Elementi di Sicurezza e Privatezza Lezione 1 - Introduzione Chiara Braghin chiara.braghin@unimi.it
Inziamo a interagire Chi prova a rispondere alle seguenti domande: w Cosa si intende per sicurezza informatica? w Perché ci deve interessare la sicurezza informatica? Non è un problema solo militare? 1
Sicurezza Informatica? (1) 2
Sicurezza Informatica? (2) canale insicuro messaggi Alice Bob Alice e Bob possono comunicare in modo sicuro? w senza che nessuno legga i loro messaggi w senza che nessuno modifichi i loro messaggi w con la certezza di parlare proprio tra di loro 3
Sicurezza Informatica? (3) Furto di laptop w 109 mila furti registrati soltanto nel 2008 (negli USA) Furto di navigatori GPS è cresciuto del 700 per cento in soli due anni w negli Stati Uniti, si è passati da una cifra di 3.700 casi di furto denunciati nel 2006 ai 24.700 casi del 2008 4
Sicurezza Informatica? (4) 5
Sicurezza Informatica? (5) 6
Sicurezza Informatica? (6) 7
Dalle news (1) 8
Dalle news (2) 9
Dalle news (3) 10
Sicurezza e Web: Phishing @ @ 1. L a$accante invia a migliaia di indirizzi internet un e- mail falsa spacciandosi per un is8tuto bancario. ATTACCANTE @ Gentile utente, per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale. http://www.banklinknet.it 2. L utente riceve l e- mail falsa dove viene chiesto di cliccare su un link ed inserire i propri codici d accesso. 3. I codici inseri8 arrivano dire$amente al phisher che li userà per i suoi scopi. ATTACCANTE 11
Sicurezza Informatica? (1) In generale: w Sicurezza = Assenza di rischio o pericolo Sicurezza Informatica? w Prevenzione o protezione contro w accesso, distruzione o alterazione di risorse/informazioni w da parte di utenti non autorizzati 12
Sicurezza informatica: perché? Perché proteggere le informazioni? w Le informazioni sono una componente importante e strategica per un azienda w Danni o utilizzi non previsti dell informazione possono avere conseguenze, anche disastrose, non solo per il singolo utente a cui sono state rubati, ma anche per l intera organizzazione Es. Laptop rubato a un dipendente di US Veterans: conteneva 26.5 milioni di record di veterani (nome, data nascita, ssn, etc.)!!!! w L avvento di Internet ha reso l accesso alle informazioni molto più semplice 13
Sicurezza Informatica? (2) Abilità di un sistema di proteggere informazioni e risorse rispetto alle nozioni di CIA w Confidentiality (Secrecy e Privacy) w Integrity w Availability 14
Confidentiality (1) Confidentialità Assicurare che le informazioni non siano accessibili ad utenti non autorizzati w Problema: chi determina quali utenti siano autorizzati? w Termini usati come sinonimi: segretezza e privatezza Privatezza (privacy): quando l informazione fa riferimento a individui w Assicurare che gli utenti possano controllare quali informazioni su di loro vengano raccolte, come vengano usate, chi le usi, chi le mantenga e per quale scopo vengano usate. 15
Confidentiality (2) Privacy = diritto di segretezza w La password di laboratorio è confidenziale, non privata La democrazia si basa sulla privacy w Il voto è privato Nota: in Europa i dati personali sono privati, in USA no! w La Doxa non può vendere i vostri dati 16
Integrity Integrità Assicurare che le informazioni non siano alterabili da utenti non autorizzati (in maniera invisibile agli utenti autorizzati) Integrità di un video Integrità di un database Integrità di una cache w Nota1: Non importa l origine dei dati (autenticazione) w Nota2: Mancanza di integrità spesso sinonimo di falsificazione 17
Availability Disponibilità Assicurare che le informazioni siano disponibili agli utenti autorizzati Assicurare che un sistema sia operativo e funzionante in ogni momento (non denial-of-service, DoS) 18
CIA - Conflitti? Le 3 proprietà a volte sono in conflitto Confidentiality Sicurezza Informatica Availability Integrity Esempio: confidentiality vs availability w Se non permetto a nessuno di leggere un informazione, garantisco la prima, ma non la seconda w Un sistema centralizzato va bene per la prima, ma, rallentando il tempo di risposta, non per la seconda 19
Sicurezza Informatica - Esempio (1) Si consideri il database contenente le informazioni sugli stipendi degli impiegati di una certa azienda, si deve assicurare che: w i salari degli impiegati non vengano svelati a un utente arbitrario del database w i salari vengano modificati solo dalle persone autorizzate a questo compito (segretaria amministrativa) w le buste paga vengano stampate alla fine di ogni mese 20
Sicurezza Informatica - Esempio (2) In ambito militare è importante che: w il target di un missile non venga comunicato ad un utente non autorizzato w il target non venga arbitrariamente modificato w il missile venga lanciato nel momento in cui si inizia a fare fuoco 21
Sicurezza Informatica? (3) Autenticazione (authentication) w Assicurare che i soggetti siano effettivamente chi affermano di essere Non ripudio (non repudiation) w Assicurare che il mittente di un messaggio non possa negare il fatto di aver spedito il messaggio e il destinatario non possa negare di averlo ricevuto Anonymity (Anonimato) w Assicurare che non sia possibile risalire all autore di una certa azione w Difficile da garantire nel mondo digitale Indirizzo Ethernet unico MS Office inserisce il nome dell autore IP trace-back 22
Confidentiality vs Privacy vs Anonymity Privatezza: w Diritto dell individuo di rilasciare (o meno) le informazioni che lo riguardano w Diritto alla segretezza. Anonimato: w Diritto dell individuo di rilasciare (o meno) la propria identità Anonimato commerciale e sanitario Pseudo-anonimato: uso di nome falso E davvero un diritto? 23
Sicurezza Informatica - Tassonomia Sicurezza Informatica. Controllo Livelli di segretezza Equilibrio privatezza-legge Non ripudiabilità Autenticazione Confidentiality (segretezza) Privatezza Anonimato Availability Integrity 24