la sicurezza informatica come creazione di valore: non più solo fattore di costo ma driver per la...
TRANSCRIPT
La sicurezza informatica come creazione di valore: non più solo
fattore di costo ma driver per la qualità e lo sviluppo
SICUREZZA EFIRMA DIGITALESICUREZZA EFIRMA DIGITALE
Direzione Centrale Tecnologia e Processi Area Sistemi
Patrizia Gabrieli
IndiceIndice
Pag. 2
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
PresentazionePresentazione
Banca Marche sviluppa la propria
attività prevalentemente nelle Marche,
territorio di tradizionale insediamento, ma
allarga il proprio raggio di azione anche
all'Italia centrale (Emilia Romagna,
Abruzzo, Molise, Umbria, Lazio) dove
intende fortemente ampliare la propria
azione.
La storia - Banca Marche nasce nel 1995 dalla fusione di tre casse di risparmio, Jesi, Pesaro e Macerata che si uniscono per creare una grande banca del territorio.
Struttura Societaria Banca Marche Carilo – Cassa di Risparmio di Loreto S.p.A. Focus Gestioni S.G.R. S.p.A. Medioleasing S.p.A. Banca delle Marche Gestione Internazionale Lux S.A.
Organico Oggi Banca Marche conta 300 sportelli e oltre 3.000 dipendenti che lavorano al servizio di circa 350.000 clienti.
Direzione Centrale Tecnologia e Processi
Pag. 3
IndiceIndice
Pag. 4
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA
Direzione Centrale Tecnologia e Processi
Pag. 5
La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA
Direzione Centrale Tecnologia e Processi
Pag. 6
Da un servizio di difesa delle infrastrutture
A un servizio di supporto al cliente e alle strategie del business
La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA
Direzione Centrale Tecnologia e Processi
Pag. 7
Sono elementi fondamentali per lo sviluppo del mercato
Offrire fiducia, attraverso servizi di sicurezza informatica a 360° che garantiscano affidabilità nel mondo virtuale della Rete, permettendo così ai clienti e agli utenti di comunicare e collaborare, scambiando dati, documenti ed informazioni online in piena sicurezza ed in linea con le normative attualmente vigenti.
Direzione Centrale Tecnologia e Processi
Pag. 8
La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA
Direzione Centrale Tecnologia e Processi
Pag. 9
Dall’ultimo rapporto dell’Antiphishing Work Group (APWG) (dic 2007)
La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA
IndiceIndice
Pag. 10
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
La sicurezza informaticaLa sicurezza informatica
Direzione Centrale Tecnologia e Processi
Pag. 11
L’interesse per la sicurezza nei sistemi
informatici è cresciuto negli ultimi anni in
funzione della loro diffusione, del ruolo sempre
più importante che essi hanno assunto nei
contesti in cui operano, della loro crescente
complessità, interconnessione e conseguente
esposizione a possibili attacchi
I dati e le informazioni elaborate e trattate dai
sistemi informativi rappresentano un
patrimonio di immenso valore: talvolta la
perdita, il danneggiamento, il furto o l’alte-
razione di dati possono provocare danni
incalcolabili fino a determinare l’impossi-bilità
di proseguire l’attività aziendale
Le società che svolgono attività su Internet sono quelle più esposte a tale rischio.
La sicurezza informaticaLa sicurezza informatica
Direzione Centrale Tecnologia e Processi
Pag. 12
La sicurezza informaticaLa sicurezza informatica
Direzione Centrale Tecnologia e Processi
Pag. 13
Come scegliere una password sicura
La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password……….
Come scegliere una password sicura
La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password……….
La sicurezza informaticaLa sicurezza informatica
Direzione Centrale Tecnologia e Processi
Pag. 14
I rischi e i possibili attacchiI rischi e i possibili attacchi
Direzione Centrale Tecnologia e Processi
Pag. 15
ACCESSO NON AUTORIZZATO: o utilizzo di servizi non autorizzati.
GUASTI: hardware e/o guasti di impianti, Disastri naturali.
INSERIMENTO DI DATI NON CORRETTI
VULNERABILITA’ delle applicazioni
VIRUS, PROGRAMMI SPIA: es WEB TROJAN che una volta installati su un PC senza nemmeno che l’utente se ne accorga, registrano e trasmettono le operazioni eseguite o addirittura modificano la configurazione del suo PC
PHISHING: “prendere all’amo” o "spillaggio di dati sensibili” è una tecnica che ha la finalità di ottenere i dati personali di un soggetto o informazioni riservate quali credenziali
SPAMMING: Invio di grandi quantità di messaggi indesiderati quali pubblicità indesiderata
SPOOFING: Sono diversi tipi di attacchi spoofing (WEB, SMS, e-MAIL, ecc..). Si tratta di far credere alla vittima che si è qualcosa di diverso acquisendo una reputazione maggiore
PHARMING: Si tratta di una tecnica fraudolenta con cui il “navigante” viene condotto su un sito clone di quello che intendeva raggiungere
FURTO D’IDENTITA’: furto delle credenziali di accesso
PROFILAZIONE O TRACCIAMENTO: Si tratta dell’attività volta a monitorare i dati personali di un soggetto con la finalità di acquisire le sue abitudini di vita, il lavoro svolto,ecc.
Direzione Centrale Tecnologia e Processi
Pag. 16
Il PHISHINGIl PHISHINGIl PISHING è una tecnica che ha come obiettivo quello di convincere (Phishing significa prendere all’amo) le vittime a fornire modo inconsapevole le proprie credenziali di accesso a sistemi di E-commerce o di E-banking.Esistono diverse modalità di phishing, quella più comune è basata sull’utilizzo della e-mail.
Banche ed istituzioni non fanno mai richiesta dei dati personali a mezzo di una e-mail.
Altri attacchiAltri attacchi
Direzione Centrale Tecnologia e Processi
Pag. 17
Visitando un sito web con un controllo
ActiveX, involontariamente si
installa un programma redirector che
altera il file HOST del PC o il contenuto
della cache DNS o l’indirizzo del DNS.
Quando l’utente si collega ad esempio al
sito della sua banca on-line, la
sessione viene reindirizzata, senza che
l’utente se ne accorga o sospetti nulla,
al sito web di un hacker.
L’utente apre e-mail apparentemente
legittima, che con messaggi
accattivanti invita ad aprire un file
allegato o a visitare un sito web.
Un programma nascosto nel sito,
installa sul PC dell’utente un lettore di
key-stroke in grado di catturare i
caratteri che l’utente digita sulla
tastiera ed in particolare il nome e la
password inseriti al login.
PHARMINGKEYSTORE LOGGING
IndiceIndice
Pag. 18
Presentazione
La sicurezza nell’azienda Banca
La sicurezza informatica
La catena tecnologica della sicurezza
La firma digitale
La catena della sicurezzaLa catena della sicurezza
Direzione Centrale Tecnologia e Processi
Pag. 19
Direzione Centrale Tecnologia e Processi
Pag. 20
La famiglia dei prodotti di internet banking Banca Marche comprende i seguenti servizi:
Inbank Imprese
Inbank Famiglie
Inbank i mercati a portata di Mouse
Inbank Enti Pubblici
E-bankingE-banking
La catena della sicurezzaLa catena della sicurezza
Direzione Centrale Tecnologia e Processi Pag. 21
Accesso sicuro Comunicazione
sicura
Sistemi protetti dalle intrusioni
DATI, SW, HW affidabili
Identità sicura – Riservatezza – Integrità – Non Ripudio Firma digitale
12
3
4
5
Direzione Centrale Tecnologia e Processi
Pag. 22
Accesso sicuroAccesso sicuro
Affidarsi ad un solo fattore di autenticazione (una password) può mettere seriamente a rischio la sicurezza: una password digitata sul PC può essere facilmente copiata o sottratta tramite uno degli innumerevoli software di cui gli hacker fanno uso.
Direzione Centrale Tecnologia e Processi
Pag. 23
Accesso Sicuro - OTPAccesso Sicuro - OTP
L’OTP (One Time Password) è uno strumento estremamente sicuro e di semplice utilizzo, delle dimensioni di un portachiavi, che alla pressione di un pulsante visualizza un numero di 6 cifre da utilizzare come password di conferma delle disposizioni.
La sequenza di cifre deriva da una serie di grandezze segrete, ed è in funzione di un orario fornito da un “real time clock” interno al dispositivo. Ogni 36 secondi viene generata una nuova password completamente diversa e non connessa alla precedente, utilizzabile una sola volta. Dopo aver predisposto una disposizione di pagamento online, ed aver scelto di firmare, basta leggere il numero sul display dell’OTP ed inserirlo come richiesto nella procedura dell’internet banking.
Direzione Centrale Tecnologia e Processi
Pag. 24
Il programma conserva tutte le
informazioni personali dentro se stesso in
modo protetto. Una volta che la penna
USB viene collegata a un qualunque Pc,
permette di usare quel computer, anche
se poco sicuro, per fare tutto, dall'e-
banking alla navigazione in rete all'uso
della posta elettronica e di documenti.
Ma, una volta che uno esce da Ceedo e
scollega la sua penna è come se
chiudesse la porta dietro di sè senza
lasciare alcuna traccia del suo passaggio.
I propri dati rimangono solo sul supporto
esterno su cui Ceedo è installato.
Il nuovo sistema di autenticazione e firma digitale, che è il sistema oggi più sicuro per gestire servizi online, è composto da un dispositivo hardware USB e da un programma (Ceedo).
Il possesso del dispositivo hw con memoria flash e del PIN sono i due elementi alla base del meccanismo di
“autenticazione forte a due fattori”
Accesso Sicuro – Firma DigitaleAccesso Sicuro – Firma Digitale
Direzione Centrale Tecnologia e Processi
Pag. 25
Accesso Sicuro – Firma DigitaleAccesso Sicuro – Firma Digitale
Offrire fiducia attraverso i servizi di sicurezzaCon l’introduzione della firma digitale e l’attivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela:rapidità nell’attivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale);
massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato);
massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita);
possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti;
possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo contiene un’area di memoria di circa 100 MB a disposizione del cliente.
Offrire fiducia attraverso i servizi di sicurezzaCon l’introduzione della firma digitale e l’attivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela:rapidità nell’attivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale);
massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato);
massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita);
possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti;
possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo contiene un’area di memoria di circa 100 MB a disposizione del cliente.
Direzione Centrale Tecnologia e Processi
Pag. 26
Comunicazione SicuraComunicazione Sicura
Secure Sockets Layer (SSL) è un protocollo con cui si realizzano connessioni cifrate, e quindi,protette, su Internet.
HTTPS sintatticamente identico allo schema http:// ma con la differenza che tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione.In pratica viene creato un canale di comunicazione criptato tra il client e il server.
Questo canale garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione.
Direzione Centrale Tecnologia e Processi
Pag. 27
In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi.Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web.
In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi.Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web.
Comunicazione SicuraComunicazione Sicura
Direzione Centrale Tecnologia e Processi
Pag. 28
La crittografiaLa crittografia
La crittografia è la scienza che si occupa di sviluppare metodi finalizzati a nascondere il contenuto di un messaggio tramite l’uso di un algoritmo e di una chiave.
La crittografia moderna si divide in due branche fondamentali:
La crittografia a chiave simmetrica (una sola chiave)
La crittografia a chiave asimmetrica (due chiavi)
Crittografia SimmetricaCrittografia Simmetrica
Direzione Centrale Tecnologia e Processi
Pag. 29
y=f(x) Algoritmo basato su:
- Alfabeto in chiaro- Alfabeto cifrante
Chiave costituita dall’offset tra i due alfabeti (ad es. 3)
Messaggio in chiaro: “salve mondo”
Messaggio crittato:”vdoyh prqgr”
Sicurezza (autenticazione debole dell’interlocutore): “paternità” e “non ripudio” non sono possibili
Lo scambio della chiave condivisa deve avvenire attraverso un canale sicuro Per n coppie di interlocutori sono necessarie n(n-1)/2 chiavi simmetriche distinte
Direzione Centrale Tecnologia e Processi
Pag. 30
Crittografia a chiave simmetricaCrittografia a chiave simmetrica
Direzione Centrale Tecnologia e Processi
Pag. 31
Crittografia a chiave asimmetricaCrittografia a chiave asimmetrica
Viene anche chiamata crittografia a chiave pubblica; ogni soggetto ha due chiavi:
Chiave pubblica: da distribuire a tutti i soggetti con i quali si vuole comunicare
Chiave privata: da tenere segreta
Ciò che viene cifrato con la chiave pubblica può essere decifrato solo con la chiave privata corrispondente (operazione che può essere fatta solo dal proprietario della chiave).
Gli algoritmi di questo tipo sono detti a chiave asimmetrica e il più noto di tutti è l’algoritmo RSA.
È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono 3 ricercatori del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo implementare tale logica utilizzando particolari proprietà formali dei numeri primi con alcune centinaia di cifre. L'algoritmo da loro inventato viene denominato RSA per via delle iniziali dei loro cognomi.
Direzione Centrale Tecnologia e Processi
Pag. 32
Crittografia a chiave asimmetricaCrittografia a chiave asimmetrica
Direzione Centrale Tecnologia e Processi
Pag. 33
Combinazione di chiavi Combinazione di chiavi
Viene generata una chiave simmetrica utilizzabile una sola volta (chiave di sessione)
Il messaggio viene cifrato con la chiave di sessione
La chiave di sessione viene cifrata con la chiave pubblica del destinatario
Il protocollo SSL utilizza una combinazione tra crittografia a chiave segreta e crittografia a chiave asimmetrica:
Direzione Centrale Tecnologia e Processi
Pag. 34
Combinazione di chiavi Combinazione di chiavi
CLIENT
Direzione Centrale Tecnologia e Processi
Pag. 35
Secure Socket Layer (SSL) Secure Socket Layer (SSL)
Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia.
Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia.
Direzione Centrale Tecnologia e Processi
Pag. 36
Secure Socket Layer (SSL) Secure Socket Layer (SSL)
CLIENT
Direzione Centrale Tecnologia e Processi
Pag. 37
Secure Socket Layer (SSL) Secure Socket Layer (SSL)
Nella crittografia asimmetrica, sussiste il problema di come ottenere la chiave pubblica di un altro utente, in modo fidato. Per risolvere questo problema, si ricorre all'esistenza di una terza parte, una sorta di garante, detta Certification Authority (CA).
La CA associa quindi alla chiave pubblica dei singoli individui, l'identità del legittimo proprietario, mediante l'emissione di un Certificato Digitale, che viene firmato utilizzando la propria chiave privata. Chi riceve il certificato firmato può verificare l'autenticità dello stesso (attraverso la chiave pubblica della CA).
Direzione Centrale Tecnologia e Processi
Pag. 38
La catena della sicurezzaLa catena della sicurezzaReverse Proxy
Il PROXY è un’infrastruttura che si interpone tra il client e il server. Il client non parla direttamente con il server ma passa attraverso il proxy.
FirewallTutto il traffico della rete è soggetto alle regole (policy) definite nel Firewall.La Banca è dotata di una struttura di firewall a due livelli (interno ed esterno) per proteggersi da Internet e da Intranet.Sonde di Intrusion Detection (IDS)Nei punti nevralgici della rete sono state installate delle sonde IDS in grado di rilevare attività sospette sulla rete.Agiscono come “poliziotti di quartiere” analizzando gli eventi sulla rete comunicando alla “Centrale” (Security Operation Center) le attività riconducibili ad azioni criminose.
Un IDS può essere para-gonato ad un antifurto ed un firewall ad una porta blindata
Direzione Centrale Tecnologia e Processi
Pag. 39
Sistemi protetti dalle intrusioniSistemi protetti dalle intrusioni
Direzione Centrale Tecnologia e Processi
Pag. 40
La catena della sicurezzaLa catena della sicurezza
Attraverso la virtualizzazione dei server è possibile garantire massima affidabilità dei sistemi e tempi rapidi di ripartenza in caso di guasto.La virtualizzazione dei server favorisce la standardizzazione e semplifica la gestione delle risorse.
Direzione Centrale Tecnologia e Processi
Pag. 41
La catena della sicurezzaLa catena della sicurezza