1 / 20

Sicurezza informatica

Sicurezza informatica Comunicazioni cifrate, firma digitale, tecniche di attacco e di difesa, tutela della privacy a cura di Loris Tissìno (www.tissino.it). “Sicurezza”: alcuni aspetti. Funzionamento calcolatore / rete Difesa dati personali / aziendali Difesa della privacy (dati / azioni)

alain
Download Presentation

Sicurezza informatica

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Sicurezza informatica Comunicazioni cifrate, firma digitale,tecniche di attacco e di difesa, tutela della privacy a cura di Loris Tissìno (www.tissino.it)

  2. “Sicurezza”: alcuni aspetti • Funzionamento calcolatore / rete • Difesa dati personali / aziendali • Difesa della privacy (dati / azioni) • Verifica identità del corrispondente • Attendibilità dei contenuti • Contenuti illegali

  3. Tematiche coinvolte • Steganografia e crittologia • Protocolli di Internet • Esecuzione di applicazioni su server e client • Impostazioni del browser e dei visualizzatori di contenuto • Tecniche di intrusione • Gestione delle password • Gestione della rete: server proxy, firewall, zone demilitarizzate

  4. Steganografia • Nascondere una comunicazione all'interno di un'altra • dissimulazione (testo in immagine o suono) • scrittura convenzionale (variazioni semantiche) • scrittura invisibile (inchiostro invisibile)

  5. Crittologia • Crittografia • cifrare messaggi • decifrare messaggi • Crittanalisi • violare la segretezza dei messaggi

  6. Crittografia nella storia • Crittografia classica • segretezza dell'algoritmo di cifratura • Crittografia moderna • pubblicità dell'algoritmo, segretezza della chiave di cifratura (principio di Kerchoffs)

  7. Crittografia simmetrica Cifratura Testo “in chiaro” + chiave di cifratura + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave di cifratura + algoritmo di decifrazione = Testo “in chiaro”

  8. Crittografia simmetrica • Problemi: • Numero di chiavi necessarie (una per ogni corrispondente) • Trasmissione della chiave (canale sicuro) • Vantaggi: • Velocità • Realizzabilità con hardware dedicato (es. processori specifici)

  9. Crittografia asimmetrica Cifratura Testo “in chiaro” + chiave pubblica destinatario + algoritmo di cifratura = Testo cifrato Decifrazione Testo cifrato + chiave privata destinatario + algoritmo di decifrazione = Testo “in chiaro”

  10. Firma digitale Firma Testo “in chiaro” + chiave privata del mittente + algoritmo = Testo in chiaro con firma digitale in coda Verifica della firma Testo in chiaro con firma digitale in coda + chiave pubblica del mittente + algoritmo di verifica = Testo in chiaro verificato Nota: di solito la firma è applicata ad un “riassunto” del documento (funzione hash sicura)

  11. Crittografia ibrida Decifrazione Testo cifrato + chiave privata del destinat. + algoritmo di decifrazioneasimmetrica della chiave + algoritmo di decifrazionesimmetrica del testo cifrato = Testo “in chiaro” Cifratura Testo “in chiaro” + chiave segreta casuale + algoritmo di cifraturasimmetrica del testo + chiave pubblica dest. + algoritmo di cifraturaasimmetrica della chiave casuale generata = Testo cifrato

  12. Autorità di certificazione • Autorità che certifica la corrispondenza tra chiave pubblica e identità del possessore • Tecnicamente “firma” con la propria chiave privata la chiave pubblica del soggetto certificato • In Italia, le CA (Certification Authorities) sono approvate dall'AIPA (www.aipa.it)

  13. Tecniche crittanalitiche • Forza bruta (provare tutte le combinazioni) • Analisi statistica dei contenuti • Crittanalisi differenziale • “Man in the middle”

  14. Crittografia applicata • Alcuni esempi: • PGP (Pretty Good Privacy) • GnuPG (Gnu Privacy Guard) • SSL (Secure Socket Layer) • SSH (Secure Shell)

  15. Tecniche di attacco • Attacco alle password • Spionaggio con gli sniffer (lett., “annusatori”) • Analisi debolezze con scanner (analizzatori) • Spoofing (fingersi un calcolatore diverso) • DoS (“denial of service”, negazione del servizio)

  16. Gestione delle password • Usare password • lunghe • non predicibili • non basate su nomi, date di nascita, ecc. • Password diverse per servizi diversi • Cambiare le password frequentemente • Non scrivere le password su un foglietto attaccato al monitor (!) • Non condividere password fra più utenti

  17. Malicious code (malware) • Virus • Macrovirus • Cavalli di Troia (Trojan horses) • Worm • Sfruttamento di bachi nel software

  18. Applicazioni web lato client • Script in pagine web (javascript e simili) • Applicazioni gestite da moduli aggiuntivi • Applet Java gestite dalla Java Virtual Machine • Animazioni Flash gestite da Flash Player • ... • Software specifico per “migliorare l'accesso” a un sito (!)

  19. Protezione della rete • Firewall: calcolatore che filtra le trasmissioni tra rete interna e mondo esterno in base a regole prestabilite • Proxy server: applicazione che svolge il ruolo di intermediario nella richiesta di servizi al mondo esterno • DMZ (zona demilitarizzata): calcolatori che risultano visibili all'interno e all'esterno della rete locale

  20. Webografia • www.sikurezza.org • www.enricozimuel.net • www.aipa.it • www.interlex.it • www.alcei.it

More Related