sicurezza e privacy in www corso di web designer cisita 06 aprile 2001
TRANSCRIPT
SICUREZZA E PRIVACY IN SICUREZZA E PRIVACY IN WWWWWW
Corso di Web DesignerCorso di Web Designer
CISITACISITA
06 aprile 200106 aprile 2001
06 Aprile 2001 CISITA - Web designer 2
OBIETTIVIOBIETTIVI
SicurezzaSicurezza• Criteri base per valutare la sicurezza Criteri base per valutare la sicurezza
di un sistema informaticodi un sistema informatico• Panoramica dei meccanismi di Panoramica dei meccanismi di
sicurezzasicurezza PrivacyPrivacy
• Gestione di dati personaliGestione di dati personali
06 Aprile 2001 CISITA - Web designer 3
INTRODUZIONEINTRODUZIONE
Aumento dell’uso delle tecnologie Aumento dell’uso delle tecnologie informatiche dovuto ainformatiche dovuto a• Maggiore integrazioneMaggiore integrazione• Evoluzione delle tecnologieEvoluzione delle tecnologie• Prodotti software più sempliciProdotti software più semplici
Ha portato a costi minoriHa portato a costi minori
06 Aprile 2001 CISITA - Web designer 4
INTRODUZIONEINTRODUZIONE
VantaggiVantaggi• Disponibilità di datiDisponibilità di dati• Semplificazione del lavoroSemplificazione del lavoro• Commercio elettronico a distanzaCommercio elettronico a distanza
ProblemiProblemi• Sicurezza dei sistemiSicurezza dei sistemi• Privacy degli interessatiPrivacy degli interessati
06 Aprile 2001 CISITA - Web designer 5
SOMMARIOSOMMARIO
Concetti generali suConcetti generali su• SicurezzaSicurezza• PrivacyPrivacy
Ambiti di applicazioneAmbiti di applicazione• Web - commercio elettronicoWeb - commercio elettronico• E-mailE-mail• IntranetIntranet
06 Aprile 2001 CISITA - Web designer 6
SICUREZZASICUREZZA
Sistema informaticoSistema informatico• DefinizioneDefinizione• Requisiti di un sistema sicuroRequisiti di un sistema sicuro
AttacchiAttacchi• Tipi di attacco e contromisureTipi di attacco e contromisure
Redigere un piano di sicurezzaRedigere un piano di sicurezza• MeccanismiMeccanismi
06 Aprile 2001 CISITA - Web designer 7
SISTEMA INFORMATICOSISTEMA INFORMATICO
L’unione diL’unione di• DatiDati• ApplicazioniApplicazioni• Risorse tecnologicheRisorse tecnologiche• Risorse umaneRisorse umane• Regole organizzativeRegole organizzative• Procedure utilizzateProcedure utilizzate
06 Aprile 2001 CISITA - Web designer 8
REQUISITI DI UN SISTEMA REQUISITI DI UN SISTEMA SICUROSICURO
AutenticitàAutenticità RiservatezzaRiservatezza IntegritàIntegrità DisponibilitàDisponibilità AffidabilitàAffidabilità ContinuitàContinuità
06 Aprile 2001 CISITA - Web designer 9
AUTENTICITÀAUTENTICITÀ
Garanzia e certificazione diGaranzia e certificazione di• Identità di un soggettoIdentità di un soggetto• Provenienza di un oggettoProvenienza di un oggetto
Si desidera la certezza diSi desidera la certezza di• Comunicare con la persona volutaComunicare con la persona voluta• Ricevere l’oggetto richiestoRicevere l’oggetto richiesto
06 Aprile 2001 CISITA - Web designer 10
RISERVATEZZARISERVATEZZA
Il contenuto di un oggetto può Il contenuto di un oggetto può essere conosciuto SOLO daessere conosciuto SOLO da• Chi l’ha generatoChi l’ha generato• Soggetti cui è destinatoSoggetti cui è destinato
06 Aprile 2001 CISITA - Web designer 11
INTEGRITÀINTEGRITÀ
Possibilità di verificare se un Possibilità di verificare se un oggetto è stato illegalmente oggetto è stato illegalmente modificatomodificato
Può comportare anche la verifica diPuò comportare anche la verifica di• Distruzione di informazioniDistruzione di informazioni• Fabbricazione di informazioniFabbricazione di informazioni
06 Aprile 2001 CISITA - Web designer 12
DISPONIBILITÀDISPONIBILITÀ
Assicurazione che una risorsa o un Assicurazione che una risorsa o un servizio sia disponibile a chi la servizio sia disponibile a chi la richiede, se autorizzatorichiede, se autorizzato
06 Aprile 2001 CISITA - Web designer 13
MINACCE ALLA SICUREZZAMINACCE ALLA SICUREZZA
Eventi dolosiEventi dolosi• Leakage - acquisizioneLeakage - acquisizione• Tampering - alterazioneTampering - alterazione• Resource stealing - utilizzoResource stealing - utilizzo• Vandalism - interferenza o negazioneVandalism - interferenza o negazione
Eventi dannosi o disastrosiEventi dannosi o disastrosi• Mancanza di energia, condizionamento, ...Mancanza di energia, condizionamento, ...• Incendi, allagamenti, ...Incendi, allagamenti, ...
06 Aprile 2001 CISITA - Web designer 14
POSSIBILI TIPI DI ATTACCO POSSIBILI TIPI DI ATTACCO DOLOSIDOLOSI
PassiviPassivi• EavesdroppingEavesdropping
AttiviAttivi• MasqueradingMasquerading• TamperingTampering• ReplayingReplaying• Denial of serviceDenial of service
06 Aprile 2001 CISITA - Web designer 15
ATTACCO PASSIVOATTACCO PASSIVO
Ottenere un messaggio senza Ottenere un messaggio senza averne l’autorizzazioneaverne l’autorizzazione
Attenta la riservatezza di un Attenta la riservatezza di un sistemasistema
Cifrare i messaggiCifrare i messaggi• Non sufficiente se non interessa il Non sufficiente se non interessa il
contenuto del messaggiocontenuto del messaggio
06 Aprile 2001 CISITA - Web designer 16
ATTACCO PASSIVOATTACCO PASSIVO
Si cerca di acquisire informazioni Si cerca di acquisire informazioni susu• Dati in transitoDati in transito• Attività e utenti di una organizzazioneAttività e utenti di una organizzazione• Struttura del sistemaStruttura del sistema
Occorre proteggereOccorre proteggere• DatiDati• Connessioni e flusso di trafficoConnessioni e flusso di traffico
06 Aprile 2001 CISITA - Web designer 17
MASQUERADINGMASQUERADING
Mandare o ricevere messaggi Mandare o ricevere messaggi assumendo una falsa identitàassumendo una falsa identità
Viola l’autenticità dei dati e degli Viola l’autenticità dei dati e degli utentiutenti
Utenti autenticati non con semplice Utenti autenticati non con semplice passwordpassword
Identificazione host non basata Identificazione host non basata sull’indirizzo IP (client - server)sull’indirizzo IP (client - server)
06 Aprile 2001 CISITA - Web designer 18
TAMPERINGTAMPERING
Intercettare messaggi e alterarne il Intercettare messaggi e alterarne il contenutocontenuto
Viola la riservatezza, Viola la riservatezza, l’autenticazione e l’integritàl’autenticazione e l’integrità
Cifrare i pacchettiCifrare i pacchetti
06 Aprile 2001 CISITA - Web designer 19
REPLAYINGREPLAYING
Intercettare un messaggio e Intercettare un messaggio e conservarlo per spedirlo più tardiconservarlo per spedirlo più tardi
Viola la riservatezza e la Viola la riservatezza e la disponibilità disponibilità
La cifratura non bastaLa cifratura non basta
06 Aprile 2001 CISITA - Web designer 20
DENIAL OF SERVICEDENIAL OF SERVICE
Impedire il corretto svolgimento di Impedire il corretto svolgimento di un servizio o uso di una risorsaun servizio o uso di una risorsa
Viola la disponibilitàViola la disponibilità Non è semplice contrastare tali Non è semplice contrastare tali
attacchiattacchi
06 Aprile 2001 CISITA - Web designer 21
PIANO DI SICUREZZAPIANO DI SICUREZZA
Beni e rischiBeni e rischi• Analisi costi - beneficiAnalisi costi - benefici
Politiche di sicurezzaPolitiche di sicurezza Meccanismi di sicurezzaMeccanismi di sicurezza Verifica di sicurezzaVerifica di sicurezza
06 Aprile 2001 CISITA - Web designer 22
BENI E RISCHIBENI E RISCHI
Identificare e classificare dei beniIdentificare e classificare dei beni Valutazione delle minacce e della Valutazione delle minacce e della
vulnerabilitàvulnerabilità Individuazione dell’esposizioneIndividuazione dell’esposizione Valutazione dei costi e dei beneficiValutazione dei costi e dei benefici Individuazione delle contromisureIndividuazione delle contromisure
06 Aprile 2001 CISITA - Web designer 23
POLITICHE DI SICUREZZAPOLITICHE DI SICUREZZA
Criteri generaliCriteri generali Regole da rispettareRegole da rispettare
• UtentiUtenti• RisorseRisorse• File di logFile di log• Processi gestionaliProcessi gestionali
06 Aprile 2001 CISITA - Web designer 24
MECCANISMI DI MECCANISMI DI SICUREZZASICUREZZA
Controllo degli accessiControllo degli accessi Sistemi RAID, back-upSistemi RAID, back-up FirewallFirewall Cifratura dei datiCifratura dei dati Firma digitaleFirma digitale Certificati digitaliCertificati digitali
06 Aprile 2001 CISITA - Web designer 25
VERIFICA DI SICUREZZAVERIFICA DI SICUREZZA
Verifica della validità dei Verifica della validità dei meccanismi adottatimeccanismi adottati• AuditingAuditing• Prove formali e informaliProve formali e informali
06 Aprile 2001 CISITA - Web designer 26
CONTROLLO DEGLI CONTROLLO DEGLI ACCESSIACCESSI
Accesso fisicoAccesso fisico Accesso logicoAccesso logico
• PasswordPassword• One-time passwordOne-time password• Autenticazione a sfidaAutenticazione a sfida• Attributi biometriciAttributi biometrici• Certificati su smart cardCertificati su smart card
06 Aprile 2001 CISITA - Web designer 27
SALVATAGGIO DATISALVATAGGIO DATI
BackupBackup• Cd-romCd-rom• Nastri magneticiNastri magnetici
Redundant array of inexpensive Redundant array of inexpensive disksdisks• Più dischi uguali in paralleloPiù dischi uguali in parallelo• Varie modalità di protezione dei datiVarie modalità di protezione dei dati
06 Aprile 2001 CISITA - Web designer 28
FIREWALLFIREWALL
Nodo che filtra il traffico in entrata Nodo che filtra il traffico in entrata o in uscita dall’esternoo in uscita dall’esterno• Filtri di pacchetti IPFiltri di pacchetti IP• Application gatewayApplication gateway
06 Aprile 2001 CISITA - Web designer 29
CRITTOGRAFIACRITTOGRAFIA
Segretezza dell’algoritmoSegretezza dell’algoritmo• ClassicaClassica
Segretezza della chiaveSegretezza della chiave• Convenzionale - chiave unicaConvenzionale - chiave unica• A chiave pubblica - due chiaviA chiave pubblica - due chiavi
06 Aprile 2001 CISITA - Web designer 30
CIFRATURA CIFRATURA CONVENZIONALECONVENZIONALE
Chiave unica per cifrare e decifrare Chiave unica per cifrare e decifrare Problema di scambio della chiaveProblema di scambio della chiave
• Avviene con altri mezziAvviene con altri mezzi• Terze parti fidate - key distribution Terze parti fidate - key distribution
centercenter
06 Aprile 2001 CISITA - Web designer 31
CIFRATURA A DOPPIA CIFRATURA A DOPPIA CHIAVECHIAVE
Due chiavi indipendentiDue chiavi indipendenti Usata soprattutto per scambio di chiavi Usata soprattutto per scambio di chiavi
segretesegrete Problema di pubblicazione di una Problema di pubblicazione di una
chiave chiave • Certificazione digitale della chiave pubblicaCertificazione digitale della chiave pubblica• Public key infrastructurePublic key infrastructure
Su di essa è basata la firma digitaleSu di essa è basata la firma digitale
06 Aprile 2001 CISITA - Web designer 32
FIRMA DIGITALEFIRMA DIGITALE
Meccanismo che garantisceMeccanismo che garantisce• Autenticazione del mittenteAutenticazione del mittente• Integrità del messaggioIntegrità del messaggio
Funzionamento poco praticoFunzionamento poco pratico• Cifrare il messaggio con la chiave Cifrare il messaggio con la chiave
segretasegreta• Verifica con la chiave pubblicaVerifica con la chiave pubblica• Metodo lentoMetodo lento
06 Aprile 2001 CISITA - Web designer 33
FIRMA DIGITALE - FIRMA DIGITALE - MITTENTEMITTENTE
Esegue il calcolo di un valore detto Esegue il calcolo di un valore detto HASHHASH
Algoritmo di hashing dei messaggiAlgoritmo di hashing dei messaggi• Univocità di hashUnivocità di hash• Praticità di calcoloPraticità di calcolo
Cifra il valore hash con la chiave Cifra il valore hash con la chiave segreta segreta
Spedisce il messaggio + hash cifratoSpedisce il messaggio + hash cifrato
06 Aprile 2001 CISITA - Web designer 34
FIRMA DIGITALE - FIRMA DIGITALE - DESTINATARIODESTINATARIO
Estrae dal messaggio l’hash cifratoEstrae dal messaggio l’hash cifrato Decifra l’hash con la chiave Decifra l’hash con la chiave
pubblica pubblica Dal messaggio calcola l’hashDal messaggio calcola l’hash Confronta i 2 valoriConfronta i 2 valori
06 Aprile 2001 CISITA - Web designer 35
FIRMA DIGITALEFIRMA DIGITALE
Valore legale del messaggio Valore legale del messaggio firmato digitalmente - legge 59/97firmato digitalmente - legge 59/97• Problemi di applicabilitàProblemi di applicabilità
– Troppo ottimista sui tempi di attuazioneTroppo ottimista sui tempi di attuazione– Mancanza di autorità di certificazioneMancanza di autorità di certificazione– Chiave biometrica … ?Chiave biometrica … ?
Complessità delle procedure per Complessità delle procedure per divenire autorità di certificazionedivenire autorità di certificazione
06 Aprile 2001 CISITA - Web designer 36
CERTIFICATI DIGITALICERTIFICATI DIGITALI
Costituiti da:Costituiti da:• La chiave pubblica dell’utenteLa chiave pubblica dell’utente• Dati identificativi dell’utenteDati identificativi dell’utente
Sono firmati digitalmente dalla CASono firmati digitalmente dalla CA Autorità di certificazioneAutorità di certificazione
• Strutturate in gerarchiaStrutturate in gerarchia• Problema di certificare i certificatiProblema di certificare i certificati
06 Aprile 2001 CISITA - Web designer 37
CERTIFICATI DIGITALICERTIFICATI DIGITALI
Sono utlizzabili per altri scopiSono utlizzabili per altri scopi• Verifica dell’integrità del softwareVerifica dell’integrità del software• Pagamenti via internetPagamenti via internet
Problema della revoca di un Problema della revoca di un certificatocertificato
06 Aprile 2001 CISITA - Web designer 38
STANDARD X.509STANDARD X.509
Non specifica alcun algoritmo Non specifica alcun algoritmo particolareparticolare
Si basa sulla cifratura a chiave pubblica Si basa sulla cifratura a chiave pubblica e la firma digitalee la firma digitale
L’autorità firma digitalmente il L’autorità firma digitalmente il certificato con la propria chiave segretacertificato con la propria chiave segreta
Problema della distribuzione della Problema della distribuzione della chiave pubblica della CAchiave pubblica della CA
06 Aprile 2001 CISITA - Web designer 39
PRIVACYPRIVACY
IntroduzioneIntroduzione Legislazione internazionaleLegislazione internazionale Legislazione italianaLegislazione italiana
• Crimini informatici - 547/93Crimini informatici - 547/93• Legge sulla privacy - 675/96Legge sulla privacy - 675/96• Sicurezza dei dati - DPR 318/99Sicurezza dei dati - DPR 318/99
06 Aprile 2001 CISITA - Web designer 40
INTRODUZIONEINTRODUZIONE
Legislazione internazionaleLegislazione internazionale• USAUSA
– Nessuna norma certa a protezione dei Nessuna norma certa a protezione dei dati personalidati personali
• Comunità europeaComunità europea– Convenzione di Strasburgo 1981Convenzione di Strasburgo 1981– Accordo di SchengenAccordo di Schengen
06 Aprile 2001 CISITA - Web designer 41
MOTIVAZIONIMOTIVAZIONI
Complesso delle norme su Complesso delle norme su informaticainformatica• Codice penale - crimini informaticiCodice penale - crimini informatici• Legge sulla privacyLegge sulla privacy• Regolamento per la sicurezzaRegolamento per la sicurezza
06 Aprile 2001 CISITA - Web designer 42
CONSEGUENZECONSEGUENZE
Rischi connessi con l’uso Rischi connessi con l’uso indiscriminato di indiscriminato di • Dati “sensibili”Dati “sensibili”
06 Aprile 2001 CISITA - Web designer 43
FIGURE PREVISTEFIGURE PREVISTE
Ufficio del GaranteUfficio del Garante TitolareTitolare ResponsabileResponsabile IncaricatoIncaricato
06 Aprile 2001 CISITA - Web designer 44
COSA PREVEDE LA LEGGE COSA PREVEDE LA LEGGE
Obblighi relativi al trattamentoObblighi relativi al trattamento Informazioni fornite agli interessatiInformazioni fornite agli interessati Necessità di consenso Necessità di consenso
dell’interessatodell’interessato• Quando non è necessario il consensoQuando non è necessario il consenso
I diritti degli interessatiI diritti degli interessati
06 Aprile 2001 CISITA - Web designer 45
SICUREZZA DEI DATISICUREZZA DEI DATI
Obblighi del titolare in merito aObblighi del titolare in merito a• Affidabilità del sistemaAffidabilità del sistema• Riservatezza dei datiRiservatezza dei dati• Integrità dei datiIntegrità dei dati• Correttezza dell’utilizzo dei datiCorrettezza dell’utilizzo dei dati
06 Aprile 2001 CISITA - Web designer 46
NORME MINIME NORME MINIME SICUREZZASICUREZZA
Misure minime ?Misure minime ?• Gestione degli accessi fisici e logiciGestione degli accessi fisici e logici• Protezione dalle intrusioniProtezione dalle intrusioni• Piano di sicurezzaPiano di sicurezza
– Accesso fisico e logicoAccesso fisico e logico– Integrità dei datiIntegrità dei dati– Trasmissione dei datiTrasmissione dei dati– Formazione personaleFormazione personale
06 Aprile 2001 CISITA - Web designer 47
PRIVACYPRIVACY
IntroduzioneIntroduzione Legislazione internazionaleLegislazione internazionale Legislazione italianaLegislazione italiana
• Crimini informatici - 547/93Crimini informatici - 547/93• Legge sulla privacy - 675/96Legge sulla privacy - 675/96• Sicurezza dei dati - DPR 318/99Sicurezza dei dati - DPR 318/99
06 Aprile 2001 CISITA - Web designer 48
INTRODUZIONEINTRODUZIONE
Legislazione internazionaleLegislazione internazionale• USAUSA
– Nessuna norma certa a protezione dei Nessuna norma certa a protezione dei dati personalidati personali
• Comunità europeaComunità europea– Convenzione di Strasburgo 1981Convenzione di Strasburgo 1981– Accordo di SchengenAccordo di Schengen
06 Aprile 2001 CISITA - Web designer 49
MOTIVAZIONIMOTIVAZIONI
Complesso delle norme su Complesso delle norme su informaticainformatica• Codice penale - crimini informaticiCodice penale - crimini informatici• Legge sulla privacyLegge sulla privacy• Regolamento per la sicurezzaRegolamento per la sicurezza
06 Aprile 2001 CISITA - Web designer 50
CONSEGUENZECONSEGUENZE
Rischi connessi con l’uso Rischi connessi con l’uso indiscriminato di indiscriminato di • Dati “sensibili”Dati “sensibili”
06 Aprile 2001 CISITA - Web designer 51
FIGURE PREVISTEFIGURE PREVISTE
Ufficio del GaranteUfficio del Garante TitolareTitolare ResponsabileResponsabile IncaricatoIncaricato
06 Aprile 2001 CISITA - Web designer 52
COSA PREVEDE LA LEGGE COSA PREVEDE LA LEGGE
Obblighi relativi al trattamentoObblighi relativi al trattamento Informazioni fornite agli interessatiInformazioni fornite agli interessati Necessità di consenso Necessità di consenso
dell’interessatodell’interessato• Quando non è necessario il consensoQuando non è necessario il consenso
I diritti degli interessatiI diritti degli interessati
06 Aprile 2001 CISITA - Web designer 53
SICUREZZA DEI DATISICUREZZA DEI DATI
Obblighi del titolare in merito aObblighi del titolare in merito a• Affidabilità del sistemaAffidabilità del sistema• Riservatezza dei datiRiservatezza dei dati• Integrità dei datiIntegrità dei dati• Correttezza dell’utilizzo dei datiCorrettezza dell’utilizzo dei dati
06 Aprile 2001 CISITA - Web designer 54
NORME MINIME NORME MINIME SICUREZZASICUREZZA
Misure minime ?Misure minime ?• Gestione degli accessi fisici e logiciGestione degli accessi fisici e logici• Protezione dalle intrusioniProtezione dalle intrusioni• Piano di sicurezzaPiano di sicurezza
– Accesso fisico e logicoAccesso fisico e logico– Integrità dei datiIntegrità dei dati– Trasmissione dei datiTrasmissione dei dati– Formazione personaleFormazione personale
06 Aprile 2001 CISITA - Web designer 55
APPLICAZIONIAPPLICAZIONI
World wide webWorld wide web• Transazioni commercialiTransazioni commerciali
E-mailE-mail• PgpPgp
Rete aziendaleRete aziendale
06 Aprile 2001 CISITA - Web designer 56
WORLD WIDE WEBWORLD WIDE WEB
IntroduzioneIntroduzione• Applicazione client - serverApplicazione client - server
– Web clientWeb client– Web serverWeb server
Transazioni commercialiTransazioni commerciali• Comunicazioni sicureComunicazioni sicure• Metodi di pagamentoMetodi di pagamento
06 Aprile 2001 CISITA - Web designer 57
WEB CLIENTWEB CLIENT
Provenienza delle pagine visitateProvenienza delle pagine visitate• Sicurezza del domain name systemSicurezza del domain name system
Tracing delle operazioni effettuateTracing delle operazioni effettuate• Numero seriale pentium IIINumero seriale pentium III• CookiesCookies
06 Aprile 2001 CISITA - Web designer 58
SICUREZZA DEL DNSSICUREZZA DEL DNS
Il server non è solitamente Il server non è solitamente autenticatoautenticato
Domain name serverDomain name server• Traduce nomi in indirizzi IPTraduce nomi in indirizzi IP• Occorre essere sicuri che l’utente Occorre essere sicuri che l’utente
acceda al server che richiedeacceda al server che richiede• Www.Nomeazienda.Com punta al Www.Nomeazienda.Com punta al
server di nomeazienda o ad un altro ?server di nomeazienda o ad un altro ?
06 Aprile 2001 CISITA - Web designer 59
NUMERO SERIALE NUMERO SERIALE PENTIUM IIIPENTIUM III
Ogni processore è identifcato da Ogni processore è identifcato da un numero serialeun numero seriale
Per intel può essere utilizzato per Per intel può essere utilizzato per l’autenticazione di hostl’autenticazione di host
06 Aprile 2001 CISITA - Web designer 60
COOKIESCOOKIES
VantaggiVantaggi• Permette l’autenticazione automaticaPermette l’autenticazione automatica
ProblemiProblemi• Un campo definisce chi può leggere il Un campo definisce chi può leggere il
cookiecookie• È del tipo www.Nomesito.ComÈ del tipo www.Nomesito.Com
– Explorer obbliga almeno un puntoExplorer obbliga almeno un punto– Netscape almeno due puntiNetscape almeno due punti
06 Aprile 2001 CISITA - Web designer 61
WEB SERVERWEB SERVER
IntroduzioneIntroduzione SicurezzaSicurezza
• Configurazione sicuraConfigurazione sicura• Common gateway interface - CGICommon gateway interface - CGI• AttacchiAttacchi
PrivacyPrivacy
06 Aprile 2001 CISITA - Web designer 62
INTRODUZIONEINTRODUZIONE
Punto di visibilità per le aziendePunto di visibilità per le aziende• Danni materiali - valori di borsaDanni materiali - valori di borsa• Danni di immagine - fiducia del Danni di immagine - fiducia del
consumatoreconsumatore Punto di partenza per attacchiPunto di partenza per attacchi
• Rete del serverRete del server• Altre reti - es. Password di hotmailAltre reti - es. Password di hotmail
06 Aprile 2001 CISITA - Web designer 63
CONFIGURAZIONE SICURACONFIGURAZIONE SICURA
Installazione minima del sistemaInstallazione minima del sistema Disabilitare tutti i servizi non Disabilitare tutti i servizi non
essenzialiessenziali• FTP serverFTP server• Condivisione di file in reteCondivisione di file in rete
Configurazione restrittivaConfigurazione restrittiva• Impedire ciò che non è necessarioImpedire ciò che non è necessario
06 Aprile 2001 CISITA - Web designer 64
COMMON GATEWAY COMMON GATEWAY INTERFACEINTERFACE
Due alternativeDue alternative• Non abilitare i programmi CGINon abilitare i programmi CGI• Abilitare solo quelli approvatiAbilitare solo quelli approvati
06 Aprile 2001 CISITA - Web designer 65
ATTACCHIATTACCHI
Attacco al servizioAttacco al servizio• Fermo macchinaFermo macchina
Accesso con diritti di Accesso con diritti di root/amministratoreroot/amministratore• Riservatezza dati salvati sull’hostRiservatezza dati salvati sull’host
06 Aprile 2001 CISITA - Web designer 66
PRIVACY NEL WEBPRIVACY NEL WEB
Obblighi previsti dalla leggeObblighi previsti dalla legge• Consenso degli utentiConsenso degli utenti
– Anche elettronicoAnche elettronico
06 Aprile 2001 CISITA - Web designer 67
OBBLIGHI PREVISTIOBBLIGHI PREVISTI
Il gestore del sitoIl gestore del sito• Inviare al garante ...Inviare al garante ...
Il responsabile dei datiIl responsabile dei dati
L’incaricato al trattamentoL’incaricato al trattamento
06 Aprile 2001 CISITA - Web designer 68
IL COMMERCIO IL COMMERCIO ELETTRONICOELETTRONICO
Requisiti di una transazione sicuraRequisiti di una transazione sicura Codifica della comunicazioneCodifica della comunicazione Acquisti on-lineAcquisti on-line Metodi di pagamentoMetodi di pagamento
06 Aprile 2001 CISITA - Web designer 69
SICUREZZA DELLA SICUREZZA DELLA TRANSAZIONETRANSAZIONE
RiservatezzaRiservatezza DisponibilitàDisponibilità AffidabilitàAffidabilità IntegritàIntegrità AutenticazioneAutenticazione
06 Aprile 2001 CISITA - Web designer 70
CODIFICA DELLA CODIFICA DELLA COMUNICAZIONECOMUNICAZIONE
Secure socket layer - SSLSecure socket layer - SSL Secure HTTPSecure HTTP
06 Aprile 2001 CISITA - Web designer 71
SECURE SOCKET LAYERSECURE SOCKET LAYER
Protocollo per la sicurezzaProtocollo per la sicurezza Permette ad applicazioni client - Permette ad applicazioni client -
server di comunicare prevenendoserver di comunicare prevenendo• Ascolto indesideratoAscolto indesiderato• Manomissione di messaggiManomissione di messaggi• Fabbricazione di messaggiFabbricazione di messaggi
06 Aprile 2001 CISITA - Web designer 72
SECURE SOCKET LAYERSECURE SOCKET LAYER
Fornisce una comunicazione sicuraFornisce una comunicazione sicura• La connessione è cifrataLa connessione è cifrata• L’autenticazione degli interlocutori L’autenticazione degli interlocutori
avviene con un meccanismo a chiave avviene con un meccanismo a chiave pubblicapubblica
• Meccanismi di controllo dell’integritàMeccanismi di controllo dell’integrità
06 Aprile 2001 CISITA - Web designer 73
SECURE SOCKET LAYERSECURE SOCKET LAYER
Problemi legali nell’uso Problemi legali nell’uso commercialecommerciale
06 Aprile 2001 CISITA - Web designer 74
ACQUISTO ON-LINEACQUISTO ON-LINE
Sicurezza delle transazioniSicurezza delle transazioni Standard per le transazioniStandard per le transazioni
• Differenti legislazioni nazionaliDifferenti legislazioni nazionali Sicurezza del pagamentoSicurezza del pagamento
• Durante la transazioneDurante la transazione• Dopo la transazioneDopo la transazione
06 Aprile 2001 CISITA - Web designer 75
MEZZI DI PAGAMENTO ON-MEZZI DI PAGAMENTO ON-LINELINE
First visualFirst visual Net chequeNet cheque Secure electronic transaction - SETSecure electronic transaction - SET Moneta elettronica - e-cashMoneta elettronica - e-cash Internet keyed payment protocol - Internet keyed payment protocol -
ikpikp
06 Aprile 2001 CISITA - Web designer 76
AUTORIZZAZIONEAUTORIZZAZIONE
Fuori bandaFuori banda FirmaFirma Pass-phrasePass-phrase
06 Aprile 2001 CISITA - Web designer 77
E-CASHE-CASH
Programma a modello client-serverProgramma a modello client-server È multi-piattaformaÈ multi-piattaforma Permette lo scambio di denaro in Permette lo scambio di denaro in
modo sicuromodo sicuro
06 Aprile 2001 CISITA - Web designer 78
INTERNET KEYED INTERNET KEYED PAYMENT PROT.PAYMENT PROT.
Sviluppato da IBMSviluppato da IBM• Risponde alle esigenze del DOD Risponde alle esigenze del DOD
sull’exportsull’export GarantisceGarantisce
• RiservatezzaRiservatezza• IntegritàIntegrità
06 Aprile 2001 CISITA - Web designer 79
SECURE ELECTRONIC SECURE ELECTRONIC TRANSACTIONTRANSACTION
Sviluppato da visa e mastercardSviluppato da visa e mastercard Riservatezza, integrità, Riservatezza, integrità,
identificazioneidentificazione InteroperabilitàInteroperabilità
• Sfrutta gli standard esistentiSfrutta gli standard esistenti• Crea uno standard apertoCrea uno standard aperto• Realizzabile con ogni piattaforma Realizzabile con ogni piattaforma
hw/swhw/sw
06 Aprile 2001 CISITA - Web designer 80
E-MAILE-MAIL
CrittografiaCrittografia• Autenticazione del riceventeAutenticazione del ricevente• RiservatezzaRiservatezza
Firma digitaleFirma digitale• Autenticazione del mittenteAutenticazione del mittente• IntegritàIntegrità• Non ripudioNon ripudio
06 Aprile 2001 CISITA - Web designer 81
PGPPGP
By phil zimmermannBy phil zimmermann Utilizza i più diffusi algoritmiUtilizza i più diffusi algoritmi Ha un suo formato di certificatiHa un suo formato di certificati
• Possono contenere varie informazioniPossono contenere varie informazioni• Sono certificati da altri utenti e non da Sono certificati da altri utenti e non da
CACA Livelli di fiduciaLivelli di fiducia
• Web trust - ragnatela di fiduciaWeb trust - ragnatela di fiducia
06 Aprile 2001 CISITA - Web designer 82
PGPPGP
File che contiene la chiave privata File che contiene la chiave privata è cifrata con l’hash di una è cifrata con l’hash di una passphrasepassphrase
06 Aprile 2001 CISITA - Web designer 83
POSSIBILI TIPI DI ATTACCOPOSSIBILI TIPI DI ATTACCO
Passphrase compromessaPassphrase compromessa Chiave pubblica contraffattaChiave pubblica contraffatta File cancellati ma non eliminatiFile cancellati ma non eliminati PGP cavallo di troiaPGP cavallo di troia Memoria virtualeMemoria virtuale Sicurezza fisicaSicurezza fisica Segnali elettromagneticiSegnali elettromagnetici
06 Aprile 2001 CISITA - Web designer 84
SICUREZZA DELLA RETE SICUREZZA DELLA RETE AZIENDALEAZIENDALE
Violazione della intranet aziendaleViolazione della intranet aziendale• Sicurezza fisica dei serverSicurezza fisica dei server• Sicurezza dei programmi installatiSicurezza dei programmi installati• Sicurezza delle comunicazioniSicurezza delle comunicazioni
Controllo sui dipendentiControllo sui dipendenti• Problema di privacyProblema di privacy
Virus - worms - cavalli di troiaVirus - worms - cavalli di troia
06 Aprile 2001 CISITA - Web designer 85
PROBLEMI DI BASEPROBLEMI DI BASE
Comunicazioni in chiaro; IP non sicuroComunicazioni in chiaro; IP non sicuro Reti locali funzionano in broadcastReti locali funzionano in broadcast Autenticazione utenti basata su Autenticazione utenti basata su
passwordpassword Nessuna autenticazione del serverNessuna autenticazione del server Connessioni geografiche tramiteConnessioni geografiche tramite
• Linee condiviseLinee condivise• Router di terziRouter di terzi
06 Aprile 2001 CISITA - Web designer 86
ANALISI DEL TRAFFICOANALISI DEL TRAFFICO
ChiChi• Colleghi di lavoro e datore di lavoroColleghi di lavoro e datore di lavoro• Personale dei providerPersonale dei provider• Personale del sito serverPersonale del sito server• Hacker e crackerHacker e cracker
CosaCosa• La cifratura dei dati non è sufficienteLa cifratura dei dati non è sufficiente
06 Aprile 2001 CISITA - Web designer 87
SCELTA DELLA PASSWORDSCELTA DELLA PASSWORD
Attenzione alla scelta della passwordAttenzione alla scelta della password• SìSì
– Lunghezza minima 6 caratteri (meglio 8)Lunghezza minima 6 caratteri (meglio 8)– Utilizzare anche numeri e simboliUtilizzare anche numeri e simboli
• NoNo– Presente su dizionariPresente su dizionari– Ottenuta con minime variazioniOttenuta con minime variazioni
• Es. D. Klein, 3340 password su 62727 Es. D. Klein, 3340 password su 62727 (24.2%)(24.2%)
06 Aprile 2001 CISITA - Web designer 88
FILESYSTEM CRIPTATIFILESYSTEM CRIPTATI
06 Aprile 2001 CISITA - Web designer 89
BIBLIOGRAFIABIBLIOGRAFIA
William stallings, network security William stallings, network security essentials, prentice hall, 0-13-016093-8essentials, prentice hall, 0-13-016093-8
Intro to crypto, documentazione di PGP, Intro to crypto, documentazione di PGP, network associates inc., Www.Nai.Comnetwork associates inc., Www.Nai.Com
AIPA, linee guida per la definizione di un AIPA, linee guida per la definizione di un piano per la sicurezza dei sistemi piano per la sicurezza dei sistemi informativi automatizzati nella P.A., informativi automatizzati nella P.A., Gruppo di lavoro AIPA-ANASIN-Gruppo di lavoro AIPA-ANASIN-ASSINFORM-ASSINTELASSINFORM-ASSINTEL
06 Aprile 2001 CISITA - Web designer 90
SITI INTERESSANTISITI INTERESSANTI
Motori di ricercaMotori di ricerca SicurezzaSicurezza
• Www.Freedom.NetWww.Freedom.Net PrivacyPrivacy