Introduzione agli aspetti di
sicurezza dei sistemi informatici
19 Settembre 2005
[email protected]
Contenuti:
•
•
•
•
Introduzione
Firewalling: ACL Cisco
Firewalling: IPTables
Nessus
Introduzione
Perche’ la sicurezza informatica e’ un
problema di cui occuparsi
Nel maggio 2003 CSI (Computer Security Institute) e la FBI hanno intervistato 530
responsabili di computer security in aziende, agenzie governative, istituzioni
finanziarie, istituzioni mediche e università.
Tra i 530 partecipanti:
•90% ha avuto intrusioni
•75% ha avuto perdite finanziarie
Introduzione
Il problema e’ in crescita
Danni quantificati:
• Prima del 2000:120 M$
• 2000:
266 M$
• 2001:
378 M$
• 2002:
456 M$
Introduzione
Cosa rendere sicuro
1.Riservatezza dei dati presenti nei sistemi
Ad esempio dati anagrafici dei clienti nei siti di e-commerce, e-banking, etc…
2.Riservatezza della comunicazione
Ad esempio il traffico tra cliente e sito di e-commerce o anche una comunicazione con scambio
di dati riservati (info commerciali tra aziende)
3.Controllo dei sistemi e delle reti
Ad esempio per garantire il management da parte dei gestori
4.Integrità dell’informazione
Garanzia del fatto che i dati ricevuti non siano stati modificati durante il tragitto.
5.Il livello di servizio offerto
Ad esempio per garantire servizi quali VoIP o streaming multimediale
6.L’identità di chi accede ai servizi
Ad esempio per e-commerce, e-government, etc…
7.Privacy
Ad esempio nel caso in cui sia necessario garantire l’anonimato (es. sondaggi).
Introduzione
Cosa puo’ accadere
1. L’informazione sui nostri sistemi puo’ essere compromessa:
Gen. 2002, un hacker penetra nei sistemi della online Resources (software finanziario); usa
questi sistemi per accedere ad una banca di NY che viene ricattata.
2. La comunicazione può essere compromessa:
Nella seconda guerra mondiale, molti U-boat tedeschi furono distrutti dopo che gli Inglesi
riuscirono a decifrare i messaggi che utilizzavano la macchina Enigma.
3. I nostri sistemi possono essere compromessi:
Agosto 2001, Code Red infetta 359.000 server in 14 ore
Scandisce la rete alla ricerca di server IIS vulnerabili; rallenta i server; lascia backdoor per gli hacker
Molti altri virus prendono il controllo del sistema operativo e inviano messaggi.
IMPORTANTE: I sistemi compromessi possono essere utilizzati per attaccare altri siti sensibili
4. I nostri dati possono essere alterati:
Settembre 1999, i siti del NASDAQ e dell’AMEX vengono violati; gli hacker aprono dei propri
account di email.
5. Il nostro servizio puo’ essere interrotto
Febbraio 2000: attacco Mafiaboy di tipo Distributed Denial of Service (DDoS): Yahoo, CNN,
eBay, Amazon non disponibili per più di 3 ore.
Introduzione
Altre informazioni sugli attacchi
1. Numero degli attacchi:
gli USA sono i primi nel mondo per il numero assoluto
Israele è in testa per il numero di attacchi per abitante
2. Circa il 45% degli attacchi è critico.
3. Gran parte delle maggiori società sono attaccate continuamente (specialmente le
società finanziarie).
4. Molti attacchi sono semplici scansioni alla ricerca di nodi vulnerabili
5. Molti utenti sono sempre connessi (ad esempio tramite ADSL) da sistemi
altamente insicuri (home computing)
6. I dispositivi wireless (cellulari o palmari) iniziano ad essere interessati da virus
Introduzione
Come ci si puo’ proteggere
Segretezza delle informazioni sui propri sistemi
Uso esteso della crittografia
Segretezza della comunicazione
Controllo degli accessi
sistema, applicazioni)
Controllo dei nostri sistemi e reti
Autenticazione
biometrica)
Integrita’ dei dati
Virtual Private Networks (VPN)
Denial Of Service (DoS)
Sistemi per la rilevazione delle intrusioni (IDS)
Autenticita’ dei parteners della comunicazione
Ridondanza delle strutture
Privacy
Cultura della riservatezza
(hardware,
(password,
software,
certificazione,
Introduzione
Tipologie di attacco
Sorgente
Destinatario
Flusso normale
Introduzione
Tipologie di attacco - Interruzione
Sorgente
Destinatario
Flusso normale
Sorgente
Destinatario
Interruzione
Introduzione
Tipologie di attacco - Intercettazione
Sorgente
Destinatario
Flusso normale
Sorgente
Destinatario
Intercettazione
Introduzione
Tipologie di attacco - Modifica
Sorgente
Destinatario
Flusso normale
Sorgente
Destinatario
Modifica
Introduzione
Tipologie di attacco - Creazione
Sorgente
Destinatario
Flusso normale
Sorgente
Destinatario
Creazione
Introduzione
Crittografia & Steganografia
steganografia  Steganos (coperto) e Grafein (scrittura)
Consiste nel nascondere un messaggio da trasmettere tra due entita’ in modo
che una terza non lo posso trovare.
crittografia  Kryptos (segreto) e Grafein (scrittura)
Consiste nel nascondere un il significato di un messaggio da trasmettere tra
due entita’ in modo che una terza non possa capirne il significato.
Entrambe queste tecniche sono state storicamente usate. I risultati migliori
si ottengono utilizzandole congiuntamente.
Introduzione
Cenni storici
Steganografia:
• Antica Grecia: Scrittura su tavolette ricoperte di cera
• Tatuaggi sulla testa rasate degli schiavi
• Antica Cina: mess. scritti sulla seta avvolta e ricoperta di cera fatta ingoiare
• Messaggi di testo in file MP3 o JPG
Crittografia:
• Scitala (5 sec. AC)
• Trasposizione monoalfabetica lineare (traslazione)
• Trasposizione plurialfabetica
Introduzione
Crittografia
Abbiamo visto dagli esempi che sono fondamentali
2 concetti nella crittografia:
1. Il metodo (scitala, traslazione, trasposizione)
2. La chiave (diametro della scitala, numero di
lettere, elenco delle coppie)
Mentre il primo e’ pubblico, la chiave DEVE essere
segreta. Una volta scoperta la chiave TUTTI i
messaggi possono essere letti.
Introduzione
Crittanalisi
Si definisce crittanalisi l’insieme delle tecniche
utilizzate per tentare di ‘rompere’ un codice di
cifratura.
Ad es.: analisi statistica per la traslazione
Introduzione
Crittografia
A seconda del metodo di cifratura possiamo
dividere la crittografia in 2 tipi:
1. Simmetrica (o a chiave privata)
2. Asimmetrica (o a chiave pubblica)
Introduzione
Crittografia simmetrica
Tipico protocollo:
• A e B si accordano su un sistema di cifratura
• A e B si accordano su una chiave di cifratura
• A cifra il suo messaggio con la chiave decisa
• A invia il messaggio a B
• B decifra il messaggio con la stessa chiave
Variazione:
• A seleziona una nuova chiave per ogni messaggio e
la cifra con la chiave accordata
• A invia la nuova chiave a B che la decifra con la
chiave accordata
• A cifra il messagio da inviare con la nuova chiave
Introduzione
Crittografia a chiave pubblica
Vantaggio principale:
• A e B non hanno necessita’ di scambiarsi la chiave di cifratura
(punto debole della cifr. simmetrica)
Idea di principio:
• Usare 2 chiavi diverse per cifrare e decifrare
Funzionamento:
• A e B generano una propria coppia di chiavi
• La chiave privata viene mantenuta segreta e deve essere
sufficientemente robusta alla crittanalisi
• A e B si scambiano la chiave pubblica
• A e B si scambiano i messaggia cifrati con la chiave pubblica del
destinatario
• Solo il VERO destinatario puo’ decifrare il messaggio con la
propria chiave privata
Introduzione
Crittografia a chiave pubblica
Requisiti:
• Deve essere computazionalmente facile generare una coppia di
chiavi
• Deve essere computazionalmente facile cifrare un messaggio
con la chiave pubblica
• Deve essere computazionalmente facile decifrare un messaggio
con la chiave privata
• Deve essere computazionalmente impossibile calcolare la
chiave privata dalla chiave pubblica
• Deve essere computazionalmente impossibile risalire al
messaggio conoscendo la chiave pubblica e il messaggio cifrato
• Ognuna della 2 chiavi deve decifrare un messaggio cifrato con
l’altra chiave
Introduzione
Crittografia a chiave pubblica
Firma digitale:
• Se il mittente cifra il messaggio con la propria chiave privata, il
destinatario puo’ verificare (tramite chiave pubblica del mittente)
che il messaggio provenga proprio da lui!
• NOTA: In questo caso il messaggio e’ pero’ leggibile da tutti!
• Ma se il messaggio viene cifrato sia con la chiave privata del
mittente, sia con la chiave pubblica del destinatario, solo il
destinatario puo’ leggerlo ed essere anche sicuro della
provenienza!