internet nell'utilizzo disicurezza - unibo.it · 2008-12-02 · sicurezza nell'utilizzo...
TRANSCRIPT
![Page 1: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/1.jpg)
1
Sicurezzanell'utilizzo diInternet
![Page 2: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/2.jpg)
2
Sicurezza – Definizioni� Pirati informatici (hacker, cracker):
persone che entrano in un sistemainformatico senza l’autorizzazioneper farlo
� Sicurezza:protezione applicata ad un sistemainformatico per garantire ilsoddisfacimento degli obbiettivi dipreservazione dell’integrità,disponibilità e confidenzialità dellerisorse del sistema
![Page 3: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/3.jpg)
3
Sicurezza – Struttura del web� Elementi da prendere in
considerazione nell’analisi della sicurezza (punti deboli)
![Page 4: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/4.jpg)
4
Sicurezza - Pericoli� Cavallo di Troia: programma o
documento che contiene softwaredannoso nascosto da una normaleapplicazione (es. virus in file oemail)
� Hacking: spezzare i meccanismi diautenticazione della password(“intuizione”, furto, generazioneautomatica di password)
![Page 5: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/5.jpg)
5
Sicurezza - Pericoli� Sniffing: “fiutare” le password
attraverso software in grado dimonitorare il flusso di pacchetti di datiche attraversano la rete
� Spoofing: possibilita’ di modificare inmaniera fraudolenta il contenuto deipacchetti in circolazione(es. falsificando l’indirizzo IP diprovenienza e assumendoindebitamente l’identita’ altrui)
![Page 6: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/6.jpg)
6
Sicurezza – Cosa fare� Limitare gli accessi e usare
meccanismi di autenticazione eautorizzazione
� Monitorare i registri e i log chetracciano i tentativi di accesso(tcwrapper in unix)
� Disabilitare i servizi del sistemaoperativo che non sono necessari
� Separare i servizi (es. Web, email)� Tenersi informati: newsgroup e
pareri del Computer EmergencyResponse Group (CERT)
![Page 7: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/7.jpg)
7
Sicurezza – Cosa fare
� Principio del privilegio minimo:al server Web deve essereassegnata la quantità minima diprivilegi di cui ha bisogno
� Limitare l’accesso alle aree CGI,directory in cui sono memorizzatiscript e programmi eseguibili
![Page 8: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/8.jpg)
8
Sicurezza – i Firewall� Funzioni o apparecchiature che
servono a proteggere un dominio ouna rete privata
![Page 9: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/9.jpg)
9
Crittografia
� La Crittografia si occupa dellacifratura e della decifratura deimessaggi
� Crittografia moderna: algoritmi achiave simmetrica e asimmetrica
![Page 10: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/10.jpg)
10
Crittografia – algoritmi achiave simmetrica (DES)� Messaggio criptato con chiave
segreta (nota solo al mittente e aldestinatario)
![Page 11: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/11.jpg)
11
Crittografia – Sistemi achiave asimmetrica(chiave pubblica)� Ad ogni persona sono assegnate
due chiavi (pubblica e privata)legate tra loro ma non riconducibilil’una a l’altra.
� Sono necessarie autorità diriferimento per la detenzione dellechiavi pubbliche che siano affidabili(garantiscono l’autenticità).
![Page 12: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/12.jpg)
12
Crittografia – Sistemi achiave asimmetrica (RSA)
� Algoritmo Rivest, Shamir, Adleman 1977� scelgo p,q numeri primi grandi (~10200)� n = pq, m = (p-1)(q-1)� scelgo e < m, e primo rispetto a m� calcolo d tale che: de = 1 mod m
(inverso di e mod m, es. alg. di Euclide)� => chiave pubblica e’: (e,n)� => chiave privata e’ : (d,n)
� cifratura: C = Me mod n� decifratura: M = Cd mod n
� decrittazione: trovare d noti n,e,C(occorre fattorizzare n in pq !!)
![Page 13: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/13.jpg)
13
Crittografia – Sistemi achiave asimmetrica (RSA)
� Autenticazione del mittente
![Page 14: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/14.jpg)
14
Crittografia – Sistemi achiave asimmetrica (RSA)
� Riservatezza e identità del destinatario
![Page 15: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/15.jpg)
15
Crittografia – Sistemi achiave asimmetrica (RSA)
� Certezza del mittente, del destinatario eriservatezza del messaggio
![Page 16: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/16.jpg)
16
Sistemi a chiaveAsimmetrica
� Vantaggi� non richiede scambio di
informazione segretain rete (la chiave)
� con N soggetti, richiede 2Nchiavi anziche’ N(N-1)/2
� garantisce l’autenticita’
� Svantaggi� usa chiavi molto lunghe
e processo criptazionecomputazionalmenteoneroso
� non cifra alcunestrutture del messaggioche possono esserericonosciute epermettere di risalire almessaggio in chiaro
![Page 17: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/17.jpg)
17
Uso sinergicodei due sistemi (PGP)� Il Messaggio vero e proprio viene
codificato con un cifrariosimmetrico (+ veloce e sicuro)
� La crittografia a chiave pubblicaviene utilizzata per lo scambiodella chiave simmetrica:la chiave simmetrica viene codificata con lachiave pubblica del destinatario e allegata almessaggio (busta elettronica)
![Page 18: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/18.jpg)
18
SSL (protocollo https)
� Privatezza del collegamento: i datisono crittografati con crittografiasimmetrica (RSA)
� Autenticazione: identità autenticataattraverso la crittografiaasimmetrica (certificato digitale)
� Affidabilità: il livello di trasportoinclude un check dell’integrità delmessaggio (con firma digitale)
![Page 19: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/19.jpg)
19
Firma Digitale
� Il Documento con firma elettronica� e’ stato realmente prodotto dal
proprietario della firma� non puo’ essere stato modificato
dopo la firma� non puo’ essere disconosciuto da
chi ha firmato� (proprieta’ verificabili da chiunque
riceva il documento firmato)
![Page 20: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/20.jpg)
20
Firma Digitale
� La sottoscrizione con firma digitaleha valore legale (D.P.R. 512/97 n.513 e Regolamento attuativo)� ha funzione indicativa
(identifica l’autore)
� ha funzione dichiarativa(denota approvazione del contenuto deldocumento da parte del firmatario)
� ha funzione probatoria(l’autore si assume la paternita’ dei contenuti)
![Page 21: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/21.jpg)
21
Firma Digitale� Schema di funzionamento
![Page 22: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/22.jpg)
22
Commercio Elettronico(e-commerce)� Un qualunque tipo di operazione
commerciale (vendita/acquistobeni e servizi) in cui gli attoriinteragiscono per via elettronicapiuttosto che con scambi fisici econtatti diretti
� Tipologie:� B2B - Business to Business (93%)� B2C - Business to Consumer (7%)
![Page 23: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/23.jpg)
23
Commercio Elettronico
� Transazione Commerciale:inoltro dell’ordine dall’acquirenteal negozio virtuale (Internet)
� Transazione Finanziaria:inoltro istruzioni di pagamentoda parte dell’acquirente� off-line (es. via telefono o fax)� on-line - pagamento elettronico
![Page 24: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/24.jpg)
24
Pagamento elettronico
� Metodi “hardware”� borsellino elettronico (smart-card)
� Metodi “software”� debit-based (assegni elettronici)
Netchex, Redi-check, Netcheque, Banknet, FSTC
� credit-based (uso di carte di credito)CyberCash, FirstVirtual, STT-SEPP, TelePay, SET
� token-based (moneta virtuale)Millicent, Netbill, E-Cash, DigiCash
![Page 25: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/25.jpg)
25
Il Sistema SET - SecureElectronic Transaction� Nato da accordo Visa-Mastercard� Non prevede connessione sicura
(non opera a livello di pacchettocome SSL) ma gestisce latransazione di pagamento a livellodi applicazione
� Basato su crittografia (RSA + DES)e certificati digitali (standard X.509)
![Page 26: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/26.jpg)
26
SET - Attori� Il possessore di carta di credito
(il compratore)� Il venditore� Un’Autorita’ di Certificazione,
garante dell’identita’ delle particoinvolte (es. VeriSign)
� Un Payement Gateway(l’intermediario)
� La rete di pagamento delleistituzioni finanziarie
![Page 27: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/27.jpg)
27
SET - Fasi operative
� User Registration:l’utente si registra presso un’autorita’e ottiene un certificato
� Purchase Request:l’utente invia l’ordine di acquisto
� Payment Authorization:il venditore richiede al gateway l’autorizzazionee provvede alla consegna del bene o servizio
� Payment Capture:avviene il trasferimento della somma
![Page 28: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/28.jpg)
28
SET - User Registration (1)� Initiate Request
invio (non protetto) richiesta di registrazione all’authority
� Initiate Responsel’authority risponde includendo il proprio certificato eautenticandolo apponendo la propria firma digitale
� Registration Form Requestil richiedente fa le verifiche, memorizza il certificato ad usofuturo, e chiede il form appropriato (c/c bancario, diversecarte credito) usando la chiave pubblica dell’authority
� Registration Forml’authority fa le verifiche e invia all’utente il form richiesto(al solito con con certificato firmato)
![Page 29: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/29.jpg)
29
SET - User Registration (2)� Cardholder Certification Request
il richiedente fa le verifiche sul form, se non gia’ disponibiliil sw genera una coppia di chiavi simmetriche per l’utente;questi compila il form (es. con dati carta di credito), cheviene cifrato con una chiave simmetrica, posta in bustaelettronica sigillata con la chiave pubblica dell’authority einviata alla stessa
� Cardholder Certificatel’authority apre la busta, legge la chiave con cui decifra ilform, prende una decisione sul rilascio dell’autorizzazione;in caso positivo genera il certificato per l’utente, lo firmadigitalmente e lo invia in messaggio protetto
� Certificateil richiedente decifra il certificato, fa le verifiche del caso eregistra il suo certificato per usi futuri
![Page 30: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/30.jpg)
30
SET - Purchase Request� Initiate Request
invio (non protetto) del proprio certificato al venditore
� Initiate Responseil venditore assegna alla transazione un identificatore (ID) univoco e lopone, assieme ai certificati proprio e del payment gateway in un messaggiofirmato digitalmente che invia in modo protetto al compratore
� Purchase Requestil compratore verifica i certificati inviati, genera order information (OI) epayment instructions (PI) in cui e` inserito il TI; OI non contiene datiriservati e viene semplicemente firmato, PI viene cifrato con chiavesimmetrica e posto in busta che solo il payment gateway potra’ aprire;infine PI e OI sono inviati al venditore
� Purchase Responseil venditore verifica il certificato del compratore e l’ID in OI e invia richiestadi approvazione al gateway; avuta la risposta la invia al compratoreapponendo la propria firma (“ricevuta” della transazione per il compratore)
![Page 31: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/31.jpg)
31
SET - Payment Authorization� Authorization Request
il gateway riceve dal venditore la richiesta di autorizzazionecontenente PI cifrato con chiave simmetrica e posti in busta digitaledal compratore, le informazioni riguardanti la transazione cifrati conchiave simmetrica posti in busta digitale dal venditore e i certificati dicompratore e venditore
� Authorization Responseil gateway riceve la richiesta di autorizzazione, controlla i certificati,apre le buste digitali ricavandone le chiavi simmetriche di compratoree venditore con cui decifra PI e richiesta di autorizzazione; se leinformazioni inviate da compratore e venditore corrispondono, larichiesta di autorizzazione viene inoltrata all’istituto finanziario (es. surete interbancaria); se la transazione e’ approvata, il gateway inviaun messaggio al venditore contenente un capture token che verra’usato in seguito per l’accredito
![Page 32: Internet nell'utilizzo diSicurezza - unibo.it · 2008-12-02 · Sicurezza nell'utilizzo di Internet. 2 Sicurezza – Definizioni Pirati informatici (hacker, cracker): persone che](https://reader030.vdocuments.net/reader030/viewer/2022040611/5ed810a4cba89e334c672dd5/html5/thumbnails/32.jpg)
32
SET - Payment Capture
� Capture Requestil venditore crea un messaggio di richiesta, lo firma e lo cifra usandouna chiave simmetrica; il messaggio cifrato viene poi inserito in unabusta indirizzata al payment gateway cui viene inviato assieme alcapture token e ai certificati di compratore e venditore
� Capture Responseil payment gateway controlla i certificati, apre la busta digitale edestrae la chiave simmetrica a lui destinata con cui decifra leinformazioni e controlla la firma digitale; superati i controlli il gatewayinvia il capture token all’istituto finanziario affinche’ venga eseguito iltrasferimento di fondi; se e’ tutto OK, il gateway invia un messaggiodi conferma al venditore in busta digitale, assieme al propriocertificato.