Comments
Transcript
Capire la crittografia - Securing The Human
OUCH! | Luglio 2011 IN QUESTO NUMERO • Cos’è la crittografia? • Codificare i dati memorizzati • Codificare le informazioni nelle trasmissioni • Best Practices e suggerimenti Capire la crittografia L’AUTORE DI QUESTO NUMERO Questo numero di OUCH! ha visto la partecipazione di Fred nel vostro pc portatile, nelle chiavi USB, sullo smartphone o Kerby. Fred è stato impiegato negli ultimi 16 anni come sul vostro tablet. Questi dispositivi sono più facilmente Information Assurance Manager presso il Naval Surface soggetti a smarrimento o sottrazione dei dispositivi fissi e, Warfare Center Dahlgren Division. Fred è istruttore senior nel caso non fossero crittografati, il loro contenuto potrebbe al SANS Institute. essere letto da chiunque vi abbia avuto accesso. Uno dei metodi migliori per proteggere i dati su questi sistemi è la COS’È LA CRITTOGRAFIA? cifratura. La crittografia è un meccanismo che protegge le vostre In genere, esistono tre modi per cifrare i dati memorizzati informazioni importanti, cioè i vostri documenti, le vostre sui dispositivi mobili: potete codificare sia file specifici, sia fotografie o le transazioni online, da tentativi di accesso non l’intera cartella o ancora l’intero disco fisso. La maggior desiderati. La crittografia funziona utilizzando una “cifratura” parte dei sistemi operativi supporta una, se non tutte e tre (ovvero una formula matematica) e una chiave per le opzioni. convertire dati leggibili in formato testuale in una forma che La codifica dell’intero disco, comunemente chiamata Full altri non possano comprendere (“testo cifrato”). La cifra è la Disk Encryption (FDE), è spesso considerata la più sicura: ricetta generica utilizzata per la crittografia e le vostre chiavi con la FDE vengono codificati tutti i dati del vostro disco, rendono il dato unico: solo chi é in possesso delle vostre inclusi quindi i file temporanei, e l’intero processo di chiavi e della stessa cifra potrà interpretare il testo gestione viene così semplificato, poiché non sarà codificato. Le chiavi sono normalmente lunghe sequenze di necessario decidere ogni volta cosa codificare e cosa no. numeri protetti da un meccanismo comune di Nel caso non possiate codificare l’intero disco, potete autenticazione: una password, un token o dei dati sempre codificare ogni file o cartella contenente biometrici, come ad esempio le vostre impronte digitali. informazioni sensibili. I dispositivi mobili, come le chiavi USB, potrebbero avere CODIFICARE I DATI MEMORIZZATI già delle funzionalità crittografiche al loro interno; è I dati sensibili, come le informazioni sanitarie, finanziarie o comunque possibile codificarne il contenuto attraverso di business, possono risiedere su dispositivi mobili, e quindi software aggiuntivo che potete installare sul vostro computer. © The SANS Institute 2011 http://www.securingthehuman.org OUCH! | Luglio 2011 Capire la crittografia La crittografia è uno strumento Alcuni smartphone e tablet offrono nativamente la importante per proteggere i dati, ma è possibilità di codifica dei contenuti; in altri casi, potete efficace soltanto se utilizzate password installare voi stessi delle apposite “apps” per la crittografia. Consultate l’ “app store” o il “marketplace” relativo alla forti e mantenete sicuro il vostro vostra marca di smartphone per sapere cosa è possibile computer. utilizzare. CODIFICARE LE INFORMAZIONI NELLE TRASMISSIONI Le informazioni sono vulnerabili anche durante le trasmissioni: se i dati non vengono codificati, potrebbero essere individuati e catturati online. Ecco perché è opportuno assicurarsi che ogni comunicazione sensibile, come il banking online, l’invio di email e l’accesso al vostro account Facebook, sia codificata. Il tipo più comune di codifica online è l’HTTPS, ovvero la connessione con siti web sicuri che permette di codificare il traffico tra il vostro browser e il sito web: quando sarete connessi a un sito sicuro, noterete la presenza della stringa BEST PRACTICE E SUGGERIMENTI https:// nell’URL o dell’icona del lucchetto nel vostro Indipendentemente dal tipo di codifica che utilizzate o da browser. Molti siti lo supportano per default (come ad come la usate, quasi tutte le forme di crittografia esempio Google Apps) e siti come Facebook e Twitter ve lo condividono alcune problematiche comuni che dovete offrono come opzione. conoscere. In aggiunta a questo, quando vi collegate a reti Wi-Fi pubbliche, utilizzate una rete crittografata, laddove ● possible. WPA2 è attualmente uno dei meccanismi vostre chiavi. Se esse vengono compromesse, lo saranno crittografici più forti e quindi anche quello che dovreste anche i vostri dati. Se utilizzate password per proteggere le scegliere. chiavi, assicuratevi che siano password forti e proteggetele Infine, quando inviate o ricevete email, assicuratevi che il in modo adeguato (l’argomento è stato trattato nel numero vostro programma di gestione della posta elettronica (ad di maggio 2011 di OUCH!). La vostra codifica è tanto forte quanto lo sono le esempio Outlook o Thunderbird) utilizzi un canale criptato. Uno dei più comunemente utilizzati è l’SSL (Secure Socket ● Layer): molti programmi di posta lo utilizzano per default. accadesse, o se non aveste modo di accedervi perché © The SANS Institute 2011 Cercate di non perdere le vostre chiavi: nel caso http://www.securingthehuman.org OUCH! | Luglio 2011 Capire la crittografia avete dimenticato la password che le protegge, non potrete Strumenti di codifica totale del disco (Full Disk recuperare i vostri dati. Encryption): TrueCrypt: http://www.truecrypt.org/ ● Windows 7 Bitlocker: http://tinyurl.com/6jgukk2 La vostra codifica è tanto forte quanto lo è la Mac: http://tinyurl.com/3qsdged sicurezza del vostro computer. Se il vostro computer è infettato, dei criminali informatici potrebbero compromettere Codifica di file e cartelle: la vostra crittografia. TrueCrypt: http://www.truecrypt.org/ ● Windows: http://tinyurl.com/3cgz78h Mantenete la sicurezza generale del vostro computer: la crittografia non protegge da virus, worm, trojan, vulnerabilità non fissate e da attacchi di social USB Encryption engineering. TrueCrypt: http://www.truecrypt.org/ Mac: http://tinyurl.com/3qdrwxc ● SanDisk: http://tinyurl.com/3b4f2gu Assicuratevi di effettuare una copia sicura di ogni IronKey: https://www.ironkey.com/personal dato confidenziale: questo vi permetterà di recuperare i vostri dati anche nel caso perdiate il vostro dispositivo o le Standard di crittografia chiavi che proteggono i vostri dati. AES: http://tinyurl.com/39sq7x5 ● WiFi: WPA e WPA2 http://tinyurl.com/3j8f4kc Utilizzate una crittografia basata su algoritmi pubblici e riconosciuti, come l’AES (Advanced Encryption Come funziona l’HTTPS: http://tinyurl.com/6xenp76 Standard) o il Blowfish, piuttosto che da algoritmi Come funzionano le VPN: http://tinyurl.com/c8ennf proprietari. Accertatevi altresì di utilizzare l’ultima versione PER SAPERNE DI PIÙ dei programmi di codifica. ● Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza Consultate un professionista IT se avete bisogno di informatica, consultate i suoi archivi e approfondite le aiuto: un errore di installazione, configurazione o utilizzo soluzioni di sicurezza di SANS visitandoci presso della crittografia potrebbe rendere i vostri dati inaccessibili http://www.securingthehuman.org. per sempre. VERSIONE IN ITALIANO RISORSE Advanction S.A. è un azienda impegnata nella Sicurezza, Alcuni dei link successivi sono stati accorciati per nel Risk Management Operativo e nella Security migliorarne la leggibilità utilizzando il servizio TinyURL. Awareness. Seguila su http://www.advanction.com. OUCH! è pubblicata dal programma Securing The Human di SANS ed è distribuita con licenza Creative Commons BY-‐NC-‐ND 3.0. Questa newsletter può essere distribuita solo se ne viene c itata la fonte, se i suoi contenuti non vengono modificati e se non viene usata per scopi commerciali. Per traduzioni e per ulteriori informazioni, contattare [email protected]. Redazione: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen Ruyle Hardy Versione in italiano curata da Advanction S.A.: Stefano Bonacina, Silvestro Maestri, Giorgio Ferrari © The SANS Institute 2011 http://www.securingthehuman.org