Capire la crittografia - Securing The Human

OUCH! | Luglio 2011
IN QUESTO NUMERO
• Cos’è la crittografia?
• Codificare i dati memorizzati
• Codificare le informazioni nelle trasmissioni
• Best Practices e suggerimenti
Capire la crittografia L’AUTORE DI QUESTO NUMERO
Questo numero di OUCH! ha visto la partecipazione di Fred
nel vostro pc portatile, nelle chiavi USB, sullo smartphone o
Kerby. Fred è stato impiegato negli ultimi 16 anni come
sul vostro tablet. Questi dispositivi sono più facilmente
Information Assurance Manager presso il Naval Surface
soggetti a smarrimento o sottrazione dei dispositivi fissi e,
Warfare Center Dahlgren Division. Fred è istruttore senior
nel caso non fossero crittografati, il loro contenuto potrebbe
al SANS Institute.
essere letto da chiunque vi abbia avuto accesso. Uno dei
metodi migliori per proteggere i dati su questi sistemi è la
COS’È LA CRITTOGRAFIA?
cifratura.
La crittografia è un meccanismo che protegge le vostre
In genere, esistono tre modi per cifrare i dati memorizzati
informazioni importanti, cioè i vostri documenti, le vostre
sui dispositivi mobili: potete codificare sia file specifici, sia
fotografie o le transazioni online, da tentativi di accesso non
l’intera cartella o ancora l’intero disco fisso. La maggior
desiderati. La crittografia funziona utilizzando una “cifratura”
parte dei sistemi operativi supporta una, se non tutte e tre
(ovvero una formula matematica) e una chiave per
le opzioni.
convertire dati leggibili in formato testuale in una forma che
La codifica dell’intero disco, comunemente chiamata Full
altri non possano comprendere (“testo cifrato”). La cifra è la
Disk Encryption (FDE), è spesso considerata la più sicura:
ricetta generica utilizzata per la crittografia e le vostre chiavi
con la FDE vengono codificati tutti i dati del vostro disco,
rendono il dato unico: solo chi é in possesso delle vostre
inclusi quindi i file temporanei, e l’intero processo di
chiavi e della stessa cifra potrà interpretare il testo
gestione viene così semplificato, poiché non sarà
codificato. Le chiavi sono normalmente lunghe sequenze di
necessario decidere ogni volta cosa codificare e cosa no.
numeri protetti da un meccanismo comune di
Nel caso non possiate codificare l’intero disco, potete
autenticazione: una password, un token o dei dati
sempre codificare ogni file o cartella contenente
biometrici, come ad esempio le vostre impronte digitali.
informazioni sensibili.
I dispositivi mobili, come le chiavi USB, potrebbero avere
CODIFICARE I DATI MEMORIZZATI
già delle funzionalità crittografiche al loro interno; è
I dati sensibili, come le informazioni sanitarie, finanziarie o
comunque possibile codificarne il contenuto attraverso
di business, possono risiedere su dispositivi mobili, e quindi
software aggiuntivo che potete installare sul vostro
computer.
© The SANS Institute 2011
http://www.securingthehuman.org
OUCH! | Luglio 2011
Capire la crittografia La crittografia è uno strumento
Alcuni smartphone e tablet offrono nativamente la
importante per proteggere i dati, ma è
possibilità di codifica dei contenuti; in altri casi, potete
efficace soltanto se utilizzate password
installare voi stessi delle apposite “apps” per la crittografia.
Consultate l’ “app store” o il “marketplace” relativo alla
forti e mantenete sicuro il vostro
vostra marca di smartphone per sapere cosa è possibile
computer.
utilizzare.
CODIFICARE LE INFORMAZIONI
NELLE TRASMISSIONI
Le informazioni sono vulnerabili anche durante le
trasmissioni: se i dati non vengono codificati, potrebbero
essere individuati e catturati online. Ecco perché è
opportuno assicurarsi che ogni comunicazione sensibile,
come il banking online, l’invio di email e l’accesso al vostro
account Facebook, sia codificata.
Il tipo più comune di codifica online è l’HTTPS, ovvero la
connessione con siti web sicuri che permette di codificare il
traffico tra il vostro browser e il sito web: quando sarete
connessi a un sito sicuro, noterete la presenza della stringa
BEST PRACTICE E SUGGERIMENTI
https:// nell’URL o dell’icona del lucchetto nel vostro
Indipendentemente dal tipo di codifica che utilizzate o da
browser. Molti siti lo supportano per default (come ad
come la usate, quasi tutte le forme di crittografia
esempio Google Apps) e siti come Facebook e Twitter ve lo
condividono alcune problematiche comuni che dovete
offrono come opzione.
conoscere.
In aggiunta a questo, quando vi collegate a reti Wi-Fi
pubbliche, utilizzate una rete crittografata, laddove
●
possible. WPA2 è attualmente uno dei meccanismi
vostre chiavi. Se esse vengono compromesse, lo saranno
crittografici più forti e quindi anche quello che dovreste
anche i vostri dati. Se utilizzate password per proteggere le
scegliere.
chiavi, assicuratevi che siano password forti e proteggetele
Infine, quando inviate o ricevete email, assicuratevi che il
in modo adeguato (l’argomento è stato trattato nel numero
vostro programma di gestione della posta elettronica (ad
di maggio 2011 di OUCH!).
La vostra codifica è tanto forte quanto lo sono le
esempio Outlook o Thunderbird) utilizzi un canale criptato.
Uno dei più comunemente utilizzati è l’SSL (Secure Socket
●
Layer): molti programmi di posta lo utilizzano per default.
accadesse, o se non aveste modo di accedervi perché
© The SANS Institute 2011
Cercate di non perdere le vostre chiavi: nel caso
http://www.securingthehuman.org
OUCH! | Luglio 2011
Capire la crittografia avete dimenticato la password che le protegge, non potrete
Strumenti di codifica totale del disco (Full Disk
recuperare i vostri dati.
Encryption):
TrueCrypt: http://www.truecrypt.org/
●
Windows 7 Bitlocker: http://tinyurl.com/6jgukk2
La vostra codifica è tanto forte quanto lo è la
Mac: http://tinyurl.com/3qsdged
sicurezza del vostro computer. Se il vostro computer è
infettato, dei criminali informatici potrebbero compromettere
Codifica di file e cartelle:
la vostra crittografia.
TrueCrypt: http://www.truecrypt.org/
●
Windows: http://tinyurl.com/3cgz78h
Mantenete la sicurezza generale del vostro
computer: la crittografia non protegge da virus, worm,
trojan, vulnerabilità non fissate e da attacchi di social
USB Encryption
engineering.
TrueCrypt: http://www.truecrypt.org/
Mac: http://tinyurl.com/3qdrwxc
●
SanDisk: http://tinyurl.com/3b4f2gu
Assicuratevi di effettuare una copia sicura di ogni
IronKey: https://www.ironkey.com/personal
dato confidenziale: questo vi permetterà di recuperare i
vostri dati anche nel caso perdiate il vostro dispositivo o le
Standard di crittografia
chiavi che proteggono i vostri dati.
AES: http://tinyurl.com/39sq7x5
●
WiFi: WPA e WPA2 http://tinyurl.com/3j8f4kc
Utilizzate una crittografia basata su algoritmi
pubblici e riconosciuti, come l’AES (Advanced Encryption
Come funziona l’HTTPS: http://tinyurl.com/6xenp76
Standard) o il Blowfish, piuttosto che da algoritmi
Come funzionano le VPN: http://tinyurl.com/c8ennf
proprietari. Accertatevi altresì di utilizzare l’ultima versione
PER SAPERNE DI PIÙ
dei programmi di codifica.
●
Abbonatevi a OUCH!, la newsletter mensile sulla sicurezza
Consultate un professionista IT se avete bisogno di
informatica, consultate i suoi archivi e approfondite le
aiuto: un errore di installazione, configurazione o utilizzo
soluzioni di sicurezza di SANS visitandoci presso
della crittografia potrebbe rendere i vostri dati inaccessibili
http://www.securingthehuman.org.
per sempre.
VERSIONE IN ITALIANO
RISORSE
Advanction S.A. è un azienda impegnata nella Sicurezza,
Alcuni dei link successivi sono stati accorciati per
nel Risk Management Operativo e nella Security
migliorarne la leggibilità utilizzando il servizio TinyURL.
Awareness. Seguila su http://www.advanction.com.
OUCH! è pubblicata dal programma Securing The Human di SANS ed è distribuita con licenza Creative Commons BY-­‐NC-­‐ND 3.0. Questa newsletter può essere distribuita solo se ne viene c itata la fonte, se i suoi contenuti non vengono modificati e se non viene usata per scopi commerciali. Per traduzioni e per ulteriori informazioni, contattare [email protected]. Redazione: Bill Wyman, Walt Scrivens, Phil Hoffman, Lance Spitzner, Carmen Ruyle Hardy Versione in italiano curata da Advanction S.A.: Stefano Bonacina, Silvestro Maestri, Giorgio Ferrari © The SANS Institute 2011
http://www.securingthehuman.org