Sicurezza informatica Comunicazioni cifrate, firma digitale, tecniche di attacco e di difesa, tutela della privacy a cura di Loris Tissìno (www.tissino.it)
“Sicurezza”: alcuni aspetti Funzionamento calcolatore / rete Difesa dati personali / aziendali Difesa della privacy (dati / azioni) Verifica identità del corrispondente Attendibilità dei contenuti Contenuti illegali
Tematiche coinvolte Steganografia e crittologia Protocolli di Internet Esecuzione di applicazioni su server e client Impostazioni del browser e dei visualizzatori di contenuto Tecniche di intrusione Gestione delle password Gestione della rete: server proxy, firewall, zone demilitarizzate
Steganografia Nascondere una comunicazione all'interno di un'altra dissimulazione (testo in immagine o suono) scrittura convenzionale (variazioni semantiche) scrittura invisibile (inchiostro invisibile)
Crittologia Crittografia Crittanalisi cifrare messaggi decifrare messaggi Crittanalisi violare la segretezza dei messaggi
Crittografia nella storia Crittografia classica segretezza dell'algoritmo di cifratura Crittografia moderna pubblicità dell'algoritmo, segretezza della chiave di cifratura (principio di Kerchoffs)
Crittografia simmetrica Cifratura Testo “in chiaro” + chiave di cifratura + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave di cifratura + algoritmo di decifrazione = Testo “in chiaro”
Crittografia simmetrica Problemi: Numero di chiavi necessarie (una per ogni corrispondente) Trasmissione della chiave (canale sicuro) Vantaggi: Velocità Realizzabilità con hardware dedicato (es. processori specifici)
Crittografia asimmetrica Cifratura Testo “in chiaro” + chiave pubblica destinatario + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave privata destinatario + algoritmo di decifrazione = Testo “in chiaro”
Firma digitale Firma Verifica della firma Testo “in chiaro” + chiave privata del mittente + algoritmo = Testo in chiaro con firma digitale in coda Verifica della firma Testo in chiaro con firma digitale in coda + chiave pubblica del mittente + algoritmo di verifica = Testo in chiaro verificato Nota: di solito la firma è applicata ad un “riassunto” del documento (funzione hash sicura)
Crittografia ibrida Cifratura Decifrazione Testo “in chiaro” + chiave segreta casuale + algoritmo di cifratura simmetrica del testo + chiave pubblica dest. + algoritmo di cifratura asimmetrica della chiave casuale generata = Testo cifrato Decifrazione Testo cifrato + chiave privata del destinat. + algoritmo di decifrazione asimmetrica della chiave + algoritmo di decifrazione simmetrica del testo cifrato = Testo “in chiaro”
Autorità di certificazione Autorità che certifica la corrispondenza tra chiave pubblica e identità del possessore Tecnicamente “firma” con la propria chiave privata la chiave pubblica del soggetto certificato In Italia, le CA (Certification Authorities) sono approvate dall'AIPA (www.aipa.it)
Tecniche crittanalitiche Forza bruta (provare tutte le combinazioni) Analisi statistica dei contenuti Crittanalisi differenziale “Man in the middle”
Crittografia applicata Alcuni esempi: PGP (Pretty Good Privacy) GnuPG (Gnu Privacy Guard) SSL (Secure Socket Layer) SSH (Secure Shell)
Tecniche di attacco Attacco alle password Spionaggio con gli sniffer (lett., “annusatori”) Analisi debolezze con scanner (analizzatori) Spoofing (fingersi un calcolatore diverso) DoS (“denial of service”, negazione del servizio)
Gestione delle password Usare password lunghe non predicibili non basate su nomi, date di nascita, ecc. Password diverse per servizi diversi Cambiare le password frequentemente Non scrivere le password su un foglietto attaccato al monitor (!) Non condividere password fra più utenti
Malicious code (malware) Virus Macrovirus Cavalli di Troia (Trojan horses) Worm Sfruttamento di bachi nel software
Applicazioni web lato client Script in pagine web (javascript e simili) Applicazioni gestite da moduli aggiuntivi Applet Java gestite dalla Java Virtual Machine Animazioni Flash gestite da Flash Player ... Software specifico per “migliorare l'accesso” a un sito (!)
Protezione della rete Firewall: calcolatore che filtra le trasmissioni tra rete interna e mondo esterno in base a regole prestabilite Proxy server: applicazione che svolge il ruolo di intermediario nella richiesta di servizi al mondo esterno DMZ (zona demilitarizzata): calcolatori che risultano visibili all'interno e all'esterno della rete locale
Webografia www.sikurezza.org www.enricozimuel.net www.aipa.it www.interlex.it www.alcei.it