Sicurezza e Privacy. Progetto finanziato da. Reggio Emilia

Transcript

1 2012 Sicurezza e Privacy Progetto finanziato da Reggio Emilia 1

2 SICUREZZA E PRIVACY 2

3 Sommario Cos è la sicurezza nell ICT Aree della security ICT Crittografia Sviluppo del security plan Esempi Rischi e minacce Attacchi principali Gestione della Promozione presso le Camerepassword di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga 3

4 Cos è la ICT Security È il risultato di due componenti fondamentali Prodotti e servizi Comportamenti e processi Antivirus, firewall, Intrusion detection, Back up, disaster recovery, business continuity, Managed security, Policy security aziendale Formazione, 4

5 Un approccio minimalista è pericoloso La sicurezza ICT è continuamente in movimento: Si modificano i rischi Cambia l organizzazione aziendale Sempre più applicazioni vanno in rete L approccio delle aziende non è altrettanto dinamico: Si utilizzano poco i servizi gestiti da professionisti specialisti della sicurezza (managed services) Si aggiorna l indispensabile Non si fa back up strutturato Non si fa formazione Si tende a rimandare un investimento maggiore in sicurezza quando sarà il momento. PROBLEMA: i tempideidiservizi reazione agli attacchi sono ormai Promozione presso le Camere di Commercio ICT avanzati resi disponibili dalla banda larga Camerapuò di Commercio di Reggio Emilia nell ordine dei minuti, e nulla essere fatto in pochi minuti. 5

6 La sicurezza non può essere reattiva La diffusione del worm Code-Red Tempo trascorso: 24H Vittime: 359+k server nel mondo 6

7 La sicurezza non può essere reattiva La diffusione del worm Sapphire 1 anno dopo i tempi si accorciano drammaticamente: Tempo trascorso: 30 minuti Vittime: 75+k server nel mondo 7

8 Aree della security ICT Confidenzialità Integrità Autenticazione Non-rifiuto 8

9 Introduzione alla security ICT (2) Confidenzialità Riservatezza e privacy Information hiding Traffic confidentiality 9

10 Introduzione alla security ICT (3) Integrità Data integrity Originality Timeliness 10

11 Introduzione alla security ICT (4) Autenticazione Controllo degli accessi Disponibilità del servizio 11

12 Introduzione alla security ICT (5) Non rifiuto Non poter smentire una transazione vera (nonrepudiation) Non poter reclamare una transazione fasulla (nonforgeability) 12

13 Rischi e minacce: classificazione teorica e astratta Classificazione teorica ordinata in senso di pericolosità crescente: Disclosure (o rivelazione) Deception (o inganno) Disruption Usurpation 13

14 Rischi e minacce Intercettazione (o snooping) Contromisure: cifratura dei dati per la loro Intercettazione Analisi del traffico confidenzialità 14

15 Rischi e minacce Alterazione: Contromisure: garantire l integrità dei dati Esempio: attacco man-in-the-middle 15

16 Rischi e minacce Mascheramento (o spoofing): presentarsi con una diversa identità Generazione di un hijacking (o dirottamento): es. Phishing Contromisure: protezione di tecniche di autenticazione per confermare l identità degli attori in gioco 16

17 Rischi e minacce Blocco o ritardo Sfrutta le debolezze intrinseche del sistema o di sue procedure Denial of Service Replay Contromisure: tecniche di autenticazione per garantire la disponibilità del sistema 17

18 Attacchi principali Exploit Denial of service Dati forgiati opportunamente, codici malevoli (shellcode) file sovrascritti Virus e worm Backdoor. Due interpretazioni: Decifrare un testo senza possederne la chiave Far girare del codice all interno di un sistema Camera di Commercio di Reggio Emilia 18

19 Attacchi principali (2) Intercettazione: Ingegneria sociale: ingannare direttamente gli esseri umani Keylogger, sniffer, microfoni, telecamere Contromisura principale: crittografia. Attacchi manin-the-middle ridotti ma non eliminati I più difficili da contrastare (e.g. password su un pezzo di carta) 19

20 Crittografia Crittografia deriva dal greco e significa scrittura segreta Definizione: la crittografia è la disciplina che studia la trasformazione di dati allo scopo di 20

21 Crittografia (2): cifratura a chiave simmetrica Partecipanti alla comunicazione sicura condividono la stessa chiave di cifratura messaggio in chiaro è cifrato con una chiave ed è richiesta la stessa chiave per decifrare il testo cifrato La chiave simmetrica è spesso indicata come chiave segreta 21

22 Sviluppo del security plan Analisi delle minacce Security plan / meccanis mi Controllo Applicazion e nella rete aziendale 22

23 Analisi delle minacce Aiuta a capire di quale sicurezza si ha bisogno: Quali risorse hai bisogno di proteggere? Contro quali minacce? Asset hardware (PC, server, hub, switch), asset software (OS, programmi, applicazioni), dati (in DB remoti/locali, in transito) DoS, rubare o corrompere dati/servizi/sw/hw, virus/worm, danneggiamento fisico, accessi non autorizzati Matrice minacce/asset 23

24 Meccanismi di security Sicurezza fisica Protocolli/applicazioni Stanza con accesso controllato, allarme, backup elettricità, off-site storage IPsec, TLS, PGP, WPA per WiFi Cifratura (Chiave/password) e algoritmi (AES, DSA) Firewall e remote access 24

25 Sistema in sicurezza Componenti per mettere in sicurezza un sistema: SEMPI DI PROTOCOLLI DI SICUREZZA AI VARI STRATI Gli algoritmi crittografici Strato Applicativo Protocollo Pretty Good Privacy, PGP Secure Shell, SSH A cosa fornisce sicurezza Posta elettronica Servizio di login remoto: autenticazione e messaggi integri tra client e server Trasporto Alle applicazioni sopra lo strato 4 (e.g. Transport Layer Security, TLS confidenzialità, integrità e autenticazione alle Secure Socket Layer, SSL transazioni su web, HTTPS) Rete IPsec: modalità Authentication Flusso di dati sicuro tra due router/ firewall Header AH (tunnel) e Encapsulating possibilità di creare Virtual Private Network (VPN) Security Payload ESP Collegamento IEEE i, IEEE con Trasferimento dati sul collegamento tra due nodi di security-enabled rete: autenticazione e integrità E.g. Extensible Authentication Protocol (EAP) e Cipher-Block Chaning con Message Authentication Code (CBC-MAC) La distribuzione delle chiavi di cifratura I protocolli di autenticazione 25

26 Meccanismi di security: Firewall Firewall = porte tagliafuoco usate per bloccare la propagazione degli incendi Punto di accesso unificato per il traffico della rete Controllo generale e non distribuito sui singoli computer Si interpone tra la nostra rete locale presso le Camere di Commercio dei servizi ICT avanzati resi disponibili dalla banda larga e ilpromozione mondo esterno 26

27 Applicazione nella rete aziendale Applicare il meccanismo selezionato come requisiti del security plan Architettura della rete: access/distribution/core network vari livelli/zone di security Interazioni tra meccanismi di sicurezza Interazione con altre componenti della rete Indirizzamento Gestione della rete 27

28 Esempi: gestione della password Password: permette l accesso al sistema (autenticazione) secondo i privilegi dell utente Vulnerabilità: password corta o facile da indovinare Lunghezza Parola personale (e.g. nome del figlio, data di nascita) Parola di senso compiuto Parola nota (e.g. personaggi sport o film) Camera di Commercio di Reggiodi Emilia 28

29 Esempi (2): gestione della password 29

30 Esempi: principali frodi Dal sito di Poste Italiane: Phishing: realizzata con l'invio di contraffatte, finalizzata all'acquisizione, per scopi illegali, di dati riservati Pharming: finalizzato all'acquisizione illecita di dati riservati, mediante il dirottamento dell'utente da un sito internet ufficiale ad un sito pirata modifica nel DNS o nei registri del PC della vittima 30

31 Esempi (4): phising Ricevete un (sembra autentica) Nel messaggio vi viene richiesta una login (inserire i dati personali) Usare un link rapido contenuto nel messaggio (un sito identico a quello 31

32 Esempi: possibili precauzioni Regole di base prima di navigare in Internet: Disporre di un antivirus Disporre di un antispyware Disporre di un firewall Assicurasi che il 32

33 Esempi: sicurezza Wi-Fi Trasmissione via radio soggetta ad ulteriori rischi Misure per la sicurezza delle reti wireless: Chiave di Autenticazione Pubblica (Wired Equivalent Privacy, WEP) Chiave di crittografia WPA (Wi-Fi Protected Access). Chiavi per ogni utente attraverso una PreShared Key (PSK) Modifiche per aumentare la sicurezza: cifratura basata su 33

34 Legge sulla privacy Motivo: rispettare gli accordi di Schengen legge del 31 dicembre 1996 numero 675 aggiornata nel Testo Unico (D. L. 30 giugno 2003, n. 196 Codice in materia di protezione dei dati personali in vigore dal 1 gen 04) Scopo: riconoscimento del diritto del singolo sui propri dati personali disciplina delle diverse operazioni di gestione dei dati 34

35 Grazie per l attenzione b b u D? e d n a m o d, i 35

36 Riferimenti J. Joshi et al., Network Security: Know It All, ed. Elsevier. A. S. Tanenbaum, Reti di calcolatori, Ed. Pearson Education Italia, 4 ed., S. Piccardi, La gestione della sicurezza con GNU/Linux, available at W. Stallings, Cryptography and Network 36

37 Crittografia Crittografia deriva dal greco e significa scrittura segreta Attualmente indica la disciplina che permette al mittente di cifrare opportunamente un messaggio da inviare, di renderlo incomprensibile a coloro a cui non è destinato ma di permettere al destinatario di decifrarne il contenuto e di risalire, quindi, al messaggio 37

38 Cifratura a chiave simmetrica Partecipanti alla comunicazione sicura condividono la stessa chiave di cifratura messaggio in chiaro è cifrato con una chiave ed è richiesta la stessa chiave per decifrare il testo cifrato La chiave simmetrica è spesso indicata come chiave segreta 38

39 Cifratura a chiave simmetrica (2) Esempi di algoritmi di cifratura a chiave simmetrica Anche chiamato AES (Advanced Encrytion Standard) 39

40 Cifratura a chiave asimmetrica Si usano sempre una coppia di chiavi una chiave può essere usata per la cifratura (la chiave pubblica) l altra solo per la decifratura (la chiave privata) Per la comunicazione sicura si cifra il messaggio 40

41 Cifratura a chiave asimmetrica (2) Principali algoritmi a chiave asimmetrica RSA: è l algoritmo di questa categoria più famoso e robusto. L RSA ha bisogno di una lunghezza di chiave di almeno 1024 bit per garantirne un livello di robustezza adeguato, rendendolo molto lento El-Gamal: altro algoritmo noto, non vi esiste una soluzione efficiente, richiesta una lunghezza di chiave di almeno 1024 bit DSA (Digital Signature Algorithm): difficile 41

42 Funzionalità di hash Funzioni di hash crittografici o funzioni ad una via per integrità, autenticazione e non repudiabilità Autenticazione e Integrità del messaggio: Valore di hash cifrato con la chiave segreta (simmetrica) Message Authentication Code (MAC) l hash dà l integrità, la chiave segreta dà l autenticazione In ingresso un qualunque testo in chiaro di dimensione arbitraria e generano in uscita una di bit di ICT avanzati resi disponibili dalla banda larga Promozione presso lestringa Camere di Commercio dei servizi 42

43 Funzionalità di hash (2) Principali algoritmi di hash: MD5: Esegue prima un inserimento di bit extra per avere un certo numero di blocchi di 512 bit intero. Si eseguono poi manipolazioni dei bit di tali blocchi con un buffer di 128 bit, il quale alla fine della computazione risulta essere il valore di hash o message digest. Attualmente sono noti vari problemi che ne limitano l uso. SHA-1 (Secure Hash Algorithm-1): utilizzato in 43 applicazioni come SSL e IPsec. CameraGPG, di CommercioSSH, di Reggio Emilia

44 Riassunto degli algoritmi di crittografia 44