Scenario tecnologico, organizzativo e normativo

Transcript

1 Milano, 14 ottobre 2013 Workshop L'Identity Management nella sfida dell'interoperabilità Scenario tecnologico, organizzativo e normativo M. R. A. Bozzetti CD e Coms Officer AIPSI CEO Malabo Srl ( )

2 Sicurezza vo cercando. Sistemi informativi aziendali e delle PA DCS Consumerizzazione Ambiente lavoro Fisso + mobile Servizi ICT in cloud e/ o terziarizzati Internet Ambiente personale VDS, PLC, A/D Conv. Social network

3 Quadro di riferimento

4 La sicurezza ICT La sicurezza ICT viene definita come la "protezione dei requisiti di integrità, disponibilità e confidenzialità" delle informazioni trattate, ossia acquisite, comunicate, archiviate, processate, dove: integrità è la proprietà dell'informazione di non essere alterabile; disponibilità è la proprietà dell'informazione di essere accessibile e utilizzabile quando richiesto dai processi e dagli utenti autorizzati; confidenzialità è la proprietà dell'informazione di essere nota solo a chi ne ha il diritto Per le informazioni e i sistemi connessi in rete le esigenze di sicurezza includono anche: autenticità, ossia la certezza da parte del destinatario dell'identità del mittente non ripudio, ossia il mittente o il destinatario di un messaggio non ne possono negare l'invio o la ricezione

5 Le aree di riferimento della sicurezza ICT (il che cosa) Il governo della sicurezza aziendale Business Continuity Management privacy Il Governo della sicurezza ICT policy sicurezza ICT architettura sicurezza ICT nella EA analisi dei rischi e classificazione delle informazioni procedure organizzative conformità a leggi, raccomandazioni, standard Mitigazione degli attacchi gestione degli incidenti Sicurezza dei dati e delle transazioni Identificazione Autenticazione, controllo dei diritti e degli accessi Sicurezza dei sistemi ICT Hardware Middleware Sicurezza degli applicativi Sicurezza delle Persone Sicurezza fisica e perimetrale Fonte: nuovo libro Sicurezza Digitale 2013 di M.R.A. Bozzetti e F. Zambon

6 La logica del processo identificazione Autenticazione Autorizzazione Accesso alla risorsa ICT

7 IAA (1) Utente= persona o processo Identificazione dell'utente o dell oggetto Autenticazione, verifica dell'identità dichiarata Autorizzazione: associazione all'utente di una serie di diritti di accesso corrispondenti al suo ruolo.

8 IAA (2) Identificazione fattore chiave per: Autorizzare correttamente (controllo accessi) Verificare a posteriori Autenticazione verifica l identificazione Robustezza proporzionale al bene protetto Autorizzazione Principio del minimo diritto

9 Diversi livelli di controllo accessi Sicurezza applicativi Sicurezza applicativi RETE WIRELESS Server A RETE WIRED Applicazione A1 Dati A1 Sicurezza fisica Dispositivo utente Accesso al dispositivo d utente Accesso alla RETE SICUREZZA LOGICA Sicurezza fisica rete Accesso al Server (host) Sicurezza fisica server Accesso alle Applicazioni ed ai dati Fonte: dal volume Sicurezza Digitale di Marco Bozzetti

10 Identificazione

11 Identificatori Indirizzi IP: computer Dominio internet: organizzazioni,.. processi MAC address: interfaccie di rete UserID: persone Indirizzo persone e processi DN, Distinguished Name (ISO x509, PKIX): : persone e processi URI, Uniform Resource Identifier (W3C) risorse Internet URN, Uniform Resource Name (W3C) generalizzazione URI (isbn) UUID, Universally Unique Identifier: messaggi, record Identificatori unici generati in un sistema completamente distribuito Hash(computer, applicazione, tempo.) OASIS/XRI (i-names, i-number): i-names: generalizzazione dei nomi DNS (Human frendly) i-number: identificatore non modificabile di oggetti (machine frendly) Mai approvato da OASIS (bloccato da W3C) Usato da OpenID e Oauth Identificatori biometrici

12 Principali tecniche biometriche Impronta digitale Geometria della mano Riconoscimento iride Riconoscimento retina Riconoscimento facciale Riconoscimento vocale Grafometria

13 Schema logico dell identificazione biometrica Identificazione biometrica Autenticazione Identità dichiarata (pin, password...) Dispositivo di riconoscimento biometrico impronta Riconoscimento degli aspetti caratteristici (features) Verifca identità dichiarata (pin, password ) Banca dati Template archiviato Confronto (matching) Autenticazione positiva o negativa Fonte: dal volume Sicurezza Digitale di M.R. A. Bozzetti e F. Zambon

14 Autenticazione

15 Autenticazione Identity Owner=persona: qualcosa che sa: un segreto condiviso (password); dimostrare che possiede qualcosa: un token, un cellulare, certificato qualcosa che è: una impronta biometrica una combinazione dei precedenti: una chiave segreta RSA protetta da PIN o password; Identity Owner=processo Certificato (di gestione più semplice di una password)

16 Strumenti per l autenticazione Kerberos Sistema sicuro basato su crittografia simmetrica per autenticare la richiesta di un servizio in rete à primo SSO Radius Protocollo di autenticazione, autorizzazione e relativo accounting di servizi Utilizza UDP e centralizza la gestione degli utenti ISAKMP e IKE Per l autenticazione IPsec Directory LDAP, Lightweigt Directory Access Protocol Servizio chiave per gestire l autenticazione Ogni OS ha un directory LDAP Active Directory di Microsoft fonde un directory compatibile LDAP con DHCP, DNS, Kerberos, Radius

17 Captcha: essere umano o robot? Captcha di prima generazione: caratteri deformati Captcha di prima generazione: caratteri deformati e possibilità di chiedere una stringa alternativa Captcha di seconda generazione: caratteri tagliti da segni riconoscibili e captcha sonoro Reverse turing test Altre prove: Semplici operazioni matematiche Banali domande di cultura generale

18 Che cos è un certificato digitale File che contiene: Ø Elementi per riconoscere il possessore (DN Distinguished Name) Ø Chiave crittografica pubblica Ø Firma di una autorità (Certification Authority - CA) che testimonia la veridicità dell'associazione DN chiave pubblica Permette di essere certi che chi usa la chiave privata ha come nome il DN Il File può essere salvato sia sull hard disk del PC/dispositivo di interazione (in particolare se mobile) o, preferibilmente, su una smart card o token USB Il certificato digitale può essere di tipo qualificato o non : il certificato di tipo qualificato può essere emesso solo da una CA accreditata/notificata che verifica tramite pubblico ufficiale l identità della persona cui si rilascia il certificato

19 Certificato Si basa sulla crittografia asimmetrica Fonte: Wikipedia

20 Associazione attore-certificato Kerberos autorità centrale, mondo chiuso ISO X509v3 à PKIX, Public-Key Infrastructure X.509 autorità terza certifica le identità SPKI, Simple Public-Key Infrastructure chi eroga il servizio assicura il diritto di accesso al servizio OpenPGP: Le relazioni di fiducia sono verificate e accettate dai singoli attori

21 Autorizzazione

22 Autorizzazione: identità, profili, ruoli, permessi Fonte: dal volume Sicurezza Digitale di M.R. A. Bozzetti e F. Zambon

23 Approcci tradizionali Fonte: dal volume Sicurezza Digitale di M.R. A. Bozzetti e F. Zambon

24 Request Based Access Control Fonte: dal volume Sicurezza Digitale di M.R. A. Bozzetti e F. Zambon

25 Password Memorizzate e trasmesse come hash Oggi la maggior parte delle applicazioni si difende da tentativi ripetuti Se viene catturato l hash: Password brevi attaccabili bruteforce Attaccabili con rainbowtables Problema: generare password robuste Problema: non riutilizzarle Problema: ricordarle -> password vault o SSO

26 OTP: One Time Passwords Algoritmo, o meglio parametri segreti PIN (opzionale) No reply attach

27 Single Sign On e federazione

28 Semplificare l autenticazione Moltiplicazione password all aumentare delle applicazioni -> gestione difficile e quindi approssimativa Alternative possibili: Password vault: borsellino delle password Sincronizzazione delle password: unica password in vari sistemi SSO, Single Sign On: le applicazioni riconoscono un authentication server

29 WSSO, PSW sincro, Vault Vault: soluzione personale non di impresa PSW sincro: Origine sistemi C/S. Rischi di sicurezza: psw in chiaro, rischio strike WSSO: Comodo ma sicuro (anche autenticazione strong) Tracciabilità di tutte le operazioni Centralizzazione gestione identità e blocco accessi

30 Autenticazione Federata Autenticazione. federata: un sistema di autenticazione accetta come valida l autenticazione effettuata da un altro sistema Tecnica: scambio di credenziali tra diversi sistemi di autenticazione Stella: un brocker accettato si fa da garante Rete: i servizi di autenticazione gestiscono policy di collaborazione

31 Standard OASIS : SPML, SAML, XACML Identity Provisioning (accettazione identità) SPML, Service Provisioning Markup Language Utilizzo (Autenticazione e autorizzazione) SAML, Security Assertion Markup Language Manutenzione (evoluzione diritti di accesso) Policy controllo accessi XACML, extensible Access Control Markup Language Deprovisioning SPML Confidenzialità: XML encryption Non ripudio, Integrità: XML Signature Fonte: dal volume Sicurezza Digitale di M.R. A. Bozzetti e F. Zambon

32 Lo scenario normativo

33 Le principali normative in Italia Il quadro legislativo sulla sicurezza ICT in Italia è abbastanza complesso, in quanto molte normative sono incluse in altre leggi, ad esempio per la regolamentazione delle telecomunicazioni, per la privacy, per l amministrazione, per la digitalizzazione delle Pubbliche Amministrazioni. Principali leggi normative ed attuative (le prime cui sono seguiti vari aggiornamenti, norme attuative, ecc. ): Legge 23 dicembre 1993 n. 547 sulla criminalità informatica D.Lgs. n. 231/2001 sulla responsabilità amministrativa Legge 18 agosto 2000 n. 248 sulla nuova tutela del diritto d autore D.Lgs. 15 febbraio 2002 n. 10 per recepimento 1999/93/CE sulla firma elettronica D.Lgs 30 giugno 2003 n. 186 sulla privacy DPR 11 febbraio 2005, n. 68 regole per PEC D.Lgs. 7 marzo 2005, n Codice dell Amministrazione Digitale Legge 12 del 15 febbraio 2012 sul contrasto alla criminalità informatica DPCM 24 gennaio 2013 di indirizzo per la sicurezza informatica nazionale Vari articoli del Codice Penale: art. 392, 420, 491bis, 615, 616, 617, 621, 623bis, 635, 640

34 I recenti interventi normativi su furti di identità e frodi relative Il D.lgs n.64/2011 ha istituito il Sistema pubblico di prevenzione, sul piano amministrativo, delle frodi nel settore del credito al consumo, con specifico riferimento al fenomeno del furto di identità, con lo scopo di: Mettere a disposizione di una pluralità di soggetti aderenti dei servizi informatizzati e centralizzati di verifica delle veridicità delle informazioni presentati dai richiedenti di servizi di credito al consumo riguardanti i propri dati personali e i propri documenti di riconoscimento. Costruire una banca dati centrale delle segnalazioni dei furti di identità. L utilizzo di tale Sistema è obbligatorio per una serie di soggetti specificatamente indicati. Ø Il sistema è stato istituito con il Decreto legislativo n. 64 pubblicato in Gazzetta Ufficiale il 10 maggio 2011 Ø La realizzazione è stata affidata tramite gara a Spike Reply a settembre 2012

35 Attacchi: i dati più interessanti emersi dal Rapporto OAI 2012 e da altri Rapporti

36 OAI 2012: Principali attacchi subiti quad % rispondenti Malware Social Eng. Saturazione risorse Furto disp. Modifiche non aut. Sis Frodi Sfrut. vulnerabilità Attacchi alle reti Attacchi sic. fisica Furto info da fissi Furto info da mobili Accessi non aut. Ricatti informatici Modifiche non aut. dati Altri quad 2012 OAI 2012

37 OAI 2012: Confronto principali attacchi subiti quad % rispondenti Malware Social Engineering Saturazione risorse Furto dispositivi Frodi informatiche Modifiche non aut. Sis Sfrut. vulnerabilità Attacchi fisici Attacchi alle reti Furto info da fissi Furto info da mobili Ricatti informatici Accessi non aut. Modifiche non aut. dati Altri quad. OAI 2012

38 OAI 2012: motivazioni per gli attacchi temuti nel futuro nei vari Rapporti OAI 60% 50% 40% 30% 20% 10% 0% Altro Terrorismo Ricatto o ritorsione Spionaggio Azione Dimostrativa Sabotaggio Vandalismo Frode informatica % rispondenti OAI 2012 OAI 2011 OAI OAI 2012

39 Crescita vulnerabilità sistemi mobili

40 Crescita delle minacce per Android nel 2 trim Fonte: TrendLabs 2013

41 Questionario OAI 2013: Totalmente anonimo minuti circa per compilarlo completamente

42 Grazie per l attenzione! Info@aipsi.org