Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.
-
Upload
gerolamo-di-stefano -
Category
Documents
-
view
246 -
download
6
Transcript of Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.
![Page 1: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/1.jpg)
Elementi di Sicurezza e Privatezza
Lezione 1
Chiara Braghin
![Page 2: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/2.jpg)
2
Inziamo a interagire…
• Chi prova a rispondere alle seguenti domande: Cosa si intende per sicurezza
informatica? Perché ci deve interessare la sicurezza
informatica? Non è un problema solo militare?
![Page 3: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/3.jpg)
3
![Page 4: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/4.jpg)
4
canale insicuro
Alice Bob
messaggi
Alice e Bob possono comunicare in modo “sicuro”? senza che nessuno legga i loro messaggi senza che nessuno modifichi i loro messaggi con la certezza di parlare proprio tra di loro
![Page 5: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/5.jpg)
5
Statistica sui furti di laptop
• Furto di laptop 109 mila furti registrati soltanto nel
2008 (negli USA).
• Furto di navigatori GPS è cresciuto del 700 per cento in soli due anni. negli Stati Uniti, si è passati da una cifra
di 3.700 casi di furto denunciati nel 2006 ai 24.700 casi del 2008.
![Page 6: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/6.jpg)
6
![Page 7: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/7.jpg)
7
![Page 8: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/8.jpg)
8
![Page 9: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/9.jpg)
9
Dalle news (1)
![Page 10: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/10.jpg)
10
Dalle news (2)
![Page 11: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/11.jpg)
11
Dalle news (3)
![Page 12: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/12.jpg)
12
1. L’attaccante invia a migliaia di indirizzi internet un’e-mail falsa spacciandosi per un istituto bancario.
2. L’utente riceve l’e-mail falsa dove viene chiesto di cliccare su un link ed inserire i propri codici d’accesso.
3. I codici inseriti arrivano direttamente al phiser che li userà per i suoi scopi.
Gentile utente,per motivi di sicurezza la invitiamo al più presto a controllare il proprio account personale.
http://www.banklinknet.it
ATTACCANTE
ATTACCANTE
@
@
@
Sicurezza e Web: Phishing
![Page 13: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/13.jpg)
13
• Tipologie di attacchi e loro frequenza
Statistiche
![Page 14: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/14.jpg)
14
Sicurezza Informatica? (1)
• In generale: Sicurezza = Assenza di rischio o pericolo
• Sicurezza Informatica? Prevenzione o protezione contro accesso, distruzione o alterazione di
risorse/informazioni da parte di utenti non autorizzati
![Page 15: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/15.jpg)
15
Sicurezza informatica: perché?
• Perché proteggere le informazioni? Le informazioni sono una componente
importante e strategica per un’azienda. Danni o utilizzi non previsti dell’informazione
possono avere conseguenze, anche disastrose, non solo per il singolo utente a cui sono state “rubati”, ma anche per l’intera organizzazione. Es. Laptop rubato a un dipendente di US Veterans:
conteneva 26.5 record di veterani (nome, data nascita, ssn, etc.)!!!!
L’avvento di Internet ha reso l’accesso alle informazioni molto più semplice.
![Page 16: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/16.jpg)
16
Sicurezza Informatica? (2)
• Abilità di un sistema di proteggere informazioni e risorse rispetto alle nozioni di CIAConfidentiality (Secrecy e Privacy)IntegrityAvailability
![Page 17: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/17.jpg)
17
Confidentiality (1)
• Confidentialità• Assicurare che le informazioni non siano
accessibili ad utenti non autorizzati Domanda: chi determina quali utenti siano
autorizzati? Termini usati come sinonimi: segretezza e privatezza
• Privatezza (privacy): quando l’informazione fa riferimento a individui Assicurare che gli utenti possano controllare quali informazioni
su di loro vengano raccolte, come vengano usate, chi le usi, chi le mantenga e per quale scopo vengano usate.
![Page 18: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/18.jpg)
18
Confidentiality (2)
• Privacy = diritto di segretezza La password di laboratorio è confidenziale,
non privata
• La democrazia si basa sulla privacy Il voto è privato
• Nota: in Europa i dati personali sono privati, in USA no! La Doxa non può vendere i vostri dati
![Page 19: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/19.jpg)
19
Integrity
• Integrità • Assicurare che le informazioni non siano
alterabili da utenti non autorizzati (in maniera invisibile agli utenti autorizzati)
Integrità di un video Integrità di un database Integrità di una cache
Nota1: Non importa l’origine dei dati (autenticazione)
Nota2: Mancanza di integrità spesso sinonimo di falsificazione
![Page 20: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/20.jpg)
20
Availability
• Disponibilità• Assicurare che le informazioni siano
disponibili agli utenti autorizzati
• Assicurare che un sistema sia operativo e funzionale in ogni momento (non denial-of-service, DoS)
![Page 21: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/21.jpg)
21
CIA - Conflitti?
Information Security
Availability
Confidentiality Integrity
• Le 3 proprietà a volte sono in conflitto
• Esempio: confidentiality vs availability Se non permetto a
nessuno di leggere un’info, garantisco la prima, ma non la seconda.
Un sistema centralizzato va bene per la prima, ma, rallentando il tempo di risposta, non per la seconda.
![Page 22: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/22.jpg)
22
Sicurezza Informatica - Esempio (1)
• Si consideri il database contenente le informazioni sugli stipendi degli impiegati di una certa azienda, si deve assicurare che: i salari degli impiegati non vengano
svelati a un utente arbitrario del database; i salari vengano modificati solo dalle
persone autorizzate a questo compito (segretaria amministrativa);
le buste paga vengano stampate alla fine di ogni mese.
![Page 23: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/23.jpg)
23
• In ambito militare è importante che: il target di un missile non venga
comunicato ad un utente non autorizzato;
il target non venga arbitrariamente modificato;
il missile venga lanciato nel momento in cui si inizia a fare fuoco
Sicurezza Informatica - Esempio (2)
![Page 24: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/24.jpg)
24
Sicurezza Informatica? (3)
• Autenticazione (authentication)Assicurare che i soggetti siano effettivamente chi
affermano di essere
• Non ripudio (non repudiation)Assicurare che il mittente di un messaggio non
possa negare il fatto di aver spedito il messaggio e il destinatario non possa negare di averlo ricevuto
• Anonymity (Anonimato)Difficile da garantire nel mondo digitale
Indirizzo Ethernet unicoMS Office inserisce il nome dell’autore IP trace-back
![Page 25: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/25.jpg)
25
Confidentiality vs Privacy vs Anonymity
• Privatezza: Diritto dell’individuo di rilasciare (o meno)
le informazioni che lo riguardano. Diritto alla segretezza.
• Anonimato: Diritto dell’individuo di rilasciare (o meno)
la propria identità. Anonimato commerciale e sanitario Pseudo-anonimato: uso di nome falso E’ davvero un diritto?
![Page 26: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/26.jpg)
26
Sicurezza Informatica - Tassonomia
Confidentiality (segretezza)
Privatezza Anonimato
Autenticazione
Integrity
Non ripudiabilità
Livelli di segretezzaControllo
Equilibrio privatezza-legge
Availability
Sicurezza Informatica
………….
![Page 27: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/27.jpg)
27
Equilibrio privatezza/legge
• Il singolo richiede privacy, la legge richiede l’opposto Chi possiede capitali in Svizzera? In UK le banche hanno “coperto” propri
clienti
• La soluzione serve prima di tutto sul piano etico/legale
![Page 28: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/28.jpg)
28
Livelli di segretezza
• Che livello di segretezza? Top secret Secret Riservato Non classificato
![Page 29: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/29.jpg)
29
Controllo
• Controllo: Verificare che il sistema funzioni come
previsto. Mondo digitale: facile non lasciare tracce Alterare un file cambiando un bit
• Controllo dell’accesso: Garantire che gli utenti abbiano accesso
a tutte e sole le risorse o i servizi per i quali sono autorizzati.
![Page 30: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/30.jpg)
30
Sicurezza Informatica? (4)
• A volte anche le seguenti proprietà vengono considerate come parte integrante della sicurezza:
• Safety: una serie di accorgimenti atti ad eliminare la
produzione di danni irreparabili all'interno del sistema;
• Reliability (affidabilità): prevenzione da eventi che possono produrre
danni di qualsiasi gravità al sistema.
![Page 31: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/31.jpg)
La sicurezza informatica non è …
![Page 32: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/32.jpg)
32
… non è crittografia
• Crittografia scienza esatta come branca della matematica Impossibile violare RSA in tempo
polinomiale
• Sicurezza scienza inesatta perché basata su persone e macchine Acquisto on-line insicuro
![Page 33: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/33.jpg)
33
… non è password
• Sistema molto debole!• La password più diffusa è amore
Attacchi dizionario Attacchi forza bruta Ottenere l’accesso al file delle password
• Problemi: Come scegliere una buona password? Come ricordare una buona password? Usare una password per sempre?
![Page 34: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/34.jpg)
34
… non è firewall
![Page 35: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/35.jpg)
35
Sicurezza [Schneier00]
• “La sicurezza non è un prodotto, ma un processo” Concetto mai assoluto – qual è il contesto? Sicurezza da che cosa? Che livello di sicurezza si vuole garantire?
• “La sicurezza è una catena e la sua resistenza è determinata dall’anello più debole”
![Page 36: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/36.jpg)
36
Teoria:• Condizioni ideali –
prevedibili• Ipotesi ben precise• Risultati ben precisi
Pratica:• Condizioni reali –
imprevedibili• Ipotesi meno precise• Risultati meno
precisi
Esempi: protocolli di sicurezza, crittografia perfetta, …
Il dilemma della Sicurezza Teoria versus Pratica
![Page 37: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/37.jpg)
37
Problemi di sicurezza
• Causati da: Complessità
Che sistema operativo! Interattività
2 sistemi diventano 1 grande Proprietà emergenti
L’avvento di X comporta Y Predisposizione ai bug
Alcuni linguaggi di programmazione sono più difficili di altri
![Page 38: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/38.jpg)
Come proteggersi ?
![Page 39: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/39.jpg)
39
Planning security (1)
1. Prevenzione Crittografia Controllo (antivirus, badge, backup, …)
2. Rilevamento Logging Intrusion detection
3. Reazione Intrusion management System recovery Tribunale
![Page 40: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/40.jpg)
40
Planning security (2)
• Pianificazione della rete con hardware adeguato (router, switch ecc.) insieme alla divisione della rete in aree a livello di sicurezza variabile.
• Controllo dell’integrità delle applicazioni (bugs free) e verifica della correttezza delle configurazioni.
• Utilizzo di software che controllino e limitino il traffico di rete dall’esterno verso l’interno e viceversa (es. firewall, router screening ecc.)
• Utilizzo di applicazioni che integrino algoritmi di crittografia in grado di codificare i dati prima della loro trasmissione in rete (es. PGP, SSH, SSL ecc.)
![Page 41: Elementi di Sicurezza e Privatezza Lezione 1 Chiara Braghin.](https://reader033.fdocument.pub/reader033/viewer/2022061604/5542eb57497959361e8c1c7f/html5/thumbnails/41.jpg)
41
Sicurezza: stato dell’arte
• La sicurezza: Richiederebbe spesso il ridisegno di un sistema
preesistente, il che non è sempre possibile. E’ una proprietà di vari livelli architetturali [SO,
rete, ...]. Non è un semplice predicato booleano! E’ costosa nel senso di risorse computazionali,
gestione, mentalità, utilizzo. Rimane un campo aperto anche per i colossi
dell’informatica