sicurezza1.ppt 101KB Jun 23 2011 12:33:32 PM
La sicurezza
dei sistemi informatici
Alessandra Fascioli
Bibliografia
• W. Stallings, Network Security Essentials, Prentice-Hall
• M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici,
Apogeo
• B. Schneier, Applied Cryptography, John Wiley & Sons
• W. R. Cheswick, S. M. Bellovin, Firewalls and Internet Security,
Addison-Wesley
• S. Garfinkel, “PGP (Pretty Good Privacy)”, O’Reilly & Associates
• E. Spafford, S. Garfinkel, “Practical UNIX and Internet Security”,
O’Reilly & Associates
2
Riviste
•
•
•
•
Login
COMPUTER
Computer Programming
...
Link
• CERTIT (Italian Computer Emergency Response Team)
http://security.dsi.unimi.it
• FIRST (Forum of Incident Response and Security Teams)
http://www.first.org/
• RUR (Rete Urbana delle Rappresentanze)
http://www.rur.it
• AIPA (Autorità per l'Informatica nella Pubblica Amministrazione)
http://www.aipa.it
3
Sommario
• Introduzione
– computer security e network security
– attacchi, meccanismi, servizi
• Crittografia
– Crittografia a chiave privata
– Crittografia a chiave pubblica
• Firma digitale
• Applicazioni di network security
– servizi di autenticazione
– sicurezza della posta elettronica
4
Computer security e
network security
• Computer security: strumenti automatici
per proteggere le informazioni di un
calcolatore
• Network security: misure per proteggere le
informazioni durante la trasmissione
5
Sistemi distribuiti
• Nuovi paradigmi
– informazioni distribuite
– accesso tramite sistemi distribuiti
• Nuove problematiche di sicurezza
– sicurezza delle reti locali
• da attacchi esterni (con firewall)
• da impiegati infedeli
– sicurezza delle reti geografiche
• da impostori (realizzata tramite una rete pubblica)
– sicurezza delle applicazioni (e-mail, WWW,…)
• fondamentali per le funzioni aziendali e il commercio elettronico
6
Problemi base
• le reti sono insicure perchè le comunicazioni avvengono in
chiaro
• l’autenticazione degli utenti si basa normalmente su
password
• non c’è autenticazione dei server
• le reti locali funzionano in broadcast
• le connessioni geografiche non avvengono tramite linee
punto-punto ma
– attraverso linee condivise
– tramite router di terzi
7
Sicurezza: aspetti fondamentali
• Attacchi alla sicurezza: azioni che violano la
sicurezza delle informazioni possedute da
un'organizzazione
• Meccanismi di sicurezza: misure progettate per
prevenire, rivelare o recuperare da un attacco alla
sicurezza
• Servizi di sicurezza: servizi che rafforzano la
sicurezza delle informazioni contrastando gli
attacchi mediante uno o più meccanismi
8
Attacchi alla sicurezza
9
Attacchi passivi e attivi
• difficili da rivelare
• è possibile impedirli
• difficili da impedire
• è possibile rivelarli e
recuperare
10
Meccanismi di sicurezza
• Esiste una grande varietà di meccanismi di
sicurezza
• Quasi tutti si basano su tecniche
crittografiche
11
Servizi di sicurezza (1)
• Confidenzialità: protezione dei dati
trasmessi da attacchi passivi
• Autenticazione: verifica dell'identità di
un'entità in una comunicazione
• Integrità: verifica che un messaggio non è
stato modificato, inserito, riordinato,
replicato, distrutto
12
Servizi di sicurezza (2)
• Non ripudio: impedisce al mittente e al
destinatario di negare un messaggio trasmesso
• Controllo degli accessi: capacità di
controllare gli accessi a dati e risorse
• Disponibilità: impedisce le interferenze con
le attività di un sistema
13
Un modello per la sicurezza
14
Infiltrazioni
• I sistemi informatici vanno protetti da
accessi indesiderati
– utenti legittimi
– utenti illegittimi
– altri metodi:
• virus
• worms
• Trojan horse
15
Password
• suggerimenti
–
–
–
–
lettere + cifre + caratteri speciali
lunghe (almeno 8 caratteri)
parole non presenti nel dizionario
cambiate frequentemente
• Sistemi a sfida
– utente e computer condividono un segreto: la password P
– il computer genera una sfida
– l’utente risponde con: soluzione = f(sfida, P)
• OTP (One Time Password)
– password pre-calcolate e scritte su un foglietto
– generatore di numeri casuali con seme noto solo a server e utente
16
Esempio di sistema a sfida
Password: numero di 6 cifre P = (p1 , p2 , p3 , p4 , p5 , p6)
Operatori: OP = (+, - , *, mod)
Sfida: sequenza di 10 interi positivi casuali S = ( n0,…,n9)
Risposta:
np1 mod np2 OP(np2 mod 4) np3 mod np4 OP(np4 mod 4) np5 mod np6
Esempio:
P: 5 1 3 4 2 4
(1 2 3 4 5 6)
S: 23 98 76 32 13 17 99 27 66 54
(0 1 2 3 4 5 6 7 8 9)
R = (17mod98) OP(98mod4) (32mod13) OP(13mod4) (76mod13) =
= 17 OP(2) 6 OP(1) 11 = 17 * 6 - 11 = 91
17
dei sistemi informatici
Alessandra Fascioli
Bibliografia
• W. Stallings, Network Security Essentials, Prentice-Hall
• M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici,
Apogeo
• B. Schneier, Applied Cryptography, John Wiley & Sons
• W. R. Cheswick, S. M. Bellovin, Firewalls and Internet Security,
Addison-Wesley
• S. Garfinkel, “PGP (Pretty Good Privacy)”, O’Reilly & Associates
• E. Spafford, S. Garfinkel, “Practical UNIX and Internet Security”,
O’Reilly & Associates
2
Riviste
•
•
•
•
Login
COMPUTER
Computer Programming
...
Link
• CERTIT (Italian Computer Emergency Response Team)
http://security.dsi.unimi.it
• FIRST (Forum of Incident Response and Security Teams)
http://www.first.org/
• RUR (Rete Urbana delle Rappresentanze)
http://www.rur.it
• AIPA (Autorità per l'Informatica nella Pubblica Amministrazione)
http://www.aipa.it
3
Sommario
• Introduzione
– computer security e network security
– attacchi, meccanismi, servizi
• Crittografia
– Crittografia a chiave privata
– Crittografia a chiave pubblica
• Firma digitale
• Applicazioni di network security
– servizi di autenticazione
– sicurezza della posta elettronica
4
Computer security e
network security
• Computer security: strumenti automatici
per proteggere le informazioni di un
calcolatore
• Network security: misure per proteggere le
informazioni durante la trasmissione
5
Sistemi distribuiti
• Nuovi paradigmi
– informazioni distribuite
– accesso tramite sistemi distribuiti
• Nuove problematiche di sicurezza
– sicurezza delle reti locali
• da attacchi esterni (con firewall)
• da impiegati infedeli
– sicurezza delle reti geografiche
• da impostori (realizzata tramite una rete pubblica)
– sicurezza delle applicazioni (e-mail, WWW,…)
• fondamentali per le funzioni aziendali e il commercio elettronico
6
Problemi base
• le reti sono insicure perchè le comunicazioni avvengono in
chiaro
• l’autenticazione degli utenti si basa normalmente su
password
• non c’è autenticazione dei server
• le reti locali funzionano in broadcast
• le connessioni geografiche non avvengono tramite linee
punto-punto ma
– attraverso linee condivise
– tramite router di terzi
7
Sicurezza: aspetti fondamentali
• Attacchi alla sicurezza: azioni che violano la
sicurezza delle informazioni possedute da
un'organizzazione
• Meccanismi di sicurezza: misure progettate per
prevenire, rivelare o recuperare da un attacco alla
sicurezza
• Servizi di sicurezza: servizi che rafforzano la
sicurezza delle informazioni contrastando gli
attacchi mediante uno o più meccanismi
8
Attacchi alla sicurezza
9
Attacchi passivi e attivi
• difficili da rivelare
• è possibile impedirli
• difficili da impedire
• è possibile rivelarli e
recuperare
10
Meccanismi di sicurezza
• Esiste una grande varietà di meccanismi di
sicurezza
• Quasi tutti si basano su tecniche
crittografiche
11
Servizi di sicurezza (1)
• Confidenzialità: protezione dei dati
trasmessi da attacchi passivi
• Autenticazione: verifica dell'identità di
un'entità in una comunicazione
• Integrità: verifica che un messaggio non è
stato modificato, inserito, riordinato,
replicato, distrutto
12
Servizi di sicurezza (2)
• Non ripudio: impedisce al mittente e al
destinatario di negare un messaggio trasmesso
• Controllo degli accessi: capacità di
controllare gli accessi a dati e risorse
• Disponibilità: impedisce le interferenze con
le attività di un sistema
13
Un modello per la sicurezza
14
Infiltrazioni
• I sistemi informatici vanno protetti da
accessi indesiderati
– utenti legittimi
– utenti illegittimi
– altri metodi:
• virus
• worms
• Trojan horse
15
Password
• suggerimenti
–
–
–
–
lettere + cifre + caratteri speciali
lunghe (almeno 8 caratteri)
parole non presenti nel dizionario
cambiate frequentemente
• Sistemi a sfida
– utente e computer condividono un segreto: la password P
– il computer genera una sfida
– l’utente risponde con: soluzione = f(sfida, P)
• OTP (One Time Password)
– password pre-calcolate e scritte su un foglietto
– generatore di numeri casuali con seme noto solo a server e utente
16
Esempio di sistema a sfida
Password: numero di 6 cifre P = (p1 , p2 , p3 , p4 , p5 , p6)
Operatori: OP = (+, - , *, mod)
Sfida: sequenza di 10 interi positivi casuali S = ( n0,…,n9)
Risposta:
np1 mod np2 OP(np2 mod 4) np3 mod np4 OP(np4 mod 4) np5 mod np6
Esempio:
P: 5 1 3 4 2 4
(1 2 3 4 5 6)
S: 23 98 76 32 13 17 99 27 66 54
(0 1 2 3 4 5 6 7 8 9)
R = (17mod98) OP(98mod4) (32mod13) OP(13mod4) (76mod13) =
= 17 OP(2) 6 OP(1) 11 = 17 * 6 - 11 = 91
17