La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni R.M. Capocelli Università degli Studi di Salerno.

Presentazioni simili


Presentazione sul tema: "Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni R.M. Capocelli Università degli Studi di Salerno."— Transcript della presentazione:

1 Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni R.M. Capocelli Università degli Studi di Salerno Fisciano (SA), 30 Novembre 2005

2 Prof. Alfredo De Santis - Università di Salerno MOBILE PSTN INTERPHONET INTERNET

3 Prof. Alfredo De Santis - Università di Salerno Recenti problematiche per Internet Malware –Virus, cavalli di troia, adware, spyware, etc. Rintracciabilità Furto didentità Pharming Phishing Stesse problematiche anche in Interphonet

4 Prof. Alfredo De Santis - Università di Salerno Rintracciabilità Rintracciabilità in Internet –Lorigine di una comunicazione è associata ad un indirizzo IP dellapparato –E difficile rintracciare un indirizzo IP se si utilizzano tecniche di anonimia Rintracciabilità su reti telefoniche fisse o mobili –Lorigine di una comunicazione è il numero dellutenza –Più facile che su Internet INTERNET MOBILE PSTN In caso di indagine, rintracciare lorigine è solo il primo passo per rintracciare un utente

5 Prof. Alfredo De Santis - Università di Salerno Rintracciabilità in Interphonet: VoIP VoIP permette ad un utente di Internet di avere un numero telefonico –Si chiama/risponde tramite un computer connesso ad Internet –Si possono avere numeri regolari in tempi brevissimi, gratuitamente e con un alto grado di anonimato Ad esempio –Lutilizzatore del servizio può trovarsi fisicamente in qualsiasi punto della rete Internet (ad esempio in unaltra nazione) Anche per un utente esperto è difficile distinguere un numero VoIP da un numero della rete fissa tradizionale Un numero VoIP nasconde la reale posizione geografica di chi lo utilizza

6 Prof. Alfredo De Santis - Università di Salerno Rintracciabilità in Interphonet Una comunicazione VoIP può avere come origine o destinazione le reti mobili o fisse Rintracciare un utente del servizio VoIP vuol dire rintracciarlo in Interphonet Se un utente VoIP usa le tecniche di anonimia per Internet rintracciarlo è difficile INTERNET MOBILE PSTN

7 Prof. Alfredo De Santis - Università di Salerno Pharming Un attacco di pharming dirotta le chiamate della vittima PSTN INTERNET Un malintenzionato può avvantaggiarsi del servizio di VoIP per lanciare attacchi di pharming Lutente digita il numero della sua banca, ma in realtà chiama Installazione di un IVR raggiungibile al (VoIP)

8 Prof. Alfredo De Santis - Università di Salerno SMS vengono inseriti nella rete di telefonia mobile tramite Internet –Appositi servizi Web Lindirizzo del mittente viene specificato dallutente –Si può inserire un qualsiasi numero SMS falsi

9 Prof. Alfredo De Santis - Università di Salerno Phishing con SMS falsi INTERNET Mittente: Banca Rella Comunicazione URGENTE, chiamare al Buongiorno, è la Banca Rella, mi servirebbero informazioni sul suo Conto…

10 Prof. Alfredo De Santis - Università di Salerno M-commerce Prevede lutilizzo di dispositivi mobili per –Acquisto o vendita di prodotti –Accesso ad informazioni –Transazioni finanziarie Diversi sistemi di pagamento basati su SMS –Acquisto biglietti trasporto pubblico con addebito su carta di credito (Ticketless di Trenitalia e BIT di ATAC) –Acquisto loghi e suonerie per cellulari (con addebito su SIM) –Pagamento parcheggio

11 Prof. Alfredo De Santis - Università di Salerno Acquisti via SMS un semplice esempio Basta inviare un SMS per farsi addebitare su SIM il costo di loghi e suonerie per cellulari richiesta suoneria (via SMS) Problemi di sicurezza –Gli SMS possono essere falsificati –Lutente può ripudiare lacquisto ClienteMercante

12 Prof. Alfredo De Santis - Università di Salerno Banca ClienteMercante richiesta merce, numero telefonico (via GPRS) numero telefonico, importo (via HTTP) richiesta di conferma (via SMS o telefono) conferma (via SMS) importo (via SMS o telefono) Acquisti via SMS un esempio più complesso

13 Prof. Alfredo De Santis - Università di Salerno Banca ClienteMercante Acquisti via SMS un esempio più complesso

14 Prof. Alfredo De Santis - Università di Salerno Punti deboli della sicurezza in Interphonet Pharming e Phishing hanno successo perché è possibile impersonare un altro utente Manca l autenticazione tra i due end-point in una connessione Si possono carpire informazioni riservate anche intercettando le comunicazioni mobili –La cifratura del GSM è debole Manca una cifratura forte end-to-end a garanzia della privatezza delle conversazioni

15 Prof. Alfredo De Santis - Università di Salerno SPEECH: S ecure P ersonal E nd-to- E nd C ommunication with H andheld Applicazione per PocketPC 2002 e superiori Permette conversazioni autenticate, cifrate e non ripudiabili Permette linvio di SMS cifrati ed autenticati Utilizzabile su rete GSM (9600 bps o superiori) e reti TCP/IP Non necessita di hardware dedicato Dipartimento di Informatica ed Applicazioni R.M. Capocelli Provincia di Salerno

16 Prof. Alfredo De Santis - Università di Salerno Come funziona SPEECH A B A stabilisce un canale di comunicazione con B La mutua autenticazione tra A e B avviene tramite certificati digitali (SSL) A e B negoziano una chiave di cifratura La conversazione è cifrata con un elevato livello di sicurezza tramite AES Autenticazione, confidenzialità e non ripudio sono garantiti dai più moderni, noti e robusti algoritmi conosciuti A e B firmano la registrazione digitale della conversazione e si scambiano la firma

17 Prof. Alfredo De Santis - Università di Salerno Servizi di call-center banche PSTN INTERNET La mutua autenticazione previene il furto di identità: Phishing e Pharming falliscono La cifratura del canale garantisce la riservatezza della conversazione Il non ripudio della conversazione protegge sia la banca che il cliente da operazioni bancarie non autorizzate firma firma

18 Prof. Alfredo De Santis - Università di Salerno Acquisto e vendita di titoli azionari Militare/Investigativo Giudiziario Antispionaggio industriale Tutela della privacy Altri scenari di utilizzo

19 Prof. Alfredo De Santis - Università di Salerno Key Escrow SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie Ogni agenzia singolarmente non è in grado di decifrare la comunicazione Agenzia 1 Agenzia 2 A B

20 Prof. Alfredo De Santis - Università di Salerno Key Escrow SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie Ogni agenzia singolarmente non è in grado di decifrare la comunicazione Agenzia 1 Agenzia 2 A B La decifratura può essere richiesta solo da un giudice La privacy degli individui è garantita In casi estremi è consentita lintercettazione

21 Prof. Alfredo De Santis - Università di Salerno Altri temi di ricerca e progetti attivi Informazioni nascoste nei documenti digitali (Office e PDF) E-voting Filesystem cifrato Time stamping Moneta elettronica e micro pagamenti Smart Card e sistemi di autenticazione

22 Prof. Alfredo De Santis - Università di Salerno GRAZIE PER LATTENZIONE


Scaricare ppt "Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni R.M. Capocelli Università degli Studi di Salerno."

Presentazioni simili


Annunci Google