Sicurezza - Loris Tissino

Sicurezza informatica
Comunicazioni cifrate, firma digitale,
tecniche di attacco e di difesa, tutela della privacy
a cura di Loris Tissìno
(www.tissino.it)
“Sicurezza”: alcuni aspetti
Funzionamento calcolatore / rete
Difesa dati personali / aziendali
Difesa della privacy (dati / azioni)
Verifica identità del corrispondente
Attendibilità dei contenuti
Contenuti illegali
Tematiche coinvolte
Steganografia e crittologia
Protocolli di Internet
Esecuzione di applicazioni su server e client
Impostazioni del browser e dei visualizzatori di
contenuto
Tecniche di intrusione
Gestione delle password
Gestione della rete: server proxy, firewall,
zone demilitarizzate
Steganografia
Nascondere una comunicazione all'interno
di un'altra
dissimulazione (testo in immagine o suono)
scrittura convenzionale (variazioni semantiche)
scrittura invisibile (inchiostro invisibile)
Crittologia
Crittografia
cifrare messaggi
decifrare messaggi
Crittanalisi
violare la segretezza dei messaggi
Crittografia nella storia
Crittografia classica
segretezza dell'algoritmo di cifratura
Crittografia moderna
pubblicità dell'algoritmo, segretezza della
chiave di cifratura (principio di Kerchoffs)
Crittografia simmetrica
Cifratura
Decifrazione
Testo “in chiaro”
+ chiave di cifratura
+ algoritmo di cifratura
= Testo cifrato
Testo cifrato
+ chiave di cifratura
+ algoritmo di decifrazione
= Testo “in chiaro”
Crittografia simmetrica
Problemi:
Numero di chiavi necessarie (una per ogni
corrispondente)
Trasmissione della chiave (canale sicuro)
Vantaggi:
Velocità
Realizzabilità con hardware dedicato (es.
processori specifici)
Crittografia asimmetrica
Cifratura
Decifrazione
Testo “in chiaro”
+ chiave pubblica
destinatario
+ algoritmo di cifratura
= Testo cifrato
Testo cifrato
+ chiave privata
destinatario
+ algoritmo di decifrazione
= Testo “in chiaro”
Firma digitale
Firma
Testo “in chiaro”
+ chiave privata
del mittente
+ algoritmo
= Testo in chiaro con
firma digitale in coda
Verifica della firma
Testo in chiaro con
firma digitale in coda
+ chiave pubblica
del mittente
+ algoritmo di verifica
= Testo in chiaro verificato
Nota: di solito la firma è applicata ad un “riassunto”
del documento (funzione hash sicura)
Crittografia ibrida
Cifratura
Testo “in chiaro”
+ chiave segreta casuale
+ algoritmo di cifratura
simmetrica del testo
+ chiave pubblica dest.
+ algoritmo di cifratura
asimmetrica della chiave
casuale generata
= Testo cifrato
Decifrazione
Testo cifrato
+ chiave privata del destinat.
+ algoritmo di decifrazione
asimmetrica della chiave
+ algoritmo di decifrazione
simmetrica del testo cifrato
= Testo “in chiaro”
Autorità di certificazione
Autorità che certifica la corrispondenza tra
chiave pubblica e identità del possessore
Tecnicamente “firma” con la propria chiave
privata la chiave pubblica del soggetto
certificato
In Italia, le CA (Certification Authorities)
sono approvate dall'AIPA (www.aipa.it)
Tecniche crittanalitiche
Forza bruta (provare tutte le combinazioni)
Analisi statistica dei contenuti
Crittanalisi differenziale
“Man in the middle”
Crittografia applicata
Alcuni esempi:
PGP (Pretty Good Privacy)
GnuPG (Gnu Privacy Guard)
SSL (Secure Socket Layer)
SSH (Secure Shell)
Tecniche di attacco
Attacco alle password
Spionaggio con gli sniffer (lett., “annusatori”)
Analisi debolezze con scanner (analizzatori)
Spoofing (fingersi un calcolatore diverso)
DoS (“denial of service”, negazione del servizio)
Gestione delle password
Usare password
lunghe
non predicibili
non basate su nomi, date di nascita, ecc.
Password diverse per servizi diversi
Cambiare le password frequentemente
Non scrivere le password su un foglietto
attaccato al monitor (!)
Non condividere password fra più utenti
Malicious code (malware)
Virus
Macrovirus
Cavalli di Troia (Trojan horses)
Worm
Sfruttamento di bachi nel software
Applicazioni web lato client
Script in pagine web (javascript e simili)
Applicazioni gestite da moduli aggiuntivi
Applet Java gestite dalla Java Virtual Machine
Animazioni Flash gestite da Flash Player
...
Software specifico per “migliorare
l'accesso” a un sito (!)
Protezione della rete
Firewall: calcolatore che filtra le
trasmissioni tra rete interna e mondo
esterno in base a regole prestabilite
Proxy server: applicazione che svolge il
ruolo di intermediario nella richiesta di
servizi al mondo esterno
DMZ (zona demilitarizzata): calcolatori che
risultano visibili all'interno e all'esterno
della rete locale
Webografia
www.sikurezza.org
www.enricozimuel.net
www.aipa.it
www.interlex.it
www.alcei.it