenza della sicurezza La sicurezza nei sistemi informatici Nasce dalla evoluzione dei Sistemi Informatici e del contesto nel quale operano Maggiore importanza nei processi aziendali Dalla produzione

Dettagli

Payment Card Industry (PCI) Data Security Standard

Payment Card Industry (PCI) Data Security Standard Payment Card Industry (PCI) Data Security Standard Procedure per la scansione di sicurezza Versione 1.1 Release: settembre 2006 Indice generale Finalità... 1 Introduzione... 1 Ambito di applicazione dei

Dettagli

Protezione delle informazioni in SMart esolutions

Protezione delle informazioni in SMart esolutions Protezione delle informazioni in SMart esolutions Argomenti Cos'è SMart esolutions? Cosa si intende per protezione delle informazioni? Definizioni Funzioni di protezione di SMart esolutions Domande frequenti

Dettagli

Glossario servizi di Sicurezza Informatica offerti

Glossario servizi di Sicurezza Informatica offerti Glossario servizi di Sicurezza Informatica offerti Copyright LaPSIX 2007 Glossario servizi offerti di sicurezza Informatica SINGLE SIGN-ON Il Single Sign-On prevede che la parte client di un sistema venga

Dettagli

E-commerce Da una visione globale alla sicurezza. Rimini 24/03/2015

E-commerce Da una visione globale alla sicurezza. Rimini 24/03/2015 E-commerce Da una visione globale alla sicurezza Rimini 24/03/2015 Di cosa parliamo - E-commerce - Uno sguardo globale - L e-commerce in Europa - L e-commerce in Italia - Fatturato e-commerce in Italia

Dettagli

SICUREZZA INFORMATICA

SICUREZZA INFORMATICA SICUREZZA INFORMATICA IL CRESCENTE RICORSO ALLE TECNOLOGIE DELL'INFORMAZIONE E DELLA COMUNICAZIONE INTRAPRESO DALLA P.A. PER LO SNELLIMENTO L'OTTIMIZZAZIONE UNA MAGGIORE EFFICIENZA DEI PROCEDIMENTI AMMINISTRATIVI

Dettagli

Implicazioni sociali dell informatica

Implicazioni sociali dell informatica Fluency Implicazioni sociali dell informatica Capitolo 10 Privacy I nostri corpi I nostri luoghi Le informazioni Le comunicazioni personali La privacy Con i moderni dispositivi è possibile violare la privacy

Dettagli

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di

1) Reti di calcolatori. Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di 1) Reti di calcolatori 2) Internet 3) Sicurezza LAN 1) Reti di calcolatori Una rete locale di computer (Local Area Network) è costituita da computer collegati tramite cavi di rete (cavi UTP) o con tecnologia

Dettagli

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS

KASPERSKY FRAUD PREVENTION FOR ENDPOINTS KASPERSKY FRAUD PREVENTION FOR ENDPOINTS www.kaspersky.com KASPERSKY FRAUD PREVENTION 1. Modi di attacco ai servizi bancari online Il motivo principale alla base del cybercrimine è quello di ottenere denaro

Dettagli

Problematiche correlate alla sicurezza informatica nel commercio elettronico

Problematiche correlate alla sicurezza informatica nel commercio elettronico Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference

Dettagli

Il problema. Sicurezza. Rischi fisici. Riservatezza. La creazione, conservazione e trasmissione di dati in forma digitale: Danni accidentali o rischi

Il problema. Sicurezza. Rischi fisici. Riservatezza. La creazione, conservazione e trasmissione di dati in forma digitale: Danni accidentali o rischi Il problema La creazione, conservazione e trasmissione di dati in forma digitale: offre grandissimi vantaggi sotto molteplici punti di vista, sia pratici che concettuali; si presta però anche a nuove possibilità

Dettagli

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela

Crittografia e sicurezza delle reti. Alberto Marchetti Spaccamela Crittografia e sicurezza delle reti Alberto Marchetti Spaccamela Crittografia e sicurezza Sicurezza e crittografia sono due concetti diversi Crittografia tratta il problema della segretezza delle informazioni

Dettagli

BANCA VIRTUALE/1 tecnologie dell informazione della comunicazione

BANCA VIRTUALE/1 tecnologie dell informazione della comunicazione BANCA VIRTUALE/1 Il termine indica un entità finanziaria che vende servizi finanziari alla clientela tramite le tecnologie dell informazione e della comunicazione, senza ricorrere al personale di filiale

Dettagli

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE

LA SICUREZZA INFORMATICA SU INTERNET LE MINACCE LE MINACCE I rischi della rete (virus, spyware, adware, keylogger, rootkit, phishing, spam) Gli attacchi per mezzo di software non aggiornato La tracciabilità dell indirizzo IP pubblico. 1 LE MINACCE I

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Sicurezza informatica

Sicurezza informatica Sicurezza informatica Per sicurezza informatica si intende quella branca dell informatica dedicata alla salvaguardia dei sistemi informatici (reti, mainframe, postazioni di lavoro,...) da possibili violazioni

Dettagli

L azienda di fronte all e-business

L azienda di fronte all e-business L azienda di fronte all e-business Opportunità per le imprese Il cambiamento portato dalla Rete produce opportunità e benefici: ma l ottenimento dei risultati positivi è frutto di una revisione degli stili

Dettagli

Requisiti di controllo dei fornitori esterni

Requisiti di controllo dei fornitori esterni Requisiti di controllo dei fornitori esterni Sicurezza cibernetica Per fornitori classificati a Basso Rischio Cibernetico Requisito di cibernetica 1 Protezione delle attività e configurazione del sistema

Dettagli

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7

2 Dipendenza da Internet 6 2.1 Tipi di dipendenza... 6 2.2 Fasi di approccio al Web... 6 2.3 Fine del corso... 7 Sommario Indice 1 Sicurezza informatica 1 1.1 Cause di perdite di dati....................... 1 1.2 Protezione dei dati.......................... 2 1.3 Tipi di sicurezza........................... 3 1.4

Dettagli

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011)

La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) La sicurezza secondo skymeeting (data pubblicazione 06/12/2011) www.skymeeting.net La sicurezza nel sistema di videoconferenza Skymeeting skymeeting è un sistema di videoconferenza web-based che utilizza

Dettagli

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo

1.1 - Crittografia sulla infrastruttura trasmissiva tra le stazioni remote Rilheva il centro di telecontrollo SISTEMA DI TELECONTROLLO RILHEVA GPRS (CARATTERISTICHE DEL VETTORE GPRS E SICUREZZE ADOTTATE) Abstract: Sicurezza del Sistema di Telecontrollo Rilheva Xeo4 ha progettato e sviluppato il sistema di telecontrollo

Dettagli

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni

Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni EDILMED 2010 Ordine degli Ingegneri della Provincia di Napoli Commissione Telecomunicazioni SICUREZZA INFORMATICA DEGLI STUDI PROFESSIONALI G. Annunziata, G.Manco Napoli 28 Maggio 2010 EDILMED/ 2010 1

Dettagli

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa

M ODULO 7 - SYLLABUS 1.0. IT Security. Corso NUOVA ECDL 2015 prof. A. Costa M ODULO 7 - SYLLABUS 1.0 IT Security Corso NUOVA ECDL 2015 prof. A. Costa Minacce ai dati 1 Concetti di sicurezza Differenze fra dati e informazioni Il termine crimine informatico: intercettazione, interferenza,

Dettagli

Acquisto con carta di credito. Acquisto con carta di credito

Acquisto con carta di credito. Acquisto con carta di credito Acquisto con carta di credito Vantaggio: facile da implementare Svantaggio: per un malintenzionato è più facile carpire il numero della carta attraverso Internet che non via telefono Svantaggio: credibilità

Dettagli

Regolamento relativo all'accesso e all'uso della Rete Informatica del Comune di AZZANO SAN PAOLO

Regolamento relativo all'accesso e all'uso della Rete Informatica del Comune di AZZANO SAN PAOLO Comune di Azzano San Paolo Provincia di Bergamo Piazza IV novembre Tel. 035/53.22.80 Fax 035/530073 C.F./IVA n. 00681530168 e-mail: servizio.urp@comune.azzano.bg.it SETTORE AMMINISTRAZIONE GENERALE Regolamento

Dettagli

Attacchi e Contromisure

Attacchi e Contromisure Sicurezza in Internet Attacchi e Contromisure Ph.D. Carlo Nobile 1 Tipi di attacco Difese Sommario Firewall Proxy Intrusion Detection System Ph.D. Carlo Nobile 2 Attacchi e Contromisure Sniffing Connection

Dettagli

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio

Modulo 1. Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio Modulo 1 Concetti di base della Tecnologia dell Informazione ( Parte 1.7) Rielaborazione dal WEB: prof. Claudio Pellegrini - Sondrio La sicurezza dei sistemi informatici Tutti i dispositivi di un p.c.

Dettagli

RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte

RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte RuparPiemonte Manuale di installazione certificato digitale per la sicurezza Certification Authority di SistemaPiemonte Pag. 1 di 17 SOMMARIO 1. PREMESSE...2 2. IL...2 3. VERIFICA DELLA VERSIONE CORRETTA

Dettagli

LegalCert Family: soluzioni per la firma digitale. LegalCert FIRMA DIGITALE E SICUREZZA FAMILY

LegalCert Family: soluzioni per la firma digitale. LegalCert FIRMA DIGITALE E SICUREZZA FAMILY LegalCert Family: soluzioni per la firma digitale LegalCert FAMILY FIRMA DIGITALE E SICUREZZA L innovazione al servizio delle informazioni. Autentiche, integre, sicure. E con valore legale. LegalCert Family:

Dettagli

KLEIS WEB APPLICATION FIREWALL

KLEIS WEB APPLICATION FIREWALL KLEIS WEB APPLICATION FIREWALL VERSIONE 2.1 Presentazione www.kwaf.it Cos'è Kleis Web Application Firewall? Kleis Web Application Firewall (KWAF) è un firewall software per la difesa di: Web Application

Dettagli

Sicurezza nell utilizzo di Internet

Sicurezza nell utilizzo di Internet Sicurezza nell utilizzo di Internet 1 Sicurezza Definizioni Pirati informatici (hacker, cracker): persone che entrano in un sistema informatico senza l autorizzazione per farlo Sicurezza: protezione applicata

Dettagli

Sicurezza dei Sistemi Informatici Introduzione

Sicurezza dei Sistemi Informatici Introduzione Sicurezza dei Sistemi Informatici Introduzione Contenuti Minacce: Da cosa deve essere protetto un sistema informatico? Danni: Quali sono i danni per l azienda? Risorse: Cosa proteggere? Hackers e Crackers:

Dettagli

@ll Security. Il Perché dell Offerta. Business Market Marketing

@ll Security. Il Perché dell Offerta. Business Market Marketing Il Perché dell Offerta Cos è la Sicurezza Logica? La Sicurezza logica è costituita dall insieme delle misure di carattere organizzativo e tecnologico tese ad impedire l alterazione diretta o indiretta

Dettagli

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza.

HP Consulting AGENDA. Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza. HP Consulting Claudio De Paoli Security Solution Lead filename\location Page 1 AGENDA Network Security: virus, worm, DoS, ddos,.. HP Consulting: Leader nelle Soluzioni di Sicurezza filename\location Page

Dettagli

Company profile 2014

Company profile 2014 Company profile 2014 Chi siamo Digimetrica è una società specializzata in: Sicurezza informatica Networking e gestione di infrastrutture informatiche Outsourcing di soluzioni internet e cloud computing

Dettagli

Tipologie e metodi di attacco

Tipologie e metodi di attacco Tipologie e metodi di attacco Tipologie di attacco Acquisizione di informazioni L obiettivo è quello di acquisire informazioni, attraverso l intercettazione di comunicazioni riservate o ottenendole in

Dettagli

LBSEC. http://www.liveboxcloud.com

LBSEC. http://www.liveboxcloud.com 2014 LBSEC http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

Agenda. L informatica e la legge [cap. 25] Il lavoro e l informatica [cap. 26] L informatica come fatto sociale [cap. 27]

Agenda. L informatica e la legge [cap. 25] Il lavoro e l informatica [cap. 26] L informatica come fatto sociale [cap. 27] Agenda L informatica e la legge [cap. 25] Il lavoro e l informatica [cap. 26] L informatica come fatto sociale [cap. 27] Informatica di base 5e Dennis P. Curtin, Kim Foley, Kunal Sen, Cathleen Morin. A

Dettagli

Securing the World of IP Payments

Securing the World of IP Payments November 2010 Securing the World of IP Payments TNS Security Solutions Agenda TNS Background IP Tendenze emergenti e implicazioni per la sicurezza nei pagamenti Approcci suggeriti per migliorare la sicurezza

Dettagli

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare!

Semplificazione e Nuovo CAD L area riservata dei siti web scolastici e la sua sicurezza. Si può fare! Si può fare! Premessa La sicurezza informatica La sicurezza rappresenta uno dei più importanti capisaldi dell informatica, soprattutto da quando la diffusione delle reti di calcolatori e di Internet in

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

Identità e autenticazione

Identità e autenticazione Identità e autenticazione Autenticazione con nome utente e password Nel campo della sicurezza informatica, si definisce autenticazione il processo tramite il quale un computer, un software o un utente,

Dettagli

SMART CARD-APPLICAZIONI

SMART CARD-APPLICAZIONI SMART CARD-APPLICAZIONI Le applicazioni pratiche delle Smart Card possono essere suddivise in 3 categorie principali: 1- Trasporto Dati: la Smart Card e usata come mezzo per memorizzare informazioni; 2-

Dettagli

Dott. Tomaso M ansutti Vice Presidente M ANSUTTI spa

Dott. Tomaso M ansutti Vice Presidente M ANSUTTI spa Il mercato assicurativo e le coperture del patrimonio informatico e delle relative responsabilità Dott. Tomaso M ansutti Vice Presidente M ANSUTTI spa Questa presentazione è strettamente confidenziale

Dettagli

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano

L analisi del fenomeno delle frodi informatiche nel settore bancario italiano L analisi del fenomeno delle frodi informatiche nel settore bancario italiano La convenzione ABI Polizia di Stato per la costruzione di una piattaforma tecnologica per lo scambio reciproco di alert Romano

Dettagli

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia

Protagonisti di INNOVAZIONE un progetto industriale unico in Italia Claudio De Paoli IT Security Practice Manager Un approccio innovativo alla sicurezza degli accessi ai servizi di ebanking Roma, gennaio 2011 Cybercrime: Costante aumento di Incidenti e frodi Il mercato

Dettagli

CARTA DELLA SICUREZZA INFORMATICA

CARTA DELLA SICUREZZA INFORMATICA CARTA DELLA SICUREZZA INFORMATICA Premessa L Istituto Nazionale di Fisica Nucleare (INFN) è un ente pubblico nazionale di ricerca a carattere non strumentale con autonomia scientifica, organizzativa, finanziaria

Dettagli

La sicurezza in rete

La sicurezza in rete La sicurezza in rete Sommario Il problema della sicurezza in rete: principi di base Tipologie di attacchi in rete Intercettazioni Portscan Virus Troiani Spyware Worm Phishing Strumenti per la difesa in

Dettagli

La Sicurezza in TITAN

La Sicurezza in TITAN La Sicurezza in TITAN Innovazione per Smartcard e Terminali PoI Emiliano Sparaco - Alberto Ferro Trento 08/03/2013 Agenda 2 Innovazione per Smartcard JavaCard e GlobalPlatform Multi-applicazione: L unione

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

La sicurezza nelle reti di calcolatori

La sicurezza nelle reti di calcolatori La sicurezza nelle reti di calcolatori Contenuti del corso La progettazione delle reti Il routing nelle reti IP Il collegamento agli Internet Service Provider e problematiche di sicurezza Analisi di traffico

Dettagli

Allegato 2. Scheda classificazione delle minacce e vulnerabilità

Allegato 2. Scheda classificazione delle minacce e vulnerabilità Allegato 2 Scheda classificazione delle minacce e vulnerabilità LEGENDA In questa tabella si classificano le minacce per tipologia e si indica l impatto di esse sulle seguenti tre caratteristiche delle

Dettagli

INFN Roma I Gruppo Collegato Sanità. Regolamento per l'utilizzo delle risorse di Calcolo

INFN Roma I Gruppo Collegato Sanità. Regolamento per l'utilizzo delle risorse di Calcolo INFN Roma I Gruppo Collegato Sanità Regolamento per l'utilizzo delle risorse di Calcolo Il Servizio di Calcolo (di seguito indicato anche come Servizio) si occupa della configurazione e dell'amministrazione

Dettagli

La Sicurezza Informatica nella Pubblica Amministrazione

La Sicurezza Informatica nella Pubblica Amministrazione Ernst & Young Technology and Security Risk Services per gli Organismi Pagatori Regionali Firenze, 12 giugno 2003 La Sicurezza Informatica nella Pubblica Amministrazione 1 La Sicurezza Informatica nella

Dettagli

CONCETTI DI NAVIGAZIONE IN RETE

CONCETTI DI NAVIGAZIONE IN RETE CONCETTI DI NAVIGAZIONE IN RETE Internet (La rete delle reti) è l insieme dei canali (linee in rame, fibre ottiche, canali radio, reti satellitari, ecc.) attraverso cui passano le informazioni quando vengono

Dettagli

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6

Corso di ARCHITETTURA DEI SISTEMI INFORMATIVI - Prof. Crescenzio Gallo. 114 Sistemi informativi in rete e sicurezza 4.6 Approcci al problema della sicurezza 114 Sistemi informativi in rete e sicurezza 4.6 Accessi non autorizzati Hacker: coloro che si avvalgono delle proprie conoscenze informatiche e di tecnologia delle

Dettagli

INFORMATION SECURITY MANAGEMENT SYSTEM

INFORMATION SECURITY MANAGEMENT SYSTEM INFORMATION SECURITY MANAGEMENT SYSTEM Gestione della sicurezza informatica in azienda Guida informativa per le PMI con il contributo della 1 Sommario Introduzione 5 Obiettivi 6 Continuità operativa del

Dettagli

CASO DI STUDIO IWBAnk LA FAmOSA BAnCA OnLIne InCremenTA LA SICUrezzA per GArAnTIre migliori ServIzI AL CLIenTe

CASO DI STUDIO IWBAnk LA FAmOSA BAnCA OnLIne InCremenTA LA SICUrezzA per GArAnTIre migliori ServIzI AL CLIenTe IWBank La Famosa Banca Online Incrementa la Sicurezza per Garantire Migliori Servizi al Cliente Efficienza e Sicurezza: Vantaggi Competitivi per la Banca Online. Grazie al marchio VeriSign e alle sue tecnologie,

Dettagli

VERISIGN SERVER ONSITE.

VERISIGN SERVER ONSITE. VERISIGN SERVER ONSITE. Scheda Tecnica. Ultima revisione del presente documento 05/12/2001 Versione 2.2 Trust Italia S.p.A. 1 di 8 INDICE Introduzione: i certificati digitali e il protocollo SSL.... 3

Dettagli

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com File Sharing & LiveBox WHITE PAPER http://www.liveboxcloud.com 1. File Sharing: Definizione Per File Sync and Share (FSS), s intende un software in grado di archiviare i propri contenuti all interno di

Dettagli

Sicurezza dei sistemi informatici Firma elettronica E-commerce

Sicurezza dei sistemi informatici Firma elettronica E-commerce Sicurezza dei sistemi informatici Firma elettronica E-commerce Il contesto applicativo Commercio elettronico Quanti bit ho guadagnato!! Marco Mezzalama Politecnico di Torino collegamenti e transazioni

Dettagli

White paper. Creazione di sicurezza nelle vendite e transazioni online con SSL Extended Validation

White paper. Creazione di sicurezza nelle vendite e transazioni online con SSL Extended Validation WHITE PAPER: SicuREzza nelle vendite e TRAnSAzioni online con SSL Extended validation White paper Creazione di sicurezza nelle vendite e transazioni online con SSL Extended Validation SSL Extended Validation

Dettagli

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP

Indice I rischi: introduzione alle reti connesse a Internet Le reti e il protocollo TCP/IP Indice Capitolo 1 I rischi: introduzione alle reti connesse a Internet 1 1.1 Il virus Worm 3 1.2 Lo stato della rete nel 2002 9 1.3 Cos è Internet 10 1.4 La commutazione di pacchetti: la base della maggior

Dettagli

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida

Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Carlo Carlesi Istituto di Scienza e Tecnologie dell'informazione A. Faedo 1 Sicurezza informatica: Nozioni di base Come proteggere il proprio computer Suggerimenti e linee guida Le minacce della rete 2

Dettagli

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati

Apriti Sesamo Plus. Autenticazione Forte AntiPhishing portabilità e protezione dei dati Apriti Sesamo Plus come sistema di Autenticazione Forte AntiPhishing portabilità e protezione dei dati Massimo Penco mpenco@globaltrust.it 1 Sommario -line: il Phishing Una panoramica sulle tecniche più

Dettagli

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI

PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI PARTE SPECIALE B DELITTI INFORMATICI E TRATTAMENTO ILLECITO DEI DATI INDICE B.1 DESTINATARI DELLA PARTE SPECIALE E PRINCIPI GENARALI DI COMPORTAMENTO... 3 B.2 AREE POTENZIALMENTE A RISCHIO E PRINCIPI DI

Dettagli

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato Guida all installazione e all utilizzo di un certificato personale S/MIME (GPSE) Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale

Dettagli

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it

Sicurezza. IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it Sicurezza IZ3MEZ Francesco Canova www.iz3mez.it francesco@iz3mez.it La sicurezza La Sicurezza informatica si occupa della salvaguardia dei sistemi informatici da potenziali rischi e/o violazioni dei dati

Dettagli

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT

Meccanismi di autenticazione sicura. Paolo Amendola GARR-CERT Meccanismi di autenticazione sicura Paolo Amendola GARR-CERT Argomenti Crittografazione del traffico Identita digitali One-time passwords Kerberos Crittografazione del traffico Secure Shell SASL SRP sftp

Dettagli

Elementi di Sicurezza e Privatezza Lezione 2 - Introduzione (2)

Elementi di Sicurezza e Privatezza Lezione 2 - Introduzione (2) Elementi di Sicurezza e Privatezza Lezione 2 - Introduzione (2) Chiara Braghin chiara.braghin@unimi.it Avviso 1 Sicurezza Informatica - Tassonomia Sicurezza Informatica. Controllo Livelli di segretezza

Dettagli

R E G O L A M E N T O per l'utilizzo delle risorse di informatiche e di rete dell Azienda di Promozione Turistica della Provincia di Venezia

R E G O L A M E N T O per l'utilizzo delle risorse di informatiche e di rete dell Azienda di Promozione Turistica della Provincia di Venezia R E G O L A M E N T O per l'utilizzo delle risorse di informatiche e di rete dell Azienda di Promozione Turistica della Provincia di Venezia Motivazioni: Negli ultimi anni le risorse informatiche all'interno

Dettagli

Servizi remoti Xerox Un passo nella giusta direzione

Servizi remoti Xerox Un passo nella giusta direzione Servizi remoti Xerox Un passo nella giusta direzione Diagnosi dei problemi Valutazione dei dati macchina Problemi e soluzioni Garanzia di protezione del cliente 701P41696 Descrizione generale di Servizi

Dettagli

Cenni preliminari sugli account amministratore e account limitato.

Cenni preliminari sugli account amministratore e account limitato. Enrica Biscaro Tiziana Gianoglio TESINA DI INFORMATICA Cenni preliminari sugli account amministratore e account limitato. Per un funzionale utilizzo del nostro computer è preferibile usare la funzione

Dettagli

Connessioni sicure: ma quanto lo sono?

Connessioni sicure: ma quanto lo sono? Connessioni sicure: ma quanto lo sono? Vitaly Denisov Contenuti Cosa sono le connessioni sicure?...2 Diversi tipi di protezione contro i pericoli del network.....4 Il pericolo delle connessioni sicure

Dettagli

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A.

Università di Venezia Corso di Laurea in Informatica. Marco Fusaro KPMG S.p.A. Università di Venezia Corso di Laurea in Informatica Laboratorio di Informatica Applicata Introduzione all IT Governance Lezione 10 e 11 Marco Fusaro KPMG S.p.A. 1 Risk Analysis I termini risk analysis

Dettagli

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della

(Allegato C ) Allegato C. Misure di sicurezza. Il presente allegato descrive le caratteristiche della (Allegato C ) Allegato C Misure di sicurezza Il presente allegato descrive le caratteristiche della piattaforma e le misure adottate per garantire l'integrita' e la riservatezza dei dati scambiati e conservati,

Dettagli

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB.

SISTEMI E RETI. Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. SISTEMI E RETI Crittografia. Sistemi distribuiti e configurazione architetturale delle applicazioni WEB. CRITTOGRAFIA La crittografia è una tecnica che si occupa della scrittura segreta in codice o cifrata

Dettagli

Client VPN Manuale d uso. 9235970 Edizione 1

Client VPN Manuale d uso. 9235970 Edizione 1 Client VPN Manuale d uso 9235970 Edizione 1 Copyright 2004 Nokia. Tutti i diritti sono riservati. Il contenuto del presente documento, né parte di esso, potrà essere riprodotto, trasferito, distribuito

Dettagli

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto

Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto CYBER RISK: RISCHI E TUTELA PER LE IMPRESE Confindustria Vicenza 26/02/2015 Polizia di Stato Compartimento Polizia Postale e delle Comunicazioni Veneto Suddivisione territoriale Compartimenti e Sezioni

Dettagli

Recente aumento della diffusione di virus Malware

Recente aumento della diffusione di virus Malware Recente aumento della diffusione di virus Malware Recentemente è stato registrato un aumento della diffusione di particolari tipi di virus chiamati generalmente Malware che hanno come scopo principale

Dettagli