Sicurezza informatica:

Transcript

1 Sicurezza informatica: i problemi e le soluzioni tecnicoorganizzative Marco Mezzalama < polito.it > Politecnico di Torino Dip. Automatica e Informatica Sicurezza Crittografia La tecnologia Definizioni Organizzazione Reti Firma digitale Piano sicurezza Firewall e reti private virtuali Crittografia e firma digitale Sicurezza delle applicazioni Internet Piano di sicurezza Smart-card e commercio elettronico Virus e worms Le norme

2 Ci sono più sigle nella sicurezza che razze canine sulla terra! PKCS Firma digitale CA RSA SHA Firewall DES VPN PGP X509 Argomenti Lo scenario attuale Definizioni e considerazioni generali Servizi di sicurezza Politica e piano di sicurezza

3 La sicurezza informatica è il fattore abilitante per un reale uso commerciale di Internet Come mi difendo? firewall? IPSEC? smart-card? apparati cifranti? guardie armate? VPN? Test di penetrazione su circa 2000 siti di rete (via SATAN) Type of site Total # of hosts scanned: Total % Vulnerable % Red Banks Credit unions US federal sites Newspapers Sex Totals

4 Illeciti e frodi informatiche: alcuni dati Il 60% delle aziende Fortune 1000 segnala attacchi Nel 50% dei casi i danni >= 500 K$ 80% degli attacchi non vengono scoperti (Forum of Incident Responce Security Teams) Illeciti e frodi informatiche: alcuni dati Danni da illeciti informatici negli USA pari a circa 100 miliardi di $ per anno, di cui: 40% per frodi 20% per uso illecito di sw Le perdite dovute ad incidenti o malfunzionamenti che colpiscono i sistemi informativi aziendali in Italia sono stati valutati in circa miliardi (Club Sicurezza Informatica)

5 Illeciti e frodi informatiche: alcuni dati Nel milioni di consumatori sono stati vittime di truffe su carte di credito o del loro utilizzo indebito via web nel G$ sono stati persi in termini globali per worms in rete, principalmente Melissa il tasso di penetrazione in sistemi da parte di crackers è raddoppiato rispetto al 98 (Andersen Cons. & Purdue Un.) Virus e Trojan Alcuni dati: il numero di virus è > di , erano 40 nel 1989 nel 1999 sono stati realizzati circa nuovi virus macro-virus e worm 20 miliardi di $ di danni nel 1999 (Computer Economics)

6 Illeciti e frodi informatiche:le cause (Roadmap for Defeating DDOS) Attack technology is developing in a opensource environment and is evolving rapidly Defensive strategies are reactionary Thousands - perhaps millions - of system with weak security connected to the Internet The explosion in use of the Internet is straining our scarse technical talent. The average level of system administrators has decreased dramatically in the last 5 years Illeciti e frodi informatiche: le cause (Roadmap for Defeating DDOS) Increasingly complex sw is being written by programmers who have no training in writing secure code Attacks and attack tools trascend geography and national boundaries The difficulty of criminal investigation of cybercrime coupled with the complexity of international law mean that prosecution of computer crime is unlikely (feb. 2000, after Clinton meeting at W.H.)

7 Esterno - Interno? 40% 30% 30% Omissioni volontarie Attacchi esterni Disonestà Il mondo in rete. insicura

8 Le criticità La suite dei protocolli Internet è intrinsecamente insicura e lo sono anche molti servizi HTTP FTP TCP IP SMTP Altre tipologie di attacchi Trojan horse, oggi legati ai messaggi di mail Virus Worm Back doors

9 Altre tipologie di attacchi Sistemi mal configurati account senza psw account scaduti e non disattivati dischi di rete senza autenticazione installazione prodotti e s.o. via ftp la debolezza umana Sono il direttore, voglio un account e psw! Sicurezza L insieme delle misure (di carattere organizzativo e tecnologico) mirate ad assicurare a ciascun utente o processo (e a nessun altro) tutti e soli i servizi previsti per quell utente o processo, nei tempi e nelle modalità previste.

10 Le componenti fondamentali Norme Tecnologia Sicurezza Organizzazione Requisiti di sicurezza

11 Le regole per la sicurezza Regola n. 1: le informazioni trasmesse o memorizzate devono essere inaccessibili a tutti, tranne a chi le invia e le riceve (riservatezza) Le regole per la sicurezza Regola n. 2: le informazioni trasmesse o memorizzate non devono essere variate durante il tragitto (integrità)

12 Le regole per la sicurezza Regola n. 3: il ricevente deve avere certezza che le informazioni provengano dal vero mittente (autenticità) Le regole per la sicurezza Regola n. 4: il mittente non deve poter negare di averle inviate (non ripudio)