La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.

Presentazioni simili


Presentazione sul tema: "Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin."— Transcript della presentazione:

1 Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin

2 1 Inziamo a interagire… Chi prova a rispondere alle seguenti domande: Cosa si intende per sicurezza informatica? Perché ci deve interessare la sicurezza informatica? Non è un problema solo militare?

3 2

4 3 canale insicuro Alice Bob messaggi Alice e Bob possono comunicare in modo sicuro? senza che nessuno legga i loro messaggi senza che nessuno modifichi i loro messaggi con la certezza di parlare proprio tra di loro

5 4 Statistica sui furti di laptop Furto di laptop 109 mila furti registrati soltanto nel 2008 (negli USA). Furto di navigatori GPS è cresciuto del 700 per cento in soli due anni. negli Stati Uniti, si è passati da una cifra di casi di furto denunciati nel 2006 ai casi del 2008.

6 5

7 6

8 7

9 8 Dalle news (1)

10 9 Dalle news (2)

11 10 Dalle news (3)

12 11 1. Lattaccante invia a migliaia di indirizzi internet un falsa spacciandosi per un istituto bancario. 2. Lutente riceve l falsa dove viene chiesto di cliccare su un link ed inserire i propri codici daccesso. 3. I codici inseriti arrivano direttamente al phiser che li userà per i suoi scopi. Gentile utente, per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale. @ Sicurezza e Web: Phishing

13 12 Tipologie di attacchi e loro frequenza Statistiche

14 13 Sicurezza Informatica? (1) In generale: Sicurezza = Assenza di rischio o pericolo Sicurezza Informatica? Prevenzione o protezione contro accesso, distruzione o alterazione di risorse/informazioni da parte di utenti non autorizzati

15 14 Sicurezza informatica: perché? Perché proteggere le informazioni? Le informazioni sono una componente importante e strategica per unazienda. Danni o utilizzi non previsti dellinformazione possono avere conseguenze, anche disastrose, non solo per il singolo utente a cui sono state rubati, ma anche per lintera organizzazione. Es. Laptop rubato a un dipendente di US Veterans: conteneva 26.5 record di veterani (nome, data nascita, ssn, etc.)!!!! Lavvento di Internet ha reso laccesso alle informazioni molto più semplice.

16 15 Sicurezza Informatica? (2) Abilità di un sistema di proteggere informazioni e risorse rispetto alle nozioni di CIA Confidentiality (Secrecy e Privacy) Integrity Availability

17 16 Confidentiality (1) Confidentialità Assicurare che le informazioni non siano accessibili ad utenti non autorizzati Domanda: chi determina quali utenti siano autorizzati? Termini usati come sinonimi: segretezza e privatezza Privatezza (privacy): quando linformazione fa riferimento a individui Assicurare che gli utenti possano controllare quali informazioni su di loro vengano raccolte, come vengano usate, chi le usi, chi le mantenga e per quale scopo vengano usate.

18 17 Confidentiality (2) Privacy = diritto di segretezza La password di laboratorio è confidenziale, non privata La democrazia si basa sulla privacy Il voto è privato Nota: in Europa i dati personali sono privati, in USA no! La Doxa non può vendere i vostri dati

19 18 Integrity Integrità Assicurare che le informazioni non siano alterabili da utenti non autorizzati (in maniera invisibile agli utenti autorizzati) Integrità di un video Integrità di un database Integrità di una cache Nota1: Non importa lorigine dei dati (autenticazione) Nota2: Mancanza di integrità spesso sinonimo di falsificazione

20 19 Availability Disponibilità Assicurare che le informazioni siano disponibili agli utenti autorizzati Assicurare che un sistema sia operativo e funzionale in ogni momento (non denial-of- service, DoS)

21 20 CIA - Conflitti? Information Security Availability ConfidentialityIntegrity Le 3 proprietà a volte sono in conflitto Esempio: confidentiality vs availability Se non permetto a nessuno di leggere uninfo, garantisco la prima, ma non la seconda. Un sistema centralizzato va bene per la prima, ma, rallentando il tempo di risposta, non per la seconda.

22 21 Sicurezza Informatica - Esempio (1) Si consideri il database contenente le informazioni sugli stipendi degli impiegati di una certa azienda, si deve assicurare che: i salari degli impiegati non vengano svelati a un utente arbitrario del database; i salari vengano modificati solo dalle persone autorizzate a questo compito (segretaria amministrativa); le buste paga vengano stampate alla fine di ogni mese.

23 22 In ambito militare è importante che: il target di un missile non venga comunicato ad un utente non autorizzato; il target non venga arbitrariamente modificato; il missile venga lanciato nel momento in cui si inizia a fare fuoco Sicurezza Informatica - Esempio (2)

24 23 Sicurezza Informatica? (3) Autenticazione (authentication) Assicurare che i soggetti siano effettivamente chi affermano di essere Non ripudio (non repudiation) Assicurare che il mittente di un messaggio non possa negare il fatto di aver spedito il messaggio e il destinatario non possa negare di averlo ricevuto Anonymity (Anonimato) Difficile da garantire nel mondo digitale Indirizzo Ethernet unico MS Office inserisce il nome dellautore IP trace-back

25 24 Confidentiality vs Privacy vs Anonymity Privatezza: Diritto dellindividuo di rilasciare (o meno) le informazioni che lo riguardano. Diritto alla segretezza. Anonimato: Diritto dellindividuo di rilasciare (o meno) la propria identità. Anonimato commerciale e sanitario Pseudo-anonimato: uso di nome falso E davvero un diritto?

26 25 Sicurezza Informatica - Tassonomia Confidentiality (segretezza) PrivatezzaAnonimato Autenticazione Integrity Non ripudiabilità Livelli di segretezzaControllo Equilibrio privatezza-legge Availability Sicurezza Informatica ………….

27 26 Equilibrio privatezza/legge Il singolo richiede privacy, la legge richiede lopposto Chi possiede capitali in Svizzera? In UK le banche hanno coperto propri clienti La soluzione serve prima di tutto sul piano etico/legale

28 27 Livelli di segretezza Che livello di segretezza? Top secret Secret Riservato Non classificato

29 28 Controllo Controllo: Verificare che il sistema funzioni come previsto. Mondo digitale: facile non lasciare tracce Alterare un file cambiando un bit Controllo dellaccesso: Garantire che gli utenti abbiano accesso a tutte e sole le risorse o i servizi per i quali sono autorizzati.

30 29 Sicurezza Informatica? (4) A volte anche le seguenti proprietà vengono considerate come parte integrante della sicurezza: Safety: una serie di accorgimenti atti ad eliminare la produzione di danni irreparabili all'interno del sistema; Reliability (affidabilità): prevenzione da eventi che possono produrre danni di qualsiasi gravità al sistema.

31 La sicurezza informatica non è …

32 31 … non è crittografia Crittografia scienza esatta come branca della matematica Impossibile violare RSA in tempo polinomiale Sicurezza scienza inesatta perché basata su persone e macchine Acquisto on-line insicuro

33 32 … non è password Sistema molto debole! La password più diffusa è amore Attacchi dizionario Attacchi forza bruta Ottenere laccesso al file delle password Problemi: Come scegliere una buona password? Come ricordare una buona password? Usare una password per sempre?

34 33 … non è firewall

35 34 Sicurezza [Schneier00] La sicurezza non è un prodotto, ma un processo Concetto mai assoluto – qual è il contesto? Sicurezza da che cosa? Che livello di sicurezza si vuole garantire? La sicurezza è una catena e la sua resistenza è determinata dallanello più debole

36 35 Teoria: Condizioni ideali – prevedibili Ipotesi ben precise Risultati ben precisi Pratica: Condizioni reali – imprevedibili Ipotesi meno precise Risultati meno precisi Esempi: protocolli di sicurezza, crittografia perfetta, … Il dilemma della Sicurezza Teoria versus Pratica

37 36 Problemi di sicurezza Causati da: Complessità Che sistema operativo! Interattività 2 sistemi diventano 1 grande Proprietà emergenti Lavvento di X comporta Y Predisposizione ai bug Alcuni linguaggi di programmazione sono più difficili di altri

38 Come proteggersi ?

39 38 Planning security (1) 1.Prevenzione Crittografia Controllo (antivirus, badge, backup, …) 2.Rilevamento Logging Intrusion detection 3.Reazione Intrusion management System recovery Tribunale

40 39 Planning security (2) Pianificazione della rete con hardware adeguato (router, switch ecc.) insieme alla divisione della rete in aree a livello di sicurezza variabile. Controllo dellintegrità delle applicazioni (bugs free) e verifica della correttezza delle configurazioni. Utilizzo di software che controllino e limitino il traffico di rete dallesterno verso linterno e viceversa (es. firewall, router screening ecc.) Utilizzo di applicazioni che integrino algoritmi di crittografia in grado di codificare i dati prima della loro trasmissione in rete (es. PGP, SSH, SSL ecc.)

41 40 Sicurezza: stato dellarte La sicurezza: Richiederebbe spesso il ridisegno di un sistema preesistente, il che non è sempre possibile. E una proprietà di vari livelli architetturali [SO, rete,...]. Non è un semplice predicato booleano! E costosa nel senso di risorse computazionali, gestione, mentalità, utilizzo. Rimane un campo aperto anche per i colossi dellinformatica


Scaricare ppt "Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin."

Presentazioni simili


Annunci Google