PRINCIPI DI COMPUTER SECURITY Andrea Paoloni
2
Cade il segreto dei codici cifrati Corriere della Sera 26 febbraio 2008 3
Gli hacker sono utili? 4
Safety vs Security SAFETY (salvezza): protezione, sicurezza da danni fisici SECURITY(sicurezza): invulnerabilità da attacchi esterni 5
Relazioni con Safety Quali relazioni sussistono tra la sicurezza delle persone e i seguenti temi: Sicurezza Sistemi ad alta integrità Quality management 6
Beni da proteggere Hardware Software Informazioni (dati nel sistema) Servizi (forniti dal sistema) 7
Protezione delle informazioni Riservatezza Autenticità Integrità Disponibilità 8
ICT in rete Intercettazione (tapping the wire, sniffing) Falsa identità (impersonation..) Negazione dei servizi (DoS) Virus, Cavalli di Troia 9
Anello debole La protezione non deve necessariamente avvenire con i mezzi più ovvi né verrà colpito il punto più protetto. 10
Vulnerabilità e minacce Vulnerabilità Minaccia Una minaccia viene bloccata dal controllo di una vulnerabilità 11
Tipi di minaccia Intercettazione: viene consentito l accesso a una risorsa del sistema ad una persona non autorizzata. Interruzione: una risorsa del sistema diventa non disponibile Modifica: una risorsa del sistema viene alterata Falsificazione: una risorsa del sistema viene modificata 12
Protezione Dall esterno (internet) Dall interno (intranet) 13
Vulnerabilità dell hardware I computer portatili (laptop), in particolare, sono vulnerabili perché sono pensati per essere agevolati da trasportare. Il maggior rischio per la sicurezza proviene da chi lavora all interno dell organizzazione protetta. 14
Vulnerabilità del software Un impiegato di banca scoprì che il software troncava l interesse frazionario su ogni conto. Se l interesse mensile su un conto era pari a 14.5467 euro, il software accreditava 14.54 euro. L impiegato modificò il software in modo che l interesse scartato venisse trasferito su un suo conto. 15
Vulnerabilità del software Altre categorie di modifiche al software: Cavalli di Troia (trojan horse): che apertamente svolgono un operazione ma in segreto ne coprono un altra; Virus: tipi specifici di cavalli di Troia che diffondono la loro infezione da un computer a un altro; Trapdoor: programmi con un punto di accesso segreto; Fughe di informazioni in un programma. 16
Principio della temporalità Gli elementi di un sistema informatico devono essere protetti solo fino a quando possiedono un valore, e devono essere protetti a un grado connesso con il loro valore. 17
Confidenzialità dei dati I dati possono venire raccolti con molti mezzi, per esempio sfrutttando i cavi, inserendo cimici nelle periferiche di output, passando al setaccio i cestini, monitorando le radiazioni elettromagnatiche, corrompendo i dipendenti chiave, deducendo un punto dati da altri valori, o semplicemente richiedendoli. 18
I principali metodi di attacco 2006 DTI Virus o altri codici maliziosi, 35% L abuso dei dati o delle risorse da parte del personale 21% L intrusione dall esterno di hacker 17%. Gli incidenti 8% I guasti alle apparecchiature 29%. 19
Contromisure Sistemi di identificazione ed autenticazione dell utente; Tecniche di cifratura; Codici di autenticazione dei messaggi; Sistemi di non ripudio; Aggiornamenti del sistema operativo. 20
AUTENTICAZIONE 21
Metodi di autenticazione Password statiche Passworddinamiche (Kerberos) Dispositivi di memorizzazione (Smart card..) Biometria 22
CRITTOGRAFIA 23
Crittografia Crittografia: da kryptòs (nascosto) e graphein (scrittura) alterazione di un messaggio con un procedimento noto al mittente ed al destinatario Steganografia: da stèganos (nascosto, coperto):nascondere l esistenza stessa delle comunicazione) 24
Codifica e Decodifica Codificare: testo in chiaro testo codificato Decodificare: testo codificato testo in chiaro Ambedue basate su: algoritmo e chiave Es: Shiftare di k una stringa 25
Sistema crittografico 26
Crittografia dzqpimqtpq c vzvvm Ogni lettera viene sostituita con la seconda successiva (A c, B d, e così via) BUONGIORNO A TUTTI Crittografia monoalfabetica 27
Gli algoritmi a chiave simmetrica 28
Crittografia simmetrica Medesima chiave per codifica e decodifica Di solito (DES) si usano chiavi di 64-128 bit (17-34 cifre decimali) e sono molto veloci Distribuire chiavi a coppie di utenti Per n utenti servono n2 chiavi diverse 29
Crittografia a chiave pubblica Una soluzione al problema di distribuzione delle chiavi è data dai sistemi a chiave pubblica/privata Esistono due chiavi per ogni utente: Chiave PRIVATA (strettamente personale) Chiave PUBBLICA (liberamente distribuibile) Un messaggio codificato con una delle due chiavi è decifrabile solo con l altra chiave della coppia 30
Crittografia asimmetrica Una chiave per codifica, un altra per decodifica. Ogni utente ha una coppia di chiavi: chiave privata: segreto da custodire chiave pubblica: informazione da diffondere Entrambe usabili per codificare o decodificare. 31
Diffie, Hellman e Merkle 32
Gli algoritmi a chiave pubblica 33
Autenticazione e integrità 34
Comunicazioni sicure su Internet La trasmissione di informazioni su Internet non è di per sé al riparo da rischi di intercettazione o di alterazione In generale non è sicuro diffondere informazioni riservate su web attraverso form o email non protette 35
SSL: comunicazioni sicure su Internet SSL (Secure Socket Layer) stabilisce un canale sicuro di trasmissione dati mediante l utilizzo della crittografia simmetrica. I siti che utilizzano SSL sono in genere identificati da https ; durante la navigazione il browser segnala graficamente la protezione. 36
Livelli di cifratura 37
SSL: comunicazioni sicure su Internet 38
Caratteristiche dell SSL Caratteristiche principali: Autenticazione del server SSL. Consente a un utente di avere conferma dell identita del server. Un browser con supporto SSL mantiene elenco delle CA fidate insieme alle chiavi pubbliche delle CA. Autenticazione del client SSL (opzionale) Permette al server di avere conferma sull identita del client. Sessione SSL cifrata. Tutte le informazioni inviate tra browser e server sono cifrate. Fornisce un meccanismo per rilevare contraffazione informazioni da parte di un intruso. 39
Come opera l SSL Per contattare una pagina sicura ospitata da un server SSL compatibile viene utilizzato nella URL il protocollo https al posto del semplice http Da quel momento il client e il server attivano il protocollo SSL per l handshake che: Autentica il server Genera chiave simmetrica condivisa Entrambe le azioni sono eseguite utilizzando la tecnologia RSA a chiave pubblica. 40