La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

AEIT - Sezione Pugliese 11 novembre 2004 Vulnerabilità dei Sistemi Informatici PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA.

PubblicatoValeria Scala Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "AEIT - Sezione Pugliese 11 novembre 2004 Vulnerabilità dei Sistemi Informatici PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA."— Transcript della presentazione:

1 AEIT - Sezione Pugliese 11 novembre 2004 Vulnerabilità dei Sistemi Informatici PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA ED ELETTRONICA

2 Facilità d’uso di: tecnologie informatici servizi offerti da Internet - produce pervasività degli strumenti informatici - introduce nuovi problemi connessi al vivere sociale La democratica gestione della rete è vulnerabile! Per garantire la sicurezza occorrono: regole meccanismi di policy La sicurezza deve garantire: riservatezza delle comunicazioni pubbliche o personali robustezza dei sistemi informatici “Sicurezza e accesso universale a tecnologie e servizi informatici non sono in contraddizione fra loro e non devono essere divise”

3 Esempi di servizi messi in linea da enti pubblici e privati:  Prenotazioni (posti, visite specialistiche, ecc.)  Pagamenti (ricariche, bollette, tasse, contributi)  Ricerca e scambio informazioni e documenti  Attivazioni remote

4 Problemi generati dalla connessione in Internet  Violabilità dei dati  Vulnerabilità dei sistemi complessi  Terrorismo informatico

5 uso non autorizzato elaboratori 0%10%20%30%40%50%60%70%80% virus trojan Horses accesso non autorizzato applicazioni accesso non autorizzato dati lettura, modifica dati in rete modifica non autorizzata dati accesso non autorizzato TLC furto apparati IT pirateria, frode informatica saturazione risorse altro nessuno ns 79% 4% 2% 1% 0% 1% 5% 1% 0% 8% 1% Attacchi informatici più frequenti

6 LA VULNERABILITA’ DELLA RETE Virus Sono programmi che causano danni ai computer; si annidano nei meandri della posta elettronica, viaggiando con gli allegati apparentemente innocui (.exe,.com,.dll o macro di Word, Excel o Power Point). Spamming Si ottiene quando la scorrettezza postale supera i limiti accettabili (carpet bombing: bombardamento a tappeto simile alla pubblicità che tracima dalle cassette postali, spam è il singolo messaggio, spammer è il responsabile dell’invio). Il provider può bloccare l’inondazione, dopo aver individuato la provenienza (i male intenzionati spesso ricorrono al ponte, fanno spoofing cioè assumono anche identità di altri).

7 Sniffer E’ un programma in grado di intercettare i messaggi di posta elettronica (con tutti gli indirizzi in esse contenuti), ma anche i numeri delle carte di credito (quelli non crittografati). Cookie E’ il biscottino che si infila nel nostro computer quando visitiamo alcuni siti, in genere commerciali (spia le connessioni). Rappresentato da un messaggio apparentemente innocuo (un logo), accumula dati sui nostri gusti e sulle nostre preferenze e li ritrasmette a chi ce lo ha spedito (antidoto con Internet Explorer: menù Strumenti/Opzioni Internet/Protezione/Internet scegliere Alta). Spyware Sono programmi che disseminano, nei computer in cui si vanno ad installare, “ripetitori“ di informazioni riservate su abitudini e preferenze di navigazione dell’utente. Sono più invasivi dei cookies poichè si impadroniscono di informazioni molto sensibili, password, liste di indirizzi e-mail (antidoto freeware: Ad Aware v.3.61 dal sito http://lavasoft.de) http://lavasoft.de

8 COMANDAMENTO “Non rendere danno né a sé né agli altri” Al fine di: non subire illeciti addebiti non rendere disponibili i dati sensibili è necessario: prevenire l’intrusione investire nella sicurezza-dati

9 PasswordProcedure di salvataggio Antivirus 87% 94% 93,4% Sistemi di sicurezza maggiormente usati

10 Budget di spesa per la sicurezza ns 3% Previsto 5% Presente 21% Assente 71%

11

12 HOST RETE INTERNET TRASPORTO APPLICAZIONE A quale livello inserire meccanismi di sicurezza?

13 Nuove professioni per nuove esigenze  Network Manager  Web Watcher  Data-security Manager

14 ASPETTI GIURIDICI L’entrata in vigore del dlgs 196/03, che sostituisce il d.l. 675/96 (sul trattamento dei dati personali) e tutte le precedenti disposizioni di legge, impone di riorganizzare sistemi e servizi informatici e in particolare le modalità di trasmissione ed archiviazione dei dati personali

15 Normativa italiana (196/03) Regole generali per il trattamento dei dati (soggetti pubblici ed economici) Misure minime di sicurezza (dati e sistemi) Adempimenti e trasferimento dei dati all’estero Trattamento dati in ambito giudiziario e da parte delle forze di polizia, attività investigativa pubblica e privata Difesa e sicurezza dello stato Accesso a documenti amministativi pubblici e privati, tributari e doganali, registri pubblici, albi professionali, stato civile, anagrafe, liste elettorali, diritti politici, volontariato, obiezione di coscienza, rapporti con enti di culto, benefici economici, onorificenze, etc. Trattamento dati sensibili sanitari, lavoro e previdenza sociale Trattamento dati storici, statistici, scientifici, giornalistici Comunicazioni elettroniche: Servizi, Reti, Videosorveglianza, Telelavoro Istituzione di Garanti e Authority: Enti Certificatori (firma digitale) Illeciti penali e sanzioni giudiziarie e amministrative

16 NUOVI SCENARI PER RISPETTARE LE NORME IMPOSTE DALLA LEGGE SI E’ DATO UN NUOVO IMPULSO ALLO STUDIO DI METODI DI PROTEZIONE-DATI Al contrario il Congresso americano, al fine di combattere il terrorismo, dopo gli attentati subiti, si propone di rendere ai privati meno robusti i sistemi di protezione-dati per consentire l’intercettazione da parte delle INTELLIGENCE

17 METODI DI PROTEZIONE POSSONO SUDDIVIDERSI IN DUE GRANDI CATEGORIE: CRITTOGRAFIA STEGANOGRAFIA

18 POSSIBILI APPLICAZIONI Commercio elettronico Commercio elettronico *****II*OOO### #######IIfdjhg Bkbkda Blkdkfbkdflbkakbd PAY TV _IIIOOOT# kshghgjhdgdjghjaka Smart card Smart card Protezione audio-video Protezione audio-video Telefonia cellulare Telefonia cellulare Pay-TV Pay-TV 18:88 a.m.

19 CRITTOGRAFIA CRITTOGRAFIA Problematiche legate alla sicurezza delle transazioni commerciali in rete 11010000110100 10011101100010 01110010010 AUTENTICAZIONE AUTENTICAZIONE RISERVATEZZA RISERVATEZZA

20 PROFILI GIURIDICI CRITTOGRAFIA La Francia è stato il primo paese a regolamentare l’uso della crittografia. La Francia è stato il primo paese a regolamentare l’uso della crittografia. In Italia è l’AIPA (Autorità Informatica per la Pubblica Amministrazione) l’organo competente a cui il legislatore fa riferimento per elaborare regolamenti di attuazione delle leggi in materia di protezione-dati, e quindi di crittografia. In Italia è l’AIPA (Autorità Informatica per la Pubblica Amministrazione) l’organo competente a cui il legislatore fa riferimento per elaborare regolamenti di attuazione delle leggi in materia di protezione-dati, e quindi di crittografia. FIRMA DIGITALE In Italia il documento informatico e la firma digitale furono regolamentati già dal d.P.R. 513/97 che attribuiva al documento informatico la stessa valenza giuridica del documento cartaceo. In Italia il documento informatico e la firma digitale furono regolamentati già dal d.P.R. 513/97 che attribuiva al documento informatico la stessa valenza giuridica del documento cartaceo. MONETA ELETTRONICA La normativa UE nel campo dei pagamenti elettronici si è espressa nella Raccomandazione della CEE del 30 luglio 1997 n. 97/489/CEE. La normativa UE nel campo dei pagamenti elettronici si è espressa nella Raccomandazione della CEE del 30 luglio 1997 n. 97/489/CEE. In Italia, il d.P.R. 513/97, rimandava ad un successivo regolamento di attuazione, non ancora redatto. In Italia, il d.P.R. 513/97, rimandava ad un successivo regolamento di attuazione, non ancora redatto.

21 Messaggio criptato Testo in chiaro Testo in chiaro Chiave K2 Decifratura Chiave K1 Cifratura Crittografia a chiave pubblica

22 trasmissione Firma digitale e calcolo del Digest Testo in chiaro Calcolo del Digest Testo in chiaro digest Testo in chiaro digest Calcolo del Digest Uguali?

23 STEGANOGRAFIA LA STEGANOGRAFIA E’ L’INSIEME DELLE TECNICHE CHE CONSENTE A DUE O PIU’ PERSONE DI COMUNICARE IN MODO TALE DA NASCONDERE, AD UN EVENTUALE “NEMICO”, LA STESSA ESISTENZA DELLA COMUNICAZIONE

24 UN BUON CONTENITORE STEGANOGRAFICO

25 STEGANOGRAFIA LA DIFFERENZA SOSTANZIALE TRA LA STEGANOGRAFIA E LA CRITTOGRAFIA, STA NEL FATTO CHE LA STEGANOGRAFIA UTILIZZA UN SECONDO MESSAGGIO PERCEPIBILE (CONTENITORE), IL CUI SENSO E’ TOTALMENTE DISGIUNTO DA QUELLO DEL MESSAGGIO SEGRETO CHE ESSO STESSO CONTIENE.

26 STEGANOGRAFIA - Storia di Histianeus (Erodoto 486-425 a.C.): nobile persiano che tatuava il messaggio sul capo rasato di uno schiavo fidato. - Acrostico: poesia composta in modo tale che le prime lettere di ogni capoverso compongono il messaggio nascosto - Griglie di Cardano (1501-1626): la griglia presenta fori rettangolari in corrispondenza dei soli caratteri, presenti in un foglio sottostante, che compongono il messaggio nascosto

27 STEGANOGRAFIA COME CONTENITORI SI POSSONO USARE: - FILE AUDIO - FILE DI IMMAGINI - VIDEO

28 STEGANOGRAFIA LA TECNICA SOSTITUTIVA CONSISTE NEL SOSTITUIRE L’INFORMAZIONE CHE GIA’ COSTITUISCE RUMORE NELL’IMMAGINE DIGITALE Procedura: si sostituiscono i bit meno significativi dei pixel dell’immagine con i bit che compongono il testo da nascondere

29 STEGANOGRAFIA SUPPONENDO DI VOLER NASCONDERE LA SEQUENZA BINARIA 1-0-1 IN UN PIXEL RAPPRESENTO DALLA TERNA ( 12, 241, 19) OCCORRE EFFETTUARE LE SEGUENTI TRASFORMAZIONI ( 12) 10 = (00001100) 2 => (00001101) 2 = ( 13) 10 (241) 10 = (11110001) 2 => (11110000) 2 = (240) 10 ( 19) 10 = (00010011) 2 => (00010011) 2 = ( 19) 10

30 FASI DELLA STEGANOGRAFIA “encoder” DIAGRAMMA A BLOCCHI Codifica e applicazione del generatore pseudocasuale Codifica steganografica ENCRYPTED FILE EMBEDDED FILE KEY COVER IMAGE QUALITY STEGO IMAGE

31 FASI DELLA STEGANOGRAFIA “decoder” DIAGRAMMA A BLOCCHI Decodifica ENCRYPTED FILE STEGO IMAGE KEY EMBEDDED FILE Desteganografia

32 STEGANOGRAFIA CONFRONTANDO IMMAGINI ORIGINALI E IMMAGINI AFFETTE DA MESSAGGI NASCOSTI, SI OSSERVA CHE SENZA L’AUSILIO DI ZOOM NON E’ POSSIBILE PERCEPIRE DIFFERENZE. SOLO CON ZOOM SUPERIORI AL 1000% LE DIFFERENZE DIVENTANO SIGNIFICATIVE.

33 STEGANOGRAFIA IMMAGINE SENZA TESTO STEGANOGRAFATO IMMAGINE CON TESTO STEGANOGRAFATO ZOOM AL 400%

34 STEGANOGRAFIA IMMAGINE SENZA TESTO STEGANOGRAFATO IMMAGINE CON TESTO STEGANOGRAFATO ZOOM AL 1600%

35 PRINCIPIO DI KERCHOFF La sicurezza del sistema deve basarsi sull’ipotesi che il nemico possa avere piena conoscenza dei dettagli di progetto. La sola informazione di cui il nemico non può disporre è una sequenza di numeri casuali, generati da una chiave segreta, senza la quale non è possibile ricostruire il messaggio nascosto. Solo l’uso della chiave segreta può consentire di ricostruire la sequenza delle posizioni “infettate” dal messaggio nascosto.

36 IL PROBLEMA DELLE IMMAGINI COMPRESSE Per poterle utilizzare nella steganografia, occorre procedere ad un’analisi preventiva delle immagini da utilizzare in forma matriciale non compressa (BITMAP), al fine di conoscere la massima quantità di informazione contenibile per l’occultamento. Il fine è ottenere un’immagine compressa (JPEG) tale che, dopo il processo di espansione, torni ad essere l’immagine di partenza nonostante sia stata preventivamente infettata dal testo nascosto.

37 IL PROBLEMA DELLE IMMAGINI COMPRESSE

38 RISULTATI E’ in via di sviluppo un progetto in ambito sanitario (Prodeo, Politecnico di Bari, Centro Laser) finalizzato all’occultamento dei “dati sensibili” in cartelle cliniche e referti biomedici, che porterà alla realizzazione di un brevetto. Steganografia e crittografia permettono di ottenere ottimi risultati nel rendere inviolabili i “dati sensibili” e, proprio in ambito medico, consentono di condividere un patrimonio di esperienze diagnostiche, di grande utilità per la formazione di nuovo personale medico-sanitario: immagini radiografiche disponibili in rete.

39 DATA-HIDING DI CARTELLE CLINICHE

40

41 ACCESSO AI DATI NASCOSTI Consentito in modo gerarchico:  ignari avventori della rete  studenti  medici generici o specialisti  operatori sanitari di reparto  amministrativi  enti regionali e nazionali (andamenti statistici)

42 FILMATO HACKERS

Scaricare ppt "AEIT - Sezione Pugliese 11 novembre 2004 Vulnerabilità dei Sistemi Informatici PROF. GIUSEPPE MASTRONARDI POLITECNICO DI BARI DIPARTIMENTO DI ELETTROTECNICA."

Presentazioni simili

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524

VIA GIULIO RATTI, CREMONA – Tel. 0372/27524
Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.

Codice della Privacy Il d. lgs. n°196 del 30 giugno 2003.
Corso per collaboratori di studio medico

Corso per collaboratori di studio medico
INTERNET: RISCHI E PERICOLI

INTERNET: RISCHI E PERICOLI
Le tecnologie informatiche per l'azienda

Le tecnologie informatiche per l'azienda
NUOVE TECNOLOGIE E INNOVAZIONE DELLA PUBBLICA AMMINISTRAZIONE Costantino Ciampi IDG-CNR

NUOVE TECNOLOGIE E INNOVAZIONE DELLA PUBBLICA AMMINISTRAZIONE Costantino Ciampi IDG-CNR
UN MONDO CHE CAMBIA Lo sviluppo tecnologico ha modificato profondamente il modo di lavorare se da un lato ha reso necessaria lintroduzione di nuove figure.

UN MONDO CHE CAMBIA Lo sviluppo tecnologico ha modificato profondamente il modo di lavorare se da un lato ha reso necessaria lintroduzione di nuove figure.
LE RETI INFORMATICHE. LE RETI LOCALI La lan (Local Area Network) è costituita da un insieme di nodi, solitamente usata in un edificio solo o in edifici.

LE RETI INFORMATICHE. LE RETI LOCALI La lan (Local Area Network) è costituita da un insieme di nodi, solitamente usata in un edificio solo o in edifici.
Ospedale Pistoia ASL 3 Pistoia

Ospedale Pistoia ASL 3 Pistoia
Per crittografia si intende la protezione

Per crittografia si intende la protezione
Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.

Testo consigliato Crittografia, P. Ferragina e F. Luccio, Ed. Bollati Boringhieri, € 16.
Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.

Documento informatico Ingegneria Informatica 31 marzo 2006 Prof. Pieremilio Sammarco.
Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.

Novità in materia di PRIVACY 23 febbraio 2012 Relatore: Gianni Festi.
E-mail. 7.5 Posta elettronica : per iniziare : per iniziare 7.5.1 Primi passi con la posta elettronica 7.5.1 Primi passi con la posta elettronica 7.5.1.1.

Posta elettronica : per iniziare : per iniziare Primi passi con la posta elettronica Primi passi con la posta elettronica
ECDL Mod. 1 1 I virus sono particolari programmi che hanno effetti negativi sul sistema informatico. Il loro scopo è: Infettare il programma senza alterarne.

ECDL Mod. 1 1 I virus sono particolari programmi che hanno effetti negativi sul sistema informatico. Il loro scopo è: Infettare il programma senza alterarne.
IL PC NELLA NOSTRA VITA Il PC fa ormai parte della nostra vita. Ha acquisito un ruolo fondamentale, sia in ambito domestico che lavorativo (ambito organizzativo,

IL PC NELLA NOSTRA VITA Il PC fa ormai parte della nostra vita. Ha acquisito un ruolo fondamentale, sia in ambito domestico che lavorativo (ambito organizzativo,
Recenti sviluppi della sicurezza ICT

Recenti sviluppi della sicurezza ICT
Seminario Sicurezza Informatica: Steganografia

Seminario Sicurezza Informatica: Steganografia
Modulo 7 – reti informatiche u.d. 2 (syllabus 7.1.2.1 – 7.1.2.6)

Modulo 7 – reti informatiche u.d. 2 (syllabus – )
SICUREZZA DEI DATI Panaro Emilia IV A SIA.

SICUREZZA DEI DATI Panaro Emilia IV A SIA.

Presentazioni simili

Annunci Google