La sicurezza

dei sistemi informatici

2

Bibliografia

• W. Stallings, Network Security Essentials, Prentice-Hall

• M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici, Apogeo

• B. Schneier, Applied Cryptography, John Wiley & Sons

• W. R. Cheswick, S. M. Bellovin, Firewalls and Internet Security, Addison-Wesley

• S. Garfinkel, “PGP (Pretty Good Privacy)”, O’Reilly & Associates • E. Spafford, S. Garfinkel, “Practical UNIX and Internet Security”,

3

Riviste

• Login

• COMPUTER

• Computer Programming

• ...

• CERTIT (Italian Computer Emergency Response Team)

http://security.dsi.unimi.it

• FIRST (Forum of Incident Response and Security Teams)

http://www.first.org/

• RUR (Rete Urbana delle Rappresentanze)

http://www.rur.it

• AIPA (Autorità per l'Informatica nella Pubblica Amministrazione)

http://www.aipa.it

4

Sommario

• Introduzione

– computer security e network security – attacchi, meccanismi, servizi

• Crittografia

– Crittografia a chiave privata – Crittografia a chiave pubblica

• Firma digitale

• Applicazioni di network security

– servizi di autenticazione

5

Computer security e

network security

• _{Computer security: strumenti automatici} per proteggere le informazioni di un

calcolatore

6

Sistemi distribuiti

• Nuovi paradigmi

– informazioni distribuite

– accesso tramite sistemi distribuiti

• Nuove problematiche di sicurezza

– sicurezza delle reti locali

• da attacchi esterni (con firewall) • da impiegati infedeli

– sicurezza delle reti geografiche

• da impostori (realizzata tramite una rete pubblica)

– sicurezza delle applicazioni (e-mail, WWW,…)

7

Problemi base

• le reti sono insicure perchè le comunicazioni avvengono in chiaro

• l’autenticazione degli utenti si basa normalmente su

password

• non c’è autenticazione dei server

• le reti locali funzionano in broadcast

• le connessioni geografiche non avvengono tramite linee punto-punto ma

8

Sicurezza: aspetti fondamentali

• Attacchi alla sicurezza: azioni che violano la

sicurezza delle informazioni possedute da un'organizzazione

• _{Meccanismi di sicurezza: misure progettate per}

prevenire, rivelare o recuperare da un attacco alla sicurezza

• _{Servizi di sicurezza: servizi che rafforzano la}

9

10

Attacchi passivi e attivi

• difficili da rivelare • è possibile impedirli

• difficili da impedire • è possibile rivelarli e

11

Meccanismi di sicurezza

• Esiste una grande varietà di meccanismi di sicurezza

• Quasi tutti si basano su tecniche

12

Servizi di sicurezza (1)

• _{Confidenzialità: protezione dei dati} trasmessi da attacchi passivi

• _{Autenticazione: verifica dell'identità di} un'entità in una comunicazione

• _{Integrità: verifica che un messaggio non è} stato modificato, inserito, riordinato,

13

Servizi di sicurezza (2)

• _{Non ripudio: impedisce al mittente e al}

destinatario di negare un messaggio trasmesso • _{Controllo degli accessi: capacità di}

controllare gli accessi a dati e risorse

14

15

Infiltrazioni

• I sistemi informatici vanno protetti da accessi indesiderati

– utenti legittimi – utenti illegittimi – altri metodi:

• virus

• _worms

16

Password

• suggerimenti

– lettere + cifre + caratteri speciali – lunghe (almeno 8 caratteri)

– parole non presenti nel dizionario – cambiate frequentemente

• Sistemi a sfida

– utente e computer condividono un segreto: la password P – il computer genera una sfida

– l’utente risponde con: soluzione = f(sfida, P)

• OTP (One Time Password)

– password pre-calcolate e scritte su un foglietto

17

Esempio di sistema a sfida

Password: numero di 6 cifre P = (p₁ ,p₂ ,p₃ ,p₄ ,p₅ , p₆)

R = (17mod98) OP(98mod4) (32mod13) OP(13mod4) (76mod13) = = 17 OP(2) 6 OP(1) 11 = 17 * 6 - 11 = 91