La Sicurezza informatica
nella Bigliettazione Elettronica
EUROPOLIS
Intervento TSF
Bologna 5 febbraio 2004
TSF S.p.A.
00155 Roma – Via V. G. Galati 71
Tel. +39 06 43621
www.tsf.it
La sicurezza informatica
La “Sicurezza”: insieme delle attività volte ad individuare le misure di
protezione di tipo tecnico ed organizzative necessarie per tutelare il sistema
informativo contro:

Rischio di perdita dei dati

Falsificazione e uso improprio delle informazioni
In un sistema di bigliettazione elettronica la sicurezza, in quanto garanzia di
correttezza ed affidabilità delle informazioni gestite è da considerarsi una
qualità irrinunciabile, in quanto gestisce denaro e dati utenti.
In linea con le indicazioni AIPA e la vigente normativa in termini di sicurezza
per quel che attiene il trattamento dei dati personali (legge 675/96) e la validità
giuridica dei documenti informatici (firma digitale).
2
… La sicurezza informatica
violazione
della
privacy
Le protezioni che devono essere
attivate hanno il compito di assicurare
le caratteristiche di:
furti di
informazioni
wiretapping
accesso
indebito
Segretezza

Segretezza, garantirà l’accessibilità
alle risorse del sistema solo alle figure
autorizzate

Integrità, garantirà che le risorse
potranno essere modificate solo da
soggetti abilitati

Disponibilità, garantirà che le figure
autorizzate non siano in alcun modo
ostacolate nell’accesso o nell’uso
delle risorse del sistema.
danni
accident.
problemi
hardware
DATI
Integrità
errori
software
sabotaggi
Disponibilità
cadute di
collegam.
modifica
del s.o.
contraffazione
di dati
furti di
hardware
virus
anche in presenza di minacce di natura accidentale e dolosa.
3
… La sicurezza informatica
Gli ambiti nei quali occorre implementare la sicurezza sono:

L’identificazione e l’autenticazione degli utenti, mirato a verificare
l’autorizzazione ad eseguire una specifica funzione e la legittimità d’uso
dell’identificativo stesso

Il controllo degli accessi alle risorse software, mirato ad impedire un utilizzo
improprio dei dati e delle risorse elaborative

L’integrità dei dati, ossia che le informazioni registrate siano corrette in quanto
protette contro errori operativi o contraffazioni esterne

La riservatezza che, attraverso meccanismi di cifratura, nasconde le informazioni
“sensibili” a chiunque acceda indebitamente ai dati (es intercettando trasmissioni
in rete geografica)

Il tracciamento, con cui il sistema mantiene traccia delle operazioni eseguite
dagli utenti.
4
Sistema di Bigliettazione Elettronica – architettura funzionale
Sistemi di ricarica
Centro di Emissione
POS di Vendita
e rinnovo
Sportelli Self Service
Rinnovo
via telefono
Centrale di
clearing
Carte senza contatti
Autobus
cablati
Comune
Centro di
gestione e
comunicazione
Utenti
Depositi
Rinnovo Via
Internet
Dati Istituzionali
Call
center
Enti
Provincia
Regione
P
Terminali
Ispettivi
Sistemi di validazione e controllo
Parcheggi
Taxi e
autonoleggio
Carburanti
Altro
Applicazioni multiservizi (evoluzione)
5
La sicurezza nel Sistema di Bigliettazione Elettronica
Il Sistema di Bigliettazione elettronico è caratterizzato da:

Complessità tecnica/funzionale

Molteplicità di sottosistemi coinvolti
Nel seguito parleremo:

Dei meccanismi da utilizzare in un sistema di bigliettazione elettronica per
garantire la sicurezza in tutti i sottosistemi

Di come tali meccanismi concorrono a realizzare la sicurezza dei componenti
critici dell’architettura di un sistema di bigliettazione elettronica.
6
… La sicurezza nel Sistema di Bigliettazione Elettronica
Identificazione e autenticazione
E’ eseguita mediante meccanismi basati su userid e password e, per gli
operatori addetti alle funzioni più critiche del sistema, mediante smart card
per:


La gestione della password
La firma digitale di documenti informatici
La procedura di autenticazione è svolta a diversi livelli:

Dall’hw/sw locale per l’abilitazione all’uso della periferica (terminale di vendita,
validatrici, centro di emissione, ecc.)

Dal sistema operativo del centro di gestione (Windows 2000, Unix,ecc) per
abilitare l’utente all’uso del sistema

Dalle applicazioni per verificare la legittimità di utilizzo di alcune funzioni
7
… La sicurezza nel Sistema di Bigliettazione Elettronica
Controllo degli accessi
Viene controllata l’abilitazione dell’utente ad accedere alle risorse protette,
ossia a quelle risorse per le quali esiste una regola che ne disciplina le
modalità di utilizzo.
Il controllo degli accessi viene eseguito

Dal sistema operativo

Dal DBMS

Dalle applicazioni
Sul sistema centrale il controllo delle autorizzazioni, riguarda tutte le risorse
presenti: files, devices, librerie, comandi, transazioni
8
… La sicurezza nel Sistema di Bigliettazione Elettronica
Integrità dei dati
L’integrità garantisce la correttezza dei dati gestiti proteggendo le informazioni
nei confronti di:

contraffazioni dolose; le misure sono di tipo preventivo oppure miranti a rilevare
l’atto doloso una volta che questo si è verificato

perdita di integrità per eventi imprevisti; le misure prevedono procedure di
ripristino delle informazioni a partire dai salvataggi effettuati
Le misure anti-contraffazione di tipo preventivo si basano, oltre che sul
controllo accessi, sull’utilizzo di sistemi mirati ad evitare la manomissione dei
dispositivi in cui sono memorizzate le informazioni (prodotti anti-intrusione
sui terminali di vendita, smart card con chiave segreta memorizzata nel chip,
ecc.).
A posteriori meccanismi di firma digitale permettono sempre di verificare che
il dato memorizzato sul supporto sia integro, ossia non sia stato modificato in
maniera fraudolenta.
9
… La sicurezza nel Sistema di Bigliettazione Elettronica
Riservatezza
La riservatezza si basasui meccanismi di controllo accessi e sulle misure di
sicurezza fisiche descritte precedentemente; le politiche di controllo degli
accessi vengono attuate in modo da rendere accessibili le informazioni
riservate soltanto agli utenti autorizzati.
Possono inoltre essere utilizzati meccanismi di cifratura, in aggiunta alla firma
digitale, per i dati ritenuti sensibili, quali i dati del venduto e/o i dati anagrafici
e personali dei possessori di smart card.
10
… La sicurezza nel Sistema di Bigliettazione Elettronica
Tracciamento
Il tracciamento rende possibile l’attribuzione (accountability) di determinate
operazioni ai soggetti responsabili; l’accountability infatti è la proprietà per cui
un’entità può essere ritenuta responsabile delle sue azioni in modo tale che
tentativi di violazione della sicurezza di un sistema possono essere tracciati
dal sistema stesso.
Il tracciamento viene realizzato utilizzando gli strumenti di reporting messi a
disposizione dal sistema operativo, dal DBMS e dagli strumenti di
monitoraggio disponibili sul centro di gestione.
Le procedure di tracciamento registrano tutti i casi in cui l'accesso viene
negato. Nel caso in cui l'accesso è consentito, il tracciamento dell'evento sarà
discrezionale e viene stabilito in base alla criticità della risorsa da controllare.
11
L’approccio TSF:
IL SISTEMA DI BIGLIETTAZIONE
Architettura Tecnica
internet
router
Lan pubblica
Centro Emissione Smart Card
Firewall
Web server
DMZ
switch
switch
RAS
Lan privata
RAS
Sistema di Deposito
ISDN
Base dati
RTG
Centro gestione
Sistema di vendita
Sistema di controllo
12
Sistema di bordo
La sicurezza del Centro Servizi
Il centro servizi inteso come l’insieme del centro di emissione e del centro di
gestione:

Personalizza, sia elettricamente che graficamente, le smart card da inviare ai
punti vendita

controlla tutte le periferiche

gestisce i dati del validato, del venduto e delle smart card

assicura la ripartizione degli introiti tra le diverse compagnie
La sicurezza dei dati memorizzati deve essere garantita sia a livello fisico che
logico.
13
… La sicurezza del Centro Servizi
A livello fisico sono previsti:



Dischi in configurazione Raid5
Adeguate procedure programmate di salvataggio
Server dedicati alla gestione delle chiavi di crittografia. Si tratta di PC che
utilizzano schede crittografiche (es:del tipo RACAL DATACOM RG72). Sulla
memoria controllata e protetta della scheda hw risiede la chiave Master, sotto la
quale saranno crittografate tutte le altre chiavi
A livello logico sono previsti:




Sicurezza di accesso al sistema propria del s.o.
Accesso mediante SAM al centro di emissione
Livello di permission sui dati proprio del data base
Utlizzo di sistemi di cifratura dei dati e di firma digitale
14
La sicurezza delle Smart Card
EEPROM
MASTER FILE
DF
Applicazioni
in ROM
Coprocessore
matematico
Kernel di Sistema
Gestore di comunicazione I/O esterna
Protocollo di
comunicazione a
contatti
ISO 7816/3
DF
EF
EF
EF
EF
EF
EF
EF
EF
Applicazioni
in EEPROM
Gestione
dei Jump
ROM codice sistema operativo
DF
EF
Protocollo di
comunicazione
senza contatti
ISO 14443
Le smart card sono carte a
microprocessore di tipo Dual Interface, che
possiedono cioè sia l’interfaccia di
comunicazione a contatti che a
radiofrequenza. Hanno 8KB di memoria
disponibile per registrare informazioni, che
le rende idonee per applicazioni di tipo
“borsellino elettronico”.
Gestione EEPROM e controllo
accessi
Il protocollo di trasmissione a contatti è
conforme allo standard ISO 7816-3, mentre
quello a radiofrequenza è aderente allo
standard ISO 14443 di tipo A e B.
La trasmissione senza contatti è possibile
entro un intervallo di 10 cm dal lettore a
una velocità massima di 107 kbps.
15
… La sicurezza delle Smart Card
Sicurezza di autenticazione
Ogniqualvolta la smart card viene inserita in un terminale, essa viene
riconosciuta grazie ad una reciproca identificazione di sicurezza tra la carta
stessa ed il modulo di sicurezza (SAM) presente in ogni terminale.
Il modulo di sicurezza SAM (Security Access Module), che viene inserito in
tutti i terminali del sistema, si configura di fatto come una smart card con un
chip analogo in termini fisici a quello a contatti presente sulla carta, ma con
un’area di memoria formattata in modo da contenere e gestire una serie di
chiavi segrete il cui riconoscimento determina la verifica di autenticità della
carta interagente.
A maggiore sicurezza dell’autenticazione, le carte possono essere protette
anche da PIN; più specificatamente i PIN sono previsti per le carte dei
rivenditori, degli operatori alle postazioni di duplicazione e aggiornamento
tessere e per gli ispettori, mentre non è previsto sulle carte di abbonamento e
quelle autista per non appesantire l’operatività.
16
… La sicurezza delle Smart Card
La sicurezza delle smart card è garantita da meccanismi che operano a tre
livelli:
Hardware
Offerta dal produttore del microchip che “imprime” su ciascuna smart card un
numero di serie univoco.
Protocollo di comunicazione
Gestisce un sistema di anticollisione per garantire l’integrità dei dati e delle
transazioni, nel caso in cui più smart card si trovino contemporaneamente nell’area
di operatività del lettore, secondo le specifiche contenute nello standard ISO 144433. E’ gestito l’antistrappo per assicurare il pagamento del pedaggio anche in caso di
ritiro intempestivo e/o doloso della smart card durante il colloquio con la validatrice.
Applicazione
La sicurezza delle operazioni è garantita sia dal protocollo definito per il colloquio fra
le varie componenti del sistema, che dalle applicazioni che realizzano le funzioni
disponibili sulla smart card.
17
… La sicurezza delle Smart Card
La carta ed il sistema di gestione della stessa vengono predisposti per il
controllo e l’inibizione di:

Duplicazione di Loyalty sulla carta

Accredito illegittimo

Generazione di loyalty non autorizzate

Accesso, modifica e cancellazione dei dati di Loyalty

Accesso, modifica e cancellazione dei dati in Freezone
Ogni singola informazione/funzione presente sulla carta, anche quella in
Freezone, viene protetta da diritti di accesso, implementati attraverso il
controllo delle chiavi e delle operazioni e, a livello applicativo, dai ruoli svolti
dagli utenti che accedono al servizio.
18
… La sicurezza delle Smart Card
Ogni singola Loyalty deve essere autorizzata a gestire solo lo spazio ad essa
riservato sulla smart card. La gestione di una loyalty è fatta attraverso cinque
operazioni:





Generazione (“create”)
Accredito (“credit”)
Addebito (“debit”)
Aggiornamento (“update”)
Cancellazione (“delete”)
Ogni operazione è associata ad una specifica e diversa chiave segreta a suo
tempo generata e caricata nel SAM del terminale dal Gestore Operativo (quale
organo centrale di generazione chiavi).
Solo il terminale che avrà memorizzate all’interno del suo SAM le chiavi sarà in
grado di interagire con la carta per effettuare le operazioni relative.
E’ possibile quindi controllare e definire le operazioni che ogni singolo
terminale abilitato alla Loyalty è in grado di compiere.
19
La sicurezza dei Terminali di Vendita, di Validazione e di controllo
Controllo accesso logico
Si realizza tramite meccanismi di autenticazione.
Controllo dell’accesso fisico

Protezione dell’accesso alle parti interne del terminale tramite un bollino adesivo

Batteria tampone per garantire la corretta ultimazione della transazione anche in
caso di mancanza improvvisa di corrente

Protezione delle chiavi logiche; le chiavi sono memorizzate sul modulo SAM
presente sul terminale e non possono mai essere accedute da processi esterni al
sistema carta-lettore.
Integrità dei dati del venduto/ del validato / del controllato
I dati che sul terminale riguardano le operazione di vendita delle smart card
sono racchiusi in un file firmato dal SAM del terminale, attraverso un sistema
di chiavi asimmetriche, e trasmesso verso il centro di gestione che ne verifica
la firma in quanto possessore dell’archivio degli identificativi dei SAM
rilasciati.
20
La sicurezza della Rete
Il centro di gestione può essere acceduto dall’esterno tramite:
• Internet
• Linea dedicata
• Linea commutata RTG
Sulle connessioni in rete occorre definire dei filtri, per garantire l’accesso ai
soli utenti autorizzati, mediante opportune configurazioni di:
• Hub
• Ras
• Router
• Firewall
E’ opportuno inoltre centralizzare la protezione dai virus informatici trasportati da protocolli
come SMTP (posta elettronica), FTP (trasferimento file) e HTTP (pagine Web) sulla rete
Internet. Una delle soluzioni architetturali che garantisce un adeguato livello di sicurezza è
quella che prevede di installare le funzionalità antivirus sul firewall per evitare ogni contatto con
la rete interna prima che sia stata effettuata la verifica del traffico entrante.
21
… La sicurezza della Rete
Le informazioni in transito sulle linee di trasmissione dati vengono protette
con meccanismi di sicurezza specifici che hanno lo scopo di evitare
l’intercettazione dei dati e l’intrusione nei sistemi da parte di utenti esterni:

Le connessioni in rete locale o su linea dedicate sono da ritenersi, in base ai
meccanismi visti in precedenza, altamente sicuri

Se la connessione avviene tramite Internet, i messaggi sulla rete vengono
trasmessi attraverso il protocollo HTTP incapsulato da Secure Sockets Layer
(SSL), ormai standard “de facto”

Nel caso di utilizzo di reti pubbliche diverse da Internet, il sistema di
autenticazione prevede lo scambio di più messaggi per conferire l’autorizzazione
all’accesso; lo scambio di messaggi serve a negoziare il protocollo di
autorizzazione (handshake, cioè stretta di mano).
22