La sicurezza dei sistemi informatici

La sicurezza

dei sistemi informatici

Alessandra Fascioli

Bibliografia

• W. Stallings, Network Security Essentials, Prentice-Hall

• M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici, Apogeo

• B. Schneier, Applied Cryptography, John Wiley & Sons

• W. R. Cheswick, S. M. Bellovin, Firewalls and Internet Security, Addison-Wesley

• S. Garfinkel, “PGP (Pretty Good Privacy)”, O’Reilly & Associates

• E. Spafford, S. Garfinkel, “Practical UNIX and Internet Security”, O’Reilly & Associates

Riviste

• Login

• COMPUTER

• Computer Programming

• ...

• CERTIT (Italian Computer Emergency Response Team) http://security.dsi.unimi.it

• FIRST (Forum of Incident Response and Security Teams) http://www.first.org/

• RUR (Rete Urbana delle Rappresentanze)

Link

Sommario

• Introduzione

– computer security e network security – attacchi, meccanismi, servizi

• Crittografia

– Crittografia a chiave privata – Crittografia a chiave pubblica

• Firma digitale

• Applicazioni di network security

– servizi di autenticazione

– sicurezza della posta elettronica

Computer security e network security

• Computer security: strumenti automatici per proteggere le informazioni di un

calcolatore

• Network security: misure per proteggere le informazioni durante la trasmissione

Sistemi distribuiti

• Nuovi paradigmi

– informazioni distribuite

– accesso tramite sistemi distribuiti

• Nuove problematiche di sicurezza

– sicurezza delle reti locali

• da attacchi esterni (con firewall)

• da impiegati infedeli

– sicurezza delle reti geografiche

• da impostori (realizzata tramite una rete pubblica)

– sicurezza delle applicazioni (e-mail, WWW,…)

• fondamentali per le funzioni aziendali e il commercio elettronico

Problemi base

• le reti sono insicure perchè le comunicazioni avvengono in chiaro

• l’autenticazione degli utenti si basa normalmente su password

• non c’è autenticazione dei server

• le reti locali funzionano in broadcast

• le connessioni geografiche non avvengono tramite linee punto-punto ma

– attraverso linee condivise – tramite router di terzi

Sicurezza: aspetti fondamentali

• Attacchi alla sicurezza: azioni che violano la sicurezza delle informazioni possedute da

un'organizzazione

• Meccanismi di sicurezza: misure progettate per prevenire, rivelare o recuperare da un attacco alla sicurezza

• Servizi di sicurezza: servizi che rafforzano la sicurezza delle informazioni contrastando gli attacchi mediante uno o più meccanismi

Attacchi alla sicurezza

Attacchi passivi e attivi

• difficili da rivelare

• è possibile impedirli

• difficili da impedire

• è possibile rivelarli e recuperare

Meccanismi di sicurezza

• Esiste una grande varietà di meccanismi di sicurezza

• Quasi tutti si basano su tecniche crittografiche

Servizi di sicurezza (1)

• Confidenzialità: protezione dei dati trasmessi da attacchi passivi

• Autenticazione: verifica dell'identità di un'entità in una comunicazione

• Integrità: verifica che un messaggio non è stato modificato, inserito, riordinato,

replicato, distrutto

Servizi di sicurezza (2)

• Non ripudio: impedisce al mittente e al

destinatario di negare un messaggio trasmesso

• Controllo degli accessi: capacità di controllare gli accessi a dati e risorse

• Disponibilità: impedisce le interferenze con le attività di un sistema

Un modello per la sicurezza

Infiltrazioni

• I sistemi informatici vanno protetti da accessi indesiderati

– utenti legittimi – utenti illegittimi – altri metodi:

• virus

• worms

Password

• suggerimenti

– lettere + cifre + caratteri speciali – lunghe (almeno 8 caratteri)

– parole non presenti nel dizionario – cambiate frequentemente

• Sistemi a sfida

– utente e computer condividono un segreto: la password P – il computer genera una sfida

– l’utente risponde con: soluzione = f(sfida, P)

• OTP (One Time Password)

– password pre-calcolate e scritte su un foglietto

– generatore di numeri casuali con seme noto solo a server e utente

Esempio di sistema a sfida

Password: numero di 6 cifre P = (p₁ ,p₂ ,p₃ ,p₄ ,p₅ ,p₆) Operatori: OP = (+, - , *, mod)

Sfida: sequenza di 10 interi positivi casuali S = ( n₀,…,n₉) Risposta:

n_p1 mod n_p2 OP(n_p2 mod 4) n_p3 mod n_p4 OP(n_p4 mod 4) n_p5 mod n_p6

S: 23 98 76 32 13 17 99 27 66 54 (0 1 2 3 4 5 6 7 8 9) P: 5 1 3 4 2 4

(1 2 3 4 5 6) Esempio: