220 likes | 499 Views
Sicurezza informatica Comunicazioni cifrate, firma digitale, tecniche di attacco e di difesa, tutela della privacy a cura di Loris Tissìno (www.tissino.it). “Sicurezza”: alcuni aspetti. Funzionamento calcolatore / rete Difesa dati personali / aziendali Difesa della privacy (dati / azioni)
E N D
Sicurezza informatica Comunicazioni cifrate, firma digitale,tecniche di attacco e di difesa, tutela della privacy a cura di Loris Tissìno (www.tissino.it)
“Sicurezza”: alcuni aspetti • Funzionamento calcolatore / rete • Difesa dati personali / aziendali • Difesa della privacy (dati / azioni) • Verifica identità del corrispondente • Attendibilità dei contenuti • Contenuti illegali
Tematiche coinvolte • Steganografia e crittologia • Protocolli di Internet • Esecuzione di applicazioni su server e client • Impostazioni del browser e dei visualizzatori di contenuto • Tecniche di intrusione • Gestione delle password • Gestione della rete: server proxy, firewall, zone demilitarizzate
Steganografia • Nascondere una comunicazione all'interno di un'altra • dissimulazione (testo in immagine o suono) • scrittura convenzionale (variazioni semantiche) • scrittura invisibile (inchiostro invisibile)
Crittologia • Crittografia • cifrare messaggi • decifrare messaggi • Crittanalisi • violare la segretezza dei messaggi
Crittografia nella storia • Crittografia classica • segretezza dell'algoritmo di cifratura • Crittografia moderna • pubblicità dell'algoritmo, segretezza della chiave di cifratura (principio di Kerchoffs)
Crittografia simmetrica Cifratura Testo “in chiaro” + chiave di cifratura + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave di cifratura + algoritmo di decifrazione = Testo “in chiaro”
Crittografia simmetrica • Problemi: • Numero di chiavi necessarie (una per ogni corrispondente) • Trasmissione della chiave (canale sicuro) • Vantaggi: • Velocità • Realizzabilità con hardware dedicato (es. processori specifici)
Crittografia asimmetrica Cifratura Testo “in chiaro” + chiave pubblica destinatario + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave privata destinatario + algoritmo di decifrazione = Testo “in chiaro”
Firma digitale Firma Testo “in chiaro” + chiave privata del mittente + algoritmo = Testo in chiaro con firma digitale in coda Verifica della firma Testo in chiaro con firma digitale in coda + chiave pubblica del mittente + algoritmo di verifica = Testo in chiaro verificato Nota: di solito la firma è applicata ad un “riassunto” del documento (funzione hash sicura)
Crittografia ibrida Decifrazione Testo cifrato + chiave privata del destinat. + algoritmo di decifrazioneasimmetrica della chiave + algoritmo di decifrazionesimmetrica del testo cifrato = Testo “in chiaro” Cifratura Testo “in chiaro” + chiave segreta casuale + algoritmo di cifraturasimmetrica del testo + chiave pubblica dest. + algoritmo di cifraturaasimmetrica della chiave casuale generata = Testo cifrato
Autorità di certificazione • Autorità che certifica la corrispondenza tra chiave pubblica e identità del possessore • Tecnicamente “firma” con la propria chiave privata la chiave pubblica del soggetto certificato • In Italia, le CA (Certification Authorities) sono approvate dall'AIPA (www.aipa.it)
Tecniche crittanalitiche • Forza bruta (provare tutte le combinazioni) • Analisi statistica dei contenuti • Crittanalisi differenziale • “Man in the middle”
Crittografia applicata • Alcuni esempi: • PGP (Pretty Good Privacy) • GnuPG (Gnu Privacy Guard) • SSL (Secure Socket Layer) • SSH (Secure Shell)
Tecniche di attacco • Attacco alle password • Spionaggio con gli sniffer (lett., “annusatori”) • Analisi debolezze con scanner (analizzatori) • Spoofing (fingersi un calcolatore diverso) • DoS (“denial of service”, negazione del servizio)
Gestione delle password • Usare password • lunghe • non predicibili • non basate su nomi, date di nascita, ecc. • Password diverse per servizi diversi • Cambiare le password frequentemente • Non scrivere le password su un foglietto attaccato al monitor (!) • Non condividere password fra più utenti
Malicious code (malware) • Virus • Macrovirus • Cavalli di Troia (Trojan horses) • Worm • Sfruttamento di bachi nel software
Applicazioni web lato client • Script in pagine web (javascript e simili) • Applicazioni gestite da moduli aggiuntivi • Applet Java gestite dalla Java Virtual Machine • Animazioni Flash gestite da Flash Player • ... • Software specifico per “migliorare l'accesso” a un sito (!)
Protezione della rete • Firewall: calcolatore che filtra le trasmissioni tra rete interna e mondo esterno in base a regole prestabilite • Proxy server: applicazione che svolge il ruolo di intermediario nella richiesta di servizi al mondo esterno • DMZ (zona demilitarizzata): calcolatori che risultano visibili all'interno e all'esterno della rete locale
Webografia • www.sikurezza.org • www.enricozimuel.net • www.aipa.it • www.interlex.it • www.alcei.it