La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Ottava lezione: Privacy e Sicurezza (Capitolo 15 e parte Capitolo 10) Informatica e Laboratorio1Sergio Mascetti.

Presentazioni simili


Presentazione sul tema: "Ottava lezione: Privacy e Sicurezza (Capitolo 15 e parte Capitolo 10) Informatica e Laboratorio1Sergio Mascetti."— Transcript della presentazione:

1 Ottava lezione: Privacy e Sicurezza (Capitolo 15 e parte Capitolo 10) Informatica e Laboratorio1Sergio Mascetti

2 Prima parte Introduzione alla sicurezza informatica Informatica e Laboratorio2Sergio Mascetti

3 Il concetto di sicurezza Un sistema informatico dovrebbe garantire – Confidenzialità: solo chi è autorizzato a leggere i dati lo può fare – Integrità: solo chi è autorizzato a modificare i dati lo può fare – Disponibilità: i dati devono essere accessibili a chi è autorizzato Informatica e LaboratorioSergio Mascetti3

4 La sicurezza informatica Ambito applicativo e di ricerca di grande attualità e di ampio interesse I risultati sono applicati: – in ambito militare e civile – per enti governativi, grandi aziende, privati cittadini Problematiche molto complesse: – vedremo principalmente aspetti interessanti per un uso privato dei computer Informatica e LaboratorioSergio Mascetti4

5 Chi è l’avversario? Avversario: entità che tenta di violare la sicurezza di un sistema Agente software: un programma autonomo finalizzato a danneggiare dei sistemi e, in genere, a diffondersi autonomamente Agente umano: persona che, utilizzando diversi applicativi software, tenta di violare la sicurezza di un sistema. Informatica e LaboratorioSergio Mascetti5

6 La sicurezza assoluta non esiste. Il livello di sicurezza deve essere adeguato alle informazioni che devono essere protette. Quanto vale l’informazione da proteggere? – Quanto siamo disposti a spendere per proteggerla? – Quanto è disposto a spendere l’avversario per ottenere l’informazione? Informatica e LaboratorioSergio Mascetti6

7 Organizzazione della lezione Introduzione alla crittografia – aspetti teorici e concettuali Alcune nozioni relative alla sicurezza – aspetti maggiormente pratici e applicativi Introduzione alla gestione della privacy Informatica e LaboratorioSergio Mascetti7

8 Seconda parte: La crittografia Informatica e Laboratorio8Sergio Mascetti “Critto che?”

9 La crittografia Tecnica finalizzata ad alterare l’informazione in modo tale da renderla inutilizzabile a chiunque tranne che alle persone autorizzate. Informatica e LaboratorioSergio Mascetti9 Cifratura Testo in chiaroTesto cifrato Decifratura Testo in chiaro Chiave di cifraturaChiave di decifratura

10 La crittografia a chiave simmetrica La stessa chiave utilizzata per cifrare e decifrare Esempio di funzione di cifratura: XOR – XOR = operatore logico booleano – input = due valori booleani – output = 1 (vero) se uno dei due input è 1 (vero), ma non entrambi; altrimenti, output=0 (falso) Informatica e LaboratorioSergio Mascetti10 aba OR b VERO FALSO VEROFALSOVERO FALSOVERO FALSO XOR

11 Una proprietà dell’XOR Date due serie di bit A e B, indichiamo A XOR B il risultato del XOR applicato ai bit di A e B – esempio: 0101 XOR 1001 = 1100 – si dice “applicato bit a bit” Vale quindi la seguente proprietà: – A XOR B = C  C XOR B = A – 0101 XOR 1001 = 1100  1100 XOR 1001 = 0101 Informatica e LaboratorioSergio Mascetti11

12 “A cosa ci serve?” Cifratura: – “testo in chiaro” XOR “chiave” = testo cifrato Decifratura: – “testo cifrato” XOR “chiave” = testo in chiaro Possiamo usare la stessa chiave per cifrare e decifrare Informatica e LaboratorioSergio Mascetti12

13 Supponiamo che l’attaccante ottenga un bit di informazione cifrata e non conosca la chiave – L’attaccante ottiene l’informazione 1 – Supponiamo che anche la chiave sia di 1 bit L’attaccante sa che: – se la chiave fosse 1, allora il testo in chiaro sarebbe 0 (0 XOR 1 = 1) – se la chiave fosse 0, allora il testo in chiaro sarebbe 1 (1 XOR 0 = 1) – la chiave ha il 50% di probabilità di essere 0 e il 50% di essere 1 Dunque dato il testo cifrato, l’attaccante sa che il testo in chiaro è 1 al 50% e 0 al 50% – Cioè non ha imparato nulla sul testo in chiaro! – È proprio quello che volevamo. Cosa può fare l’attaccante? Esempio con 1 bit Informatica e LaboratorioSergio Mascetti13

14 Cifratura a chiave simmetrica: perché funziona L’idea è che: – Cifrare è “facile” – Decifrare è “facile” se si conosce la chiave – Decifrare è “molto difficile” se non si conosce la chiave Quale formalismo usiamo per catturare formalmente questa intuizione? Informatica e LaboratorioSergio Mascetti14

15 Complessità computazionale della cifratura a chiave simmetrica (1) Consideriamo un testo in chiaro T di lunghezza fissata Problema: cifra T usando una chiave (nota) K – Complessità computazionale lineare nella lunghezza (in bit) di K Problema: decifra T usando una chiave (nota) K – Complessità computazionale lineare nella lunghezza (in bit) di K (nota: in alcuni sistemi usati nella pratica, la complessità computazionale è ancora minore) Informatica e LaboratorioSergio Mascetti15

16 Complessità computazionale della cifratura a chiave simmetrica (2) Problema: decifra T senza conoscere la chiave – Bisogna provare per tutte le chiavi possibili – Quante sono le chiavi possibili? Se la lunghezza della chiave è n-bit, tutte le chiavi possibili sono 2^n (“2 alla n”). La complessità computazionale è esponenziale rispetto alla lunghezza (in bit) della chiave. Informatica e LaboratorioSergio Mascetti16

17 Complessità computazionale della cifratura a chiave simmetrica (3) “E questo a cosa ci serve?” Basta aumentare di 1 bit la lunghezza della chiave – Il tempo necessario per cifrare e decifrare (conoscendo la chiave) aumenta di pochissimo – Il tempo necessario per decifrare (senza conoscere la chiave) raddoppia! Informatica e LaboratorioSergio Mascetti17

18 “compro un sacco di computer e ti frego, tiè!” No, non ce la puoi fare. Un algoritmo di cifratura a chiave simmetrica con chiave a 64bit è stato violato usando un migliaio di computer per 5 anni. Violare una cifratura a 128 bit è 2^64 volte più difficile: – Per farlo nello stesso tempo (5 anni) servirebbero circa 2^64 (=circa 10^19) volte il numero di computer (circa 10 mila miliardi di miliardi di computer) oppure mille computer per 50 miliardi di miliardi di anni – Invece il tempo per cifrare e decifrare (conoscendo la chiave) raddoppia solamente! Informatica e LaboratorioSergio Mascetti18

19 Cifratura a chiave simmetrica Vantaggi: – molto rapido cifrare e decifrare – molto difficile da violare Svantaggi: – le due componenti della comunicazione devono preventivamente concordare la chiave – c’è una chiave per ogni possibile coppia di entità che devono comunicare: se le componenti sono n, le chiavi sono nell’ordine di n 2 Informatica e LaboratorioSergio Mascetti19

20 Quando viene usata la cifratura a chiave simmetrica Tutte le volte in cui le due componenti della comunicazione hanno un “momento sicuro” per scambiarsi la chiave Esempi: – in ambienti militari: prima che l’aereo decolli, scambia la chiave con la base – nei cellulari: la chiave è scritta nella SIM e l’operatore la conosce (è l’operatore stesso che ha rilasciato la SIM) Questo schema di cifratura non è adatto quando non si sa, a priori, con chi si andrà a comunicare. Informatica e LaboratorioSergio Mascetti20

21 La cifratura a chiave pubblica (o asimmetrica) La chiave usata per cifrare è diversa dalla chiave per decifrare. – Non entriamo nel dettagli di come si calcola la funzione di cifratura Le chiavi vengono create a coppie : – pr: la chiave privata è nota solo all’entità – pu: la chiave pubblica è nota a tutti Se cifro usando pr, posso decifrare solo con pu – …o viceversa: se cifro con pu, posso decifrare solo con pr Informatica e LaboratorioSergio Mascetti21

22 Cifratura a chiave pubblica: cifratura dell’informazione Informatica e LaboratorioSergio Mascetti22 Cifratura Testo in chiaroTesto cifrato Decifratura Testo in chiaro Chiave pubblica del destinatario Chiave privata del destinatario

23 Cifratura a chiave pubblica Vantaggi: – non richiede lo scambio preventivo di chiavi – ogni entità deve avere una chiave per ogni altra entità, quindi se ci sono n entità, il numero delle chiavi è nell’ordine di n Svantaggi: – cifratura e decifratura sono più lente rispetto alla cifratura a chiave simmetrica – la dimostrazione di correttezza di queste tecniche è basata su un’assunzione non ancora dimostrata. Informatica e LaboratorioSergio Mascetti23

24 “E tutti usano questa tecnica senza che sia stata dimostrata?” Problema aperto dell’informatica – P =? NP Non abbiamo tempo di capire cosa voglia dire in realtà questo problema – tutti assumono P ≠ NP – ma non è ancora stato dimostrato Se qualcuno dimostrasse P=NP – le tecniche di cifratura asimmetrica (come sono ora) diverrebbero inutili – l’informatica cambierebbe completamente Informatica e LaboratorioSergio Mascetti24

25 Quando viene usata la cifratura asimmetrica Quando ci sono tante entità che devono comunicare tra di loro ma che non si conoscono a priori Quando l’informazione è importante ma non vitale – i militari non usano chiave asimmetrica perché la correttezza non è stata ancora completamente dimostrata. Esempi: – Sul web (tutte le volte che accedete ad un indirizzo del tipo “https:”) – Posta elettronica: esistono programmi che permettono lo scambio di chiavi e la cifratura dei messaggi Informatica e LaboratorioSergio Mascetti25

26 Cifratura a chiave pubblica: firma digitale Usando la cifratura a chiave pubblica: – chiunque potrebbe essere il mittente di un messaggio Però è possibile usare la cifratura a chiave pubblica per garantire l’identità del mittente Informatica e LaboratorioSergio Mascetti26 Cifratura Testo concordato a priori Testo cifrato (firma digitale) Decifratura Testo concordato a priori Chiave privata del mittente Chiave pubblica del mittente

27 Firma digitale: esempio Supponiamo che la frase concordata a priori sia “casa”. Sergio cifra “casa” con la propria chiave privata. Poi invia il risultato, assieme al proprio nome, a Daniela Daniela riceve “Sergio” e un testo cifrato. Prova a decifrare il testo cifrato con la chiave pubblica relativa a Sergio. – se ottiene la parola “casa” vuol dire che il messaggio arriva proprio da Sergio perché deve essere stato cifrato con la chiave privata di Sergio (che solo Sergio conosce) Informatica e LaboratorioSergio Mascetti27

28 Composizione di firma digitale e cifratura Informatica e LaboratorioSergio Mascetti28 Decifratura Cifratura Testo in chiaro e firma digitale Chiave pubblica del destinatario Per garantire sia la riservatezza del messaggio, sia la provenienza, si cifra la firma digitale assieme al testo del messaggio. Testo cifrato Chiave privata del destinatario Testo in chiaro e firma digitale

29 Seconda parte: alcune nozioni (pratiche) di sicurezza informatica Informatica e Laboratorio29Sergio Mascetti “virus sul PC? Preferisco prendere io l’H1N1...”

30 I virus e non solo “virus informatico” (in senso lato): – termine usato dagli utenti – indica un qualunque programma finalizzato a compiere azioni illecite in un computer – Il termine tecnico è “malware” In termini tecnici i “virus” sono un particolare tipo di malware – ma ne esistono anche altri Informatica e LaboratorioSergio Mascetti30

31 I virus (in termini tecnici) Parte di codice che risiede all’interno di un programma Quando il programma viene mandato in esecuzione, anche quella parte del codice viene eseguita: – può modificare dati, trasmettere dati, etc... – cerca di infettare altri programmi Si trasmette attraverso la copia di software infetto su altri computer Informatica e LaboratorioSergio Mascetti31

32 Come si diffonde il malware? Attraverso exploit – si sfruttano (“exploit” = “sfruttare”) errori nel codice del sistema operativo, oppure di qualche altra applicazione Attraverso gli utenti – che eseguono del codice non sicuro (per es: allegati delle o programmi scaricati) Informatica e LaboratorioSergio Mascetti32

33 Esempio Blaster è un malware (un worm, per la precisione) che si diffonde (diffondeva) sfruttando un errore di Windows. Le macchine venivano infettate quando erano in funzione, senza nessuna colpa da parte dell’utente. Informatica e LaboratorioSergio Mascetti33

34 Esempio Creo un programma che cancella tutti i file.doc dal computer e poi si auto-invia (come allegato) a tutti i contatti di posta elettronica assieme alla scritta: “Guarda che bel programma!” Come si diffonde? – Grazie agli utenti (ingenui) che eseguono l’allegato Fa danni? – Programmi simili hanno fatto miliardi di dollari di danni nel mondo Informatica e LaboratorioSergio Mascetti34

35 Come ci si difende dal malware? Usando tutte queste soluzioni: 1)Usando programmi di protezione come antivirus e firewall 2)Aggiornando regolarmente il software utilizzato 3)Avendo un comportamento responsabile: conoscere le minacce di sicurezza permette di capire come si posso prevenire attacchi di sicurezza Informatica e LaboratorioSergio Mascetti35

36 Antivirus Sono programmi che scansionano (=passano in rassegna) tutti i file sull’hard disk alla ricerca di virus: – A volte prevengono le infezioni scansionando automaticamente alcuni file in ingresso sulla macchina (es. gli allegati ai messaggi) – Se non prevengono l’infezione a volte permettono di limitare i danni Un antivirus protegge solo contro i virus che conosce – nuovi virus vengono creati quasi giornalmente –  è necessario aggiornare le “definizioni dei virus” (cioè l’elenco dei virus conosciuti) molto di frequente Informatica e LaboratorioSergio Mascetti36

37 Firewall Sono programmi che monitorizzano tutto il traffico Internet in entrata e in uscita: – permettono di rilevare comportamenti anomali che potrebbero essere causati da malware Quando rilevano un comportamento anomalo chiedono all’utente cosa fare – ma se l’utente non sa cosa sia un firewall, non sa cosa rispondere! Informatica e LaboratorioSergio Mascetti37

38 Firewall, esempio Esempio di messaggio per l’utente: – “Un programma sta tentando di accedere alla porta TCP Blocco la connessione?” Significa che un programma sta tentando di comunicare in rete. Due possibilità: – se avete appena lanciato un’applicazione che comunica in rete (es: un programma di file sharing) allora non dovete bloccare. – altrimenti bloccate la connessione: potrebbe trattarsi di un malware che sta cercando di comunicare via rete. Informatica e LaboratorioSergio Mascetti38

39 Aggiornare il software Abbiamo detto che molti virus si diffondono a causa di errori nel codice Quando uno di questi errori viene individuato, di solito viene rilasciata una correzione (o “patch”) È importante aggiornare regolarmente il sistema operativo e le altre applicazioni che usate. Informatica e LaboratorioSergio Mascetti39

40 Gli utenti consapevoli sono la migliore difesa Alcuni concetti che vi possono aiutare ad avere sistemi più sicuri: – Multi-utenze – Incertezza sulla provenienza dei messaggi – Uso di backup – Password sicure Informatica e LaboratorioSergio Mascetti40

41 Multi-utenze La maggior parte dei sistemi operativi recenti supportano l’accesso alla macchina da parte di diversi utenti con diversi diritti di accesso. – Alcuni utenti sono amministratori cioè possono modificare tutte le impostazioni di una macchina – Altri utenti hanno accesso limitato e non possono accedere ad alcune impostazioni. Informatica e LaboratorioSergio Mascetti41

42 Multi-utenze (2) Principio base: se un utente esegue un programma, il programma ha gli stessi diritti di accesso dell’utente – questo vale anche per i virus! Se accedete alla macchina come amministratori e prendete un virus: – il virus ha accesso illimitato alla vostra macchina Se lavorate come utenti semplici: – anche se prendete un virus, questo potrà fare meno danni Informatica e LaboratorioSergio Mascetti42

43 Multi-utenze (3) Come si procede di solito: si creano almeno due utenti – Un amministratore, per quando dovete installare un programma, modificare delle impostazioni del sistema, etc… – Un utente per l’utilizzo normale della macchina Informatica e LaboratorioSergio Mascetti43

44 Incertezza sulla provenienza (e sul contenuto) dei messaggi In Internet circolano molti messaggi il cui scopo è imbrogliare gli utenti ingenui: – Mail, messaggi istantanei, etc… Non si tratta solo di virus, ma anche di semplici frodi. Quando ricevi un messaggio, anche da una persona nota, ricordati che quel messaggio potrebbe non arrivare veramente da lui – per esempio, alcuni virus spediscono dei messaggi a tutti i contatti nella rubrica. Informatica e LaboratorioSergio Mascetti44

45 Non fatevi fregare Nessuno vi chiederà (mai!) la vostra password via posta elettronica (perché non è sicuro). – Se vi viene richiesta una password via , è una truffa. Moltissime catene via mail sono fatte esclusivamente per raccogliere indirizzi di da usare per lo spam – Es: “l’azienda XYZ ti darà 100$ se mandi questa mail ad almeno 30 persone” Ci sono mille altri modi per truffare gli ingenui: pensate prima di agire. Informatica e LaboratorioSergio Mascetti45

46 Uso di backup A causa di virus o di problemi hardware i dati vengono regolarmente persi: – Il problema non è “se verranno persi”, ma “quando” C’è una soluzione: fate un backup (=copia di sicurezza) su un supporto esterno (hard disk o DVD) – per esperienza: gli utenti iniziano a fare il backup dei propri dati dopo che li hanno persi una volta. In ambito personale è brutto perdere i dati – In ambito lavorativo è inaccettabile Informatica e LaboratorioSergio Mascetti46

47 Identificazione degli utenti Per poter garantire la sicurezza è necessario identificare gli utenti Come si possono identificare gli utenti? – Da ciò che hanno: Es: tessera magnetica – Da ciò che sono: Es: scansione della retina, impronte digitali – Da ciò che sanno: Es: una parola segreta (password) Informatica e LaboratorioSergio Mascetti47

48 Le password Strumento di identificazione molto diffuso – non richiede hardware apposito (come un lettore di impronte digitali) – permette un discreto livello di sicurezza a patto che le password siano usate con accortezza Informatica e LaboratorioSergio Mascetti48

49 Come vengono usate le password Quando l’utente sceglie la password, una funzione (di cifratura) viene applicata – la funzione ha la proprietà di essere molto difficile da invertire Noto x è facile calcolare f(x). Noto y è molto difficile calcolare x tale che f(x) = y. – la password (cifrata) viene memorizzata – esempio di password cifrata: $tpUk9dlmYsavwW1U8wPkI/ Quando si richiede la password – la stessa funzione viene applicata alla password inserita – se il risultato è uguale a quello memorizzato, si ha l’accesso Informatica e LaboratorioSergio Mascetti49

50 Attacco a forza bruta Un avversario che vuole trovare una password che non conosce, può provare tutte le combinazioni possibili Quante sono le password possibili? – supponiamo che ogni carattere della password possa avere 100 valori diversi (minuscole, maiuscole, numeri, alcuni segni di punteggiatura) – se la password è lunga 1 carattere: 100 possibili password – se la password è lunga 2 caratteri: possibili password – se la password è lunga n caratteri: 100 n possibili password Informatica e LaboratorioSergio Mascetti50

51 Attacco forza bruta (cont.) La complessità computazionale del problema “trova la password con la tecnica brute force” è esponenziale rispetto alla lunghezza della password – quindi, in pratica, non computabile per un numero di caratteri superiore a 7 o = Morale: se volete usare una password resistente contro questo attacco, createla lunga almeno 7 o 8 caratteri Informatica e LaboratorioSergio Mascetti51

52 Attacchi basati su dizionario Gli utenti molto (troppo!) spesso usano parole di senso compiuto come password: – nomi comuni o propri Oppure semplici varianti di questi nomi: – nomi seguiti da un numero – concatenazione di nomi Il numero di queste parole è molto inferiore rispetto al numero di combinazioni di caratteri che devono essere provate con la tecnica brute force. Informatica e LaboratorioSergio Mascetti52

53 Attacchi basati su dizionario (2) Esistono degli elenchi di nomi, parole e semplici concatenazioni di queste con numeri In un attacco basato su dizionario l’attaccante prova ad utilizzare le parole contenute in questi elenchi per avere l’accesso Da un esperimento svolto sulle password degli studenti nei laboratori di informatica qualche anno fa: – Il 40% delle password sono state violate in 5 minuti mediante un attacco basato su dizionario. Informatica e LaboratorioSergio Mascetti53

54 Come scegliere una password Obiettivo: – lunga almeno 7 caratteri – non una parola di senso compiuto (o una semplice concatenazione) – dovete ricordarla! – meglio se contiene anche numeri (e segni di punteggiatura, se consentito dal sistema) Una tecnica (ne esistono tante): pensate ad una frase che ricordate a memoria ed usate le iniziali – esempio: “44 gatti in fila per 6”  44gifp6 Informatica e LaboratorioSergio Mascetti54

55 Come usare le password In teoria: – Sarebbe meglio avere una password diversa per ogni servizio che usate Nella pratica: – Sono troppe le password da ricordare – Se non si usa un programma di gestione delle password (ancora poco diffusi) è complicato Consigli: – Usate alcune password (almeno 3 o 4) e differenziatele in base all’importanza Es: non usate per un gioco online la stessa password che usate per la banca! – Cambiate regolarmente le password Informatica e LaboratorioSergio Mascetti55

56 Terza parte: La privacy Informatica e Laboratorio56Sergio Mascetti “che c’entra con la sicurezza?”

57 Diritto alla privacy Privacy riconosciuta a livello legale a livello nazionale e sovrannazionale. Es: – Dichiarazione Europea dei diritti dell’uomo; – Legge 675/96 Informatica e LaboratorioSergio Mascetti57

58 Cos’è la privacy? Non è semplice fornire una definizione puntuale di privacy – spesso dipende dal contesto Una definizione generale: – “Privacy: diritto di una persona di scegliere liberamente in quali circostanze e fino a che punto rivelare agli altri se stessa, il proprio atteggiamento e il proprio comportamento” (dal “Fluency”) Le leggi tutelano alcune tipologie di informazioni ritenute particolarmente sensibili: – informazioni mediche, orientamento sessuale, religioso, politico. Sergio Mascetti58

59 La privacy e il trattamento automatico dell’informazione Tecnologie moderne permettono di: – acquisire enormi quantità di dati, memorizzarle, condividerle – effettuare ragionamenti su queste informazioni per derivarne altre Esempio di ragionamento: – supponete di avere una tessera di fidelizzazione di un supermercato – se un cliente compra cibo per gatti quasi tutte le settimane  avrà un gatto. Informatica e LaboratorioSergio Mascetti59

60 “Vabbé, ma cosa mi importa se sanno che ho un gatto?” Che diritto hanno di sapere qualcosa su di me che io non voglio che loro sappiano? Se al posto del cibo per gatti, voi compraste delle medicine? – quali informazioni potrebbero scoprire su di voi? – cosa potrebbero farne di queste informazioni? Informatica e LaboratorioSergio Mascetti60

61 “Ma a volte mi sta bene che sappiano qualcosa di me” Se il supermercato sa che ho un gatto, mi può spedire pubblicità mirata con le promozioni che mi possono interessare – es: sconti sulla pappa per gatti Dov’è il limite tra i vantaggi del rilascio di informazioni private e la violazione della privacy? Informatica e LaboratorioSergio Mascetti61

62 Il problema della privacy, in generale Non solo le informazioni che rilasciamo esplicitamente possono essere usate per violare la nostra privacy – ma anche le informazioni derivate La privacy assoluta (ormai) non esiste – necessario trovare compromessi tra privacy e altre esigenze (sicurezza pubblica, vantaggi derivanti dal rilascio di informazioni personali) Informatica e LaboratorioSergio Mascetti62

63 Bisogna avere il controllo L’utente deve poter avere il controllo sulle informazioni che vengono rilasciate: – So quali informazioni rilascio? – Posso sapere quali informazioni un ente ha su di me? – Posso cancellare le mie informazioni quando voglio? Questi diritti sono garantiti dalla legge – ma sono veramente applicabili? Informatica e LaboratorioSergio Mascetti63

64 La posizione degli utenti e la privacy Già ora esistono alcuni servizi che sono forniti sulla base della locazione degli utenti – es: dov’è la pizzeria più vicina (programma AroundMe per iPhone) – es: dimmi quando c’è un mio amico vicino a me (Google Latitude) – es: social network geo-referenziati (es: estensioni per Facebook) – sono detti “servizi basati sulla locazione” Alcuni cellulari forniscono periodicamente la locazione dell’utente (es: HTC Magic con sistema operativo Android) In futuro si diffonderanno molto Gli utenti comunicano spesso la loro posizione ad un fornitore di servizi. – e la privacy? Informatica e LaboratorioSergio Mascetti64

65 La posizione degli utenti e la privacy Cosa può derivare un attaccante che riesce ad ottenere queste informazioni? – qual è l’identità dell’utente che ha fatto la richiesta (anche se l’utente non lo dice esplicitamente) – dove è stato l’utente: quindi molte informazioni personali. Ad esempio: quali locali frequenta? E’ stato in ospedale? E’ stato alla manifestazione? Il mio ambito di ricerca è questo: – come è possibile fornire questi servizi garantendo formalmente la privacy degli utenti? – “che noia mortale” penserete voi... vi sbagliate! Informatica e LaboratorioSergio Mascetti65

66 Quarta parte: Conclusioni Informatica e Laboratorio66Sergio Mascetti “Accidenti, ci ha detto tantissime cose....”

67 Riepilogo Abbiamo visto cosa si intende con sicurezza informatica: – cosa si vuole proteggere – chi potrebbe essere l’avversario Idea generale della crittografia: – rendere comprensibili delle informazioni solo a chi è in possesso della chiave per decifrare Due tipi di crittografia: – a chiave simmetrica – a chiave asimmetrica (o pubblica) Informatica e LaboratorioSergio Mascetti67

68 Riepilogo (cont.) Abbiamo introdotto il concetto di malware: – cioè software che ha lo scopo di compiere azioni illecite Abbiamo visto alcuni semplici principi per avere maggiore sicurezza nella pratica Informatica e LaboratorioSergio Mascetti68

69 Riepilogo (3) Il problema della privacy: – tutela legale e consapevolezza del rischio. Un esempio di ricerca in ambito informatico Informatica e LaboratorioSergio Mascetti69

70 Glossario Confidenzialità, integrità, disponibilità L’operatore logico XOR Cifratura e decifratura Cifratura a chiave simmetrica e asimmetrica Virus (in termine tecnico), malware, exploit Attacchi a forza bruta (o bruteforce) e attacchi basati su dizionario Informatica e LaboratorioSergio Mascetti70


Scaricare ppt "Ottava lezione: Privacy e Sicurezza (Capitolo 15 e parte Capitolo 10) Informatica e Laboratorio1Sergio Mascetti."

Presentazioni simili


Annunci Google