AEIT - Sezione Pugliese 11 novembre 2004 Vulnerabilità dei Sistemi Informatici PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA ED ELETTRONICA

Facilità d’uso di: tecnologie informatici servizi offerti da Internet - produce pervasività degli strumenti informatici - introduce nuovi problemi connessi al vivere sociale La democratica gestione della rete è vulnerabile! Per garantire la sicurezza occorrono: regole meccanismi di policy La sicurezza deve garantire: riservatezza delle comunicazioni pubbliche o personali robustezza dei sistemi informatici “Sicurezza e accesso universale a tecnologie e servizi informatici non sono in contraddizione fra loro e non devono essere divise”

Esempi di servizi messi in linea da enti pubblici e privati:  Prenotazioni (posti, visite specialistiche, ecc.)  Pagamenti (ricariche, bollette, tasse, contributi)  Ricerca e scambio informazioni e documenti  Attivazioni remote

Problemi generati dalla connessione in Internet  Violabilità dei dati  Vulnerabilità dei sistemi complessi  Terrorismo informatico

uso non autorizzato elaboratori 0%10%20%30%40%50%60%70%80% virus trojan Horses accesso non autorizzato applicazioni accesso non autorizzato dati lettura, modifica dati in rete modifica non autorizzata dati accesso non autorizzato TLC furto apparati IT pirateria, frode informatica saturazione risorse altro nessuno ns 79% 4% 2% 1% 0% 1% 5% 1% 0% 8% 1% Attacchi informatici più frequenti

LA VULNERABILITA’ DELLA RETE Virus Sono programmi che causano danni ai computer; si annidano nei meandri della posta elettronica, viaggiando con gli allegati apparentemente innocui (.exe,.com,.dll o macro di Word, Excel o Power Point). Spamming Si ottiene quando la scorrettezza postale supera i limiti accettabili (carpet bombing: bombardamento a tappeto simile alla pubblicità che tracima dalle cassette postali, spam è il singolo messaggio, spammer è il responsabile dell’invio). Il provider può bloccare l’inondazione, dopo aver individuato la provenienza (i male intenzionati spesso ricorrono al ponte, fanno spoofing cioè assumono anche identità di altri).

Sniffer E’ un programma in grado di intercettare i messaggi di posta elettronica (con tutti gli indirizzi in esse contenuti), ma anche i numeri delle carte di credito (quelli non crittografati). Cookie E’ il biscottino che si infila nel nostro computer quando visitiamo alcuni siti, in genere commerciali (spia le connessioni). Rappresentato da un messaggio apparentemente innocuo (un logo), accumula dati sui nostri gusti e sulle nostre preferenze e li ritrasmette a chi ce lo ha spedito (antidoto con Internet Explorer: menù Strumenti/Opzioni Internet/Protezione/Internet scegliere Alta). Spyware Sono programmi che disseminano, nei computer in cui si vanno ad installare, “ripetitori“ di informazioni riservate su abitudini e preferenze di navigazione dell’utente. Sono più invasivi dei cookies poichè si impadroniscono di informazioni molto sensibili, password, liste di indirizzi (antidoto freeware: Ad Aware v.3.61 dal sito

COMANDAMENTO “Non rendere danno né a sé né agli altri” Al fine di: non subire illeciti addebiti non rendere disponibili i dati sensibili è necessario: prevenire l’intrusione investire nella sicurezza-dati

PasswordProcedure di salvataggio Antivirus 87% 94% 93,4% Sistemi di sicurezza maggiormente usati

Budget di spesa per la sicurezza ns 3% Previsto 5% Presente 21% Assente 71%

HOST RETE INTERNET TRASPORTO APPLICAZIONE A quale livello inserire meccanismi di sicurezza?

Nuove professioni per nuove esigenze  Network Manager  Web Watcher  Data-security Manager

ASPETTI GIURIDICI L’entrata in vigore del dlgs 196/03, che sostituisce il d.l. 675/96 (sul trattamento dei dati personali) e tutte le precedenti disposizioni di legge, impone di riorganizzare sistemi e servizi informatici e in particolare le modalità di trasmissione ed archiviazione dei dati personali

Normativa italiana (196/03) Regole generali per il trattamento dei dati (soggetti pubblici ed economici) Misure minime di sicurezza (dati e sistemi) Adempimenti e trasferimento dei dati all’estero Trattamento dati in ambito giudiziario e da parte delle forze di polizia, attività investigativa pubblica e privata Difesa e sicurezza dello stato Accesso a documenti amministativi pubblici e privati, tributari e doganali, registri pubblici, albi professionali, stato civile, anagrafe, liste elettorali, diritti politici, volontariato, obiezione di coscienza, rapporti con enti di culto, benefici economici, onorificenze, etc. Trattamento dati sensibili sanitari, lavoro e previdenza sociale Trattamento dati storici, statistici, scientifici, giornalistici Comunicazioni elettroniche: Servizi, Reti, Videosorveglianza, Telelavoro Istituzione di Garanti e Authority: Enti Certificatori (firma digitale) Illeciti penali e sanzioni giudiziarie e amministrative

NUOVI SCENARI PER RISPETTARE LE NORME IMPOSTE DALLA LEGGE SI E’ DATO UN NUOVO IMPULSO ALLO STUDIO DI METODI DI PROTEZIONE-DATI Al contrario il Congresso americano, al fine di combattere il terrorismo, dopo gli attentati subiti, si propone di rendere ai privati meno robusti i sistemi di protezione-dati per consentire l’intercettazione da parte delle INTELLIGENCE

METODI DI PROTEZIONE POSSONO SUDDIVIDERSI IN DUE GRANDI CATEGORIE: CRITTOGRAFIA STEGANOGRAFIA

POSSIBILI APPLICAZIONI Commercio elettronico Commercio elettronico *****II*OOO### #######IIfdjhg Bkbkda Blkdkfbkdflbkakbd PAY TV _IIIOOOT# kshghgjhdgdjghjaka Smart card Smart card Protezione audio-video Protezione audio-video Telefonia cellulare Telefonia cellulare Pay-TV Pay-TV 18:88 a.m.

CRITTOGRAFIA CRITTOGRAFIA Problematiche legate alla sicurezza delle transazioni commerciali in rete AUTENTICAZIONE AUTENTICAZIONE RISERVATEZZA RISERVATEZZA

PROFILI GIURIDICI CRITTOGRAFIA La Francia è stato il primo paese a regolamentare l’uso della crittografia. La Francia è stato il primo paese a regolamentare l’uso della crittografia. In Italia è l’AIPA (Autorità Informatica per la Pubblica Amministrazione) l’organo competente a cui il legislatore fa riferimento per elaborare regolamenti di attuazione delle leggi in materia di protezione-dati, e quindi di crittografia. In Italia è l’AIPA (Autorità Informatica per la Pubblica Amministrazione) l’organo competente a cui il legislatore fa riferimento per elaborare regolamenti di attuazione delle leggi in materia di protezione-dati, e quindi di crittografia. FIRMA DIGITALE In Italia il documento informatico e la firma digitale furono regolamentati già dal d.P.R. 513/97 che attribuiva al documento informatico la stessa valenza giuridica del documento cartaceo. In Italia il documento informatico e la firma digitale furono regolamentati già dal d.P.R. 513/97 che attribuiva al documento informatico la stessa valenza giuridica del documento cartaceo. MONETA ELETTRONICA La normativa UE nel campo dei pagamenti elettronici si è espressa nella Raccomandazione della CEE del 30 luglio 1997 n. 97/489/CEE. La normativa UE nel campo dei pagamenti elettronici si è espressa nella Raccomandazione della CEE del 30 luglio 1997 n. 97/489/CEE. In Italia, il d.P.R. 513/97, rimandava ad un successivo regolamento di attuazione, non ancora redatto. In Italia, il d.P.R. 513/97, rimandava ad un successivo regolamento di attuazione, non ancora redatto.

Messaggio criptato Testo in chiaro Testo in chiaro Chiave K2 Decifratura Chiave K1 Cifratura Crittografia a chiave pubblica

trasmissione Firma digitale e calcolo del Digest Testo in chiaro Calcolo del Digest Testo in chiaro digest Testo in chiaro digest Calcolo del Digest Uguali?

STEGANOGRAFIA LA STEGANOGRAFIA E’ L’INSIEME DELLE TECNICHE CHE CONSENTE A DUE O PIU’ PERSONE DI COMUNICARE IN MODO TALE DA NASCONDERE, AD UN EVENTUALE “NEMICO”, LA STESSA ESISTENZA DELLA COMUNICAZIONE

UN BUON CONTENITORE STEGANOGRAFICO

STEGANOGRAFIA LA DIFFERENZA SOSTANZIALE TRA LA STEGANOGRAFIA E LA CRITTOGRAFIA, STA NEL FATTO CHE LA STEGANOGRAFIA UTILIZZA UN SECONDO MESSAGGIO PERCEPIBILE (CONTENITORE), IL CUI SENSO E’ TOTALMENTE DISGIUNTO DA QUELLO DEL MESSAGGIO SEGRETO CHE ESSO STESSO CONTIENE.

STEGANOGRAFIA - Storia di Histianeus (Erodoto a.C.): nobile persiano che tatuava il messaggio sul capo rasato di uno schiavo fidato. - Acrostico: poesia composta in modo tale che le prime lettere di ogni capoverso compongono il messaggio nascosto - Griglie di Cardano ( ): la griglia presenta fori rettangolari in corrispondenza dei soli caratteri, presenti in un foglio sottostante, che compongono il messaggio nascosto

STEGANOGRAFIA COME CONTENITORI SI POSSONO USARE: - FILE AUDIO - FILE DI IMMAGINI - VIDEO

STEGANOGRAFIA LA TECNICA SOSTITUTIVA CONSISTE NEL SOSTITUIRE L’INFORMAZIONE CHE GIA’ COSTITUISCE RUMORE NELL’IMMAGINE DIGITALE Procedura: si sostituiscono i bit meno significativi dei pixel dell’immagine con i bit che compongono il testo da nascondere

STEGANOGRAFIA SUPPONENDO DI VOLER NASCONDERE LA SEQUENZA BINARIA IN UN PIXEL RAPPRESENTO DALLA TERNA ( 12, 241, 19) OCCORRE EFFETTUARE LE SEGUENTI TRASFORMAZIONI ( 12) 10 = ( ) 2 => ( ) 2 = ( 13) 10 (241) 10 = ( ) 2 => ( ) 2 = (240) 10 ( 19) 10 = ( ) 2 => ( ) 2 = ( 19) 10

FASI DELLA STEGANOGRAFIA “encoder” DIAGRAMMA A BLOCCHI Codifica e applicazione del generatore pseudocasuale Codifica steganografica ENCRYPTED FILE EMBEDDED FILE KEY COVER IMAGE QUALITY STEGO IMAGE

FASI DELLA STEGANOGRAFIA “decoder” DIAGRAMMA A BLOCCHI Decodifica ENCRYPTED FILE STEGO IMAGE KEY EMBEDDED FILE Desteganografia

STEGANOGRAFIA CONFRONTANDO IMMAGINI ORIGINALI E IMMAGINI AFFETTE DA MESSAGGI NASCOSTI, SI OSSERVA CHE SENZA L’AUSILIO DI ZOOM NON E’ POSSIBILE PERCEPIRE DIFFERENZE. SOLO CON ZOOM SUPERIORI AL 1000% LE DIFFERENZE DIVENTANO SIGNIFICATIVE.

STEGANOGRAFIA IMMAGINE SENZA TESTO STEGANOGRAFATO IMMAGINE CON TESTO STEGANOGRAFATO ZOOM AL 400%

STEGANOGRAFIA IMMAGINE SENZA TESTO STEGANOGRAFATO IMMAGINE CON TESTO STEGANOGRAFATO ZOOM AL 1600%

PRINCIPIO DI KERCHOFF La sicurezza del sistema deve basarsi sull’ipotesi che il nemico possa avere piena conoscenza dei dettagli di progetto. La sola informazione di cui il nemico non può disporre è una sequenza di numeri casuali, generati da una chiave segreta, senza la quale non è possibile ricostruire il messaggio nascosto. Solo l’uso della chiave segreta può consentire di ricostruire la sequenza delle posizioni “infettate” dal messaggio nascosto.

IL PROBLEMA DELLE IMMAGINI COMPRESSE Per poterle utilizzare nella steganografia, occorre procedere ad un’analisi preventiva delle immagini da utilizzare in forma matriciale non compressa (BITMAP), al fine di conoscere la massima quantità di informazione contenibile per l’occultamento. Il fine è ottenere un’immagine compressa (JPEG) tale che, dopo il processo di espansione, torni ad essere l’immagine di partenza nonostante sia stata preventivamente infettata dal testo nascosto.

IL PROBLEMA DELLE IMMAGINI COMPRESSE

RISULTATI E’ in via di sviluppo un progetto in ambito sanitario (Prodeo, Politecnico di Bari, Centro Laser) finalizzato all’occultamento dei “dati sensibili” in cartelle cliniche e referti biomedici, che porterà alla realizzazione di un brevetto. Steganografia e crittografia permettono di ottenere ottimi risultati nel rendere inviolabili i “dati sensibili” e, proprio in ambito medico, consentono di condividere un patrimonio di esperienze diagnostiche, di grande utilità per la formazione di nuovo personale medico-sanitario: immagini radiografiche disponibili in rete.

DATA-HIDING DI CARTELLE CLINICHE

ACCESSO AI DATI NASCOSTI Consentito in modo gerarchico:  ignari avventori della rete  studenti  medici generici o specialisti  operatori sanitari di reparto  amministrativi  enti regionali e nazionali (andamenti statistici)

FILMATO HACKERS