• Non ci sono risultati.

Seminario di sicurezza informatica

N/A
N/A
Info
Scarica
Protected

Academic year: 2021

Condividi "Seminario di sicurezza informatica"

Copied!
45
0
0

Caricamento.... (Visualizza il testo completo ora)

Scarica adesso ( 45 pagine )

Testo completo

(1)

Università degli Studi di Udine

David Palma

mercoledì 8 aprile 2015

Seminario di sicurezza informatica

(2)

1. Introduzione

Chi sei?

Perché la biometria?

Definizioni e terminologia

Proprietà biometriche

Campi di applicazione

Vantaggi e svantaggi

2. Sistemi di riconoscimento biometrico

Classificazione dei sistemi biometrici

Confronto tra diverse caratteristiche

Processo di riconoscimento

Modalità di riconoscimento

Template

Valutazione delle prestazioni 3. Vulnerabilità

4. Esempio di riconoscimento biometrico

5. Scelta della caratteristica biometrica

6. Cenni su sistemi biometrici multimodali

(3)
(4)

Con autenticazione ci si riferisce al processo

tramite il quale si verifica la corretta (o presunta) identità di un individuo autorizzandolo ad usufruire i relativi servizi associati

(5)

I metodi di autenticazione si basano su:

1. qualcosa che l’utente possiede (token, smart card…)

Problemi

possono essere rubate, perse o duplicate

il sistema in realtà autentica l’oggetto, non il possessore

2. qualcosa che l’utente conosce (PIN, password…)

Problemi

possono essere rubate, spiate (keylogger HW/SW…), perse e sono suscettibili da attacchi

3. qualcosa che contraddistingue l’utente (caratteristiche biometriche)

(6)

16%

45%

31%

8%

Quanto frequentemente si cambiano le password

Mai

Da 6 mesi a 1 anno Da 1 a 6 mesi

Entro 1 mese

(7)

41 % 4 % 29 % 9 % 17 %

Memorizza Salva in email

Scrive su fogli di carta

Salva su un

file nel PC Altro

Dove vengono salvate più di frequente le password

(8)

Furti d’identità (U.S.) Statistiche

Media annuale 12,157,400

Perdita finanziaria complessiva nell’anno 2014 26,350 mrd USD Perdita finanziaria complessiva nell’anno 2013 24,700 mrd USD Perdita finanziaria complessiva nell’anno 2012 21,000 mrd USD

Cause più comuni del furto d’identità (U.S.)

Uso improprio delle informazioni personali 14.2 %

Uso improprio di cc bancari 35 %

Uso improprio di carte di credito/debito 50.8 %

8 Aprile 2015

U.S. Department of Justice, Javelin Strategy & Research

(9)

Il riconoscimento biometrico nasce dalla necessità di poter autenticare (o identificare) un individuo

autorizzandolo ad usufruire i relativi servizi associati

You are your authenticator

(10)

$3.422

$4.357

$5.424

$6.581

$7.847

$9.369

$0,00

$2.000,00

$4.000,00

$6.000,00

$8.000,00

$10.000,00

2009 2010 2011 2012 2013 2014

Milioni

Annual Biometric Industry Revenues, 2009-2014

(11)

Con biometria ci si riferisce allo studio e sviluppo di metodi per l’analisi di grandezze biofisiche

Con riconoscimento biometrico ci si riferisce

all’impiego di metodi che utilizzano caratteristiche biometriche per distinguere univocamente un

individuo

(12)

Identificazione vs. Autenticazione

Determina l’identità di un individuo Determina se l’individuo è realmente chi sostiene di essere

Nessuna identità richiesta È necessario dichiarare la propria identità

Confronto 1-to-many Confronto 1-to-1

Costo computazionale elevato (molteplici confronti)

Costo computazionale ridotto (singolo confronto)

(13)

Caratteristiche biometriche

Biologiche

Impronte

digitali Mano Iride Volto

Comportamentali

Voce Calligrafia Andatura

Chimico fisiche

DNA

(14)

U

NIVERSALITÀ

TUTTI DEVONO AVERLA

U

NICITÀ

DIVERSA PER OGNI INDIVIDUO

P

ERMEANZA

NON DEVE MUTARE NEL TEMPO

C

OLLEZIONABILITÀ

MISURABILE

QUANTITATIVAMENTE

P

ERFORMANCE

IDENTIFICAZIONE IN TEMPI RAGIONEVOLI

A

CCETTABILITÀ

TASSO DI GRADIMENTO

(15)

SISTEMA BIOMETRICO

CONTROLLO ACCESSI

CONTROLLO PRESENZE

SICUREZZA DEI CALCOLATORI

E DELLE RETI

DATABASE DI CREDENZIALI FIRMA

DIGITALE (ATTIVAZIONE

BIOMETRICA) PROTEZIONE

DI DATI SENSIBILI E DOCUMENTI ATTIVAZIONE

BIOMETRICA DI DISPOSITIVI

HARDWARE

APPLICAZIONI GOVERNATIVE E FORENSI

(16)

Vantaggi

Le caratteristiche biometriche non possono essere prestate, dimenticate, rubate o perse

Ai fini del riconoscimento, l’utente non è tenuto a portare niente con se

Un riconoscimento biometrico implica la

presenza della persona da riconoscere

Svantaggi

Non garantiscono mai un’accuratezza del 100%

Alcuni utenti non possono utilizzare alcune

caratteristiche biometriche

Esistono caratteristiche

biometriche che mutano nel tempo

(17)
(18)

Cooperative vs. non cooperative

Qual è il comportamento dell’utente nell’interazione con il sistema?

Evidenti vs. nascoste

L’utente è a conoscenza di essere sottoposto a riconoscimento biometrico?

Abituali vs. non abituali

Quanto spesso l’utente registrato è soggetto a riconoscimento biometrico?

Supervisionate vs. non supervisionate

Il processo di acquisizione di dati biometrici è controllato, guidato o supervisionato da un operatore?

(19)

Ambienti operativi standard vs. non standard

Il sistema opera in un ambiente controllato (temperatura, pressione, umidità, condizioni d’illuminazione, ...)?

Pubbliche vs. private

Gli utenti del sistema sono clienti o impiegati

dell’organizzazione che utilizza il sistema biometrico?

Aperte vs. chiuse

Il modello biometrico della persona è utilizzato per una singola applicazione o per più applicazioni?

(20)

Caratteristica biometrica Universalità Unicità Permeanza Collezionabilità Performance Accettabilità

Impronte digitali 2 1 1 2 1 2

Geometria della mano 2 2 2 1 2 2

Impronta del palmo 2 1 1 2 1 2

Venature della mano 2 2 2 2 2 2

Iride 1 1 1 2 1 3

Retina 1 1 2 3 1 3

Termografia facciale 1 1 3 1 2 1

Geometria facciale 1 3 2 1 3 1

Digitazione (dinamica) 3 3 3 2 3 2

Firma 3 3 3 2 3 1

Voce 2 3 3 2 3 1

1 = Alto 2 = Medio 3 = Basso

(21)

ACQUISIZIONE

PREPROCESSING

ESTRAZIONE CARATTERISTICA

GENERAZIONE

TEMPLATE CONFRONTO

OUTPUT

DB

RICONOSCIMENTO BIOMETRICO

(22)

ACQUISIZIONE ESTRAZIONE CARATTERISTICA

CONFRONTO 1-TO-MANY

DB

IDENTITÀ UTENTE RILEVATA / NON RILEVATA

Identificazione biometrica

(23)

ACQUISIZIONE ESTRAZIONE CARATTERISTICA

CONFRONTO 1-TO-1

DB

CONFERMA IDENTITÀ UTENTE

Autenticazione biometrica

IDENTITÀ DICHIARATA

(24)

I template sono dati codificati ottenuti dalle feature uniche di una caratteristica biometrica

Dimensioni limitate favoriscono la cifratura e la memorizzazione su più supporti

Ad ogni riconoscimento vengono generati template diversi

Per ogni individuo sono (solitamente) memorizzati più template

I template vengono aggiornati periodicamente

(25)

Ai fini dell’autenticazione, non è necessario memorizzare i dati di riferimento in una database, è invece preferibile utilizzare dispositivi decentralizzati dove archiviare i dati personali.

L’identificazione, invece, è possibile solo memorizzando i dati di riferimento in un database centralizzata

(26)

I sistemi biometrici non forniscono un match al 100%, per cui il risultato è confrontato con una soglia prefissata

(27)

Definizioni:

Genuine – riscontro fra due template di uno stesso individuo

impostor – riscontro fra due template di due diversi individui

FAR (False Acceptance Rate) – utenti non

autorizzati erroneamente riconosciuti come autorizzati

FRR (False Rejection Rate) – utenti autorizzati

erroneamente riconosciuti come non autorizzati

(28)

𝐹𝐴𝑅 = 1

𝑁 𝐹𝐴𝑅(𝑘)

𝑁

𝑘=1

𝐹𝑅𝑅 = 1

𝑁 𝐹𝑅𝑅(𝑘)

𝑁

𝑘=1

dove per il k-esimo individuo si ha:

𝐹𝐴𝑅 𝑘 = 𝑛𝑢𝑚. 𝑓𝑎𝑙𝑠𝑖 𝑝𝑜𝑠𝑖𝑡𝑖𝑣𝑖

𝑛𝑢𝑚. 𝑡𝑒𝑛𝑡𝑎𝑡𝑖𝑣𝑖 𝐹𝑅𝑅 𝑘 = 𝑛𝑢𝑚. 𝑓𝑎𝑙𝑠𝑖 𝑛𝑒𝑔𝑎𝑡𝑖𝑣𝑖 𝑛𝑢𝑚. 𝑡𝑒𝑛𝑡𝑎𝑡𝑖𝑣𝑖

𝐸𝐸𝑅 = 𝐹𝐴𝑅 𝑘 = 𝐹𝑅𝑅(𝑘)

(29)
(30)
(31)
(32)
(33)

Per la sicurezza dei sistemi biometrici, si distinguono principalmente:

attacchi ai dispositivi biometrici

nella registrazione e memorizzazione dei template

attacchi contro i link

nelle modalità di trasporto del dato (database,

collegamenti di rete e i device di acquisizione dati)

(34)

Al fine di neutralizzare questi attacchi si può utilizzare:

crittografia

protezione del software

protocolli per transazioni sicure (SSL e TSL)

(35)

2015 David Palma

ESEMPIO DI RICONOSCIMENTO BIOMETRICO

Riconoscimento del palmo della mano

Estratto della presentazione di tesi di laurea triennale di David Palma

Link alla presentazione dell’esempio di riconoscimento biometrico

(36)
(37)

Qual è la migliore caratteristica biometrica?

(38)

Aspetti da tenere in considerazione:

modalità di riconoscimento

valutazione del rischio nel caso di FAR e FRR

disponibilità a cooperare da parte dell’utente

ambiente operativo del sistema

supervisione o meno al riconoscimento

frequenza di utilizzo del sistema

rischi per la privacy

(39)

Sicurezza

accuratezza (FAR, FRR, EER…)

resistenza a contraffazioni

Robustezza

rispetto alla caratteristica biometrica (stabilità)

rispetto ad alcuni individui o popolazioni

rispetto all’ambiente operativo

Accettabilità

della caratteristica biometrica

delle operazioni di enrollment

Usabilità

interazione con l’utente

interazione con l’amministratore

efficienza

Vari

costo

occupazione spazio

dimensione template

integrazione

adattibilità

(40)

Impronte digitali

25,3%

Iride 5,1%

Mano 4,7%

Volto 12,9%

Middleware 5,4%

Voce 3,2%

Venature 3,0%

AFIS/Live-scan 33,6%

Multimodali 2,8%

Altro 4,0%

(41)
(42)

I sistemi biometrici multimodali sfruttano l’uso

congiunto di diverse caratteristiche biometriche e in particolare:

aumentano le prestazioni

riducono la percentuale di errore nell’acquisizione

più robusti ai tentativi di frode

(43)

Nella progettazione di sistemi biometrici multimodali è necessario definire:

numero di indicatori biometrici

livello di fusione (rappresentazione, matching score, decisione)

apprendimento di pesi delle caratteristiche biometriche individuali per ciascun utente

trade-off costi/prestazioni

(44)
(45)

Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione 4.0 Internazionale.

Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by/4.0/.

Riferimenti

Scarica adesso ( PDF - 45 pagine - 2.91 MB )

Documenti correlati

Ore prestate giornalmente

tenuto conto della necessità di adeguare le retribuzioni convenzionali da assumere per la liquidazione della indennità per inabilità temporanea assoluta e della rendita per

Ore prestate giornalmente

1124, le misure della retribuzione convenzionale giornaliera da assumere per la liquidazione dell'indennità per inabilità temporanea assoluta e della rendita per

Coniugi con residenze separate: niente abitazione principale ai fini Imu

Il pagamento, contestuale alla richiesta del servizio, è effettuato attraverso il sistema pagoPA e le commissioni applicate sono variabili in base al Prestatore di Servizi di

Le stringhe costanti non possono essere modificate

I E possibile utilizzare costanti di tipo stringa (stringhe letterali) scritte ` tra doppio apice e senza scrivere esplicitamente il carattere di fine stringa... Lettura

Vediamo anche che i cookie possono essere usati per creare uno strato di sessione di utente sovrapposto a HTTP.

La risposta la si trova nel valore (espresso in formato data) assegnato all'attributo Expires.Questo attributo è di sola scrittura e quindi non è possibile leggerlo in un

Tutte le immagini sono di Pixabay e possono essere copiate, modificate, distribuite e utilizzate anche a fini commerciali, senza chiedere alcun

Il grande cappello color arancio era un regalo della zia che abitava lontano e aveva delle margherite blu cucite sul davanti, insolite da trovare in natura –

Piattaforma di riconoscimento delle professioni dimenticate da norme.

Questo è un problema che merita attenzione, come tutti i problemi che riguardano gli infermieri e le altre figure professionali a cui viene data risposta attraverso leggi e

(2 punti) Un computer tenuto spento soddisfa i requisiti di sicurezza informatica? Perché? 6

(5 punti) Relativamente all’approfondimento sulle tematiche di sicurezza svolto durante il corso e oggetto del seminario che avete tenuto per gli altri studenti, si