SICUREZZA
E
FIRMA DIGITALE
La sicurezza informatica come creazione di valore: non più solo
fattore di costo ma driver per la
qualità e lo sviluppo
Direzione Centrale Tecnologia e Processi
Area Sistemi
Patrizia Gabrieli
Indice
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Pag. 2
Presentazione
La storia - Banca Marche
nasce nel 1995 dalla fusione
di tre casse di risparmio, Jesi,
Pesaro e Macerata che si
uniscono per creare una
grande banca del territorio.
Banca Marche sviluppa la propria
attività
prevalentemente
nelle
Marche,
territorio di tradizionale insediamento, ma
allarga il proprio raggio di azione anche
all'Italia
centrale
Abruzzo,
Molise,
(Emilia
Umbria,
Romagna,
Lazio)
dove
intende fortemente ampliare la propria
Struttura Societaria
 Banca Marche
 Carilo – Cassa di Risparmio di
Loreto S.p.A.
 Focus Gestioni S.G.R. S.p.A.
 Medioleasing S.p.A.
 Banca delle Marche Gestione
Internazionale Lux S.A.
azione.
Organico
Oggi
Banca Marche conta
300 sportelli e oltre 3.000
dipendenti che lavorano al
servizio di circa 350.000
clienti.
Direzione Centrale Tecnologia e Processi
Pag. 3
Indice
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Pag. 4
La sicurezza nell'azienda BANCA
Fiducia
Sicurezza
L’attività bancaria si basa su un
elemento fondamentale, rappresentato dalla fiducia della clientela.
La sicurezza informatica e la
difesa dai crimini informatici sono
attività primarie ed irrinunciabili
per le banche che aiutano ad
instaurare con i clienti un
rapporto corretto e fiduciario.
La fiducia si concretizza in una
positiva aspettativa del cliente
fondata su un corretto operare
della banca in grado di assicurare
una gestione sicura dei beni e del
patrimonio: è opportuno ricordare
che nella società dell'informazione i
beni da proteggere sono sempre
più immateriali.
La sicurezza rappresenta un
fattore emotivo/psicologico che
influisce sulla fiducia e sul
rapporto con il cliente e pertanto
occorre cambiare l’approccio al
problema.
Direzione Centrale Tecnologia e Processi
Pag. 5
La sicurezza nell'azienda BANCA
OBIETTIVO: cambiare la prospettiva nella gestione
della sicurezza:
 Da un servizio di difesa
delle infrastrutture
 A un servizio di supporto
al cliente e alle strategie
del business
Direzione Centrale Tecnologia e Processi
Pag. 6
La sicurezza nell'azienda BANCA
Sicurezza
Fiducia
Sono elementi fondamentali per lo
sviluppo del mercato
Offrire fiducia, attraverso servizi di sicurezza informatica a 360° che
garantiscano affidabilità nel mondo virtuale della Rete, permettendo
così ai clienti e agli utenti di comunicare e collaborare, scambiando
dati, documenti ed informazioni online in piena sicurezza ed in linea
con le normative attualmente vigenti.
Direzione Centrale Tecnologia e Processi
Pag. 7
La sicurezza nell'azienda BANCA
Direzione Centrale Tecnologia e Processi
Pag. 8
La sicurezza nell'azienda BANCA
Dall’ultimo rapporto dell’Antiphishing Work
Group (APWG) (dic 2007)
Direzione Centrale Tecnologia e Processi
Pag. 9
Indice
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Pag. 10
La sicurezza informatica

L’interesse per la sicurezza nei sistemi
informatici è cresciuto negli ultimi anni in
funzione della loro diffusione, del ruolo
sempre più importante che essi hanno
assunto nei contesti in cui operano, della
loro crescente complessità,
interconnessione e conseguente
esposizione a possibili attacchi

I dati e le informazioni elaborate e trattate
dai sistemi informativi rappresentano un
patrimonio di immenso valore: talvolta la
perdita, il danneggiamento, il furto o l’alterazione di dati possono provocare danni
incalcolabili fino a determinare l’impossibilità di proseguire l’attività aziendale

Le società che svolgono attività
su Internet sono quelle più
esposte a tale rischio.
Direzione Centrale Tecnologia e Processi
Pag. 11
La sicurezza informatica
…ma è vero anche che il cambiamento
non è stato ancora assorbito.
La differenza sta tra tra chi ha “assorbito
culturalmente” il cambiamento tecnologico
e chi ancora
e senza inserirlo in
una corretta strategia.
Direzione Centrale Tecnologia e Processi
Pag. 12
La sicurezza informatica
Aiutare i clienti a comportamenti
positivi
adottando
adeguate
soluzioni
tecnologiche
che
favoriscono un rapporto corretto e
fiduciario.
Come scegliere una password
sicura
La scelta di una password sicura è un aspetto
di fondamentale importanza per accedere ai
servizi in rete protetti; infatti, oltre a creare
una chiave per accedere al sistema, si deve
individuare un codice che sia difficilmente
intercettabile, affinchè nessuno possa
scoprirlo e utilizzarlo per scopi fraudolenti o di
disturbo.
Queste che vi illustriamo sono alcuni semplici
regole che tutti gli utenti dovrebbero
osservare per essere certi di scegliere e
proteggere una buona password……….
Direzione Centrale Tecnologia e Processi
Pag. 13
La sicurezza informatica
La sicurezza informatica consiste
nell’assicurarne adeguati livelli di:
: solo gli utenti
autorizzati possono accedere
alle informazioni necessarie
:protezione contro
alterazioni o danneggiamenti;
tutela
dell’accuratezza
e
completezza dei dati
: le informazioni
sono rese disponibili su richiesta
e nell’ambito di un contesto
pertinente.
Direzione Centrale Tecnologia e Processi
Pag. 14
I rischi e i possibili attacchi
 ACCESSO NON AUTORIZZATO: o utilizzo di servizi non autorizzati.
 GUASTI: hardware e/o guasti di impianti, Disastri naturali.
 INSERIMENTO DI DATI NON CORRETTI
 VULNERABILITA’ delle applicazioni
 VIRUS, PROGRAMMI SPIA: es WEB TROJAN che una volta installati su un PC senza
nemmeno che l’utente se ne accorga, registrano e trasmettono le operazioni eseguite o
addirittura modificano la configurazione del suo PC
 PHISHING: “prendere all’amo” o "spillaggio di dati sensibili” è una tecnica che
ha la finalità di ottenere i dati personali di un soggetto o informazioni riservate quali
credenziali
 SPAMMING: Invio di grandi quantità di messaggi indesiderati quali pubblicità indesiderata
 SPOOFING: Sono diversi tipi di attacchi spoofing (WEB, SMS, e-MAIL, ecc..). Si tratta di
far credere alla vittima che si è qualcosa di diverso acquisendo una reputazione maggiore
 PHARMING: Si tratta di una tecnica fraudolenta con cui il “navigante” viene condotto su
un sito clone di quello che intendeva raggiungere
 FURTO D’IDENTITA’: furto delle credenziali di accesso
 PROFILAZIONE O TRACCIAMENTO: Si tratta dell’attività volta a monitorare i dati personali di un
soggetto con la finalità di acquisire le sue abitudini di vita, il lavoro svolto,ecc.
Direzione Centrale Tecnologia e Processi
Pag. 15
Il PHISHING
Il PISHING è una tecnica che ha come obiettivo quello di convincere (Phishing significa
prendere all’amo) le vittime a fornire modo inconsapevole le proprie credenziali di
accesso a sistemi di E-commerce o di E-banking.
Esistono diverse modalità di phishing, quella più comune è basata sull’utilizzo
della e-mail.
Banche ed istituzioni non fanno mai richiesta dei dati personali a mezzo di una
e-mail.
Direzione Centrale Tecnologia e Processi
Pag. 16
Altri attacchi
KEYSTORE LOGGING
PHARMING
L’utente apre e-mail apparentemente
Visitando un sito web con un controllo
legittima,
messaggi
ActiveX, involontariamente si installa
accattivanti invita ad aprire un file
un programma redirector che altera il
allegato o a visitare un sito web.
file HOST del PC o il contenuto della
Un
che
programma
con
nascosto
nel
sito,
cache DNS o l’indirizzo del DNS.
installa sul PC dell’utente un lettore di
Quando l’utente si collega ad esempio al
key-stroke in grado di catturare i
sito della sua banca on-line, la
caratteri che l’utente digita sulla
sessione viene reindirizzata, senza che
tastiera ed in particolare il nome e la
l’utente se ne accorga o sospetti nulla,
password inseriti al login.
al sito web di un hacker.
Direzione Centrale Tecnologia e Processi
Pag. 17
Indice
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
Pag. 18
La catena della sicurezza
Direzione Centrale Tecnologia e Processi
Pag. 19
E-banking
La famiglia dei prodotti di internet banking Banca Marche comprende i
seguenti servizi:
Inbank Imprese
Inbank Famiglie
Inbank i mercati a portata di Mouse
Inbank Enti Pubblici
Direzione Centrale Tecnologia e Processi
Pag. 20
La catena della sicurezza
1
Accesso
sicuro
2
Comunicazione
sicura
3
5 Identità sicura –
Riservatezza – Integrità
– Non Ripudio
Firma digitale
Sistemi protetti
dalle intrusioni
DATI, SW, HW
affidabili
4
Direzione Centrale Tecnologia e Processi
Pag. 21
Accesso sicuro
1
ACCESSO SICURO
1. OTP (per privati)
2. FIRMA DIGITALE
(per aziende)
Affidarsi ad un solo fattore di
autenticazione (una password) può
mettere seriamente a rischio la
sicurezza: una password digitata sul
PC può essere facilmente copiata o
sottratta
tramite
uno
degli
innumerevoli software di cui gli
hacker fanno uso.
Direzione Centrale Tecnologia e Processi
Pag. 22
Accesso Sicuro - OTP
L’OTP (One Time Password) è uno strumento
estremamente sicuro e di semplice utilizzo, delle dimensioni
di un portachiavi, che alla pressione di un pulsante
visualizza un numero di 6 cifre da utilizzare come password
di conferma delle disposizioni.
La sequenza di cifre deriva da una serie di grandezze
segrete, ed è in funzione di un orario fornito da un “real
time clock” interno al dispositivo. Ogni 36 secondi viene
generata una nuova password completamente diversa e
non connessa alla precedente, utilizzabile una sola volta.
Dopo aver predisposto una disposizione di pagamento
online, ed aver scelto di firmare, basta leggere il numero
sul display dell’OTP ed inserirlo come richiesto nella
procedura dell’internet banking.
Direzione Centrale Tecnologia e Processi
Pag. 23
Accesso Sicuro – Firma Digitale
Il
nuovo
sistema
di
autenticazione e firma digitale,
che è il sistema oggi più sicuro
per gestire servizi online, è
composto da un dispositivo
hardware
USB
e
da
un
programma (Ceedo).
Il possesso del dispositivo hw
con memoria flash e del PIN
sono i due elementi alla base
del meccanismo di
“autenticazione forte a
due fattori”
Il
programma
conserva
tutte
le
informazioni personali dentro se stesso
in modo protetto. Una volta che la penna
USB viene collegata a un qualunque Pc,
permette di usare quel computer, anche
se poco sicuro, per fare tutto, dall'ebanking alla navigazione in rete all'uso
della posta elettronica e di documenti.
Ma, una volta che uno esce da Ceedo e
scollega
la
sua
penna
è
come
se
chiudesse la porta dietro di sè senza
lasciare alcuna traccia del suo passaggio.
I propri dati rimangono solo sul supporto
esterno su cui Ceedo è installato.
Direzione Centrale Tecnologia e Processi
Pag. 24
Accesso Sicuro – Firma Digitale
Offrire fiducia attraverso i servizi di sicurezza
Con l’introduzione della firma digitale e l’attivazione del nuovo processo
di consegna dei kit, sono previsti i seguenti vantaggi per la clientela:
rapidità nell’attivazione del servizio (già il giorno successivo alla
sottoscrizione dello stesso in filiale);
massima sicurezza (la firma digitale rappresenta il massimo in
termini di sicurezza oggi presente sul mercato);
massima versatilità (il token di firma può essere utilizzato su
qualunque computer e non necessita di una postazione definita);
possibilità di utilizzare il token di firma anche al di fuori del
servizio e-banking,
per firmare digitalmente i propri
documenti;
possibilità di utilizzare il token di firma come un normale
dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo
contiene un’area di memoria di circa 100 MB a disposizione del
cliente.
Direzione Centrale Tecnologia e Processi
Pag. 25
Comunicazione Sicura
2
COMUNICAZIONE
SICURA
Cifratura della
comunicazione via PKI-SSL
(Public Key Infrastructure Secure Sockets Layer)
Secure Sockets Layer (SSL) è un
protocollo con cui si realizzano
connessioni cifrate, e quindi,
protette, su Internet.
HTTPS sintatticamente identico allo
schema http:// ma con la differenza che
tra il protocollo TCP e HTTP si interpone
un livello di crittografia/autenticazione.
In pratica viene creato un canale di
comunicazione criptato tra il client e il
server.
Questo
canale
garantisce
che
solamente il client e il server siano
in grado di conoscere il contenuto
della comunicazione.
Direzione Centrale Tecnologia e Processi
Pag. 26
Comunicazione Sicura
In Internet Explorer verrà visualizzata l'icona di un lucchetto
sulla barra dello
stato di protezione. La barra dello stato di protezione è situata a destra della
barra degli indirizzi.
Il certificato utilizzato per crittografare la connessione contiene anche
informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare
clic sul lucchetto per visualizzare l'identità del sito Web.
Direzione Centrale Tecnologia e Processi
Pag. 27
La crittografia
La crittografia è la scienza che si occupa di sviluppare metodi
finalizzati a nascondere il contenuto di un messaggio tramite
l’uso di un algoritmo e di una chiave.
La crittografia moderna si divide in due branche fondamentali:
 La crittografia a chiave simmetrica (una sola chiave)
 La crittografia a chiave asimmetrica (due chiavi)
Direzione Centrale Tecnologia e Processi
Pag. 28
Crittografia Simmetrica
y=f(x)
Algoritmo basato su:
- Alfabeto in chiaro
- Alfabeto cifrante
Chiave costituita dall’offset
tra i due alfabeti (ad es. 3)
Messaggio in chiaro: “salve mondo”
Messaggio crittato:”vdoyh prqgr”
 Sicurezza (autenticazione debole dell’interlocutore): “paternità” e “non ripudio”
non sono possibili
 Lo scambio della chiave condivisa deve avvenire attraverso un canale sicuro
 Per n coppie di interlocutori sono necessarie n(n-1)/2 chiavi simmetriche distinte
Direzione Centrale Tecnologia e Processi
Pag. 29
Crittografia a chiave simmetrica
Direzione Centrale Tecnologia e Processi
Pag. 30
Crittografia a chiave asimmetrica
Viene anche chiamata crittografia a chiave pubblica; ogni soggetto ha
due chiavi:
 Chiave pubblica: da distribuire a tutti i soggetti con i quali si
vuole comunicare
 Chiave privata: da tenere segreta
Ciò che viene cifrato con la chiave pubblica può essere decifrato solo con
la chiave privata corrispondente (operazione che può essere fatta solo
dal proprietario della chiave).
Gli algoritmi di questo tipo sono detti a chiave asimmetrica e il più noto
di tutti è l’algoritmo RSA.
È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono 3 ricercatori
del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo
implementare tale logica utilizzando particolari proprietà formali dei numeri primi con
alcune centinaia di cifre. L'algoritmo da loro inventato viene denominato RSA per via
delle iniziali dei loro cognomi.
Direzione Centrale Tecnologia e Processi
Pag. 31
Crittografia a chiave asimmetrica
Direzione Centrale Tecnologia e Processi
Pag. 32
Combinazione di chiavi
Il protocollo SSL utilizza una combinazione tra crittografia
a chiave segreta e crittografia a chiave asimmetrica:
 Viene generata una chiave simmetrica utilizzabile una sola
volta (chiave di sessione)
 Il messaggio viene cifrato con la chiave di sessione
 La chiave di sessione viene cifrata con la chiave pubblica
del destinatario
Direzione Centrale Tecnologia e Processi
Pag. 33
Combinazione di chiavi
SERVER
BANCA
CLIENT
Il processo HANDSHAKE SSL
Direzione Centrale Tecnologia e Processi
Pag. 34
Secure Socket Layer (SSL)
Gli utenti dovrebbero accorgersi delle
manomissioni della chiave pubblica
rilasciata con un certificato
digitale, ricevendo un avvertimento
da un pop-up circa un problema con
il certificato.
Quest'ultimo è molto simile a un
certificato reale, però non è firmato
da una Certification Authority di
comprovata fiducia.
Direzione Centrale Tecnologia e Processi
Pag. 35
Secure Socket Layer (SSL)
SERVER
BANCA
CLIENT
Direzione Centrale Tecnologia e Processi
Pag. 36
Secure Socket Layer (SSL)
Nella crittografia asimmetrica,
sussiste il problema di come
ottenere la chiave pubblica di
un altro utente, in modo fidato.
Per risolvere questo problema,
si ricorre all'esistenza di una
terza parte, una sorta di
garante, detta
Certification
Authority (CA).
La CA associa quindi alla chiave
pubblica
dei
singoli
individui, l'identità del legittimo
proprietario, mediante l'emissione di
un Certificato Digitale, che viene
firmato utilizzando la propria chiave
privata. Chi riceve il certificato
firmato può verificare l'autenticità
dello stesso (attraverso la chiave
pubblica della CA).
Direzione Centrale Tecnologia e Processi
Pag. 37
La catena della sicurezza
3
SISTEMI PROTETTI
DALLE INTRUSIONI
Proxy, Firewall, IDS,
Antivirus,
Antispamming,
Antipishing
Un IDS può essere paragonato ad un antifurto ed
un firewall ad una porta
blindata
Reverse Proxy
Il PROXY è un’infrastruttura che si
interpone tra il client e il server.
Il client non parla direttamente con il
server ma passa attraverso il proxy.
Firewall
Tutto il traffico della rete è soggetto alle
regole (policy) definite nel Firewall.
La Banca è dotata di una struttura di
firewall a due livelli (interno ed esterno)
per proteggersi da Internet e da
Intranet.
Sonde di Intrusion Detection (IDS)
Nei punti nevralgici della rete sono state
installate delle sonde IDS in grado di
rilevare attività sospette sulla rete.
Agiscono come “poliziotti di quartiere”
analizzando gli eventi sulla rete
comunicando alla “Centrale” (Security
Operation Center) le attività riconducibili
ad azioni criminose.
Direzione Centrale Tecnologia e Processi
Pag. 38
Sistemi protetti dalle intrusioni
Direzione Centrale Tecnologia e Processi
Pag. 39
La catena della sicurezza
4
SERVER FARM SICURA
(DATI, SW, HW)
VIRTUALIZZAZIONE,
DISASTER RECOVERY,
BUSINESS CONTINUITY
Attraverso la virtualizzazione dei server è
possibile garantire massima affidabilità
dei sistemi e tempi rapidi di ripartenza in
caso di guasto.
La virtualizzazione dei server favorisce la
standardizzazione e semplifica la
gestione delle risorse.
Direzione Centrale Tecnologia e Processi
Pag. 40
La catena della sicurezza
4
IDENTITA’ SICURA
FIRMA
DIGITALE
1
•Autenticazione: identificazione
univoca dell'autore di una transazione
2
•Riservatezza: garanzia che le
informazioni non siano accessibili da
parte di entità non autorizzate
3
•Integrità: garanzia che le
informazioni non siano alterabili da
parte di entità non autorizzate
4
•Non ripudio: prevenzione del rischio
che una delle controparti neghi di aver
spedito e ricevuto le informazioni
scambiate
Direzione Centrale Tecnologia e Processi
Pag. 41