Académique Documents
Professionnel Documents
Culture Documents
Voci
Tecniche di difesa informatica
Access token Accountability Anomaly based intrusion detection system Anonimato Antivirus Application-level gateway Architettura di reti sicure L'arte dell'inganno L'arte dell'intrusione ASLR Audit Autenticazione Backup BitLocker Drive Encryption Capability CAPTCHA Carta d'identit elettronica italiana CCleaner Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche Certificate authority Certificate revocation list Certificato digitale Checksum chroot Clickjacking Confidenzialit Contactless smartcard Data mining e sicurezza Demilitarized zone Dependability Digital Signature Algorithm Direct Anonymous Attestation 1 1 1 2 3 4 11 11 13 14 14 15 16 19 23 25 25 29 32 33 35 38 39 41 42 43 44 44 45 48 49 51 53
Disaster prevention Disaster recovery Dll injection Documento programmatico sulla sicurezza Extensible Authentication Protocol False acceptance rate FileVault Filtro bayesiano Fingerprint Firma digitale Firma elettronica Gestione della continuit operativa GnuTLS Greylisting Hardening Hash Hengzhi chip Honeypot Host-based intrusion detection system Identity management Identit digitale Integrit dei dati Internet Security Policy Intrusion Countermeasures Electronics Intrusion detection system Intrusion prevention system IS auditing ISO/IEC 27001 IT Baseline Protection Manual Jingjing e Chacha Key server Lista di controllo degli accessi Login Metodo Gutmann Metodologia Octave Microsoft Strider Modello Bell-LaPadula Modello Biba
54 54 57 58 59 61 62 63 63 64 70 73 74 75 76 77 81 82 83 85 86 88 89 91 91 95 96 97 100 101 102 103 104 107 110 111 112 114
Modello Brewer e Nash Modello Clark-Wilson MS-CHAP MS-CHAPv2 Negazione plausibile Netcraft Network intrusion detection system Network tap Next-Generation Secure Computing Base Nmap One-time password OpenID OpenSSL OSSIM Password authentication protocol Penetration Test Piano di contingenza Port knocking Privoxy Procedura GIANOS Protezione Protezione del database Protocollo AAA Protocollo Kerberos RADIUS Recovery Point Objective Recovery Time Objective Restore Risk Assessment S/KEY SANS Security descriptor Security Management Security Operation Center Sicurezza tramite segretezza Signature based intrusion detection system Single sign-on Sistema di riconoscimento biometrico
115 116 117 118 119 120 121 127 128 130 131 132 133 136 137 137 138 140 142 143 143 144 148 149 153 156 157 157 158 160 161 162 163 164 167 168 168 170
Snort Social Network Poisoning Spam Spim Stamping Authority Standard di sicurezza informatica Steganografia Strong authentication TACACS Tecniche euristiche Tiger team Time Machine (software) Token (sicurezza) Tolleranza ai guasti Tor (software di anonimato) Triple Modular Redundancy TruPrevent Technologies Trusted computing Trusted Platform Module Trusted Software Stack Vulnerability Assessment and Mitigation
174 175 178 188 189 190 193 197 198 198 199 200 202 203 205 209 210 211 224 228 229
Note
Fonti e autori delle voci Fonti, licenze e autori delle immagini 231 235
Tipi di Token
Primary token Impersonation token
Accountability
Nell'ambito della sicurezza informatica Accountability la capacit di un sistema di identificare un singolo utente, di determinarne le azioni e il comportamento all'interno del sistema stesso. Per fare ci supportato dall' audit delle tracce e dal sistema di autenticazione (login).
Descrizione
L'accountability un aspetto del controllo di accesso e si basa sulla concezione che gli individui siano responsabili delle loro azioni all'interno del sistema. Tale aspetto supportato dall'audit delle tracce degli eventi registrati all'interno del sistema e nella rete. L'audit delle tracce pu essere utilizzato per il rilevamento di intrusioni e per il rilevamento di eventi passati.
Voci correlate
Signature based intrusion detection system Intrusion detection system
Collegamenti esterni
(EN) Un modello rigoroso per la rilevazione delle anomalie [1]
Note
[1] http:/ / www. phrack. org/ show. php?p=56& a=11
Anonimato
Anonimato
L'anonimato (o anche anonima) lo stato di una persona anonima, ossia di una persona di cui l'identit non conosciuta. Questo pu accadere per diversi motivi: una persona riluttante a farsi conoscere, oppure non lo vuole per motivi di sicurezza come per le vittime di crimini e di guerra, la cui identit non pu essere individuata. Nascondere la propria identit pu essere una scelta, per legittime ragioni di privacy e, in alcune occasioni, per sicurezza personale: un esempio ne sono i criminali, i quali, solitamente, preferiscono rimanere anonimi, in particolare nelle lettere ricattatorie. Un'opera si dice anonima quando non si conoscono i suoi autori. Lo possono essere i prodotti del folclore o della tradizione, tramandati oralmente; oppure lo sono i dati riguardanti il nome di un autore andati perduti o intenzionalmente nascosti.
Anonimato e Internet
Verso la fine del XX secolo, Internet ha consentito la divulgazione e la pubblicazione di informazioni in forma parzialmente anonima. Tuttavia, la diffusione delle comunicazioni via Internet ha spinto governi e multinazionali a sviluppare metodi di sorveglianza senza precedenti: Echelon, Total Information Awareness e Carnivore sono soltanto alcuni esempi. Su Internet frequente l'uso di pseudonimi (nickname in inglese) anche per nascondere la propria identit; questo necessario ma non sufficiente a garantire il proprio anonimato. Tuttavia, secondo la legge italiana, non consentita l'assunzione di false identit: si veda la voce "Pseudonimo". Gli Anonymous remailer e gli pseudonymus remailer utilizzano sistemi di crittografia per rendere estremamente difficile individuare l'identit reale del mittente di un messaggio di posta elettronica. Protocolli di rete come Tor e Freenet permettono di leggere e pubblicare informazioni con un alto grado di anonimato.
Anonimato
Voci correlate
Tor Privoxy
Altri progetti
Wikisource contiene opere originali: http://it.wikisource.org/wiki/Autore:Anonimo Wikiquote contiene citazioni: http://it.wikiquote.org/wiki/Anonimo
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Anonymus Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/anonimato
Note
[1] [2] [3] [4] http:/ / www. interlex. it/ testi/ l41_633. htm#8 http:/ / www. interlex. it/ testi/ l41_633. htm#21 http:/ / www. interlex. it/ testi/ l41_633. htm#25 http:/ / www. interlex. it/ testi/ l41_633. htm#27
Antivirus
Un antivirus un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi (malware) come worm, trojan e dialer.
Funzionamento
Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all'interno dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus composto da un numero ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che cercare se questa sequenza presente all'interno dei file o in memoria). Uno schema viene anche detto "firma del virus". Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus in grado di riconoscere, aggiornamento effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli utenti e da gruppi specializzati nell'individuazione di nuovi virus. Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perch tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus gi conosciuti (variando una o pi istruzioni possibile ottenere lo stesso risultato con un programma leggermente differente).
Antivirus
Limiti di un antivirus
Bisogna ricordare che l'antivirus in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i nuovi virus (per nuovi si intende sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati scoperti) possono passare completamente inosservati ed agire senza che l'antivirus intervenga. Inoltre l'antivirus riesce ad intercettare il virus soltanto quando questo entrato all'interno del computer e quindi ha gi infettato un file o la memoria; a questo punto, a seconda del virus, pu "disinfettare" il file o la memoria eliminando completamente il virus o in alcuni casi costretto a mettere in "quarantena" il file contagiato ed eliminarlo per l'impossibilit di recuperare il file originario. Occorre aggiornare continuamente il proprio antivirus per evitare che malware gi riconosciuti (cio gi immessi nella lista del database online del software) non siano riconosciuti e quindi possano infettare il proprio PC. L'antivirus inoltre un grande utilizzatore delle risorse del computer e se viene avviato in background ogni volta che viene acceso il computer pu comportare un forte rallentamento soprattutto nelle fasi iniziali (perch controlla prima tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale rallentamento presente anche in tutte le fasi in cui si scrive su disco, bench ci possa risultare pi trascurabile. Per tali motivi l'antivirus accelera l'obsolescenza del proprio computer, creando la necessit di aggiornarne alcune parti o prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente. La scelta di un antivirus una cosa molto complessa, anche perch antivirus diversi possono riuscire a rintracciare e quindi a controllare i nuovi virus prima di altri. La scoperta di un nuovo virus dipende molto da quanto "infettivo": pi un virus si propaga velocemente, pi veloce e semplice risulta essere la sua identificazione e quindi l'aggiornamento delle firme; se invece il virus tende ad essere molto poco "infettivo" ed a rimanere localizzato soltanto in una certa area, pu passare molto tempo prima che venga intercettato e aggiunto alle firme. Succede pi volte che un antivirus consideri dei file o programmi come virali anche se in realt non lo siano (falso positivo). Questo dovuto al fatto che un insieme di istruzioni che compongono un virus (o una sua parte) pu essere presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati salvati non in formato testo. Il problema principale che si pu non riuscire ad eseguire questo programma od aprire il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o rovinato in modo irreparabile nel frattempo. Ci sono numerosi metodi per criptare e compattare un codice malware rendendolo cos non rintracciabile da un antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in RAM per essere eseguito e solo in questo momento l'antivirus sar in grado di rintracciarlo. Infine le compagnie che creano i software antivirus possono avere un incentivo finanziario molto forte a far s che nuovi virus vengano creati continuamente e che il panico nel pubblico generi un continuo ricorso all'aggiornamento
Antivirus dei loro software. Questa una delle accuse avanzate da varie parti ai produttori di antivirus, bench in realt non vi sia attualmente alcuna prova che convalidi tale tesi.
Tecnologia euristica
La tecnologia euristica un componente di alcuni antivirus che consente di rilevare alcuni programmi maligni non noti all'antivirus, cio non contenuti nel suo database dei malware. Questa tecnologia non sempre presente all'interno di un antivirus e non sempre garantisce buoni risultati.
Antivirus
Antivirus e programmi
I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser, questo perch questi due programmi sono l'accesso diretto a due funzionalit indispensabili in internet: la posta e la navigazione web. Un'altra tipologia di software informatico molto colpito dai virus quella composta dai file di dati ricavati con Microsoft Office. Con questa suite possibile creare all'interno dei file delle istruzioni (macro) che eseguono date funzionalit in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer sfruttano questa potenzialit per allegare delle macro che sono in realt dei virus. In generale i virus sfruttano delle vulnerabilit nei sistemi informatici, usando a volte - in modo automatico tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si occupano di raccogliere le segnalazioni di vulnerabilit o attacchi, e renderle pubblicamente disponibili; tali organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra di risposta alle emergenze informatiche).
Client di posta
Tra i client di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, forse la prima forma di diffusione di alcuni tipi di malware. Outlook Express per default memorizza tutti gli indirizzi E-Mail dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa s che se un utente si iscrive, per esempio, ad una mailing list pu alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi, uno da usare come destinatario e l'altro da far risultare come mittente. Il problema di base dovuto all'utente che apre ed esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi senza aprirla) o appena la si apriva (nella firma possibile inserire delle istruzioni, istruzioni usate per attivare il virus). La prima causa di diffusione dei virus tramite i client di posta l'esecuzione degli allegati e qui non esiste un client di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.
Antivirus
Browser
Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco di sicurezza (vulnerabilit) sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft l'utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il pi soggetto a questi tipi di attacchi, tanto che ultimamente stato consigliato da pi fonti di usare altri browser[1] soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).
Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacit di inviare e ricevere file ed inoltre spesso sono dotati di un linguaggio di scripting che stato spesso sfruttato per diffondere virus, backdoor e dialer. L'uso di questi programmi deve tenere in gran conto che l'utente che offre un file non corrisponde sempre necessariamente ad una persona reale, dal momento che molti virus si diffondono automaticamente. consigliabile rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.
Antivirus stato modificato da altri. Il pi semplice di questi l'MD5) informarsi di quali sono i prodotti che nella storia recente hanno mostrato maggiori falle e permesso un pi semplice contagio da parte degli ultimi virus e se possibile sostituirli all'interno del proprio elaboratore con programmi simili, ma che risultano pi sicuri controllare costantemente gli aggiornamenti di sicurezza per tutti i prodotti che si affacciano direttamente alla rete (sistema operativo, browser, client di posta, client irc, ...) mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza.
Antivirus
10
Note
[1] [2] [3] [4] [5] [6] Francia e Germania sconsigliano Internet Explorer (http:/ / www. zeusnews. com/ index. php3?ar=stampa& cod=11672) http:/ / www. av-comparatives. org/ http:/ / virus. gr/ portal/ en/ http:/ / av-test. org/ http:/ / www. icsalabs. com/ icsa/ icsahome. php http:/ / www. virusbtn. com/ index
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Antivirus software
Collegamenti esterni
centro di coordinazione CERT di Carnegie Mellon (http://www.cert.org/other_sources/viruses.html) eicar - Istituto Europeo per la ricerca degli Antivirus per Computer (http://www.eicar.org)
Application-level gateway
11
Application-level gateway
Un Application-level gateway o ALG una componente di sicurezza dei firewall in una rete di computer. Permette ai filtri NAT personalizzati di essere aggiunti al gateway per fornire l'indirizzo e la porta di traduzione per certi protocolli del livello applicazione come FTP, BitTorrent, SIP, RTSP, trasferimento file e applicazioni IM.
Segmentazione
La segmentazione un controllo di protezione potente nei sistemi operativi, che pu limitare i danni potenziali in una rete; essa riduce il numero di minacce e limita la quantit di danni permessa da una singola vulnerabilit. La segmentazione consiste nel segmentare le parti fondamentali di una rete, cos da evitare compromissioni o malfunzionamenti. Una struttura sicura utilizza pi segmenti. Oltre che all'utilizzo di pi segmenti vi si pu aggiungere l'utilizzo di server separati riducendo il danno potenziale dovuto alla compromissione di qualsiasi sistema secondario. L'accesso separato un modo di dividere la rete in segmenti.
Ridondanza
Un altro controllo architetturale fondamentale la ridondanza, che permette di eseguire su pi nodi una funzione. La struttura ideale deve presentare due server e utilizzare la cosiddetta modalit failover. In questa modalit i server comunicano con gli altri periodicamente determinando se sono ancora attivi o se uno dei server ha problemi, in tal caso gli altri si occupano dell'elaborazione al suo posto. Cos facendo le prestazioni vengono ridotte alla met in presenza di malfunzionamento, ma l'elaborazione continua ad essere svolta.
Crittografia
La crittografia lo strumento pi importante per un esperto di sicurezza delle reti, serve a fornire privacy, autenticit, integrit e accesso limitato ai dati. Nelle applicazioni di reti, la crittografia pu essere applicata sia tra due host (crittografia di collegamento) sia tra due applicazioni (crittografia end-to-end). Per qualsiasi forma di crittografia le chiavi devono essere consegnate al mittente e al destinatario in modo sicuro.
12
Crittografia end-to-end
Questo tipo di crittografia garantisce la sicurezza da una capo della trasmissione all'altro. Pu essere applicata da un dispositivo hardware tra l'utente e l'host o da software in esecuzione sul computer host. La crittografia precede l'elaborazione di trasmissione e instradamento dello strato e affronta potenziali difetti negli strati inferiori. Nel caso in cui uno strato inferiore dovesse fallire nel mantenimento della sicurezza e dovesse rendere noti i dati ricevuti, la riservatezza di questi non sarebbe comunque in pericolo. Quando si utilizza la crittografia end-to-end i messaggi inviati attraverso diversi host sono protetti, i dati contenuti nel messaggio sono crittografati e allo stesso modo lo anche il messaggio mentre in transito. Di conseguenza anche quando un messaggio deve passare attraverso nodi potenzialmente insicuri, esso comunque protetto dalla divulgazione durante il suo transito.
Voci correlate
Crittografia Crittografia di collegamento Host Server Sistema operativo
Collegamenti esterni
architettura di rete [1]
Note
[1] http:/ / nem01. altervista. org/ source/ Il_modello_ISO_OSI. html/
L'arte dell'inganno
13
L'arte dell'inganno
L'arte dell'inganno Titolooriginale Autore 1ed.originale Genere Sottogenere The Art of Deception Kevin Mitnick 2002 Saggio Sicurezza informatica
L'arte dell'inganno un libro sull'ingegneria sociale scritto da Kevin David Mitnick insieme a William Simon nel 2001, pubblicato nel 2002 col titolo originale The art of deception e uscito in Italia nel 2003. Tratta in modo approfondito e meticoloso dei differenti modi per ottenere informazioni e chiavi di accesso ai sistemi informativi. L'inganno in s, rappresentato dal social engineering utilizzato dai protagonisti delle storie raccolte nel libro. In pratica evidenzia la facilit con cui molte persone, nonostante siano consapevoli dei rischi e dell'importanza di password e dati sensibili, sono disposti a svelarle. Spesso le vittime arrivano a credere che rivelare una password via telefono, ad una persona sconosciuta che dice di essere un tecnico che fa manutenzione informatica, o un collega in difficolt, non solo sia innocuo ma anzi credono di aver dato una mano ad un lavoratore come loro. A differenza di ci che si potrebbe aspettare, il libro non un manuale su come ingannare un sistema informatico, ma al contrario offre molti aspetti riflessivi che spingeranno il lettore a capire il vero valore dei propri dati sensibili. Tutto questo grazie anche ad analisi complete su ogni singolo attacco, con relativi consigli su come non cadere in trappole simili. Infine osserva da vicino il fenomeno dell'ingegneria sociale, mostrando alla gente cosa pu fare una qualsiasi persona anche senza un livello elevato di conoscenze informatiche. La scelta di non trattare l'hacking solo dal punto di vista tecnologico, stata una scelta forse dettata dalla consapevolezza dell'uscita del seguito The Art of Intrusion - The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers, che invece inquadra questo aspetto pi tecnologico e meno "psicologico". In italia il libro uscito nel 2005 con il titolo L'arte dell'intrusione.
L'arte dell'intrusione
14
L'arte dell'intrusione
L'arte dell'intrusione Titolooriginale Autore 1ed.originale Genere Sottogenere The Art of Intrusion Kevin Mitnick 2005 Saggio Sicurezza informatica
L'arte dell'intrusione un libro su diversi casi di hacking scritto da Kevin David Mitnick insieme a William Simon, pubblicato nel 2005 col titolo originale The art of intrusion e uscito in Italia nel maggio del 2006. Mitnick esamina dieci casi di hacking realmente accaduti, intervistandone gli autori. Assicur a tutti loro l'anonimato assoluto, salvo quelli gi condannati dalle autorit. Per ogni caso Mitnick analizza il lato tenico e quello sociale, descrivendone anche le modalit d'attacco. Inoltre lo commenta e spiega le contromisure per difendersi da attacchi del genere, oltre a fornire gli sviluppi recenti della vicenda se necessario.
ASLR
La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) una misura di protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l'indirizzo delle funzioni di libreria e delle pi importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice malevolo su un computer costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare, provocando una serie di crash del programma vettore (infettato o apertamente malevolo). Normalmente, se durante l'esecuzione di codice si accede a una struttura dati con l'indirizzo sbagliato si ottengono dati errati, e se si chiama una funzione con l'indirizzo errato si provoca una eccezione, che porta alla terminazione del programma da parte del sistema operativo; un programma malevolo sfrutter per l'eccezione generata (legittimamente: non possibile n consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di quale tentativo fallito, raccogliendo cos sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima o poi con precisione l'indirizzo di memoria delle risorse che gli servono. Questa attivit di raccolta di informazioni genera per una serie ripetuta di crash del programma in questione, che quindi ben visibile all'utente o ai programmi antivirus.
Efficacia
Questa tecnica tanto pi efficace quanto pi l'indirizzo delle librerie, dello stack, dello heap e delle varie strutture dati di sistema variabile; in genere per possibile variare tali indirizzi solo entro un certo spazio, o perch devono essere allineate all'inizio di una pagina di memoria, o perch devono risiedere in una particolare zona della memoria. Quindi pi efficace su sistemi a 64 bit, che hanno uno spazio di indirizzamento pi vasto, e lo meno sui sistemi a 32 bit. presente in Windows Vista, Windows 7, Mac OS X 10.5 Leopard (in modo non completo), Mac OS X 10.6 Snow Leopard, Mac OS X 10.7 Lion, iOS 4.3 e in alcune distribuzioni di Linux, oltre che in OpenBSD. Tale tecnica consiste nel caricare in memoria programmi e librerie a indirizzi casuali; in questo modo l'attaccante obbligato a indovinare dove potrebbe essere la funzione che egli ha deciso di attaccare. Un attacco effettuato usando una previsione errata generalmente manda in crash l'applicazione oggetto dell'attacco stesso, trasformando cos un
ASLR attacco che mirava a eseguire codice potenzialmente maligno sulla macchina bersaglio in un semplice attacco di tipo denial-of-service . L' ASLR ovviamente molto pi efficace sulle macchine a 64 bit che hanno uno spazio degli indirizzi molto pi grande delle macchine a 32 bit. Le macchine a 32 bit rendono disponibili solo 16 bit da modificare casualmente.
15
Collegamenti esterni
(EN)PaX documentation on ASLR [1] (EN)ASLR for Windows Vista beta 2 [2] (EN)ASLR for Windows 2000/XP/2003 (WehnTrust) [3] (EN)Bypassing PaX ASLR protection [4] (EN)On the effectiveness of address space layout randomization [5] (EN)Microsoft Finds (Random) Way to Secure Vista [6] (EN)Windows Vista Randomization Gets OEM Thumbs Up [7]
Note
[1] http:/ / pax. grsecurity. net/ docs/ aslr. txt [2] http:/ / blogs. msdn. com/ michael_howard/ archive/ 2006/ 05/ 26/ 608315. aspx [3] [4] [5] [6] [7] http:/ / www. wehnus. com http:/ / www. phrack. org/ archives/ 59/ p59-0x09. txt http:/ / portal. acm. org/ citation. cfm?id=1030124& dl=ACM& coll=& CFID=15151515& CFTOKEN=6184618 http:/ / www. eweek. com/ article2/ 0,1895,1969505,00. asp http:/ / www. eweek. com/ article2/ 0,1895,2071746,00. asp
Audit
Un audit una valutazione o controllo di dati o procedure, spesso ricorrente nei bilanci aziendali (audit contabili). Il concetto di audit pu essere applicato a molte altre attivit, come per esempio in sanit: audit clinico
Gestione aziendale
Le audit sono delle attivit atte a misurare la conformit di determinati processi, strutture o procedure a determinate caratteristiche richieste e a verificarne l'applicazione. esistono principalmente tre tipi di audit: audit interno; audit esterno di seconda parte; audit esterno di terza parte; i primi, gli audit interni, sono delle verifiche effettuate direttamente dai soggetti interni all'azienda. i secondi, gli audit di seconda parte, sono delle verifiche eseguite da societ partner della societ richiedente l'audit (ad esempio un audit richiesto da un'azienda ad un suo fornitore). I terzi, gli audit di terza parte, a differenza dei secondi, che comunque sono eseguiti da soggetti esterni all'azienda, vengono invece condotti da organizzazioni specializzate in questo genere di controlli che, oltretutto, al termine di questa rilasciano un apposito certificato attestante il livello di qualit. Le tipologie di valutazione comunemente usate sono generalmente le seguenti: audit di conformit; audit di conformit ed efficacia; valutazione della qualit dell'organizzazione;
Audit
16
In sicurezza informatica
Nell'ambito della sicurezza informatica, l'audit una valutazione tecnica manuale o sistematica misurabile di un sistema o un'applicazione. La valutazione manuale prevede domande allo staff, esecuzione delle analisi di vulnerabilit, revisione e controllo degli accessi al sistema operativo, e analisi dell'accesso fisico a sistemi. Le valutazioni automatiche o CAAT, includono rapporti audit generati dal sistema o uso di software per monitorare e riportare cambiamenti a file e impostazioni del sistema. I sistemi possono includere pc, server, mainframe, rete di router, switch. Le applicazioni possono includere servizi Web e basi di dati.
Collegamenti esterni
Audit Civico [1]
Note
[1] http:/ / www. cittadinanzattiva. it/ progetti-salute/ audit-civico. html
Autenticazione
Nel campo della sicurezza informatica, si definisce autenticazione (in greco: , da 'authentes'='autore') il processo tramite il quale un sistema informatico, un computer, un software o un utente, verifica la corretta, o almeno presunta, identit di un altro computer, software o utente che vuole comunicare attraverso una connessione ed usufruire dei relativi servizi associati.
Identificazione dell'utente
Durante una connessione/comunicazione in Internet o l'accesso ad alcuni servizi messi a disposizione dal Web importante per l'utente definire in modo univoco la propria identit, essere riconosciuto e per questo ottenere l'accesso ai propri servizi. Allo stesso modo fondamentale anche conoscere l'identit di chi si trova dall'altra parte della "linea" della comunicazione ed essere certi che l'interlocutore con il quale si stanno scambiando delle informazioni sia veramente chi dice di essere e non un impostore.
Login
Il problema dell'autorizzazione spesso identificato con quello dell'autenticazione: i protocolli per la sicurezza standard, ad esempio, si basano su questo presupposto. Comunque, vi sono casi in cui questi due problemi vengono risolti con strategie differenti. Un esempio di tutti i giorni la comune procedura di autenticazione che conosciamo come login, presente ad esempio in forum, accesso a servizi di home banking e e-commerce, reti Wi-Fi, telefoni cellulari ecc... Un sistema di elaborazione, progettato per essere usato soltanto da utenti autorizzati, deve essere in grado di rilevare ed escludere i soggetti non autorizzati. L'accesso ad esso, dunque, viene garantito solo dopo aver eseguito con successo una procedura di autenticazione, di solito attraverso una username e/o una password personale.
Autenticazione
17
Limiti tecnologici
Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identit di altri computer, software e utenti. Dunque, essendo la soluzione "totalmente sicura" irraggiungibile, si pu soltanto cercare di sottoporre l'autenticando a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. Sicuramente estremamente importante che l'identit virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la persona che fruisce del servizio sia veramente chi afferma di essere, per i servizi pi critici, come quelli che prevedono transazioni finanziarie o comunicazione di dati personali. Il processo di autenticazione avviene diverse volte al giorno, senza magari accorgersene: un timbro di voce al telefono, un volto, bastano per farci riconoscere un conoscente e concedergli l'attenzione.
Chiave hardware
Un contenitore di login/password la chiave hardware. Questi un oggetto che contiene una memoria interna dove possibile memorizzare password, codici, firme digitali. La sicurezza del contenitore si basa sull'affidabilit del proprietario, in quanto logico che se quest'ultimo lascia incustodita la propria chiave, la sicurezza pu essere compromessa. Un esempio di chiave hardware sono le smart card. Alcuni esempi comuni di processi d'autenticazione coinvolti in un controllo d'accesso sono i seguenti: prelievo di denaro da uno sportello Bancomat; controllo remoto di un computer tramite Internet ad esempio tramite protocollo SSH; servizi bancari online.
Metodologie di autenticazione
I metodi tramite i quali un essere umano pu autenticarsi sono divisi in tre classi, in base a: qualcosa che (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri identificatori biometrici) qualcosa che ha (es. tesserino identificativo) qualcosa che conosce (es. password, parola chiave o numero di identificazione personale (PIN)) Spesso, al posto del singolo metodo, viene usata una combinazione di metodi, i.e. un tesserino identificativo e un PIN che ne aumenta la sicurezza. Questa prende il nome di Strong authentication o autenticazione a due fattori.
Impronte digitali
Le impronte digitali, in passato, erano Visualizzazione di una procedura di autenticazione basata su protocollo SSH da parte di considerate il pi autorevole metodo di un utente su un sistema FreeBSD) autenticazione, ma alcuni recenti casi giudiziari, nei tribunali degli Stati Uniti e di altri paesi, hanno sollevato grossi dubbi sull'affidabilit del suddetto metodo. stato teorizzato l'uso di vari altri metodi biometrici (i.e. scansione della retina), ma per quasi tutti stata dimostrata una possibile ambiguit di risultati.
Autenticazione
18
Metodi crittografici
Nel contesto dell'ICT, sono stati sviluppati dei metodi crittografici (vedi firma digitale) i quali, per ora, non sono raggirabili se (e solo se) la chiave originaria, utilizzata per cifrare l'informazione, non stata compromessa. Questi ottimi metodi sono, almeno per ora, considerati inattaccabili, ma non c', per, la certezza che essi rimangano "sicuri" per sempre. Imprevisti sviluppi matematici futuri potrebbero rendere vulnerabile l'intera generazione moderna di algoritmi di cifratura, mettendo in seria discussione tutto ci che stato autenticato in passato. In particolare, un contratto digitalmente firmato non avrebbe pi alcun valore nel caso in cui il sistema crittografico di base fosse stato 'bucato'. La scelta dei diversi metodi di autenticazione condizionata dai diversi fattori tra cui l'usabilit, l'importanza delle informazione da proteggere ed il costo del sistema. Spesso si assiste anche ad una mutua autenticazione in cui ciascuna parte in causa deve autenticarsi all'altra.
Voci correlate
Autorizzazione (informatica) Biometria Crittografia Crittografia a chiave pubblica Identit digitale Identity management Kerberos Login Password RADIUS Secure shell S/KEY Strong authentication Username
Backup
19
Backup
In informatica con il termine Backup, copia di sicurezza o copia di riserva si indica la conservazione di materiale atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro o server.
Descrizione
L'attivit di backup essere un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, ecc., ci si assicura che esista una copia dei dati. Pertanto se si dispone di un apposito software dedicato o incluso nel proprio sistema operativo, l'esecuzione del backup quasi sempre impostata in maniera automatica e svolta normalmente con una periodicit stabilita (per esempio una volta al giorno o alla settimana), e con altre particolarit avanzate se rese disponibili dal software utilizzato. La maggior parte dei sistemi operativi attuali per personal computer integra un qualche programma di backup da configurare, ma solo i server appositamente equipaggiati contengono normalmente un servizio nativo automatico. Nelle aziende il tipo di backup e la relativa periodicit sono solitamente regolati da una apposita procedura aziendale soggetta a verifica periodica e ad altre procedure che comportano un intervento manuale. Il responsabile della sicurezza tenuto ad annotare i controlli periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il backup normalmente devono essere di tipo e marca approvati nella procedura ed necessario che siano periodicamente verificati e sostituiti. Devono inoltre essere conservati in accordo con le politiche di sicurezza aziendale, per esempio, ma non solo, per questioni legate alla privacy.
Laptop bruciato
naturalmente buona norma eseguire periodiche operazioni di backup anche nei personal computer di uso privato, che di solito vengono eseguite dall'utilizzatore del computer stesso che copier i dati importanti su supporti ottici o magnetici (CD-R, CD riscrivibili, DVD-R, DVD riscrivibili, Digital Audio Tape, cartucce a nastro). Gli hard disk portatili con collegamento esterno USB e le chiavette usb (stick-usb) hanno preso il posto dei floppy disk che sono ormai in disuso per la scarsa affidabilit e la limitata capacit.[1] [2] . possibile anche eseguire il backup in modo continuo usando servizi come il backup online o i backup appliance che sono degli strumenti che permettono questo tipo di operativit attraverso gli agent, che sono dei software che si occupano di individuare, attraverso criteri, i file nuovi da archiviare e immediatamente ne eseguono la copia di sicurezza.
Backup
20
Anche il palmare e lo Smartphone sono diventati importanti strumenti per i lavoratori perch contengono dati fondamentali come la rubrica telefonica e il calendario degli appuntamenti, pertanto diventata buona norma estendere il backup anche a questi strumenti. Diversi nuovi servizi su internet permettono infine di eseguire il backup degli account e dei dati degli utenti di social network.
Copia immagine di un disco rigido; Copia selettiva di directory e singoli file; Criteri di selezione per la ricerca dei contenuti salvati e per la scelta di quelli che devono essere oggetto di backup (per data, tipo di file, autore della modifica); Compressione dei contenuti per ridurre la memoria richiesta per la copia; Sicurezza: protezione dei dati copiati attraverso password e crittografia. La progressiva discesa del costo delle memorie informatiche, in base alla legge di Moore, pone in secondo piano l'esigenza di ridurre lo spazio richiesto dai backup, comprimendo i dati; i produttori di sistemi oggi infatti si concentrano su metodi per la riduzione del numero di elementi da copiare e per la riduzione del traffico di dati necessario a trasferire i dati da preservare, in modo da aumentare la frequenza delle copie. Per le aziende una caratteristica importante del backup che questa attivit non vada a sovrapporsi con l'operativit quotidiana, caricando i sistemi informatici e rallentando i tempi di risposta agli utenti. Per questo motivo vari sistemi di backup vengono usati la notte, quando normalmente gli utenti non lavorano. Per aumentare la velocit del backup, solitamente vengono applicati uno o pi delle seguenti pratiche: Backup differenziale il backup differenziale basato su un algoritmo che confronta i dati di un file da copiare con quello gi copiato, registrando soltanto le differenze quando ce ne sono. Il backup differenziale utile, in particolare, per file di grandi dimensioni e che necessitano di un backup completo e quotidiano, come i database aziendali. Compressione la compressione ottenuta tramite algoritmi di compressione dei dati (come quelli usati dai programmi pi famosi come Winzip, WinRar, WinAce) prima che vengano registrati sul supporto di backup, oppure attraverso la deduplicazione. Deduplicazione ottenuta tramite algoritmi di deduplicazione (che significa eliminazione dei duplicati) che possono agire a livello di singolo file o di blocco, inteso come insieme di file. La deduplicazione pu essere eseguita prima, durante o dopo la copia di backup, in contemporanera o in differita rispetto alla normale operativit dei sistemi informatici. La deduplicazione utile, in particolare, per i gruppi di file o le cartelle di file che necessitano di un backup completo e quotidiano. La conservazione dei supporti di backup in posizioni fisicamente distinte e separate dai sistemi in uso strettamente necessaria, per evitare che in caso di furto, incendio, alluvione o altro evento catastrofico, le copie vadano perse insieme agli originali.
Backup Il ripristino dei dati copiati con l'operazione di backup normalmente detto restore. Le operazioni connesse con il recupero dei dati dal backup in caso di guasto o cancellazione di una certa importanza sono abitualmente soggette ad autorizzazione specifica del responsabile della sicurezza. L'amministratore di sistema o gli utenti che hanno diritti di accesso analoghi, provvedono al ripristino dei file richiesti.
21
Backup insieme di regole a procedure per assicurare che venga eseguito un backup adeguato alle necessit dell'organizzazione aziendale. Una politica di backup definisce il tipo (es. full o incrementale) di backup, la frequenza (generalmente giornaliera), e include le regole per verificare la rispondenza del processo di restore. Restore time tempo richiesto per effettuare il restore di un certo set di dati. Retention time tempo in cui un certo set di dati rimane disponibile per il restore. Il tempo di retention viene generalmente misurato in giorni. In alcuni casi viene misurata una 'retention' sulla base del numero di copie dei dati di backup, indipendentemente dal tempo a cui esse si riferiscono. Schema di rotazione del backup per effettuare un backup giornaliero vengono di solito fatti ruotare gli stessi media (es. i nastri). Lo schema di rotazione stabilisce appunto il metodo di rotazione e di ritenzione (data retention) dei dati. Vengono utilizzati diversi schemi quali: Incrementale; Nonno, padre e figlio; la torre di Hanoi, ecc. Software per il backup programmi applicativi per effettuare le attivit legate al backup dei dati (es. copie di backup e operazioni di restore). Tape library un sistema che contiene dei nastri per il backup, un lettore di barcode per identificare i nastri e un automatismo per movimentare i nastri all'interno della library. Una tape library pu contenere degli enormi ammontari di dati. Virtual Tape Library un sistema che ha le stesse funzionalit della tape library, ma che effettua il backup in modo diverso. Si utilizza una Virtual Tape Library per effettuare una copia temporanea dei dati in attesa di effettuare un backup sul nastro o in un'altra locazione.
22
Voci correlate
Nastro magnetico Restore
Note
[1] Gianni Rusconi. Il floppy va in pensione (http:/ / www. ilsole24ore. com/ art/ SoleOnLine4/ Editrice/ IlSole24Ore/ 2010/ 04/ 27/ Tecnologia e Business/ 18_B. shtml?uuid=25a12abc-51c0-11df-92be-7a8b1f1c5244& DocRulesView=Libero). Il Sole 24 Ore, 27 04 2010. URL consultato in data 27-04-2010. [2] Giacomo Dotta. Il Floppy non morto, anche se non sta troppo bene (http:/ / blog. webnews. it/ 04/ 05/ 2010/ il-floppy-non-e-morto-anche-se-non-sta-troppo-bene/ ). Webnews blog, 04 05 2010. URL consultato in data 05-05-2010.
23
Descrizione
BitLocker garantisce tre modalit operative. Le prime due modalit richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile: Modo operativo trasparente: questa modalit sfrutta le capacit dell'hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM che viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key. Modo autenticazione utente: questa modalit richiede che l'utente inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria. La terza modalit non richiede un chip TPM: Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. da notare che questa modalit richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di sistema" con una dimensione minima di 1.5GB, e un "volume di avvio" che contiene Windows Vista. Attenzione: il volume di sistema dove installato BitLocker non crittografato, quindi non deve essere usato per conservare informazioni riservate. Diversamente dalle versioni precedenti di Windows, il comando da prompt diskpart di Vista d la possibilit di creare e modificare la dimensione di un volume NTFS in modo da poter creare un volume di sistema per BitLocker. Sulle versioni client di Windows Vista, solo il volume del sistema operativo pu essere crittografato con BitLocker. L'Encrypted File System (EFS) continua ad essere la soluzione raccomandata per la crittografia dei dati in tempo reale sulle partizioni NTFS. L'EFS fortemente raccomandato in supporto a BitLocker perch la sua protezione termina quando il kernel del sistema operativo viene caricato. Questi due sistemi possono essere visti come sistemi di protezione contro diversi tipi di attacco. Al WinHEC 2006, Microsoft mostr che "Longhorn" (ora Vista) Server conteneva il supporto per BitLocker in aggiunta alla protezione del volume del sistema operativo. In ambienti dotati di dominio BitLocker supporta l'incapsulamento delle chiavi in Active Directory, cos come si interfaccia WMI per l'amministrazione remota di BitLocker. Un esempio di come usare l'interfaccia WMI lo script manage-bde.wsf (installato da Vista in %Windir%\System32), che pu essere usato per impostare e gestire BitLocker da riga di comando. Secondo Microsoft, BitLocker non contiene backdoor; non c' modo per le forze dell'ordine di scavalcare la protezione sui dati. Questa stata una delle principali preoccupazioni fra gli utenti avanzati da quando stato annunciato il supporto della crittografia in Vista. da notare che, contrariamente al nome ufficiale, "Crittografia unit BitLocker" crittografa il volume ad un livello logico. Un volume potrebbe non essere un intero drive, oppure potrebbe essere formato da pi drive. Utilizzando gli strumenti da riga di comando, BitLocker pu essere usato per crittografare anche altri volumi e non solo il volume di
BitLocker Drive Encryption avvio; questi volumi per non possono essere crittografati mediante la GUI. Si presume che nelle versioni future di Windows (come Vista Server) si potranno cifrare volumi addizionali usando la GUI. Quando viene abilitato il TPM/BitLocker viene garantita l'integrit delle procedure di avvio, in modo da prevenire eventuali attacchi esterni.
24
Critiche
Quando viene eseguito il backup di un volume crittografato con BitLocker, il backup generato non crittografato; l'utility di backup di Windows Vista informa l'utente di ci prima dell'esecuzione del backup. Se l'utente decide di continuare, il backup risultante non criptato e compromette la riservatezza dei dati dell'utente. Se l'utente decide di non eseguire il backup, un malfunzionamento hardware del drive crittografato porterebbe alla perdita permanente dei dati. Interrogativi sulla possibilit che questa tecnologia contenga delle backdoor che permetterebbero alle forze dell'ordine di accedere ai dati sono stati respinti dalla Microsoft, ma questa tecnologia supporta una "chiave di recupero" (recovery key) che potrebbe garantire l'accesso senza il controllo dell'utente qualora cadesse nelle mani sbagliate[1] .
Note
[1] (EN) BitLocker Drive Encryption and Disk Sanitation (http:/ / www. microsoft. com/ technet/ community/ columns/ sectip/ st1006. mspx) in TechNet. Microsoft.URL consultato il 22 gennaio 2008.
Voci correlate
FreeOTFE Encrypting File System TrueCrypt FileVault - Mac OS X
Capability
25
Capability
Con il termine capability si intende in informatica un meccanismo di protezione delle risorse orientato agli oggetti complementare alle ACL. I sistemi che utilizzano le capability associano a ciascun processo una lista di capability (o C-list), che descrive per l'appunto a quali oggetti (per esempio file) il processo pu accedere. Una C-list pu essere formata da dei nodi, ciascuno dei quali rappresenta i permessi su un determinato oggetto puntato.
Implementazione
Ci sono diverse metodologie per implementare le capability: In hardware: ad ogni parola in memoria viene aggiunto uno speciale tag che indica se la parola contiene una capability. Solo il sistema operativo possiede i requisiti per poter modificare questi tag. In spazio kernel: il sistema operativo ordina a ciascun processo che tenta di accedere ad un determinato oggetto di verificarne dapprima i permessi consultando una C-list. In spazio utente: le C-list sono memorizzate in spazio-utente, ma per questo motivo devono venire crittografate per impedire contraffazioni da parte degli utenti.
CAPTCHA
Con l'acronimo inglese CAPTCHA si denota nell'ambito dell'informatica un test fatto di una o pi domande e risposte per determinare se l'utente sia un umano (e non un computer o, pi precisamente, un bot). L'acronimo deriva dall'inglese "completely automated public Turing test to tell computers and humans apart" Un captcha di "6138B" ottenuto utilizzando uno (Test di Turing pubblico e completamente automatico per distinguere sfondo confuso, scritto con font diversi, di colori computer e umani). Il termine stato coniato, nella terminologia vari e non allineati inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper della Universit Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il termine inglese viene utilizzato anche nella terminologia informatica italiana. Un test CAPTCHA tipicamente utilizzato quello in cui si richiede all'utente di scrivere quali siano le lettere o numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo. Dal momento che il test viene gestito da un computer, mentre il test originale di Turing viene gestito da un umano, a volte si descrive il test CAPTCHA come un test di Turing inverso; questa per una definizione fuorviante, perch potrebbe indicare anche un test di Turing in cui entrambi i partecipanti tentano di provare che non sono umani.
Origini
I CAPTCHA sono stati sviluppati per la prima volta nel 1997 dal settore ricerca e sviluppo di AltaVista capitanato da Andrei Broder, per impedire ai bot di aggiungere URL al loro motore di ricerca. Broder e colleghi cercavano di creare immagini resistenti agli attacchi degli OCR e cos consultarono il manuale degli scanner della Brother e utilizzarono al contrario le indicazioni sulle situazioni da evitare, per ricreare una pessima situazione: caratteri storti, con font diversi, sfondi non omogenei eccetera. Broder sostenne che l'introduzione di tale tecnologia avesse ridotto lo spam di oltre il 95%.
CAPTCHA In modo indipendente dal team di AltaVista, Luis von Ahn e Manuel Blum realizzarono e diffusero nel 2000 l'idea del test CAPTCHA, intendendo con ci qualunque tipo di programma che fosse in grado di distinguere tra persone e computer. Essi inventarono vari tipi di test, compresi i primi a ricevere un'ampia diffusione grazie all'uso da parte di Yahoo!.
26
Applicazioni
I CAPTCHA sono utilizzati per impedire che i bot utilizzino determinati servizi, come i forum, la registrazione presso siti, la scrittura di commenti e in generale tutto ci che potrebbe essere usato per creare spam o per violare la sicurezza con operazioni di hacking come il brute force. Questo tipo di test stato utilizzato anche per contrastare lo spam generato da bot, obbligando il mittente di un messaggio e-mail non conosciuto dal destinatario a superare un test CAPTCHA prima di consentire la consegna del messaggio.
Caratteristiche
Per definizione i test CAPTCHA sono completamente automatici e non richiedono di norma interventi umani per la somministrazione o la manutenzione, indubbi vantaggi in termini di costi e affidabilit. Gli algoritmi utilizzati per realizzare i test vengono spesso divulgati al pubblico, anche se in molti casi sono protetti da brevetto. Tale politica di trasparenza tesa a dimostrare il fatto che la sicurezza del metodo non risiede nella conoscenza di un algoritmo segreto (che potrebbe essere ricavata con tecniche di reverse engineering o in modo fraudolento); al contrario, per 'rompere' l'algoritmo necessario risolvere un problema classificato come 'hard' nel campo dell'intelligenza artificiale. Non obbligatorio ricorrere a tecniche visive: qualunque problema di intelligenza artificiale che abbia lo stesso grado di complessit, ad esempio il riconoscimento vocale, adatto a fare da base per un test di questo tipo. Alcune implementazioni consentono all'utente di scegliere in alternativa un test basato su tecniche auditive, anche se tale approccio ha subito uno sviluppo pi lento e non detto che possieda lo stesso grado di efficacia di quello visivo. Inoltre, possibile ricorrere ad altri tipi di verifiche che richiedano un'attivit di comprensione testuale, quali la risposta a una domanda o a un quiz logico, il seguire delle specifiche istruzioni per creare una password ecc. Anche in questo caso i dati sulla resistenza di tali tecniche alle contromisure sono scarsi. Una promettente tecnica che si sta sviluppando negli ultimi anni impiega dei test basati sul riconoscimento di una faccia all'interno di un'immagine familiare. Per questo tipo di CAPTCHA si parla di RTT based on faces recognition. In letteratura allo stato attuale sono stati implementati soltanto due metodi basati su questo tipo di CAPTCHA: l'ARTiFACIAL[1] e un CAPTCHA basato sul riconoscimento facciale.[2] [3]
Accessibilit
L'uso di test CAPTCHA basati sulla lettura di testi o altre attivit legate alla percezione visiva impedisce o limita fortemente l'accesso alle risorse protette agli utenti con problemi di vista e, poich tali test sono progettati specificamente per non essere leggibili da strumenti automatici, i normali ausili tecnologici usati dagli utenti ciechi o ipovedenti non sono in grado di interpretarli; ma anche gli utenti daltonici possono non essere in grado di superare il test. L'uso dei test CAPTCHA, generalmente legato alle fasi iniziali di accesso o registrazione ai siti e talvolta ripetuto per ogni accesso, pu costituire una discriminazione nei confronti di tali utenti disabili tale per cui in alcuni ordinamenti esso costituisce una violazione delle norme di legge. Nuove generazioni di CAPTCHA, create per resistere ai pi sofisticati programmi di riconoscimento di testi, possono essere molto difficili o impossibili da risolvere per molti utenti, anche nel pieno possesso della propria capacit visiva. Il W3C ha redatto un rapporto in cui vengono evidenziati alcuni dei problemi di accessibilit legati all'uso di tali tecniche.[4]
CAPTCHA
27
Contromisure
Dopo l'uso massiccio di CAPTCHA, sono state scoperte alcune contromisure che permettono agli spammer di superare i test. Greg Mori e Jitendra Malik hanno presentato nel 2003 uno studio[5] che illustra come aggirare uno dei sistemi pi diffusi per realizzare test CAPTCHA, EZ-Gimpy; tale approccio si rivelato efficace nel 92% dei casi. Nei confronti del sistema Gimpy, pi sofisticato ma meno diffuso, l'efficacia del metodo scende al 33%. Al momento non per noto se tale algoritmo sia stato implementato al di fuori del contesto della ricerca. Sono stati creati anche alcuni programmi per cercare una soluzione ripetutamente e altri per riconoscere i caratteri scritti, utilizzando tecniche apposite e non quelle standard degli OCR. Progetti come PWNtcha[6] hanno fatto grandi passi in avanti, contribuendo alla generale migrazione verso CAPTCHA sempre pi difficili. Un altro metodo per superare un captcha sfruttare sessioni in cui il test gi stato superato, salvando i test per poi creare un archivio di soluzioni. Ma il metodo pi efficace quello di utilizzare un essere umano per risolvere il CAPTCHA: infatti possibile affidare a persone pagate il compito di risolvere i CAPTCHA. Il gi citato documento del W3C[4] afferma che un operatore pu facilmente risolvere centinaia di test CAPTCHA in un'ora. Questa possibile soluzione necessiterebbe di un investimento economico che non sempre giustificato, ma stato scoperto un metodo pi a buon mercato per ottenere gli stessi risultati: lo spammer utilizza a tal fine un sito Internet con un servizio a cui gli utenti umani chiedono l'accesso, che pu essere un forum ma anche una collezione di immagini pornografiche. Cos, quando un utente chiede di accedere, gli viene proposto un CAPTCHA ottenuto dal sito esterno che lo spammer vuole attaccare: il test viene quindi risolto dall'utente, che ottiene in cambio una remunerazione che per lo spammer ha un costo trascurabile, mentre il sistema "ricicla" la soluzione del test per superare la barriera del sito bersaglio.
reCaptcha
I test CAPTCHA hanno avuto degli utilizzi secondari non legati unicamente all'eliminazione dello spam: il pi noto riguarda il riconoscimenti di testi contenuti in libri antichi e si chiama reCaptcha. Molte biblioteche stanno provvedendo a convertire in digitale le loro collezioni di antichi testi (anche manoscritti); questa conversione viene ottenuta tramite la digitalizzazione delle pagine e la loro successiva analisi tramite un programma OCR, che analizza le immagini delle pagine ed estrae il testo in esse contenuto. I programmi OCR per interpretano con difficolt le lettere sbiadite e le pagine ingiallite dei testi antichi e quando non sono in grado di riconoscere con certezza un testo necessitano di un intervento umano, che rallenta il processo e innalza il costo della digitalizzazione. Ricercatori della Carnegie Mellon University hanno deciso di utilizzare i sistemi CAPTCHA per interpretare le parole dubbie individuate dai programmi OCR. Quando due sistemi OCR identificano in modo diverso una parola, questa viene associata a una parola nota e inviata a un utente che deve superare un test CAPTCHA per accedere a un servizio. Si presuppone che se un utente riesce ad individuare correttamente la parola nota, allora individuer con elevata probabilit anche la parola ignota. Quando tre utenti danno la stessa risposta, il sistema archivia la parola
CAPTCHA come corretta. Questo sistema ha permesso di convertire 440 milioni di parole con un'accuratezza del 99%. Ad agosto 2008, questo sistema convertiva 4 milioni di parole al giorno.[7] Il progetto in seguito diventato una startup company che nel settembre del 2009 stata acquisita da Google, il quale ha avviato una procedura di scansione di decine di milioni di libri immagazzinati in centinaia di librerie sparse per il pianeta e intende sfruttare il progetto reCaptcha per correggere gli errori derivati dalla scansione OCR dei testi.[8] ReCaptcha pu essere assimilato alla categoria dei giochi con uno scopo (GWAP).
28
Curiosit
Uno dei fenomeni di Internet nati su 4chan riguarda proprio il CAPTCHA. Esso si riferisce ad un codice in cui si leggeva "Inglip Summoned": ne scaturita la finta leggenda che un dio oscuro, tale Inglip, sia ritornato sulla terra per trascinarla nell'oscurit. Sono presenti inoltre diversi video su YouTube in cui Inglip darebbe ordini ai suoi adepti, sempre tramite degli stravaganti e spesso incomprensibili codici CAPTCHA.[9]
Voci correlate
Gioco con uno scopo
Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] http:/ / research. microsoft. com/ en-us/ um/ people/ yongrui/ ps/ mmsj04hip. pdf http:/ / www. fileguru. com/ apps/ face_recognition_captcha http:/ / ieeexplore. ieee. org/ iel5/ 10670/ 33674/ 01602255. pdf Matt May. (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests (http:/ / www. w3. org/ TR/ turingtest/ ) in W3C Working Group Note. 23 novembre 2005.URL consultato il 12 luglio 2011. Greg Mori; Jitendra Malik. (EN) Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA (http:/ / www. cs. sfu. ca/ ~mori/ research/ papers/ mori_cvpr03. pdf) (PDF 408kB).URL consultato il 12 luglio 2011. PWNtcha Caca Labs (http:/ / sam. zoy. org/ pwntcha/ ) I testi antichi hanno un futuro "Li salver un metodo antispam" (http:/ / www. repubblica. it/ 2007/ 10/ sezioni/ scienza_e_tecnologia/ libri-web/ testi-antichi/ testi-antichi. html?ref=hpspr1). Repubblica.it, 19 agosto 2008.URL consultato il 19 agosto 2008. Google acquista reCaptcha (http:/ / www. macitynet. it/ macity/ aA39806/ google_acquista_recaptcha. shtml). MaCityNet.it, 16-09-2009.URL consultato il 16-09-2009. Inglipedia (http:/ / inglipnomicon. wikia. com/ wiki/ Inglipnomicon_Wiki). 16-09-2009.URL consultato il 05-06-2011.
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Captcha
Collegamenti esterni
(EN) The Captcha Project (http://www.captcha.net) (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests: Problems and Alternatives (http://www.w3.org/ TR/turingtest/) (raccomandazione del W3C) (EN) Storia del test captcha (http://www2.parc.com/istl/projects/captcha/history.htm) (Xerox PARC) (EN) Il brevetto USA 6.195.698 (http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF& p=1&u=/netahtml/PTO/search-bool.html&r=1&f=G&l=50&co1=AND&d=PTXT&s1=6195698.PN.& OS=PN/6195698&RS=PN/6195698) (nota: il termine captcha non era ancora stato inventato all'epoca) Distinguere l'uomo dalla macchina in modo accessibile (http://diegolamonica.info/tutorials/?id=7)
29
Caratteristiche
Ai sensi del DM 19 luglio 2000 e successive modificazioni (in ultimo il DM 8/11/2007 n. 229) il Ministero dellInterno mette a disposizione delle Questure, dei Comuni, degli Uffici Consolari e dellIstituto Poligrafico e Zecca dello Stato l'infrastruttura organizzativa, informatica e di rete del C.N.S.D. e cura la realizzazione, la gestione e la manutenzione dei servizi di sicurezza e di emissione, nonch rende disponibili ai Comuni, agli Uffici Consolari e ai centri di allestimento: il software della porta applicativa di accesso al Backbone, ai fini dell'utilizzazione dei servizi del C.N.S.D. da parte degli Enti emettitori; il software di supporto all'uso in rete del documento, ai cittadini, ai Comuni e alle amministrazioni ed enti interessati; il servizio di convalida I.N.A., attraverso backbone del C.N.S.D., direttamente dall'I.N.A.; il servizio di validazione dei certificati digitali CIE, realizzato sullo standard OCSP (RFC 2560) per i sistemi che erogano servizi tramite il documento; i software di sicurezza e di emissione, finalizzati a garantire l'integrit, l'accessibilit e la riservatezza delle informazioni nelle fasi di compilazione, allestimento, stampa, rilascio, aggiornamento, rinnovo e verifica dei documenti ai Comuni e ai CAPA nonch finalizzati a garantire l'integrit e la sicurezza delle comunicazioni telematiche tra C.N.S.D., Comuni e centri di allestimento. Il Ministero dellInterno C.N.S.D. fornisce ai Comuni che acquisiscono in autonomia postazioni di emissione conformi alle specifiche tecniche pubblicate sul sito del Ministero stesso il necessario software di sicurezza ed emissione, nonch i relativi aggiornamenti.. Il software di sicurezza ed emissione, e i relativi aggiornamenti vengono assicurati dallUniversit degli Studi di Roma di Tor Vergata nellambito dellaccordo istituzionale con il Ministero dellInterno. Di materiale plastico e formato tipo "bancomat" o tesserino del codice fiscale, il supporto della carta d'identit elettronica prodotto dall'Istituto Poligrafico e Zecca dello Stato, che provvede anche alla sua inizializzazione, procedura che rende la carta equivalente a un documento in bianco. A tale procedura segue la formazione, che la fase in cui il CNSD del Ministero dellInterno e il Comune interagiscono, utilizzando il software di sicurezza ed emissione, per scrivere sulla carta e nel microprocessore i dati identificativi del titolare. Per conoscere l'identit della persona non sar necessario introdurre la carta in un lettore: le generalit e la fototessera del titolare saranno stampate sulla carta e saranno quindi leggibili chiaramente. Il supporto fisico deve essere conforme alle norme ISO/IEC 7816 (International Organization for Standardization).
30
La carta d'identit elettronica contiene i seguenti campi: 1. Comune di rilascio del documento; 2. Cognome del titolare; 3. Nome del titolare; 4. Luogo di nascita del titolare 5. Data di nascita del titolare; 6. Ora di nascita del titolare; 7. Sesso del titolare; 8. Estremi dell'atto di nascita; 9. Statura; 10. Comune di residenza; 11. Indirizzo; 12. Data di emissione; 13. Data di scadenza; 14. Cittadinanza; 15. Codice fiscale del titolare; 16. Firma del titolare; 17. Validit per l'espatrio o eventuale annotazione in caso di non validit. Sulla CIE sono inoltre presenti: Dizione della Repubblica Italiana e stemma; Numero assegnato al documento; Fotografia del titolare; Ologramma di sicurezza; Banda ottica a lettura laser microprocessore, contenente delle chiavi crittografiche che permettono al titolare della carta di identificarsi in maniera sicura presso sistemi automatici. L'utilizzo delle chiavi vincolato alla conoscenza di un codice numerico (PIN) consegnato al titolare all'atto del rilascio. L'utilizzo del microprocessore consente di evitare che le chiavi private dell'utente possano essere estratte dalla carta, rendendo pi sicuro il loro utilizzo, e in generale garantisce una migliore protezione dei dati presenti. Nel microprocessore oltre ai dati sopra indicati possono anche essere facoltativamente memorizzati i Modelli delle impronte digitali del dito indice di ogni mano.
Il microprocessore predisposto per contenere anche dati e servizi aggiuntivi, in particolare un servizio di firma digitale. Nella memoria del microprocessore per l'uso della CIE, come strumento di accesso ai servizi in rete, risiederanno presso il CNSD la lista dei certificati CIE revocati e i sistemi di convalida anagrafica dell'INA anche per l'uso della CIE, come strumento di accesso ai servizi in rete. In base al Codice dell'Amministrazione Digitale, il microprocessore della carta d'identit elettronica potr contenere, a richiesta dell'interessato, ove si tratti di dati sensibili: 1. 2. 3. 4. L'indicazione del gruppo sanguigno; Le opzioni di carattere sanitario previste dalla legge; I dati biometrici previsti dalla legge, con esclusione, in ogni caso, del DNA; Tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino, anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza; 5. Le procedure informatiche e le informazioni occorrenti per la firma elettronica. La carta d'identit elettronica e la Carta nazionale dei servizi sono gli unici strumenti di autenticazione previsti dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via transitoria sono ammesse anche altre modalit, meno sicure, come quelle basate sulla coppia nome utente e
31
Distribuzione
Nonostante la distribuzione della CIE non sia stata ancora portata a regime in tutto il territorio nazionale, numerosi comuni, di propria iniziativa e a proprie spese, si sono aggiunti agli iniziali comuni-campione che ricevettero nel 2004 le apparecchiature necessarie al suo rilascio. Al 31 dicembre 2009 risultano emesse circa 1.800.000 CIE. Successivamente al DM 229 del 8/11/2007 del Ministero dell'Interno sono inoltre stati realizzati numerosi esempi di Centri di allestimento della CIE in forma associata. Questo permette ai piccoli comuni di associarsi ad un comune pi grande cui demandare la fase di stampa della CIE, la pi onerosa in termini organizzativi ed economici. In tal modo, mantenendo l'emissione della CIE a vista presso gli sportelli comunali, i comuni pi piccoli possono semplicemente acquisire i dati del cittadino e trasmetterli in via telematica al comune pi grande dotato di centro di stampa. Una volta stampata la CIE questa viene inizializzata e consegnata al cittadino dal proprio comune.
Collegamenti esterni
CNSD - Ministero dell'interno, Direzione Centrale per i Servizi Demografici (http://www.servizidemografici. interno.it)
CCleaner
32
CCleaner
CCleaner
CCleaner 3 su Windows XP Sviluppatore Ultimaversione S.O. Genere Licenza Piriform Ltd. 3.14.1616 (21 dicembre 2011) Microsoft Windows Utility Freeware (Licenza chiusa) CCleaner.com [1]
Sito web
CCleaner un software freeware di ottimizzazione delle prestazioni, protezione della privacy e pulizia dei registri di sistema e altre tracce d'uso per varie versioni del sistema operativo Microsoft Windows. sviluppato da Piriform Ltd., ed un software molto noto e diffuso, che ha ottenuto anche vari riconoscimenti.[2] Combina uno strumento di pulizia del sistema per eliminare i file temporanei e quelli inutilizzati ad uno strumento di pulizia e riordino del registro di sistema. Il programma dispone inoltre di diverse utility tra cui: possibile disinstallare e rinominare i programmi installati nel sistema; la gestione dei programmi che vengono eseguiti all'avvio; la gestione di tutti i punti di ripristino del sistema e la distruzione sicura di contenuti sui drive; un potente strumento per risolvere problemi riscontrati con estensioni, riferimenti e collegamenti mancanti; una sezione chiamata Registro dove possono essere trovati e riparati problemi che vengono rilevati nell'integrit registro del sistema.
Il programma consente di creare un backup del registro di sistema prima di procedere all'eliminazione. Supporta tutte le versioni di Windows, dalla 2000 in poi.[3] Al 25 agosto 2010, il programma ha avuto pi di 500 milioni di download[4] ed tradotto in molte lingue, in continuo aumento.[5]
CCleaner
33
Voci correlate
Utilit (informatica)
Note
[1] http:/ / www. piriform. com/ ccleaner [2] (EN) CCleaner - Reviews (http:/ / www. piriform. com/ ccleaner/ reviews).URL consultato il 27 maggio 2011. [3] (EN) What operating systems does CCleaner support? (http:/ / www. piriform. com/ ccleaner/ faq/ installing/ what-operating-systems-does-ccleaner-support).URL consultato il 7 ottobre 2010. [4] (EN) CCleaner Download Milestone (http:/ / www. piriform. com/ blog/ 2010/ 8/ 25/ ccleaner-download-milestone) in Piriform Blog. 25 agosto 2010.URL consultato il 24 ottobre 2011. [5] (EN) Changing the language CCleaner uses (http:/ / www. piriform. com/ docs/ ccleaner/ ccleaner-settings/ changing-the-language-ccleaner-uses).URL consultato il 24 ottobre 2011.
Collegamenti esterni
(EN) Sito web di CCleaner (http://www.piriform.com/ccleaner)
Comandanti Comandante corrente V.Q.A. dott. Tommaso PALUMBO Voci di unit militari presenti su Wikipedia
Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC) l'unit specializzata interna al Servizio di polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei crimini informatici diretti ai danni delle infrastrutture critiche nazionali. Anche se di fatto gi operante dal 2005 come unit specializzata nel settore, costituita in seno al Servizio polizia postale e delle comunicazioni, il CNAIPIC stato istituito formalmente con decreto del capo della Polizia il 7 agosto del 2008, in ottemperanza al decreto del ministro dell'interno del 9 gennaio 2008. La sede stata inaugurata il 23 giugno 2009 a Roma in via Tuscolana 1548, presso il Polo Tuscolano del Dipartimento della pubblica sicurezza.
34
L'attacco di Anonymous
Nel luglio del 2011 i server centrali del CNAIPIC sono stati violati dai gruppi hacker di NKWT, Anonymous, LulzSec e Antisec. Sono stati prelevati importanti documenti e relazioni per un totale di 8Gb di dati che tuttora si trovano liberamente in internet. Queste azioni sono state rivendicate come protesta contro l'arresto di italiani presunti aderenti ai movimenti hacker, ma non si escludono motivazioni da inserirsi in un quadro pi ampio.
Voci correlate
Polizia Postale Nucleo speciale frodi telematiche Defense Information Systems Agency Sicurezza informatica Hacker Cracker Sniffing Spoofing Phishing
Collegamenti esterni
Decreto 9 gennaio 2008 del ministro dell'interno [2]
Note
[1] http:/ / poliziadistato. it/ articolo/ 18494-CNAIPIC_Centro_Nazionale_Anticrimine_Informatico_per_la_Protezione_delle_Infrastrutture_Critiche [2] http:/ / archivio. cnipa. gov. it/ HTML/ RN_ICT_cron/ si_20080109%20Decreto%20Ministero%20interno. rtf
Certificate authority
35
Certificate authority
In crittografia, una Certificate Authority o Certification Authority (CA), letteralmente Autorit Certificativa, un ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in materia. Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa pubblica all'interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare (chiave privata). Una coppia di chiavi pu essere attribuita ad un solo titolare. L'autorit dispone di un certificato con il quale sono firmati tutti i certificati emessi agli utenti, e ovviamente deve essere installata su di una macchina sicura.
Introduzione
Le Certification Authority sono caratteristiche di una infrastruttura a chiave pubblica (PKI), cos organizzata: una policy di sicurezza che fissa i principi generali; un certificate practise statement (CPS), ossia il documento in cui illustrata la procedura per lemissione, registrazione, sospensione e revoca del certificato; un sistema di certification authority (CA); un sistema di registration authority (RA), ovvero il sistema di registrazione e autenticazione degli utenti che domandano il certificato; un certificate server. Possono essere certificate persone fisiche, organizzazioni, server, applicazioni, ogni CA precisa nel proprio CPS chi sono le entit finali che essa disposta a certificare e per quali scopi di utilizzo (certificati di firma e cifratura dei messaggi di posta elettronica, certificati di autenticazione dei server di rete, ecc.).
CA root
Una infrastruttura PKI strutturata gerarchicamente da pi CA al cui vertice si trova una CA root che certifica le sub-CA. Il primo passo per costruire una infrastruttura PKI creare la CA radice dell'albero, ossia la CA root. Se la CA di root la radice dell'albero chi le firma il certifcato? La risposta molto semplice: la CA si auto firma il suo certificato. In pratica vengono create le chiavi pubblica e privata, crea la richiesta di rilascio di un certificato e la firma con la sua chiave privata. Da qui si evince la necessit della buona reputazione di una CA: in pratica non c' nessuna autorit garante dal punto di vista architetturale sopra la CA di root; necessario quindi passare a forme di garanzia giuridiche
Un esempio pratico
Al contrario della cifratura simmetrica che utilizza ununica chiave per cifrare e decifrare, la cifratura asimmetrica, o a chiave pubblica si avvale di due chiavi, una chiave pubblica e una chiave privata, una per cifrare e laltra per decifrare, legate entrambe da una funzione matematica. Le CA sono la soluzione per il problema dell'associazione fra una chiave pubblica e la persona che possiede la relativa chiave privata. Chiariamo il concetto con un esempio: Alice e Bob vogliono scambiarsi messaggi firmati e crittografati; a tale scopo entrambi creano la loro coppia di chiavi e le pubblicano su un keyserver. Quindi Alice scrive un messaggio per Bob, lo firma con la propria chiave privata e lo cripta con la chiave pubblica di Bob, quindi il messaggio viene inviato. In ricezione Bob decripta il messaggio con la propria chiave privata e verifica la firma con la chiave pubblica intestata ad Alice. Bob a questo punto sa due cose:
Certificate authority il messaggio era diretto a lui perch riuscito a decifrarlo con la propria chiave privata il messaggio stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la firma. Nel contempo Bob non ha alcuna garanzia che la chiave sia realmente di propriet di Alice. Continuando l'esempio, supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire l'inganno. Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la corrispondenza fra chiave e proprietario. Quando un utente richiede un certificato, la CA verifica la sua identit, quindi crea un Documento digitale firmato con la chiave privata della CA e pubblicato. Nell'esempio precedente supponiamo che Alice e Bob si facciano firmare le loro chiavi da una CA che entrambi ritengono attendibile. In questo caso l'attacco di Mallory non pi possibile in quanto non in grado di riprodurre la firma della CA.
36
Procedura di certificazione
Alice genera la sua coppia di chiavi. Raggiunge lufficio registrazione (Registration Authority) della CA, si identifica e fornisce la sua chiave pubblica perch sia certificata. La RA approva la richiesta di certificazione dopo opportune verifiche, dopodich chiede alla CA di generare un certificato per Alice. La CA firma il certificato generato per Alice con il proprio certificato. Alice riceve per e-mail il proprio certificato firmato dalla CA ed il certificato root della CA. Ogni volta che firmer un documento, Alice allegher il proprio certificato digitale oppure il numero seriale dello stesso. Il certificato di Alice pubblicato dalla CA sul proprio certificate server. Le CA sono delle organizzazioni molto importanti nel panorama attuale del Web; in genere tutti i siti che si occupano di e-commerce o di transazioni on-line, perlomeno all'atto dell'autenticazione dell'utente trasferiscono la comunicazione dal protocollo HTTP al protocollo HTTPS; all'atto della negoziazione il client richiede il certificato del server e quindi viene instaurata la connessione protetta. Quando un browser (ma anche un client di posta, ecc...) riceve un certificato, lo valida. Nel processo di validazione verifica che tutto l'albero delle CA collegate al certificato sia fidato. Se tutte le CA coinvolte nel rilascio del certificato in esame sono fidate, il certificato ritenuto valido altrimenti viene chiesto all'utente cosa fare, ossia se accettarlo o meno. Il problema di fidarsi o meno del certificato e quindi dell'entit che lo ha presentato viene passato all'utente. Per cui il problema della fiducia rimane a completo carico dell'utente. automatico, quindi, che i siti o le infrastrutture utilizzino certificati rilasciati da CA note per la loro affidabilit. Alcuni siti possono optare per un'autocertificazione solo per impedire che terzi attraverso analisi del protocollo ip possano leggere i dati scambiati tra il sito e l'utente.
Certificate authority
37
Vigilanza
Le Certification Authority sono sottoposte ad una rigida regolamentazione e supervisione da parte dello Stato. Il governo italiano stato il primo a livello europeo, e tra i primi a livello mondiale a darsi una regolamentazione normativa al riguardo, definendo le regole tecniche e logistiche per realizzare una infrastruttura che potesse rilasciare certificati digitali che avessero, ai sensi di legge, la stessa validit di una firma autografa. I certificati devono essere rilasciati da CA iscritte nell'Elenco Pubblico dei Certificatori [1], diffuso dal Centro Nazionale per lInformatica nella Pubblica Amministrazione (CNIPA). Tale organismo opera presso la Presidenza del Consiglio per lattuazione delle politiche del Ministro per le riforme e le innovazioni nella PA, unifica in s due organismi preesistenti, tra cui lAutorit per lInformatica nella Pubblica Amministrazione. Il CNIPA, ai sensi del Codice dell'amministrazione digitale, vigila sullattivit dei certificatori qualificati. Dal 2006 pubblica un bollettino con lobiettivo di informare sullattivit di vigilanza svolta dal Cnipa in questambito. Lattivit di vigilanza fondamentale per lintero impianto della firma digitale, in quanto garantisce il mantenimento del possesso dei requisiti tecnici, organizzativi e societari che i certificatori qualificati devono possedere, ai sensi della normativa vigente.
Il quadro normativo
La Direttiva europea 1999/93/CE [2], recepita dal Decreto Legislativo 23 gennaio 2002, n. 10 [3] prescrive che Ciascuno Stato membro provvede affinch venga istituito un sistema appropriato che consenta la supervisione dei prestatori di servizi di certificazione stabiliti nel loro territorio e rilascia al pubblico certificati qualificati. Tale organismo stato identificato dallarticolo 31 del Codice dell'amministrazione digitale [4] nel Centro Nazionale per lInformatica nella Pubblica Amministrazione. Il CNIPA deve quindi ottemperare a diverse previsioni normative derivanti dal conferimento delle funzioni di vigilanza e controllo sull'attivit dei certificatori qualificati, oltre che a quelli derivanti dallattivit di accreditamento volontario. Per chiarezza di informazione si ricorda che i certificatori qualificati sono i soggetti che intendono emettere certificati qualificati secondo la Direttiva europea 1999/93/CE, soggetti che si distinguono in certificatori accreditati e notificati. La differenza sostanziale fra le due tipologie che i primi si sottopongono ad apposita istruttoria preventiva volta a verificare il possesso in capo agli stessi dei requisiti richiesti dalle norme in materia. Recependo la Direttiva europea citata precedentemente, il CNIPA stato designato, anche a livello comunitario, a operare come lorganismo nazionale di accreditamento e di vigilanza sulle attivit svolte dai certificatori accreditati. A parte il rispetto degli obblighi normativi, la vigilanza su tali soggetti ovviamente fondamentale per lintero impianto della firma digitale nel nostro Paese. Difatti, la robustezza degli algoritmi utilizzati, la sicurezza dei dispositivi sicuri per la generazione della firma (smart card), i meccanismi crittografici utilizzati, non servirebbero a garantire nulla se il soggetto che certifica la corrispondenza fra una chiave pubblica ed i dati anagrafici del titolare della stessa, ad esempio, non agisse con seriet e competenza, garantendo quindi i richiesti livelli di affidabilit, qualit e sicurezza. Da notare che legislazione in materia non prevede alcuna forma di sanzione nel caso di inadempienza da parte dei certificatori. Le norme vigenti in altri Stati membri dellUE, consentono di intervenire con gradualit commisurata alla gravit dellinadempienza rilevata. Ad esempio vi sono sanzioni pecuniarie che vanno da poche centinaia di euro, fino a interventi limite che vedono il divieto di proseguire lattivit. In Italia, non essendo prevista alcuna gradualit di intervento, si pu solo vietare al soggetto inadempiente di proseguire lattivit di certificazione. Tale sanzione, i cui effetti difficilmente reversibili sono di una gravit estrema, non mai stata applicata in quanto non commisurata alle inadempienze fino ad oggi rilevate.
Certificate authority
38
Collegamenti esterni
Elenco delle autorit di certificazione da parte di paesi classificati [5] Centro Nazionale per l'Informatica nella Pubblica Amministrazione [6]
Note
[1] [2] [3] [4] [5] [6] http:/ / www. cnipa. gov. it/ site/ it-IT/ Attivit%c3%a0/ Certificatori_accreditati/ Elenco_certificatori_di_firma_digitale/ http:/ / eur-lex. europa. eu/ LexUriServ/ site/ it/ oj/ 2000/ l_013/ l_01320000119it00120020. pdf http:/ / www. camera. it/ parlam/ leggi/ deleghe/ testi/ 02010dl. htm http:/ / www. parlamento. it/ leggi/ deleghe/ 05082dl. htm http:/ / www. tractis. com/ countries http:/ / www. cnipa. gov. it
Certificato digitale
39
Certificato digitale
Un certificato digitale un documento elettronico che attesta, con una firma digitale, l'associazione tra una chiave pubblica e l'identit di un soggetto (una persona, una societ, un computer, etc).
Scopo
Lo scopo del certificato digitale quello di garantire che una chiave pubblica sia associata alla vera identit del soggetto che la rivendica come propria. In un sistema a crittografia asimmetrica ci pu essere molto importante: infatti, ogni Diagramma: come viene realizzato un certifcato digitale messaggio crittografato con una data chiave pubblica pu essere decrittato solo da chi possiede la relativa chiave privata; per cui, se siamo sicuri che la chiave pubblica appartiene a "Mario Rossi" allora siamo anche sicuri che solo "Mario Rossi" potr leggere i messaggi crittati con quella chiave pubblica. Inoltre vale anche il viceversa: se possiamo decriptare un messaggio con quella chiave pubblica allora siamo sicuri che quel messaggio stato criptato da "Mario Rossi" (anche se ci non implica che quel messaggio stato inviato da "Mario Rossi"). Nello schema tipico di un'infrastruttura a chiave pubblica (PKI), la firma apposta sar quella di una autorit di certificazione (CA). Nella rete di fiducia ("web of trust"), invece, la firma quella o dello stesso utente (un'auto-certificazione) oppure di altri utenti ("endorsements"). In entrambi i casi, la firma certifica che la chiave pubblica appartiene al soggetto descritto dalle informazioni presenti sul certificato ( nome, cognome, indirizzo abitazione, indirizzo IP, etc.)
Principio e utilizzo
I certificati sono utili per la crittografia a chiave pubblica quando usata su larga scala. Infatti, scambiare la chiave pubblica in modo sicuro tra gli utenti diventa impraticabile, se non impossibile, quando il numero di utenti comincia a crescere. I certificati digitali sono una soluzione per superare questa difficolt. In principio se Mario Rossi voleva inviare/ricevere un messaggio segreto, doveva solo divulgare la sua chiave pubblica. Ogni persona che la possedeva poteva inviargli e/o ricevere da lui messaggi sicuri; tuttavia qualsiasi individuo poteva divulgare una differente chiave pubblica ( di cui conosceva la relativa chiave privata) e dichiarare che era la chiave pubblica di Mario Rossi. Per ovviare a questo problema, Mario Rossi inserisce la sua chiave pubblica in un certificato firmato da una terza parte fidata ("trusted third party"): tutti quelli che riconoscono questa terza parte devono semplicemente controllarne la firma per decidere se la chiave pubblica appartiene veramente a Mario Rossi. In una PKI, la terza parte fidata sar un'autorit di certificazione. Nel web of trust, invece, la terza parte pu essere un utente qualsiasi e sar compito di chi vuole comunicare con Mario Rossi decidere se questa terza parte abbastanza fidata.
Certificato digitale
40
Contenuto di un certificato
Un certificato tipicamente include: una chiave pubblica; dei dati identificativi, che possono riferirsi ad una persona, un computer o un'organizzazione; un periodo di validit; l'URL della lista dei certificati revocati (CRL); Il tutto firmato da una terza parte fidata.
Standard di certificati
Lo standard pi comune per i certificati ITU-T X.509. X.509 stato adattato ad Internet dal gruppo di lavoro PKIX dell'IETF (IETF PKIX Working Group).
Voci correlate
Firma digitale OpenPGP Transport Layer Security
Checksum
41
Checksum
Checksum, tradotto letteralmente significa somma di controllo. una sequenza di bit che viene utilizzata per verificare l'integrit di un dato o di un messaggio che pu subire alterazioni. Il tipo pi semplice di checksum consiste nel sommare in trasmissione tutti i bit del messaggio e di memorizzare il valore risultante nel frame inviato. Per controllare l'integrit del messaggio sar sufficiente effettuare in ricezione la stessa operazione di somma e confrontarla con il checksum memorizzato nel frame. Se i due valori coincidono, i dati possono essere considerati integri. Questa semplice forma di checksum non molto accurata in quanto non permette di rilevare certe tipologie di errore come: il riordinamento dei bit del messaggio l'inserimento di bit con valore 0 la presenza di diversi errori che sommati tra loro danno 0 In questi casi, quando cio ci sono due o pi serie di bit che hanno lo stesso checksum, si parla di collisioni. Ovviamente, minore la probabilit di collisioni, migliore la qualit dell'algoritmo di controllo e quindi la sicurezza nella verifica dell'integrit. Altre comuni varianti di questo semplice checksum sono ottenute usando al posto della somma l'operazione di XOR come nel Longitudinal redundancy check (LRC) o sommando i bit a gruppi di 2 o 4 come nell'Internet checksum (RFC-1071). Queste varianti mantengono la stessa semplicit di calcolo ma manifestano anche gli stessi difetti. Con il tempo sono nati diversi metodi di controllo pi sofisticati, come il checksum di Fletcher, l'Adler-32 il Cyclic redundancy check (CRC), in cui il risultato non dipende solo dal valore dei bit, ma anche dalla loro posizione. Il prezzo della maggiore affidabilit viene pagato nelle risorse necessarie al calcolo del checksum. Questi metodi sono utili per la verifica di corruzioni accidentali (errori di trasferimento, o di memorizzazione, perdita di dati), ma non sono sicuri contro gli attacchi di malintenzionati, in quanto le loro strutture matematiche non sono particolarmente complesse da aggirare. Per questo tipo di attacchi vengono utilizzati algoritmi di hash crittografati, come l'MD5, lo SHA-1 (in cui per sono state trovate o sembra possibile trovare collisioni), o lo SHA-256, per il momento incorruttibile. I checksum vengono usati spesso su internet per poter garantire che i dati scaricati siano corretti e per garantirne l'autenticit. Per esempio nel download di software, il distributore del programma pubblica il checksum (in genere MD5 o SHA-1), che nello specifico viene chiamato digest, che viene controllato dall'utente per verificare l'integrit dei dati.
Voci correlate
Hash Bit di parit Codice di Hamming Formula di Luhn Check digit
chroot
42
chroot
chroot, contrazione di change root, un metodo usato per isolare i limiti operativi di una applicazione, ma non stato concepito come metodo di sicurezza sebbene alcuni sistemi, come freebsd, lo usano con alcune accortezze come tale. Il nome deriva dal termine informatico root che indica la directory principale del sistema operativo in cui sono contenute tutte le altre directory. Normalmente un software pu accedere a tutti i dischi e le risorse del sistema operativo, compatibilmente con i permessi; l'operazione di chroot consiste nell'eseguire il programma bloccato dentro una sottodirectory, permettendogli di accedere solo alle risorse di cui ha strettamente bisogno. La sottodirectory in questione viene anch'essa denominata chroot e deve contenere una copia (di solito un hard link) di tutti i file di sistema richiesti dal software. Nel caso di sistemi Unix necessaria anche un copia dei device file a cui il programma deve accedere. Normalmente se un cracker riesce a prendere il controllo di una applicazione, avr tutti i privilegi associati all'applicazione e potrebbe essere in grado di compromettere la sicurezza dell'intero sistema, ad esempio installando un rootkit. Al contrario se il programma compromesso si trova in un chroot dovr prima uscire dal perimetro; solo dopo potr apportare danni al sistema. Normalmente le funzioni necessarie a mettere in pratica il chroot sono implementate direttamente nel kernel del sistema operativo.
Collegamenti esterni
HowTo: Chroot con Debian e debootstrap [1]
Note
[1] http:/ / www. oscene. net/ site/ sysadmin/ virtual-sever/ howto-chroot-con-debian-e-debootstrap
Clickjacking
43
Clickjacking
Il clickjacking ("rapimento del clic") una tecnica informatica fraudolenta. Durante una normale navigazione web, l'utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realt il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilit sfrutta JavaScript o Iframe. La tecnica stata rilevata per la prima volta nel Settembre 2008 da Robert Hansen e Jeremiah Grossman.
Funzionamento
Su Javascript, il clic su un elemento di una pagina HTML viene gestito dalla funzione event handler: sufficiente programmare tale funzione con parametri differenti (ossia un clic su un elemento differente da quello realmente cliccato) ed cos possibile il reindirizzamento del clic. Altra tecnica, pi pericolosa, quella di inserire un Iframe nella pagina HTML, in maniera tale da "catturare" il clic attraverso il frame nascosto.
Voci correlate
Hijacking
Fonti
Alessandro Bottoni Clickjacking, tutti i browser vulnerabili
05-02-2008) [1]
, Punto-Informatico.it, 29-09-2008
(consultato in data
Collegamenti esterni
(EN) Robert Hansen e Jeremiah Grossman, Clickjacking [2], sectheory.com, 09-12-2008 (consultato in data 05-02-2008) (EN) Marco Balduzzi, New Insights into Clickjacking [3], Owasp Appsec Research 2010, 23-06-2010 (EN) Marcus Niemietz, UI Redressing: Attacks and Countermeasures Revisited [4], Ruhr University Bochum (Germany) Difendersi dal clickjacking [5], (link per annullare la propria involontaria iscrizione). 26-08-2010
Note
[1] [2] [3] [4] [5] http:/ / punto-informatico. it/ 2419482/ PI/ Commenti/ clickjacking-tutti-browser-vulnerabili. aspx http:/ / www. sectheory. com/ clickjacking. htm http:/ / www. slideshare. net/ embyte/ new-insights-into-clickjacking http:/ / ui-redressing. mniemietz. de/ http:/ / www. tuourl. com/ unlike. html
Confidenzialit
44
Confidenzialit
Nella sicurezza informatica per Confidenzialit si intende la protezione dei dati e delle informazioni scambiate tra un mittente e uno o pi destinatari nei confronti di terze parti. Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato: assume anzi particolare interesse il problema di assicurare la confidenzialit quando il sistema di comunicazione utilizzato intrinsecamente insicuro (come ad esempio la rete internet).
Descrizione
In un sistema che garantisce la confidenzialit, una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario, non in grado di ricavarne alcun contenuto informativo intelligibile. Per assicurarla si ricorre a meccanismi di cifratura e all'occultamento della comunicazione. I meccanismi di cifratura garantiscono la confidenzialit per il tempo necessario a decriptare il messaggio. Per questo motivo occorre stabilire per quanto tempo il messaggio deve restare confidenziale. Non esistono meccanismi di protezione sicuri in assoluto. Un altro meccanismo che serve ad aumentare la confidenzialit l'autenticazione di accesso al sistema in quanto potenzialmente in grado di scartare accessi di soggetti non autorizzati ovvero autenticati.
Voci correlate
Segreto professionale
Contactless smartcard
La contactless smartcard (CSC), o smartcard senza contatti, una smart card che fa uso di tecnologie RFID per interagire con dispositivi che su di essa sono in grado di leggere e scrivere dati.
Ambiti di applicazione
Le contactless smartcard sono molto usate nei sistemi di bigliettazione elettronica in uso in diversi ambiti del trasporto pubblico locale.
Tipologie
Tra le tipologie pi diffuse di contactless smartcard rientrano quelle che utilizzano la tecnologia Mifare o la tecnologia Calypso. In Asia molto diffusa la tecnologia FeliCa.
Contactless smartcard
45
Sicurezza
La sicurezza generalmente garantita tramite l'utilizzo di una chiave crittografica contenuta nella smart card, che deve corrispondere a quella contenuta nel validatore e fisicamente memorizzata all'interno di un Modulo SAM.
Voci correlate
Smart card Sistema di bigliettazione elettronica ISO 14443 RFID Modulo SAM
L' imbuto Ogni data mining viene progettato con cura: deve rispondere a domande specifiche -concordate volta per volta-, deve essere efficace, deve rappresentare giustamente e soddisfare la domanda fatta a monte. Per riuscire in tutto ci e districarsi in mille universi di dati, si usa una progettazione ad imbuto, via via pi selettiva. Per teorizzare lo schema,
Data mining e sicurezza ecco un esempio di prassi nell'estrazione dati: 1. 2. 3. 4. definire le fonti di partenza a seconda delle domande e degli ambienti in cui lavorare; estrarre e raccogliere un buon numero di dati anche a bassa pertinenza; fare la prima scrematura con la pulizia dei dati, con la crescita del livello di pertinenza e di coerenza; far scattare il data mining con la scelta dell'algoritmo pi efficace nella situazione, con l'individuazione degli obiettivi permanenti ed elaborare un feedback sul modello iniziale; 5. interpretare i dati estratti secondo il modello e valutare coerenza, pertinenza e affinit, valutandone l'efficacia; 6. rappresentare le estrazioni in formati fruibili da chi ha richiesto l'investigazione.
46
47
Sicurezza sicuramente
Due sono i metodi per avere un buon margine di protezione nell'affidare i propri dati sensibili alle basi di dati: la tutela tecnica e legislativa Tecnica Il controllo delle intrusioni Una serie di azioni che mette in crisi la sicurezza e l'integrit di un sistema prende il nome di intrusione: la principale contromisura la prevenzione. Utile nei casi informatici la protezione degli accessi tramite chiavi crittografate in prima linea di difesa, per poi utilizzare sistemi software e hardware in sinergia tra loro, i cosiddetti Intrusion Detection System (IDS) utilizzati per scoprire e identificare accessi non autorizzati a computer in reti aziendali. Legislativa Salvaguardare la privacy In tutte le imprese confluiscono quotidianamente fiumi di dati, divisi in Dati sensibili inerenti a persone fisiche; Dati strategici che sono importanti per la crescita economica aziendale; Dati non importanti: tutti gli altri dati non necessariamente vincolati ad un profitto o a un profiling anagrafico. Le leggi sulla privacy a livello nazionale ed europeo puntano ad un trattamento riservato dei dati, per cui le imprese che trattano dati sensibili devono proteggere le loro banche tramite la predisposizione, di un documento sul programma della sicurezza con le misure minime di sicurezza adottate e la descrizione accurata delle misure tecniche, informatiche, logistiche per prevenire i rischi a seconda delle regolamentazioni dettate dalla legge. Sono previste aspre sanzioni per i non adeguati a tale richiesta: la legge fa distinzione nel trattamento dei dati con apparecchi elettronici e trattamento senza apparecchi elettronici ma lascia poco spazio al rischio e alla diffusione indiscriminata dei dati sensibili.
Un interrogativo pressante
Il futuro sempre pieno di interrogativi e di speranze: il data mining non ne esente, dal momento che, visti i buoni risultati nella caccia alle frodi, le migliori intelligenze si stanno applicando per creare automi ed algoritmi che isolino i potenziali terroristi a seconda delle loro spese, delle loro e-mail e conversazioni telefoniche. Si tratta di un'applicazione pilota, di un test che rivela la crescente brama di sicurezza che nel post 11settembre sta flagellando tutto il mondo. Ecco la domanda sociologica pi in voga: sicurezza alta e bassa privacy o grande libert e bassa sicurezza? Certamente il controllo postmoderno sar sempre pi argomento di discussione comune, e l'aggregazione dei dati una delle materie pi spinose, in quanto la digitalizzazione del cittadino non ha ancora trovato una sua forma sufficientemente rappresentativa e sicura. Le basi di dati sono ancora territorio di conquista, mentre numerose leggi ed interventi sulla sicurezza ed integrit dei dati stanno sorgendo in difesa della nuova societ digitale che sta muovendo i suoi primi e certi passi.
Voci correlate
Data mining Sicurezza informatica Legge sulla privacy
Demilitarized zone
48
Demilitarized zone
Una DMZ (demilitarized zone) un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne sia esterne che permette, per, connessioni esclusivamente verso l'esterno: gli host attestati sulla DMZ non possono connettersi alla rete aziendale interna. Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ infatti una sorta di "strada senza uscita" o "vicolo cieco".
Diagramma di una rete che utilizza una DMZ creata utilizzando un firewall a tre connessioni (three-legged firewall).
Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrit. Una DMZ pu essere creata attraverso la definizione di policies distinte su uno o pi firewall. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"[1] , implementata sul sistema che agisce da firewall. Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI). Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente internet).
Note
[1] In generale in questi casi si applica la tipologia di NAT che coinvolge la translazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato translatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazione di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella catena POSTROUTING con regola di SNAT
Voci correlate
Firewall Sicurezza informatica
Dependability
49
Dependability
La Dependability una caratteristica dei sistemi e consiste nella loro capacit di mostrarsi "affidabili" nei confronti degli utilizzatori, tale caratteristica porta gli utilizzatori a potersi "fidare" del sistema stesso e a poterlo quindi utilizzare senza particolari preoccupazioni. La dependability una caratteristica molto importante ed da valutare durante la fase di progettazione dei sistemi. Per quanto riguarda l'informatica, alcuni casi in cui la dependability diventa una caratteristica fondamentale sono: i database contenenti dati sensibili, le applicazioni una cui bassa dependability comporterebbe bassi introiti (es. portali web che offrono servizi a pagamento), le applicazioni critiche una cui bassa dependability comporterebbe danni a cose o persone (sistemi di controllo delle centrali nucleari) ecc. La dependability comunque un attributo generico derivato dalla sintesi dei seguenti attributi di sistema: Affidabilit (Reliability): capacit del sistema di funzionare ininterrottamente senza guasti. Manutenibilit (Maintainability): tendenza del sistema a poter essere riparato; Disponibilit (Availability): capacit del sistema di continuare a funzionare correttamente anche in presenza di guasti. ( correlata con affidabilit e manutentibilit). Performanza (Performability): capacit del sistema di offrire i servizi nei tempi prefissati; Incolumit (Safety): Capacit di non arrecare danni a cose, persone ed ambiente. Sicurezza (Security) capacit del sistema di fornire confidenzialit (impedire la fuga di informazioni riservate permettendo accessi solo ad utenti autorizzati) ed integrit (accesso e modifica ai dati da parte degli utenti esclusivamente nelle modalit previste). Le minacce che possono violare la dependability di un sistema sono classificate in: Guasti Errori Disastri: minacce non intenzionali mosse a svantaggio del sistema. (es. Alluvioni, terremoti...) Attacchi: minacce intenzionali mosse a svantaggio del sistema. (es. Intrusioni informatiche, vandalismo...)
Le tecniche utilizzate per tentare di ovviare a tali minacce possono essere: Fault Prevention Fault Tolerance Fault Removal Fault Forecasting ...
Voci correlate
Fault-tolerance Ilities Metodi formali Affidabilit
Dependability E. Cescon; M. Sartor, La Failure Mode and Effect Analysis (FMEA) , Milano, Il Sole 24 ore, 2010. ISBN 9788863451306 R. Denney, Succeeding with Use Cases: Working Smart to Deliver Quality , Addison-Wesley Professional Publishing, 2005. C.E. Ebeling, An Introduction to Reliability and Maintainability Engineering , Boston, McGraw-Hill Companies, Inc., 1997. K.C. Kapur; L.R. Lamberson, Reliability in Engineering Design , New York, John Wiley & Sons, 1977. L. Leemis, Reliability: Probabilistic Models and Statistical Methods , Prentice-Hall, 1995. ISBN 0-13-720517-1 P. D. T. O'Connor, Practical Reliability Engineering , 4a ed., New York, John Wiley & Sons, 2002. J.D. Patton, Maintanability and Maintenance Management , North Carolina, Instrument Society of America, Research Triangle Park, 1998.
50
Collegamenti esterni
1. IFIP WG10.4 on Dependable Computing e Fault Tolerance (in inglese) [1] 2. A. Avizienis, J.-C. Laprie e Brian Randell: Concetti fondamentali sulla Dependability (in inglese) [2]Aprile 2001. 3. Algirdas Avizienis, Jean-Claude Laprie, Brian Randell: La Dependability e le sue minacce: una tassonomia (in inglese) [3] questo documento estende e perfeziona la versione del documento precedente ed un eccellente punto di partenza per lo studio della dependability. Consigliata la lettura di questo documento e successivamente del seguente tutorial: 4. Wilfredo Torres-Pomales: Tutorial sul Software Fault Tolerance [4] una guida molto buona, da leggere dopo aver letto il documento precedente.
Note
[1] [2] [3] [4] http:/ / www. dependability. org/ http:/ / www. cert. org/ research/ isw/ isw2000/ papers/ 56. pdf http:/ / rodin. cs. ncl. ac. uk/ Publications/ avizienis. pdf http:/ / hdl. handle. net/ 2002/ 12633
51
Descrizione dell'algoritmo
Di seguito vengono descritti i passi fondamentali per l'impiego di DSA, che fa uso di un sistema crittografico a chiave pubblica simile ad ElGamal
e divisibile per 64 (nell'ultima revisione dello standard si specifica che L deve corrispondere a 1024). Si scelga h tale che e Si generi un numero casuale tale che Calcolare La chiave pubblica y, la chiave privata x. I parametri (p, q, g) sono pubblici e possono essere condivisi da diversi utenti. Esistono algoritmi efficienti per il calcolo dell'esponenziazioni modulari e .
52
Dimostrazione
L'algoritmo corretto nel senso che il destinatario verificher sempre le firme valide. Da q primo segue che g di ordine q. Il firmatario calcola: quindi per il piccolo teorema di Fermat. Dato che e
Sicurezza
Come molti sistemi di crittografia a chiave pubblica, la sicurezza di DSA si basa sull'intrattabilit di un problema matematico, in questo caso per l'inesistenza di un algoritmo efficiente per il calcolo del logaritmo discreto. Particolare attenzione va posta al calcolo della quantit k: deve essere generata casualmente in modo che non sia possibile risalirvi, in quel caso sarebbe possibile risalire facilmente ad x (la chiave privata) a partire dalla firma.
Note
[1] [2] [3] [4] [5] (EN) FIPS 186 (http:/ / www. itl. nist. gov/ fipspubs/ fip186. htmFips) (EN)(PDF) FIPS 186-1 (http:/ / www. mozilla. org/ projects/ security/ pki/ nss/ fips1861. pdf) (EN)(PDF) FIPS 186-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips186-2/ fips186-2-change1. pdf) U.S. Patent 5,231,668 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=5,231,668) Claus P. Schnorr sostiene che un suo brevetto antecedente ( U.S. Patent 4,995,082 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=4,995,082)) include DSA, questa affermazione oggetto di disputa. e , ma con la terza revisione dello standard (FIPS 186-3), chiamato comunemente
[6] In origine
DSA2 si potr fare uso delle funzioni di hash SHA-224/256/384/512, con q di dimensione 224, 256, 384, e 512 bit, e L pari a 2048, 3072, 7680, and 15360 rispettivamente.
Voci correlate
Firma digitale Crittografia asimmetrica RSA
Collegamenti esterni
(EN) FIPS-186 (http://www.itl.nist.gov/fipspubs/fip186.htm), le specifiche originali di DSA. (EN) FIPS-186, change notice No.1 (http://www.itl.nist.gov/fipspubs/186chg-1.htm), il primo aggiornamento alle specifiche. (EN) FIPS-186-1 (http://www.mozilla.org/projects/security/pki/nss/fips1861.pdf), prima revisione dello standard. (EN) FIPS-186-2 (http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf), seconda revisione dello standard.
53
Funzionamento
Il protocollo DAA prevede che, per un'autenticazione corretta, siano necessari tre dispositivi e due differenti fasi. I dispositivi sono un elaboratore dotato di Trusted Platform Module, l'abilitatore DAA e il verificatore DAA. L'abilitatore, nella prima fase, deve verificare che l'elaboratore dotato di TPM non sia stato compromesso; completato questo compito, fornisce le credenziali DAA a tale elaboratore, che user tali credenziali durante la fase di firma. Usando una prova zero-knowledge il verificatore pu controllare la bont delle credenziali senza dover venire a conoscenza dell'identit del possessore delle credenziali. Il DAA fornisce inoltre delle funzionalit di revoca dell'anonimato: precedentemente alla fase di firma, si pu scegliere una terza parte che successivamente, in caso di compromissione del TPM ,sar in grado di identificare il TPM.[2] Anche se si sceglie di non usufruire della possibilit di revoca dell'anomimato, usando il protocollo DAA si comunque in grado di identificare i TPM compromessi o inaffidabili e conseguentemente di rifiutare le loro richieste di credenziali.[3]
Voci correlate
Trusted Computing Trusted Platform Module
Note
[1] (EN) TPM Specification (https:/ / www. trustedcomputinggroup. org/ specs/ TPM) [2] (EN) Trusted Computing Group Software Stack Specification (TSS) 1.2 FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ ) [3] (EN) Direct Anonymous Attestation (DAA): Ensuring privacy with corrupt administrators (ftp:/ / ftp. cs. bham. ac. uk/ pub/ authors/ M. D. Ryan/ 07-esas. pdf)
Collegamenti esterni
(EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation. In Proceedings of 11th ACM Conference on Computer and Communications Security, ACM Press, 2004. ( PDF (http://www.zurich.ibm. com/~jca/papers/brcach04.pdf)) (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation . ( (http://eprint.iacr.org/2004/205. pdf)) (EN) Interdomain User Authentication and Privacy (http://www.ma.rhul.ac.uk/techreports/2005/ RHUL-MA-2005-13.pdf) by Andreas Pashalidis - section 6 provides a useful introduction to DAA
Direct Anonymous Attestation (EN) IBM idemix (identity mixer) (http://www.zurich.ibm.com/security/idemix/) an 'anonymous credential system' under development by IBM (EN) Heiko Stamer - Implementing Direct Anonymous Attestation for the TPM Emulator Project (http://www. theory.informatik.uni-kassel.de/~stamer/KryptoTag_Bochum.pdf)
54
Disaster prevention
Per disaster prevention si intende linsieme di misure atte a prevenire un disastro informatico che potrebbe compromettere lerogazione di servizi business o ingenti perdite di dati, con il conseguente rischio del fallimento dellimpresa. Le aziende e le organizzazioni convogliano le proprie risorse IT in costosissimi piani di ripristino (disaster recovery) sottovalutando la strategica importanza di una corretta prevenzione. Unefficace prevenzione e l'adozione di procedure operative adeguate infatti consentirebbe un risparmio sia in termini economici che di risorse umane. Secondo un autorevole studio pubblicato sulla rivista Computer World, il 36% di disastri avviene a causa di errori hardware e/o software, il 26% per cali di tensione o interruzioni di corrente e il 23% per cause naturali. Un efficace disaster prevention infatti prevede: 1. 2. 3. 4. 5. Monitoraggio di temperatura, fumi ed allagamento all'interno delle sale CED Monitoraggio dei parametri di prevenzione hardware failure per ogni server Monitoraggio dei paramaetri di prevenzione software failure per ogni server Monitoraggio dell'assorbimento elettrico di ogni singolo server e degli UPS Procedura di spegnimento corretto, sicuro e graduale degli apparati (shutdown sequenziale)
Disaster recovery
Per Disaster Recovery (brevemente DR) si intende l'insieme di misure tecnologiche e organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business a fronte di gravi emergenze. Si stima che la maggior parte delle grandi imprese spendano fra il 2% ed il 4% del proprio budget IT nella pianificazione della gestione dei disaster recovery, allo scopo di evitare perdite maggiori nel caso che l'attivit non possa continuare a seguito della perdita di dati ed infrastrutture IT. Delle imprese che hanno subito disastri con pesanti perdite di dati, circa il 43% non ha pi ripreso l'attivit, il 51% ha chiuso entro due anni e solo il 6% riuscita a sopravvivere nel lungo termine. I disastri informatici con ingenti perdite di dati nella maggioranza dei casi provocano quindi il fallimento dell'impresa o dell'organizzazione, ragion per cui investire in opportune strategie di recupero diventa una scelta quasi obbligata.
Descrizione
Il Disaster Recovery Plan (DRP) (in italiano, Piano di disaster recovery) il documento che esplicita tali misure. Esso fa parte del pi ampio Business Continuity Plan (BCP). Affinch una organizzazione possa rispondere in maniera efficiente ad una situazione di emergenza, devono essere analizzati: I possibili livelli di disastro La criticit dei sistemi/applicazioni. Per una corretta applicazione del piano, i sistemi devono essere classificati secondo le seguenti definizioni: Critici
Disaster recovery Le relative funzioni non possono essere eseguite senza essere sostituite da strumenti (mezzi) di caratteristiche identiche. Le applicazioni critiche non possono essere sostituite con metodi manuali. La tolleranza in caso di interruzione molto bassa, di conseguenza il costo di una interruzione molto alto. Vitali Le relative funzioni possono essere svolte manualmente, ma solo per un breve periodo di tempo. Vi una maggiore tolleranza all'interruzione rispetto a quella prevista per i sistemi critici, conseguentemente il costo di una interruzione inferiore, anche perch queste funzioni possono essere riattivate entro un breve intervallo di tempo (generalmente entro cinque giorni). Delicati Queste funzioni possono essere svolte manualmente, a costi tollerabili, per un lungo periodo di tempo. Bench queste funzioni possano essere eseguite manualmente, il loro svolgimento risulta comunque difficoltoso e richiede l'impiego di un numero di persone superiore a quello normalmente previsto in condizioni normali. Non-critici Le relative funzioni possono rimanere interrotte per un lungo periodo di tempo, con un modesto, o nullo, costo per l'azienda, e si richiede un limitato (o nullo) sforzo di ripartenza quando il sistema viene ripristinato. Le procedure applicative, il software di sistema ed i file che sono stati classificati e documentati come critici, devono essere ripristinati prioritariamente. Applicazioni, software e file classificati come critici hanno una tolleranza molto bassa alle interruzioni. La criticit di applicazioni, software di sistema e dati, deve essere valutata in funzione del periodo dell'anno in cui il disastro pu accadere. Un piano d'emergenza deve prevedere il ripristino di tutte le funzioni aziendali e non solo il servizio ICT centrale. Per la definizione del DRP devono essere valutate le strategie di ripristino pi opportune su: siti alternativi, metodi di back up, sostituzione degli equipaggiamenti e ruoli e responsabilit dei team. La prolungata indisponibilit del servizio elaborativo derivante in particolare situazione di disastro, e quindi dei servizi primari, rende necessario l'utilizzo di una strategia di ripristino in sito alternativo.
55
Disaster recovery
56
Replica sincrona
La replica sincrona garantisce la specularit dei dati presenti sui due siti poich considera ultimata una transazione solo se i dati sono stati scritti sia sulla postazione locale che su quella remota. In caso di evento disastroso sulla sede principale, le operazioni sul sito di Disaster Recovery possono essere riavviate molto rapidamente (basso RTO e RPO praticamente nullo). La replica sincrona limitata dalla incapacit dell'applicazione di gestire l'impatto del ritardo di propagazione (vincolo fisico quindi, e non tecnologico) sulle prestazioni. In funzione della sensibilit dell'applicazione e della tecnologia di comunicazione tra i due siti, l'efficacia della copia sincrona inizia a diminuire a una distanza variabile tra i 35 km e i 100 km.
Replica asincrona
Per far fronte al limite di distanza tra i due siti imposto da tecniche sincrone, si ricorre spesso alla tecnica di copia asincrona. In questo caso il sito che si occuper della replica pu trovarsi anche a distanze notevoli (> 100 km). In questo modo possibile affrontare anche disastri con ripercussioni su larga scala (come ad esempio forti scosse sismiche) che altrimenti potrebbero coinvolgere entrambi i siti (se questi si trovano nelle vicinanze). Un ulteriore vantaggio della copia asincrona la possibilit di essere implementata via software non dovendo necessariamente ricorrere a sofisticate e costose tecnologie di storage.
Tecnica mista
Per garantire la disponibilit dei servizi anche in caso di disastro esteso e al tempo stesso ridurre al minimo la perdita di dati vitali si pu ricorrere ad una soluzione di tipo misto: effettuare una copia sincrona su un sito intermedio relativamente vicino al primario (distanza< 100 km) e una copia asincrona su un sito a grande distanza.
Voci correlate
Backup Storage Area Network Sicurezza informatica Business continuity Disaster prevention
Dll injection
57
Dll injection
La dll injection, utillizzata da diversi malware, fa parte di un gruppo di tecniche pi ampio chiamato code injection (iniezione di codice).
Difesa
La miglior difesa consiste nell'installare un HIPS che intercetti le dll injection.
58
5. la descrizione dei criteri e delle modalit per il ripristino della disponibilit dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali pi rilevanti in rapporto alle relative attivit, delle responsabilit che ne derivano e delle modalit per aggiornarsi sulle misure minime adottate dal titolare. La formazione programmata gi al momento dell'ingresso in servizio, nonch in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformit al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.
Collegamenti esterni
Garante per la protezione dei dati [1]
Note
[1] http:/ / www. garanteprivacy. it/ garante/ navig/ jsp/ index. jsp?folderpath=Fac-simile+ e+ adempimenti%2FDocumento+ programmatico+ sulla+ sicurezza
59
Metodi di autenticazione
EAP-MD5
MD5 l'equivalente del CHAP in cui un algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione per verificare che il richiedente a conoscenza del segreto condiviso. MD5 considerato un metodo di autenticazione di livello base e generalmente non appropriato in caso sia necessario un alto livello di sicurezza per la protezione di beni di grande valore. Questo accade per diverse ragioni. Come ogni metodo che utilizza richieste random e un algoritmo hash, vulnerabile agli attacchi basati su dizionario. Se un attaccante riesce ad ottenere la richiesta e la risposta hash, in seguito possibile eseguire un programma off-line con lo stesso algoritmo del richiedente, inserendo parole contenute in un dizionario fino a quando la risposta hash coincide con quella del richiedente. A questo punto l'attaccante conoscer la password del richiedente e potr sottrarne l'identit per ottenere l'accesso alla rete. Questo procedimento risulta ancora pi semplice nelle wireless LAN, dove la richiesta e la risposta "viaggiano" nell'aria. Questo il motivo per cui importante scegliere password che non siano parole di senso compiuto. In aggiunta, EAP-MD5 offre soltanto l'autenticazione lato client (ovvero, il client viene autenticato alla rete). Altri metodi EAP offrono mutua autenticazione per cui il client autenticato alla rete e la rete autenticata al client.
EAP-TLS
Il Transport Layer Security (TLS) offre un processo di autenticazione particolarmente sicuro, che sostituisce le semplici password con certificati lato client e lato server tramite l'utilizzo della infrastruttura a chiave pubblica (Public Key Infrastructure o PKI). Un certificato un record di informazioni relative ad un'entit (ad esempio una persona, un'azienda, ecc.) verificato tramite un algoritmo matematico asimmetrico. supportata la mutua autenticazione, e le chiavi di sessione dinamiche. TLS una buona scelta quando si richiede un elevato livello di autenticazione e sicurezza ed presente una infrastruttura a chiave pubblica. Comunque, l'utilizzo di una PKI, in cui ciascun client ha il suo proprio certificato, oneroso se comparato ai sistemi basati su password. Tale onere deriva dagli strumenti software richiesti affinch il sistema sia efficace.
EAP-TTLS
Tunnelled Transport Layer Security (TTLS) un'estensione del TLS ed stato sviluppato per superare la necessit, generata dal TLS, di certificati lato client (sono invece richiesti certificati lato server). Cos come l'altro dei due metodi attualmente disponibili di autenticazione tramite tunnel (l'altro il PEAP), TTLS un metodo a due passaggi. Nel primo, un algoritmo asimmetrico basato sulle chiavi del server utilizzato per verificare l'identit del server e per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dell'identit del client utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per l'attuale negoziazione
Extensible Authentication Protocol dell'autenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel pu essere un tipo di EAP (spesso MD5) o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione simmetrica del TTLS utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il tunnel collassa.
60
EAP-LEAP
Lightweight Extensible Authentication Protocol sviluppato dalla Cisco, deriva da EAP. LEAP si basa su un protocollo di autenticazione chiamato "reciproco consenso" che sta a dire in poche parole che sia il client sia l'access point a cui il client richiede la connessione devono autenticarsi prima di avere accesso all'interno della rete. In questo modo si previene l'accesso non autorizzato di access point estranei alla rete.
Altri
PEAP EAP-FAST EAP-SIM EAP-AKA EAP-SecurID
EAP-SRP
Tabella comparativa
Metodo Chiave dinamica No Mutua autenticazione No S UserID e password TLS S S No Metodi di attacco Commenti
MD5
Facile da implementare Supportato su molti server Insicuro Richiede database con testo in chiaro Richiede certificati del client Innalza i costi di manutenzione Autenticazione a due fattori con smart-card Assenza di certificati Attacco su dizionario per le credenziali Diritti di propriet intellettuale Soluzione proprietaria Gli access point devono supportarlo Infrastruttura basata sul roaming GSM Autenticazione a due fattori Infrastruttura basata sul roaming GSM Autenticazione a due fattori Richiede autenticazione sotto tunnel Autenticazione a due fattori
SRP
LEAP
SIM
No
AKA
No
No SecurID
No
No
TTLS
No
Elevata sicurezza
Creazione di un tunnel TLS (SSL) sicuro Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2 L'identit dell'utente protetta (crittata)
61
S Media sicurezza Simile all'EAP-TTLS Creazione di un tunnel TLS] (SSL) sicuro L'identit dell'utente protetta (crittata) Attacco su dizionario per le credenziali
PEAP
Voci correlate
IEEE 802.1x
Collegamenti esterni
(EN) RFC 3748 EAP [1]
Note
[1] http:/ / tools. ietf. org/ html/ rfc3748#page-35
FileVault
62
FileVault
FileVault una tecnologia presente nel sistema operativo Mac OS X 10.4 Tiger e successivi che provvede a cifrare e decifrare in tempo reale la directory home dell'utente in modo totalmente trasparente. L'algoritmo di cifratura utilizzato l'AES a 128 bit che garantisce un'elevata sicurezza contro qualsiasi tipo di attacco informatico attualmente conosciuto. Questa tecnologia molto utile nel caso si utilizzi un computer portatile. Anche se l'utente dovesse perdere la macchina o un soggetto terzo dovesse rubare la macchina le informazioni non sarebbero accessibili senza la password. Una directory non protetta da FileVault facilmente accessibile anche senza password, basta avere un CD con cui avviare la macchina e poi tutte le informazioni risultano disponibili. Il principale vantaggio di FileVault rispetto ad altri programmi di cifratura e che una tecnologia completamente integrata nel sistema e quindi il suo utilizzo sicuro e molto semplice. Si pu impostare una Master Password per la macchina cos che nel caso uno degli utenti dovesse dimenticarsi la password utilizzando la Master Password si possano recuperare le informazioni.
Voci correlate
BitLocker Drive Encryption
Collegamenti esterni
Pagina ufficiale [1]
Note
[1] http:/ / www. apple. com/ sg/ macosx/ features/ filevault/
Filtro bayesiano
63
Filtro bayesiano
Un filtro bayesiano (dal nome del noto matematico Bayes vissuto nel XVIII secolo) una forma di filtraggio dello spam che si basa sull'analisi del contenuto delle email. Questa tecnica complementare (e di grande efficacia) ai sistemi di blocco basati su indirizzo IP, le cosiddette blacklist. Il filtro bayesiano applica all'analisi delle email un teorema, espresso per l'appunto da Bayes, secondo il quale ogni evento cui attribuita una probabilit valutabile in base all'analisi degli eventi gi verificatisi. Nel caso dell'analisi antispam, se in un numero n delle mail analizzate in precedenza l'utente ha marcato come spam quelle che contenevano la parola "sesso", il filtro ne dedurr che la presenza di quella parola innalza la probabilit che le mail seguenti contenenti quella parola siano a loro volta spam. In questo modo, il sistema in grado di adattarsi in maniera dinamica e veloce alle nuove tipologie di spam. Gran parte dei software di analisi delle email antispam, ormai, adotta questo genere di tecnologia.
Voci correlate
SpamAssassin Teorema di Bayes Filtro di Kalman
Fingerprint
La fingerprint (impronta digitale) in informatica una sequenza alfanumerica o stringa di bit di lunghezza prefissata che identifica un certo file con le caratteristiche intrinseche stesse del file. Il riconoscimento e l'autenticit del file vengono garantite confrontando l'"impronta" del file con una base di dati in cui precedentemente era stata gi memorizzata; se il confronto ha esito positivo allora il file autentico.
Uso
Viene utilizzato per garantire l'autenticit e la sicurezza dei file e anche per identificare rapidamente file distribuiti in rete tramite sistemi di file-sharing. Il sistema fingerprint viene utilizzato anche per i pi moderni notebook e consente attraverso l'impronta digitale di proteggere sia il computer che determinati file. Questo in alcuni portatili stato addirittura implementato con un software in grado di collegare ad una data impronta digitale un collegamento ad un sito internet.
Fingerprint
64
Voci correlate
Internet File system Peer-to-peer Watermarking
Firma digitale
In informatica la firma digitale rappresenta un sistema di autenticazione di documenti digitali tale da garantire il cosiddetto non ripudio e al contempo l'integrit del documento stesso. E' basata sulla tecnologia della crittografia a chiave pubblica (o PKI). La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua una specie di firma elettronica avanzata che pu essere apposta ai documenti informatici alla stessa stregua di come la firma autografa viene apposta ai documenti tradizionali.
Definizione
La firma digitale di un documento informatico si propone di soddisfare tre esigenze: che il destinatario possa verificare l'identit del mittente (autenticit); che il mittente non possa disconoscere un documento da lui firmato (non ripudio); che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro (integrit). Un tipico schema di firma digitale consiste di tre algoritmi: 1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK, SK): PK (Public Key, chiave pubblica) la chiave pubblica di verifica della firma mentre SK (Secret Key) la chiave privata posseduta dal firmatario, utilizzata per firmare il documento. 2. un algoritmo di firma S che, presi in input un messaggio m e una chiave privata SK produce una firma . 3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una firma , accetta o rifiuta la firma.
Firma digitale impedirne l'accesso a terzi); tuttavia, esistono soluzioni alternative (come nel caso della firma digitale remota). Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave pubblica associata e viceversa. Lo scenario in cui un mittente vuole spedire un messaggio a un destinatario in modalit sicura il seguente: il mittente utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio "in chiaro". Grazie alla propriet delle due chiavi, inversa rispetto a quella appena descritta, un sistema di crittografia asimmetrica di questo tipo adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione hash (pubblica) ricava l'impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole (128, 160 o pi bit) che contiene una sorta di codice di controllo relativo al documento stesso, dopodich utilizza la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica la firma. La funzione hash fatta in modo da rendere minima la probabilit che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre, one-way, a senso unico, questo significa che dall'impronta impossibile ottenere nuovamente il testo originario ovvero essa non invertibile. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento insieme alla chiave pubblica. Chiunque pu verificare l'autenticit di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticit e l'integrit del documento sono garantite. La firma digitale assicura inoltre il non ripudio: il firmatario di un documento pervenuto nelle mani di un terzo che ne verifica con successo la validit della firma, non potr negare di averlo scritto. Detta in altre parole significa che l'informazione non pu essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in presenza di testimoni. Le operazioni di firma e di verifica possono essere demandate a un apposito programma rilasciato dall'ente certificatore oppure al proprio provider di posta elettronica, che, con una semplice configurazione, le effettuer automaticamente.
65
Schema di firme
I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di verifica. L'algoritmo di firma crea una firma elettronica che dipende dal contenuto del documento a cui deve essere allegata, oltre che dalla chiave dell'utente. Una coppia (documento, firma) rappresenta un documento firmato, ovvero un documento a cui stata allegata una firma. L'algoritmo di verifica pu essere utilizzato da chiunque per stabilire l'autenticit della firma digitale di un documento. L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una stringa funzione del documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica usando la chiave privata del mittente. Il risultato di tale codifica la firma digitale del documento. La firma viene allegata al documento che ora risulta firmato digitalmente. Il documento firmato digitalmente in chiaro ma possiede la firma del mittente e pu essere spedito in modo che esso possa essere letto da chiunque ma non alterato poich la firma digitale ne garantisce l'integrit. Il ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma digitale
Firma digitale con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e confronta le due stringhe hash, verificando in questo modo l'identit del mittente e l'integrit e autenticit del documento. Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un insieme finito di possibili chiavi; se k K un algoritmo di firma sigk:DF, un corrispondente algoritmo di verifica verk:DF{vero, falso} tale che d D, f F: verk(d,f) = { vero se f = sigk(d) ; falso se f sigk(d) } allora (D, F, K, sigk, verk) costituisce uno schema di firme. Dato un d D solo il firmatario deve essere in grado di calcolare f F tale che verk(d,f) = vero. Uno schema di firme detto incondizionatamente sicuro se non esiste un modo per la falsificazione di una firma f F. Segue che non esistono schemi di firme incondizionatamente sicuri poich un malintenzionato potrebbe testare tutte le possibili firme y F di un documento d D di un utente, usando l'algoritmo pubblico verk fino a quando non trova la giusta firma. Naturalmente questo tipo di attacco alla sicurezza dello schema di firme risulta essere enormemente oneroso computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi pi raffinati e i processori pi potenti, poich si fa in modo che la cardinalit dell'insieme di possibili firme sia enormemente elevata.
66
Verifica
Vulnerabilit
Vulnerabilit del processo di firma
La vulnerabilit pi nota strettamente correlata al fatto che una smart card un calcolatore elettronico limitato, poich manca dei dispositivi di I/O. Dovendola quindi interfacciare a un PC risulter non completamente sicuro il processo di generazione della firma digitale, in dipendenza della potenziale insicurezza del PC utilizzato per generare l'impronta del documento da firmare. Il rischio concreto che alla fine il PC possa ottenere dalla smart card una firma su un documento arbitrariamente scelto, diverso da quello visualizzato sullo schermo e effettivamente scelto dall'utente. Chiaramente l'utente potrebbe non essere consapevole dell'esistenza di un siffatto documento, per cui tale problema pu essere considerato molto grave. Secondo il parere di Rivest esiste una contraddizione intrinseca tra possedere un dispositivo sicuro e usare una interfaccia utente ragionevolmente personalizzabile che supporti il download delle applicazioni. In altri termini, si potrebbe pensare a unapplicazione molto sicura per la firma digitale che sia eseguibile su computer stand-alone (portatili), tali da non permettere l'esecuzione di altri programmi. In caso contrario, il processo di firma digitale rimane intrinsecamente insicuro, poich i PC non possono rappresentare piattaforme sicure. Secondo Rivest la firma digitale non dovrebbe essere considerata come una prova non ripudiabile, ma semplicemente come un'evidenza plausibile. Cos per gli utenti dovrebbero esistere casi ben definiti
Firma digitale in cui poter ripudiare la firma. Il problema, ben noto in letteratura, complesso e non ammette una soluzione completa fintanto che il PC parte del processo di generazione della firma. Recentemente sono state proposte soluzioni euristiche che permettono di mitigarne le conseguenze.
67
Firma digitale Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novit della fattispecie, ma presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM 30 marzo del 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009), e che quindi i documenti con tale ambiguit non producano gli effetti probatori previsti dall'art. 21 del Codice dell'amministrazione digitale.
68
Firma digitale le servit prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, contratti di affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni; contratti di societ o di assicurazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo determinato; gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato; gli atti di divisione di beni immobili e di altri diritti reali immobiliari; le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra. Il nuovo comma 2 bis dell'art. 21 infatti prevede che "Salvo quanto previsto dall'articolo 25, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullit, con firma elettronica qualificata o con firma digitale." Di conseguenza possono essere sottoscritti con firma elettronica non qualificata (semplice o avanzata) che possa dare al documento su cui apposta l'efficacia di scrittura privata unicamente, oltre gli atti non formali, solo gli altri atti indicati dalla legge per cui sia prevista la forma scritta ad substantiam (n. 13 dell'art. 1350 c.c.). Tra questi ci sono i contratti bancari e di intermediazione mobiliare. La titolarit della firma digitale garantita dai "certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilit, che potevano essere accreditati presso il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA), ora confluito in DigitPA (in tal caso vengono chiamati certificatori accreditati), che tengono registri delle chiavi pubbliche, presso i quali possibile verificare la titolarit del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attivit di certificatore di firma elettronica vi quella per cui occorre essere una societ con capitale sociale non inferiore a quello richiesto per svolgere l'attivit bancaria (2.000.000, come una S.p.A). I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse societ (per esempio, un certificatore la societ Postecom (Poste Italiane)). L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica, inserita nel certificato) a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale. fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perch sia certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.
69
Voci correlate
Firma elettronica autografa Firma digitale remota Fattura elettronica Blind signature Firma elettronica Timbro digitale Codice dell'amministrazione digitale SMIME
Firma digitale
70
Collegamenti esterni
Firma Digitale - Ifin Sistemi [2] Progetto OpenSignature [3] Codice dell'Amministrazione Digitale - Il testo vigente [4] Legge 23 gennaio 2002, n. 10 [5], Firma digitale
Note
[1] [2] [3] [4] [5] http:/ / www. unirc. it/ firma http:/ / www. ifin. it/ conservazione-documenti/ certificazione-strumenti/ firma-digitale/ http:/ / opensignature. sourceforge. net/ english. php http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente http:/ / www. normattiva. it/ uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=
Firma elettronica
Una firma elettronica definita[1] come "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": quindi la forma pi debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di integrit del dato firmato. Una firma elettronica qualificata definita[1] come "la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario pu conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma": quindi una forma di firma sicura, che esaudisce le richieste della Direttiva Europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified electronic signature" definita da ETSI In ultimo, ma pi importante di tutte, almeno nell'ordinamento italiano, c' la firma digitale definita sempre nel CAD[1] come "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e lintegrit di un documento informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a chiave pubblica. Nell'ordinamento italiano, la firma digitale un sistema di sottoscrizione di documenti informatici, che garantisce autenticit e integrit del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato qualificato. Un certificato per la firma elettronica pu essere rilasciata da Certification Authority senza formalit; previsto invece un processo obbligatorio di accreditamento da parte di una autorit pubblica preposta (per l'Italia il DigitPA (gi CNIPA)), per qualificare una Certification Authority a emettere certificati qualificati.
Firma elettronica
71
Firma elettronica pu provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare, fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art. 21, comma 2, cit. in ordine alla riconducibilit di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine all'imputazione della firma apposta a quel soggetto.
72
Caratteristiche
Per collocare nel tempo la firma di un documento non basta, per, la sola firma. In questo viene in aiuto un'altra entit che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella autografa cartacea. L'entit la Stamping Authority che interviene nella creazione dell'hash del documento da firmare. Per ogni altra caratteristica ulteriore rimando alla firma digitale in quanto, per le rimanenti tematiche, del tutto analoga.
Voci correlate
Fattura elettronica Blind signature Firma digitale Certification Authority CNIPA
Note
[1] Codice dell'amministrazione digitale (http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente#Art. 1. ) : vedi Definizioni
Collegamenti esterni
CNIPA Centro Nazionale dell'informatica per le pubbliche amministrazioni (http://www.cnipa.gov.it/site/ it-IT/) legge 10/2002 (http://www.parlamento.it/leggi/deleghe/02010dl.htm) Legge 23 gennaio 2002, n. 10 (http://www.normattiva.it/uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=), Firma elettronica
73
Descrizione
Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare economicamente i danni e di pianificare la ripresa delle attivit aziendali. Il Disaster Recovery Plan, che mirato ai servizi informatici, quindi un sottoinsieme del business continuity plan. Il business continuity plan contiene informazioni riguardo alle azioni da intraprendere in caso di incidente, chi coinvolto nell'attivit e come deve essere contattato. Il piano riflette la posizione dell'organizzazione e degli stakeholders. Gli aspetti da considerare sono: l'uso di ausili alla pianificazione, tool di sviluppo e manutenzione dei piani; descrizione delle attivit per le figure coinvolte; i piani di azione e le checklist da utilizzare; quali informazioni e quale documentazione di supporto deve essere utilizzata.
Occorre riporre attenzione nella terminologia; termini come "incidente" o "disastro" devono essere chiari e condivisi. In particolare, occorre distinguere tra una "interruzione di servizio" ed un "disastro"; nel secondo caso deve essere definita la procedura di "escalation" da applicare quando il disastro avvenuto ed stato dichiarato. Occorre definire quindi un glossario condiviso e documentato. Tra i rischi da considerare vi sono quelli legati all'informazione e alla sua gestione. Nell'ambito del Rischio informatico il piano di Business Continuity fa parte del Piano di contingenza. La business continuity viene pianificata secondo il Ciclo di Deming.
Note
[1] IMQ, Certificazione Sistemi di Gestione per la Continuit Operativa Norma BS 25999-2 (http:/ / www. imq. it/ export/ sites/ default/ it/ doc/ pubblicazioni_informative/ IMQ_BROCH_BCM_Ottavo__. pdf).
Voci correlate
Risk management Piano di contingenza Disaster recovery Business continuity plan
GnuTLS
74
GnuTLS
GnuTLS Sviluppatore Ultimaversione S.O. Genere Licenza Free Software Foundation 3.0.3 (18 settembre 2011) Multipiattaforma Libreria di sicurezza GNU Lesser General Public License (Licenza libera) http:/ / www. gnutls. org/
Sito web
GnuTLS (GNU Transport Layer Security Library) un'implementazione libera dei protocolli SSL e TLS. Il suo scopo di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la rete.
Funzionalit
GnuTLS ha le seguenti funzionalit: Protocolli SSL 3.0, TLS 1.0, TLS 1.1 e, in sviluppo, il protocollo TLS 1.2 Secure remote password protocol (SRP) per l'autenticazione TLS Pre-Shared Key (PSK) per l'autenticazione TLS Meccanismo di estensione TLS Compressione TLS Gestione dei certificati X.509 e OpenPGP
Licenza e motivazioni
GnuTLS rilasciato tramite la licenza GNU Lesser General Public License; alcune parti sono rilasciate sotto la GNU General Public License. GnuTLS venne inizialmente creato per consentire alle applicazioni del Progetto GNU di usare un protocollo sicuro come TLS. Bench esistesse gi OpenSSL, quest'ultima libreria ha una licenza che non compatibile con la GPL[1] , per cui i software sotto GPL non avrebbero potuto usare la libreria OpenSSL senza inserire nella licenza una speciale eccezione. GnuTLS usato in software come GNOME, CenterIM, Exim, Mutt, Slrn, Lynx, CUPS e gnoMint.[2]
GnuTLS
75
Note
[1] (EN) The OpenSSL Licence and The GPL (http:/ / www. gnome. org/ ~markmc/ openssl-and-the-gpl. html) [2] (EN) The GNU Transport Layer Security Library (http:/ / www. gnu. org/ software/ gnutls/ programs. html)
Voci correlate
OpenSSL Network Security Services Transport Layer Security
Collegamenti esterni
(EN) Pagine del progetto GnuTLS (http://www.gnu.org/software/gnutls/) (EN) Manuale GnuTLS (http://www.gnu.org/software/gnutls/manual/) (EN) Intervista del 2003 allo sviluppatore di GNU TLS Nikos Mavroyanopoulos (http://www.network-theory. co.uk/articles/mavroyanopoulus.html)
Greylisting
Greylisting o graylisting un metodo per difendere gli utenti dallo spam via e-mail. Un mail server che utilizza la tecnica di greylisting rifiuter temporaneamente tutte le e-mail da un mittente che non conosce. Se l'e-mail legittima, il mail server del mittente ritenter l'invio, e questa volta l'operazione verr accettata. Se l'e-mail viene inviata da uno spammer, probabilmente non si avr un ulteriore tentativo poich il mail server dello spammer avendo a disposizione migliaia di indirizzi email, passerebbe oltre non occupandosi degli errori.
Come funziona
Tipicamente un server che utilizza la tecnica di graylisting genera una tripletta di dati per ogni messaggio email in arrivo: l'indirizzo ip dell'host mittente l' indirizzo e-mail del mittente l'indirizzo e-mail del destinatario che viene poi controllata con le triplette registrate nel database. Se questa tripletta non ancora stata registrata (la registrazione pu durare per un tempo variabile), l'e-mail viene messa in "lista grigia" per un piccolo periodo di tempo (configurabile a piacere), e viene rifiutata con un codice di errore SMTP 4xx. Questo codice corrisponde a un errore temporaneo perci un server legittimo ritenter l'invio dell'e-mail. Greylisting efficace poich la maggior parte degli strumenti utilizzati dagli spammer non ritentano l'invio della mail, per cui il messaggio non verr mai recapitato al destinatario. Se lo spammer dovesse ritentare l'invio della mail, esistono comunque software che possono riconoscere lo spam analizzando il contenuto del messaggio.
Vantaggi
Il vantaggio maggiore che l'utente finale non deve configurare nulla. Dal punto di vista di un amministratore invece il vantaggio doppio. Greylisting infatti ha bisogno di una configurazione minima dati da occasionali modifiche alla lista bianca (cio alla lista degli utenti che possono inviare e-mail senza essere processati dal sistema). Il secondo maggior vantaggio che il messaggio di errore SMTP 4xx non determina l'occupazione di ulteriori risorse. La maggior parte dei software di riconoscimento dello spam occupano spesso molta memoria e gravano sulla cpu in modo evidente. Bloccando lo spam prima che venga esaminato si possono risparmiare queste risorse.
Greylisting
76
Svantaggi
Come altri software di controllo spam, lo svantaggio maggiore che viene meno l'istantaneit dei messaggi email.
Collegamenti esterni
Sito ufficiale [1]
Note
[1] http:/ / www. greylisting. org/
Hardening
In informatica, hardening indica il processo di messa in sicurezza di un sistema attraverso la riduzione della sua superficie di attacco. Un sistema ha una superficie di attacco tante pi funzionalit offre; come principio un sistema con una singola funzione pi sicuro di un sistema con molte funzioni. La riduzione dei veicoli di attacco disponibili tipicamente include la rimozione di software non necessario, di username non necessari e la disabilitazione o rimozione di servizi non necessari. Ci sono vari metodi per fare l'hardening di sistemi unix e linux. Questi possono coinvolgere, tra le altre misure, l'applicazione di patch al kernel come Exec Shield o PaX; la chiusura di porte in servizi di rete, la configurazione di sistemi IDS, firewall e intrusion prevention system. Ci sono anche script di hardening e tool come Bastille linux[1] , JASS[2] per Solaris e Apache/PHP hardener[3] , che possono, per esempio, disattivare funzionalit non necessarie nei file di configurazione e applicare misure protettive di varia natura.
Note
[1] (EN)http:/ / bastille-linux. sourceforge. net/ [2] (EN)http:/ / www. sun. com/ software/ security/ jass/ [3] (EN)http:/ / www. syhunt. com/
Hash
77
Hash
Hash un termine della lingua inglese (to hash sminuzzare, pasticciare) che designa originariamente una polpettina fatta di avanzi di carne e verdure; per estensione indica un composto eterogeneo cui viene data una forma incerta: "To make a hash of something" vuol dire infatti creare confusione, o fare una cosa piuttosto male.
In informatica
Nel linguaggio matematico e informatico, la funzione hash una Risultato dei primi quattro byte della funzione hash SHA-1. funzione non iniettiva che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Esistono numerosi algoritmi che realizzano funzioni hash con particolari propriet che dipendono dall'applicazione. Nelle applicazioni crittografiche si chiede, per esempio, che la funzione hash abbia le seguenti propriet: resistenza alla preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un hash uguale a un dato hash; resistenza alla seconda preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un hash uguale a quello di una data stringa; resistenza alle collisioni: sia computazionalmente intrattabile la ricerca di una coppia di stringhe in input che diano lo stesso hash. Nelle applicazioni di basi di dati la funzione hash usata per realizzare una particolare struttura dati chiamata hash table. In questa applicazione non occorrono propriet crittografiche e generalmente l'unica propriet richiesta che non ci siano hash pi probabili di altri.
Algoritmo di hash
L'algoritmo di hash elabora qualunque mole di bit (in informatica si dice che elabora dati "grezzi"). Si tratta di una famiglia di algoritmi che soddisfa questi requisiti: 1. L'algoritmo restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi dimensione (pu essere un file ma anche una stringa). L'output detto digest. 2. La stringa di output univoca per ogni documento e ne un identificatore. Perci, l'algoritmo utilizzabile per la firma digitale. 3. L'algoritmo non invertibile, ossia non possibile ricostruire il documento originale a partire dalla stringa che viene restituita in output ovvero una funzione unidirezionale.
Hash
78
Hash e collisioni
Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita maggiore dell'hash, sono pi degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno pi testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualit di una funzione di hash misurata direttamente in base alla difficolt nell'individuare due testi che generino una collisione. Per sconsigliare l'utilizzo di algoritmi di hashing in passato considerati sicuri stato infatti sufficiente che un singolo gruppo di ricercatori riuscisse a generare una collisione. Questo quello che avvenuto ad esempio per gli algoritmi SNEFRU, MD2, MD4 ed MD5. Un hash crittograficamente sicuro non dovrebbe permettere di risalire, in un tempo confrontabile con l'utilizzo dell'hash stesso, ad un testo che possa generarlo. Le funzioni hash ritenute pi resistenti richiedono attualmente un tempo di calcolo per la ricerca di una collisione superiore alla durata dell'universo (immaginando di impiegare tutte le capacit computazionali ora disponibili).
Applicazioni
Hash e crittografia
La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati. Il valore pi comunemente adottato di 128 bit, che offre una buona affidabilit in uno spazio relativamente ridotto. Tuttavia va registrata la possibilit d'uso di hash di dimensione maggiore (SHA, ad esempio, pu anche fornire stringhe di 224, 256, 384 e 512 bit) e minore (che per va fortemente sconsigliato). Le funzioni hash svolgono un ruolo essenziale nella crittografia: sono utili per verificare l'integrit di un messaggio, poich l'esecuzione dell'algoritmo su un testo anche minimamente modificato fornisce un message digest completamente differente rispetto a quello calcolato sul testo originale, rivelando la tentata modifica. Le funzioni di hash possono essere anche utilizzate per la creazione di firme digitali, in quanto permettono la rapida creazione della firma anche per file di grosse dimensioni, senza richiedere calcoli lunghi e complessi: infatti computazionalmente pi conveniente eseguire con rapidit un hashing del testo da firmare, e poi autenticare solo quello, evitando cos l'esecuzione dei complessi algoritmi di crittografia asimmetrica su moli di dati molto grandi. La firma digitale definita come il digest di un documento crittografato con chiave privata (e non con quella pubblica, come avviene di solito). La firma digitale l'unico caso in cui l'uso delle chiavi invertito: la chiave pubblica serve a decrittare la firma e trovare poi il digest iniziale attraverso l'hash, mentre quella privata serve a crittografare una stringa anzich ad aprirla. Un ulteriore uso delle funzioni di hash si ha nella derivazione di chiavi da password o passphrase: a partire da un valore arbitrario in ingresso (una stringa o un array di larghe dimensioni) si deriva in modo crittograficamente sicuro (ovvero non possibile abbreviare il calcolo con una qualche scorciatoia) una chiave di dimensioni adatte alla cifratura. appena il caso di dire, tuttavia, che a meno di prendere debite contromisure (come l'uso di un salt crittografico), l'utilit di questa procedura esclusivamente pratica: infatti la sicurezza della chiave derivata equivalente a quella della stringa di ingresso ai fini di un attacco a dizionario. Di contro, certamente pi comodo per un essere umano ricordare una stringa piuttosto che una lunga sequenza numerica.
Hash
79
Informatica forense
Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell'ambito dell'informatica forense per validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie forensi. La recente legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali modifiche successive all'acquisizione: tramite i codici hash possibile in ogni momento verificare che quanto repertato sia rimasto immutato nel tempo. Se i codici hash corrispondono, entrambe le parti in un procedimento giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi una uniformit di analisi e in genere di risultati. I risultati dei codici hash vengono ormai calcolati di default dalla maggioranza dei software per acquisizione forense e allegati alle copie forensi salvate.
Hash SHA-1[7] [8] [9] SHA-2 (256, 384, 512)[10] RIPEMD-160[11] PANAMA[12] TIGER[13] CRC32[14] ADLER32[16]
80
[15]
HMAC[17] [18] [19] [20] [21] [22] [23] [24] [25] [26]
Note
[1] [2] [3] [4] [5] [6] [7] [8] RFC1319 (http:/ / www. faqs. org/ rfcs/ rfc1319. html) - The MD2 Message-Digest Algorithm RFC1320 (http:/ / www. faqs. org/ rfcs/ rfc1320. html) - The MD4 Message-Digest Algorithm RFC1321 (http:/ / www. faqs. org/ rfcs/ rfc1321. html) - The MD5 Message-Digest Algorithm RFC1810 (http:/ / www. faqs. org/ rfcs/ rfc1810. html) - Report on MD5 Performance RFC1828 (http:/ / www. faqs. org/ rfcs/ rfc1828. html) - IP Authentication using Keyed MD5 en:MDC-2 - Modification Detection Code FIPS PUB 180-1 - SECURE HASH STANDARD RFC3174 (http:/ / www. faqs. org/ rfcs/ rfc3174. html) - US Secure Hash Algorithm 1 (SHA1)
[9] RFC1852 (http:/ / www. faqs. org/ rfcs/ rfc1852. html) - IP Authentication using Keyed [10] DFIPS PUB 180-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips180-2/ fips180-2withchangenotice. pdf) - SECURE HASH STANDARD [11] The RIPEMD-160 Home Page [12] Fast Hashing and Stream Encryption with PANAMA, by J.Daemen, C.Clapp (http:/ / standard. pictel. com/ ftp/ research/ security/ panama. pdf) [13] Tiger: A Fast New Hash Function The Tiger Home Page (http:/ / www. cs. technion. ac. il/ ~biham/ Reports/ Tiger/ ) [14] (attenzione: non corretto considerare CRC32 un algoritmo di hash crittografico) [15] RFC1952 (http:/ / www. faqs. org/ rfcs/ rfc1952. html) - GZIP file format specification version 4.3 [16] RFC1950 (http:/ / www. faqs. org/ rfcs/ rfc1950. html) - ZLIB Compressed Data Format Specification version 3.3 [17] (attenzione: HMAC non propriamente una funzione di hash, poich per eseguirlo necessario non solo il testo in chiaro, ma anche una chiave. Gli algoritmi di hash richiedono un unico parametro di ingresso) [18] FIPS PUB 198 (http:/ / csrc. nist. gov/ publications/ fips/ fips198/ fips-198a. pdf) - The Keyed-Hash Message Authentication Code (HMAC) [19] RFC2104 (http:/ / www. faqs. org/ rfcs/ rfc2104. html) - HMAC: Keyed-Hashing for Message Authentication [20] RFC2202 (http:/ / www. faqs. org/ rfcs/ rfc2202. html) - Test Cases for HMAC-MD5 and HMAC-SHA-1 [21] RFC2286 (http:/ / www. faqs. org/ rfcs/ rfc2286. html) - Test Cases for HMAC-RIPEMD160 and HMAC-RIPEMD128 [22] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention [23] RFC2403 (http:/ / www. faqs. org/ rfcs/ rfc2403. html) - The Use of HMAC-MD5-96 within ESP and AH [24] RFC2404 (http:/ / www. faqs. org/ rfcs/ rfc2404. html) - The Use of HMAC-SHA-1-96 within ESP and AH [25] RFC2857 (http:/ / www. faqs. org/ rfcs/ rfc2857. html) - The Use of HMAC-RIPEMD-160-96 within ESP and AH [26] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention
Voci correlate
Hash table Firma digitale Crittografia Autenticazione
Collegamenti esterni
(EN) Definizione inglese del termine (http://www.dictionary.cambridge.org/define.asp?key=35933& dict=CALD) (EN) Hash'em all! (http://www.hashemall.com), per calcolare online l'hash di stringhe e file Hash Generatore (http://www.sinfocol.org/herramientas/hashes.php) Altro Online Hash Generatore, ha alcune funzioni di hash come md2,md4,md5,sha1,snefru,tiger,haval, ripemd, whirlpool e tra gli altri. Circa 118
Hash differenti algoritmi Funzioni hash con PHP (http://segnalazionit.org/2008/10/funzioni-hash-con-php) Programma gratuito per calcolo e verifica hash (http://ocr.altervista.org/wordpress/ impronta-calcolare-lhash-di-un-file/) Checksums calculator (http://www.sinf.gr/it/hashcalc.html) Applicazione gratuita per il calcolo e verifica di funzioni hash per Windows, Linux e Mac OS X.
81
Hengzhi chip
L'Hengzhi chip un microcontrollore che pu memorizzare informazioni di sicurezza crittografate, progettato dal governo della Repubblica Popolare Cinese e assemblato in Cina. Le sue funzionalit dovrebbero essere simili a quelle offerte dal Trusted Platform Module ma, a differenza di questo, non costruito seguendo le specifiche date dal Trusted Computing Group. Lenovo attualmente vende PC "sicuri" equipaggiati col chip di sicurezza Hengzhi[1] . Il chip potrebbe essere uno sviluppo dell'IBM ESS (Embedded security subsystem ) chip, che era sostanzialmente una smartcard a chiave pubblica collocata direttamente sul bus di gestione sistema della scheda madre. Ad gennaio 2008, nessuna specifica pubblica del chip disponibile. Questa mancanza di documentazione ha sollevato perplessit sulle intenzioni del governo di Pechino e sugli usi che potrebbero essere fatti del Hengzhi chip.
Voci correlate
Trusted Computing Trusted Platform Module
Note
[1] (EN) Lenovo releases China's first security chip (http:/ / english. people. com. cn/ 200504/ 12/ eng20050412_180617. html)
Collegamenti esterni
China Implements new Encryption Laws (http://www.twobirds.com/english/publications/articles/ china_implements_encryption_law.cfm?RenderForPrint=1) Does China Own Your Box (http://www.mutantfrog.com/2006/03/08/does-china-own-your-box)
Honeypot
82
Honeypot
In informatica, un honeypot (letteralmente: "barattolo del miele") un sistema o componente hardware o software usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realt ben isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato. Il valore primario di un honeypot l'informazione che esso d sulla natura e la frequenza di eventuali attacchi subiti dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna attivit; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevole in corso. Gli honeypot possono portare dei rischi ad una rete, e devono essere maneggiati con cura. Se non sono ben protetti, un attacker potrebbe usarli per entrare in altri sistemi.
Etimologia
Il termine "honeypot" (barattolo di miele) spesso collegato al personaggio per bambini Winnie the Pooh, un orso di pezza che spesso si trova nei guai a causa della sua golosit nei confronti del miele. Un'ulteriore spiegazione del termine un riferimento al nome, inglese, sarcastico per la costruzione circondante un gabinetto in un appezzamento di terra, o per altri metodi di raccolta letame in luoghi senza impianto idraulico interno. Honey quindi un termine ironico per tale rifiuto, contenuto in un honeypot finch non portato all'area di smaltimento da un camion addetto. In questo uso, gli attackers sono paragonabili alle mosche, attirate dall'odore dell'acqua di scolo.
Tipi di honeypot
Gli honeypot a bassa interazione sono solitamente programmi che emulano sistemi operativi e servizi. Questi honeypot sono pi semplici da installare e pi sicuri, ma riescono a catturare poche informazioni. Gli honeypot ad alta interazione invece non emulano nulla: sono veri computer, applicazioni o servizi. Questi honeypot sono molto pi complessi e comportano maggiori rischi, ma riescono a catturare maggiori informazioni. Un esempio di honeypot a bassa interazione Honeyd [1]. Uno ad alta interazione Honeynet [2]. Possono essere honeypot anche altre cose, come veri siti web o chatroom, il cui scopo di fermare utenti con intenti criminali.
Spam Honeypot
Gli spammer sono conosciuti per l'abuso di risorse vulnerabili come server di posta e proxy liberi. Alcuni amministratori di reti hanno creato degli honeypot che si fingono risorse abusabili per scoprire le attivit degli spammer. Tra gli Open relay honeypot c' smtpot.py [3], scritto in Python. Bubblegum Proxypot [4] un honeypot-proxy libero (o proxypot). Un indirizzo email che non usato se non per ricevere spam pu essere considerato un honeypot per spam. Teoricamente, un tale indirizzo potrebbe essere usato per ricevere spam, che potrebbe essere confrontato con lo spam ricevuto da veri indirizzi email. In questo modo si potrebbe pi facilmente rimuovere lo spam dalla casella di posta degli indirizzi veri.
Honeypot
83
Collegamenti esterni
Sicurezza delle reti: gli Honeypots [5] Honeypots, Intrusion Detection, and Incident Handling Resources [6] in inglese "Know Your Enemy: Everything you need to know about honeypots" [7] in inglese
Note
[1] [2] [3] [4] [5] [6] [7] http:/ / www. honeyd. org http:/ / www. honeynet. org http:/ / llama. whoi. edu/ smtpot. py http:/ / www. proxypot. org/ http:/ / bicocca. net/ web/ index. php?name=UpDownload& req=getit& lid=94 http:/ / www. honeypots. net/ http:/ / www. newsforge. com/ article. pl?sid=04/ 09/ 24/ 1734245
Obiettivo
Un HIDS controlla dinamicamente alcune o tutte le componenti che formano l'host (il computer). Come i NIDS provvedono ad analizzare il traffico di rete gli HIDS provvedono ad analizzare i programmi in esecuzione e il loro utilizzo delle risorse. Questi programmi segnalerebbero per esempio se senza nessun motivo apparente il word processor si dovesse attivare e dovesse modificare il database delle password di sistema. Gli HIDS sorvegliano lo stato del sistema, la memorizzazione delle informazioni e l'accesso alle risorse condivise e alle unit di memorizzazione. Un HIDS un componente che sorveglia il funzionamento del sistema operativo verificando che le policy di sicurezza non siano aggirate o scavalcate.
Host-based intrusion detection system Ironicamente la prima cosa che gli attaccanti fanno usualmente quella di installare un programma di controllo remoto in modo da impedire a un altro cracker di accedere al sistema. Tecniche In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file system ma non sempre. Non vi motivo infatti perch un HIDS non debba periodicamente controllare alcune aree di memoria alla ricerca di violazioni. Anche la tabella delle system-call un componente che pu essere controllato proficuamente dato che molti virus tendono ad alterarla. Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica, ecc) e effettua un calcolo del checksum con algoritmi tipo hash MD5 o simili. Questi dati vengono memorizzati nel database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che possibile modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilit che ci avvenga non cos ridotta come si pensava all'inizio. Funzionamento Durante l'installazione e ad ogni modifica autorizzata degli elementi questi vengono analizzati e il loro checksum viene calcolato e memorizzato nel database. Questa una fase che va controllata con attenzione per impedire che degli elementi corrotti possano essere marcati come validi. Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che sono elementi che anche un aggressore avrebbe interesse a modificare. Un controllo approfondito di troppi elementi per rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli basati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di grosse dimensioni pu rendere l'analisi molto lenta. Un'analisi di un numero eccessivo di elementi pu generare un elevato numero di falsi positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere le sue usuali operazioni. Una volta che il sistema installato, i checksum sono stati calcolati e stato impostato un intervallo ragionevole tra le varie analisi dell'HIDS, il sistema pronto. Le segnalazioni possono essere inviate all'utente tramite file di log, email, finestre a video o altro.
84
Protezione dell'HIDS
Un HIDS utilizzer normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli oggetti e per rendere queste violazioni difficili. Infatti se un attaccante stato in grado di introdursi nel sistema nulla gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano di disabilitare i programmi antivirus. Oltre ad adottare protezioni crittografiche un amministratore pu utilizzare protezioni aggiuntive come memorizzare il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare. Si potrebbe anche affermare che i Trusted Platform Module siano un tipo di HIDS. Sebbene gli scopi siano diversi entrambi i moduli provvedono ad identificare eventuali modifiche a componenti del computer. Dal punto di vista progettuale questi moduli sono l'ultima difesa contro le modifiche non autorizzate ed essendo integrati nell'hardware del computer se non nella CPU stessa sono estremamente difficili da aggirare.
85
Voci correlate
Intrusion detection system Network Intrusion Detection System Trusted Computing Group Trusted Platform Module
Collegamenti esterni
(EN) md5deep, un HIDS Open Source [1] (EN) Aide, un HIDS Open Source [2] (EN) Samhain, un HIDS Open Source [3] (EN) Snort il NIDS Open Source [4] (EN) OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003 [5]
Note
[1] http:/ / md5deep. sourceforge. net/ [2] http:/ / sourceforge. net/ projects/ aide [3] http:/ / la-samhna. de/ samhain/ [4] http:/ / www. snort. org [5] http:/ / www. openhids. com
Identity management
Con Identity Management (IM) si intendono i sistemi integrati di tecnologie, criteri e procedure in grado di consentire alle organizzazioni di facilitare - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.
Voci correlate
Autenticazione
Identit digitale
86
Identit digitale
L'identit digitale l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. l'identit che un utente della rete determina attraverso website e social network.
Autenticazione
Nelle transazioni quando viene provato che lidentit digitale presentata sia effettivamente quella di chi o di cosa dice di essere, si parla di processo di autenticazione. Lautenticazione ad un solo fattore (quella con username e password vista prima) non molto sicura perch la password potrebbe essere indovinata da qualcuno che non il vero utente. Quella multi-fattore pu essere pi sicura, ad esempio quella con una chiave fisica di sicurezza, o tessera magnetica, smart card ("qualcosa che possiedi") e una password, ("qualcosa che sai"). Se si aggiungono informazioni biometriche (iride, impronta digitale, impronta vocale, riconoscimento del volto, ecc.) abbiamo anche fattori di autenticazione che rispondono a "qualcosa che sei". Queste informazioni sono di norma protette da un sistema di autenticazione. La Carta d'identit elettronica italiana e la Carta nazionale dei servizi sono l'unico strumento di autenticazione previsto dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via transitoria, fino al 31/12/2007, sono ammesse anche altre modalit, meno sicure, come quelle basate sulla coppia nome utente e password.
Autorizzazione/controllo di accesso
il livello successivo dopo che le identit digitali sono state autenticate. Spesso la concessione dellautorizzazione coinvolge lutilizzo dellintera identit digitale in una transazione, come ad esempio il logon di un utente ad un sito. In altri casi il controllo di accesso pu abilitare o restringere laccesso ad informazioni private o consentire laccesso a servizi o prodotti a pagamento.
Riservatezza (o "confidenzialit")
la capacit del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o trasmettendo (n carta di credito, conto corrente, ecc). Questo livello di sicurezza raggiungibile con la crittografia, ma lidentit digitale che ha in s le credenziali necessarie per fare ci.
Identit digitale
87
Non-ripudio
Sempre grazie alla PKI possibile fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete. Assume due modalit: non ripudio della sorgente: prova chi il mittente dei dati in una transazione non ripudio della destinazione: prova che i dati sono arrivati ad uno specifico destinatario Generalmente il servizio di non ripudio richiesto in quelle transazioni in cui bisogna avere garanzie di avvenuta spedizione/ricezione di flussi telematici.
Reputazione
La reputazone digitale linsieme delle valutazioni (negative o positive) che si reperiscono dallanalisi sistematica, grazie allutilizzo di strumenti informatici delle opinioni che gli utenti della rete si scambiano attraverso i canali di comunicazione messi a disposizione del web 2.0. Poich le tecniche della firma digitale permettono che identit digitali effettuino transazioni in cui entrambe le identit sono attendibilmente conosciute e possono trasportare dati che non possono essere alterati, senza che ci sia palesato, diventa possibile per un'identit digitale costruirsi progressivamente una reputazione dalle relative interazioni con altre identit digitali. Ci permette che interazioni molto complesse fra le identit digitali possano diventare limitazione di ogni transazione che, come esseri umani, abbiamo individualmente o in gruppo.
Il futuro
Il concetto dell'identit digitale si evolver per includere la possibilit di esprimere tutte le varie interazioni umane in cui venga coinvolta lidentit personale. Tale evoluzione sar guidata da fattori economici, politici e sociali. L'identit digitale fornir nuovi strumenti, ma non cambier gli aspetti fondamentali di ci che l'identit. Piuttosto l'identit digitale restituir la facilit di uso e lattendibilit delle transazioni basate sullidentit che esistevano quando le interazioni erano faccia a faccia con persone che gi si conoscevano (o entrambi erano conosciute da terzi) e nel contempo tuteler la sicurezza e la responsabilit nelle transazioni.
Identit digitale
88
Collegamenti esterni
[1] Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) [2] Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it
Voci correlate
Biometria Carta d'identit elettronica Social Network Poisoning
Note
[1] http:/ / www. cnipa. gov. it/ [2] http:/ / www. interlex. it/ Testi/ dlg05_82. htm
89
Accesso a Internet
La prima cosa che bisogna in qualche modo proteggere l'accesso ad internet. Gli strumenti che sarebbe obbligo possedere sono un Firewall e un Antivirus. Se per antivirus s'intende un programma che monitorizzi l'attacco di possibili, appunto, virus, con Firewall intendiamo una specie di filtro che non permette a dati non riconosciuti come "genuini" (quindi che non abbiano una sorta di certificazione o garanzia del loro contenuto) di entrare nel nostro sistema. A tal proposito ogni volta che accediamo ad un sito, che contenga magari dei controlli dinamici (come possono essere degli script in JavaScript, PHP,...) o vogliamo scaricare un determinato tipo di file, opportuno che facciamo attenzione noi stessi sull'attendibilit del sito o file che vogliamo visualizzare. Di regola un buon sito dovrebbe esporre i propri certificati di sicurezza (pensare ai loghini che certificano il "pagamento sicuro" nei siti dove possibile acquistare on-line), mentre i file o script dovrebbero essere anche loro certificati. Se, per esempio, uno script non certificato cerca di interagire col nostro sistema, solitamente il firewall ci avvisa del suo possibile scopo maligno: sta naturalmente a noi assumere il rischio di continuare ad utilizzare tale script.
E-mail
Anche nell'uso dell'e-mail bisogna prestare attenzione. La nostra posta potrebbe infatti essere osservata da terze parti, o ancora potremmo ricevere il cosiddetto spam, o virus. Anche in questo caso esistono modi di proteggere, o almeno certificare, la nostra posta. La crittografia stato il primo passo atto a tale scopo, un altro passo invece la firma digitale, che garantisce al destinatario che il mittente del messaggio sia autentico. Anche qui esistono poi programmi o funzioni, spesso incluse nei client di posta pi usati, che monitorano l'invio di spam, riconoscendolo attraverso speciali algoritmi. Ancora un buon antivirus pu riconoscere il tentativo di un virus di nascondersi dietro una e-mail. Una buona politica, o meglio dire consuetudine, sarebbe quella di non inviare (e non aprire se non si certi della provenienza del messaggio) e-mail in formato HTML, e di esplicitare se la missiva contiene un allegato. Ci sono poi altre accortezze, come non utilizzare lo stesso nome dell'e-mail uguale a quello usato per il login, riguarda ogni tanto le vecchie mail ricevute ed inviate e cancellare le superflue, eccetera.
Incident Report
Ogni volta che il nostro computer o la nostra connessione va in crash durante una sessione in internet sarebbe opportuno denunciare il fatto attraverso dei report, spesso automatici e inclusi nei principali browser ma anche nei client di posta, in modo che il produttore del programma possa osservare e cercare di correggere il problema che potrebbe riguardare non solo un bug interno del programma ma anche una mancata difesa nei confronti di un attacco informatico o di uno script maligno.
90
Software Copyright
Un altro buon utilizzo di internet quello di utilizzare solo software per il quale si ha la licenza. Spesso infatti, nei software pirata, che si possono liberamente scaricare da internet, possono nascondersi minacce informatiche, o ancora, nel tentativo di "crackare" il programma, possono essere state disabilitate delle funzioni di sicurezza del programma.
Dati personali
Sempre pi spesso, quando accediamo ad un sito, o ad un forum o altro, ci viene richiesta una registrazione. Questo senza dubbio positivo, ma bisogna fare attenzione ad alcuni aspetti: prima cosa non divulgare (ovviamente) i nostri dati di accesso per la rete, quindi di non salvare nei moduli del browser i nostri parametri, accertandoci di cancellare i cookie, le password salvate e i moduli di ricerca una volta che chiudiamo la nostra sessione; quest ultimo dovrebbe essere fatto sempre con molto riguardo ogni qualvolta che utilizziamo un computer che non sia il nostro personale. Altro aspetto in cui fare attenzione e poi la registrazione vera e propria, nella maggior parte dei siti non serve praticamente mai dare altri dati che non siano il nostro username e la password per accedervi. Diffidate quindi di dare ulteriori informazioni come indirizzo, recapito telefonico, eccetera, a meno che non si sicuri dello scopo del sito in questione. Anche l'e-mail non sarebbe obbligatorio chiederla, richiesta nella maggior parte dei siti; infatti ogni volta che lasciamo la nostra mail per la registrazione essa viene spesso usata per essere inserita in archivi di altre aziende con lo scopo di inviarci materiale pubblicitario e altro, contribuendo cos al fenomeno dello spam.
Voci correlate
Standard di sicurezza informatica Metodologia Octave
91
Voci correlate
Cyberpunk 2020 Neuromante di William Gibson Firewall
Generalit
Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso l'invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e worm. Un IDS composto da quattro componenti. Uno o pi sensori utilizzati per ricevere le informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza. Esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle metodologie utilizzate per individuare violazioni della sicurezza. Il pi semplice IDS un dispositivo che integra tutte le componenti in un solo apparato. Un IDS consiste quindi in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a livello di rete, di trasporto o di applicazione. Due sono le categorie base: sistemi basati sulle firme (signature) e sistemi basati sulle anomalie (anomaly). La tecnica basata sulle firme in qualche modo analoga a quella per il rilevamento dei virus, che permette di bloccare
Intrusion detection system file infetti e si tratta della tecnica pi utilizzata. I sistemi basati sul rilevamento delle anomalie utilizzano un insieme di regole che permettono di distinguere ci che "normale" da ci che "anormale". importante sapere che un IDS non pu bloccare o filtrare i pacchetti in ingresso ed in uscita, n tanto meno pu modificarli. Un IDS pu essere paragonato ad un antifurto ed un firewall ad una porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino. Le attivit e i campi di applicazione di un Intrusion Detection System sono vari, al punto che spesso vengono gestiti da diversi software, che nel loro insieme provvedono ad accorgersi dei tentativi di attacco o scansione di un sistema, prevedere meccanismi di notifica e reazione secondo eventi anche proattivi in grado di bloccare sul nascere le comunicazioni con IP da cui arrivano pacchetti ostili. I meccanismi di individuazione di attivit sospette sono diversi, ma generalmente si concentrano su: verifica dei log di sistema o di specifici programmi per individuare attivit anomale; controllo dell'integrit dei file locali (modifiche sospette possono essere sintomo di una avvenuta irruzione); monitoring dei pacchetti destinati all'host, sia per reagire a pattern di attacco noti che per accorgersi di un port scan remoto, generalmente prologo di un tentativo di intrusione.
92
93
Intrusion detection system prendere delle contromisure per eliminare, o comunque isolare, la violazione. Questi due metodi hanno il grande problema di generare falsi positivi (attivit anomale che non sono intrusive, ma che vengono segnalate come tali) e falsi negativi (tutte le attivit che sono anomale e che non vengono rilevate e segnalate). L'uso di un solo metodo non pu offrire una totale sicurezza; la situazione pi grave si presenta nel caso dei falsi negativi, poich pu compromettere gravemente la sicurezza del sistema, ma anche un'eccessiva presenza di falsi positivi pu portare a un'impossibilit di utilizzo del computer per un eccesso di avvisi di intrusione infondati.
94
IDS applicativi
L'application security diversa dalla sicurezza di rete e degli host. Le applicazioni possono cambiare, ma l'obbiettivo di chi attacca sempre lo stesso: accedere a un database. La maggior parte degli IDS applicativi hanno tre componenti: il primo un sensore network-based o basato su host: un sensore di rete collegato alla porta di analisi di uno switch, configurata per analizzare tutto il traffico di un database. Un sensore host invece installato direttamente sul server applicativo. I sensori raccolgono le transazioni in SQL, le interpretano e determinano se il traffico esaminato deve generare un allarme. Se cos l'allarme viene passato al secondo componente strutturale: il console server. Questo server memorizza gli eventi registrati dai sensori ed il nodo centrale per le operazioni legate alla loro gestione, come la definizione della policy e gli aggiornamenti. Il terzo ed ultimo componente un semplice web server dal quale gli amministratori possono modificare le configurazioni dell'IDS, monitorare gli eventi in tempo reale e produrre report.
Voci correlate
Firewall
Collegamenti esterni
(EN) Prelude Hybrid IDS [1] (EN) Snort Network IDS [4] (EN) Aide Advanced Intrusion Detection Environment IDS [2] (EN) ISS RealSecure Network IDS [2] (EN) ISS Proventia Intrusion Prevention [3] (EN) Cisco Intrusion detection [4]
(EN) Demarc Sentarus Multilayered IDS/IPS [5] (EN) Enterasys Dragon Intrusion Defense [6]
95
Note
[1] [2] [3] [4] [5] [6] http:/ / www. prelude-ids. org http:/ / www. iss. net/ products_services/ enterprise_protection/ rsnetwork/ sensor. php http:/ / www. iss. net/ products_services/ enterprise_protection/ proventia/ g_series. php http:/ / www. cisco. com/ warp/ public/ cc/ pd/ sqsw/ sqidsz/ index. shtml http:/ / www. demarc. com/ products/ sentarus/ http:/ / www. enterasys. com/ products/ ids/
Voci correlate
Firewall
IS auditing
96
IS auditing
LIS Auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e documentato, condotto da personale esperto, che i sistemi informativi di unazienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne.
Storia
In inglese con audit si intende "un esame, formale e ufficiale, e una verifica di libri contabili da parte di un qualificato verificatore"; il termine deriva dal latino "auditus" in quanto originariamente i dati contabili venivano letti ad alta voce. Lauditing o Revisione contabile consiste nella attestazione da parte di una terza parte indipendente della correttezza delle registrazioni contabili (la cosiddetta "certificazione" del bilancio); l IS auditing (o EDP auditing) la parte dellauditing che si rivolge ai sistemi informativi con uno duplice scopo: verificare che i dati elaborati dai sistemi informativi siano corretti e completi; assicurare che i sistemi stessi siano affidabili e sicuri..
ISACA
ISACA lassociazione internazionale degli IS Auditor. La definizione ufficiale di ISACA di IS auditing : "l'audit dei sistemi informatici consiste nella revisione e la valutazione di tutti gli aspetti (o di uno degli aspetti) dei sistemi di elaborazione automatica delle informazioni".
Processo di Audit
Il processo di IS auditing deve essere sistematico e documentato; generalmente si compone dei seguenti passi: Analisi dei rischi Definizione degli obiettivi Pianificazione Raccolta evidenze Conclusioni e raccomandazioni Rapporto di Audit
IS auditing
97
Voci correlate
Architettura telematica
Collegamenti esterni
(EN) Informations Systems Audit and Control Association [1] (EN) le pagine dell'esame CISA sul sito di ISACA [2]
Note
[1] http:/ / www. isaca. org [2] http:/ / www. isaca. org/ cisaexam
ISO/IEC 27001
Lo Standard ISO/IEC 27001:2005 una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.
Caratteristiche
La Norma stata creata e pubblicata nell'ottobre 2005 a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida stata recepita dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni. La norma ISO 27002:2007 una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 il documento normativo di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non certificabile in quanto una semplice raccolta di raccomandazioni. Dal momento che l'informazione un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrit, la riservatezza e la disponibilit, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell'azienda. La norma applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi. L'impostazione dello standard ISO/IEC 27001 coerente con quella del Sistema di Gestione per la Qualit ISO 9001:2000 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello
ISO/IEC 27001 PDCA, utilizzo di procedure e di strumenti come audit interni, non conformit, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo. La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L obiettivo principale e quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma applicabile a tutte le imprese private o pubbliche in quanto prescinde da uno specifico settore di business o dall'organizzazione dell'azienda. Per bisogna tener presente che l'adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico che in genere coincide con lufficio Organizzazione e Qualit. Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato allinterno di un contesto di rischi legati alle attivit centrali dellorganizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessit di una singola organizzazione o di una sua parte. Il sistema progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati. Lo standard ISO 27001:2005 che come gi detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualit (es. adozione modello PDCA, filosofia del miglioramento continuo ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede: Pianificazione e Progettazione; Implementazione; Monitoraggio; Mantenimento e il miglioramento. similmente a quanto previsto dai sistemi per la gestione della qualit, per nella fase di progettazione richiede lo svolgimento di un risk assessment schematizzabile in: Identificazione dei rischi Analisi e valutazione Selezione degli obiettivi di controllo e attivit di controllo per la gestione dei rischi Assunzione del rischio residuo da parte del management Definizione dello Statement of Applicability Lultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dallorganizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualit, il sistema deve essere documentato, ma in aggiunta richiesta ampia documentazione riguardo sia lanalisi del rischio sia le procedure e i controlli a supporto dellISMS. Come per il sistema qualit lorganizzazione ISMS pu essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformit. Tra le condizioni di conformit la norma prevede la pianificazione e realizzazione di attivit di autocontrollo gestite dall'impresa, con personale proprio o esterno, purch in entrambi i casi dotato delle necessarie competenze.
98
Controlli
Di fondamentale importanza l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui, l'organizzazione che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo. L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio un'organizzazione che non attua al suo interno 'commercio elettronico' pu dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all'e-commerce.
ISO/IEC 27001
99
Privacy-Safety
La conformit alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali". La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 che la legge sulla privacy tutela dati personali, sensibili, mentre la ISO 27001 pur richiedendo che ci sia fatto, s'interessa anche dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione. Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile. Il soddisfacimento dei requisiti di legge non condizione sufficiente al test della ISO 27001. Per esempio un impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non conseguentemente corretto per le esigenze che esprime la norma ISO 27001, che si preoccupa anche della 'correttezza' dei 'dati' contenuti nei server e nei client.
Voci correlate
Sicurezza informatica Standard di sicurezza informatica ISO Lista di standard ISO Standardizzazione Ente Nazionale Italiano di Unificazione Comitato Europeo di Normazione (CEN)
Collegamenti esterni
Sito istituzionale dell'ISO [1] (EN) ISO 27001 Indice [2] Database aziende certificate in Italia [3]
Note
[1] http:/ / www. iso. org/ [2] http:/ / www. 27000. org [3] http:/ / www. accredia. it/ accredia_companymask. jsp?ID_LINK=266& area=7& ORG_SEARCH_MASK_SETTORE_ACCR=& ORG_SEARCH_MASK_ORG=& COMPANY_SEARCH_MASK_NORMA=ISO+ 27001%3A2005& COMPANY_CERTIFICATE_NAME=& COMPANY_CERTIFICATE_DATE_FROM=& COMPANY_CERTIFICATE_DATE_TO=& COMPANY_COMPANY_NAME=& COMPANY_APPL_CERT=& ORG_SEARCH_MASK_STATO=& COMPANY_SEARCH_MASK_REGIONE=& COMPANY_SEARCH_MASK_PROVINCIA=& COMPANY_SEARCH_MASK_CITTA=& submit=cerca
100
Approccio
Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare loro una probabilit di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene assegnato un valore che tiene conto della probabilit della realizzazione di determinate minacce e del valore del bene minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale. L'approccio adottatto nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del rischio. Le debolezze/criticit nella sicurezza che devono essere eliminate attraverso l'adozione delle misure raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i requisiti di sicurezza sono significativamente pi alti pu essere necessario effettuare una analisi ulteriore, pesando il costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI. Tuttavia generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure appropriate ritagliate sul caso specifico e pi stringenti. Le misure di sicurezza elencate nel manuale sono misure standard, cio misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che ragionevole adottare nelle aree di competenza.
Procedimento
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere pi semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: server, sistemi operativi, stanze server) a cui il modulo dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure gi applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
101
Certificazione
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza informatica e le misure suggerite sono compatibili con lo standard ISO 27001:2005 per cui ottenibile la certificazione ISO.
Voci correlate
Valutazione del rischio Gestione del rischio Valutazione dell'esposizione Standard di sicurezza informatica
Jingjing e Chacha
Jingjing e Chacha (paronomasia della parola cinese pinyin jngch, ovvero polizia) sono due cartoni animati, mascotte della Divisione di sorveglianza Internet dell'ufficio di pubblica sicurezza di Shenzhen. Apparsi per la prima volta sul China Youth Daily, organo di stampa della Lega della giovent comunista e ripreso il 5 gennaio 2006 dal quotidiano Shanghai Daily[3] , sono usati tra gli altri scopi per informare gli internauti cinesi su cosa o non consentito consultare o pubblicare su Internet in Cina in violazione della legge.
Note
[1] http:/ / 66110. qzone. qq. com [2] http:/ / 777110. qzone. qq. com [3] China Internet Information Center (http:/ / www. china. org. cn/ english/ government/ 154200. htm) Jingjing, ufficiale uomo della polizia Internet cinese. Il [1] suo sito personale pu essere visitato qui .
Voci correlate
Censura su Internet Censura di Internet nella Repubblica Popolare Cinese Internet nella Repubblica Popolare Cinese Crimine informatico Big mama Google China Operazione Aurora
Chacha, ufficiale donna della polizia internet cinese. Il [2] suo sito personale pu essere visitato qui .
Jingjing e Chacha
102
Collegamenti esterni
(ZH) Sito ufficiale (http://szgabm.qq.com/cgi-bin/wj/jump.cgi) (EN) Image of Internet police: JingJing and Chacha online (http://chinadigitaltimes.net/2006/01/ image-of-internet-police-jingjing-and-chacha-online-hong-yan-oaeaaioa/)
Key server
Nell'ambito della sicurezza informatica, un key server un sistema che si occupa di fornire, attraverso appositi programmi, chiavi crittografiche agli utenti che le richiedono. Le chiavi fornite quasi sempre fanno parte di un certificato digitale, solitamente in un formato standard (per esempio X.509 o PKCS), che contiene oltre alla chiave anche informazioni sul proprietario della chiave e sulla sua identit. La chiave che viene restituita dal key server la parte pubblica della chiave, da utilizzare con algoritmi di crittografia asimmetrica. I key server pi importanti e maggiormente accessibili, sparsi in tutto il mondo, sono quelli che contengono le chiavi PGP (e GPG) e le distribuiscono agli utenti di tali sistemi crittografici. Questi server quasi sempre sono mantenuti da singoli individui e forniscono un servizio "pubblico", aiutando la costruzione della rete di fiducia, il sistema su cui si basa la garanzia dell'identit in PGP. Esistono anche molti sistemi di infrastruttura a chiave pubblica proprietari che mantengono key server privati per i loro utenti.
Collegamenti esterni
MIT PGP Key Server [1] PGP GLobal Directory [2]
Note
[1] http:/ / pgp. mit. edu/ [2] http:/ / keyserver. pgp. com
103
se <indirizzo IP sorgente> == 192.168.0.5 allora SCARTA il pacchetto se <porta TCP destinazione> == 500 AND <indirizzo IP destinazione> == 192.168.4.1 allora ACCETTA il pacchetto se <indirizzo IP destinazione> appartiene alla rete 10.0.5.0/24 allora SCARTA il pacchetto se <protocollo> != TCP allora SCARTA il pacchetto
Ciascun apparato avr poi una particolare sintassi per configurare una ACL. Su un router realizzato con GNU/Linux, il nostro esempio suoner pi o meno cos:
iptables --policy FORWARD DROP iptables -A FORWARD --source 192.168.0.5 -j DROP iptables -A FORWARD -p tcp -m tcp --destination-port 500 --destination 192.168.4.1 -j ACCEPT iptables -A FORWARD --source 10.0.5.0/24 -j DROP iptables -A FORWARD --protocol ! TCP -j DROP
Su un router Cisco, sar: access-list access-list access-list access-list access-list 100 100 100 100 100 deny ip host 192.168.0.5 any permit tcp any gt 500 host 192.168.4.1 deny ip any 10.0.5.0 0.0.0.255 permit tcp any any deny ip any any regola implicita
104
Voci correlate
Cacls SACL
Collegamenti esterni
Cosa sono le ACL [1] Cisco: maggior sicurezza alla vostra rete con ACLs per bogus e blackholes [2] Tutorial di base sulle ACL standard e estese di Cisco [3]
Note
[1] http:/ / www. areanetworking. it/ index_docs. php?title=Cosa_sono_le_ACL [2] http:/ / www. areanetworking. it/ index_docs. php?title=Cisco:_maggior_sicurezza_alla_vostra_rete_con_ACLs_per_bogus_e_blackholes [3] http:/ / www. valent-blog. eu/ access-control-list. html
Login
Login il termine inglese pi esatto per indicare la procedura di accesso ad un sistema o un'applicazione informatica. Proviene dalla contrazione di log in, entrata nel log, il registro cronologico degli eventi tipico di qualsiasi sistema informativo. Altri termini corrispondenti sono: logon, log on, signon, sign on, sign in. Il login, noto anche come procedura di autenticazione, uno dei pilastri fondamentali della sicurezza e della riservatezza nelle applicazioni informatiche.
Una classica schermata di ingresso (logon) ad un sistema Linux dotato di interfaccia utente grafica (nello specifico KDE)
Login registro degli eventi (log), su cui viene segnata la cronologia degli accessi. A questo insieme di informazioni, che possiamo considerare minime, possono essere aggiunti dati anagrafici, preferenze di lavoro, ecc. Il tutto usualmente denominato account utente.
105
Procedura di accesso
Procedura base, con interfaccia testuale 1. Il sistema richiede il nome utente (in inglese username o userid) 2. Colui che desidera entrare digita il proprio nome utente 3. Il sistema verifica che tale nome utente sia compreso tra quelli previsti. In caso positivo richiede la parola chiave abbinata; in caso negativo risponde con un messaggio di errore e rifiuta l'accesso. 4. L'utente, gi riconosciuto digita la parola chiave (o password)
5. Il sistema verifica che tale parola chiave corrisponda a quella memorizzata al suo interno: in caso positivo concede l'accesso, segnalando la possibilit di ricevere altri comandi, in caso negativo risponde con un messaggio di errore e rifiuta l'accesso. Procedure pi sicura, sempre con interfaccia testuale Il sistema richiede il nome utente (detto username o userid) Colui che desidera entrare digita il proprio nome utente Il sistema chiede la password o parola d'ordine dell'utente L'utente digita la password Se uno dei due dati forniti sbagliato, il sistema segnala l'errore ma non segnala invece se esso sia presente nel nome utente o nella password, in modo da rendere difficoltoso indovinare il nome utente e la password. Procedura con interfaccia grafica Esegue le stesse funzioni, ma raccoglie in un unico passaggio la richiesta di nome utente e password, ad esempio con il tipico form delle applicazioni web. In caso positivo il sistema risponde generalmente con un men generale o pagina di benvenuto all'interno del sistema o dell'applicazione, o del sito web. Anche in modalit grafica sono previste procedure semplificate e meno protette. Ad esempio, il nome utente pu essere scelto da una lista oppure il sistema propone automaticamente il nome di un utente predefinito. In molti casi, per motivi di sicurezza / riservatezza, la parola chiave residente nel sistema crittografata; anche quella digitata dall'utente che richiede l'accesso viene crittografata se il login avviene da remoto. Quando viene digitata, la password non appare sullo schermo: al suo posto appaiono dei pallini neri, degli asterischi o altri simboli. A volte non appare niente, per non rivelare la lunghezza della password. Allo stesso scopo, talvolta il numero di simboli viene modificato dal sistema. 1. 2. 3. 4. 5.
Login
106
Bibliografia
L'elenco sottostante composto da soli testi su UNIX, in quanto ambiente nato come multiutente e con molte informazioni pubbliche. 1. Brian W. Kernighan, Rob Pike: "The UNIX Programming Environment", 1984, Prentice-Hall. ISBN 0-13-937681-X. 2. S. R. Bourne: "The UNIX System", 1983, Addison-Wesley. ISBN 0-201-13791-7. 3. Maurice J. Bach: "The Design of the UNIX Operating System", 1986, Prentice-Hall. ISBN 0-13-201757-1. (Traduzione italiana "UNIX: architettura di sistema", 1988, Jackson). 4. Henry McGilton, Rachel Morgan: "Introducing the UNIX System", 1983, McGraw-Hill. (Traduzione italiana "Il sistema operativo UNIX", 1986, McGraw-Hill Libri Italia, ISBN 88-386-0603-X). (Versione Berkeley). 5. S. G. Kochan, P. H. Wood: "UNIX Shell Programming", 1985, Hayden. 6. Stephen Prata: "Advanced UNIX: A programmer's Guide", The Waite Group, 1985, Howard W. Sams & Company (Macmillan). ISBN 0-672-22403-8. 7. Bill Courington: "The UNIX System: a Sun Technical Report", 1985, Sun Microsystems Inc. 8. "System V Interface Definition: Issue 2" 1986, AT&T (3 volumi). ISBN 0-932764-10-X. 9. Rebecca Thomas, Lawrence R. Rogers, Jean L. Yates: "Advanced Programmer's Guide to UNIX System V", 1986, McGraw-Hill. ISBN 0-07-881211-9.
Voci correlate
Account Autenticazione Crittografia Log Logout Nome utente Password Sicurezza informatica
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Login
Metodo Gutmann
107
Metodo Gutmann
Il Metodo Gutmann un algoritmo proposto da Peter Gutmann da utilizzarsi per cancellare totalmente i contenuti di una sezione di un disco per computer (come ad esempio un file o un settore) per motivi di sicurezza.
Metodo
La funzione di cancellazione nella maggior parte dei sistemi operativi segnala semplicemente che lo spazio occupato dal file disponibile per il riutilizzo, senza eliminarne effettivamente i contenuti (ad esempio eliminando il puntatore al file). A questo punto il contenuto del file pu essere recuperato facilmente da molte applicazioni per il recupero dei dati. Tuttavia, una volta che lo spazio viene sovrascritto con altri dati, non esistono modi noti semplici per recuperare i dati precedenti. Non possibile recuperare dati con il solo utilizzo di software, siccome la periferica restituisce i propri contenuti solo attraverso la propria normale interfaccia di comunicazione. Gutmann afferma che i servizi di sicurezza hanno strumenti avanzati, tra cui microscopi elettronici i quali, uniti a strumenti di analisi delle immagini, possono rilevare lo stato precedente dei bit nell'area interessata della periferica (ad esempio un disco fisso). L'algoritmo prevede la scrittura sul disco di una serie di schemi di bit, pensati per attaccare uno degli schemi di codifica per supporti magnetici esistente. La scelta degli schemi parte dal presupposto che l'utente non conosca l'algoritmo di codifica dei dati utilizzato dal disco, e quindi contiene schemi progettati specificamente per tutte le codifiche conosciute. Un utente che conosca il metodo di codifica pu selezionare solo gli schemi pensati espressamente per il proprio disco. Una sessione di sovrascrittura costituita da un preambolo di quattro schemi di scrittura casuali, seguiti dagli schemi 5-31 eseguiti in ordine casuale, e si conclude con altri quattro schemi casuali. Ciascuno degli schemi 5-31 stato progettato tenendo conto di uno specifico schema di codifica per supporti magnetici, che viene attaccato dallo schema. Il risultato finale un rimescolamento dei dati sul disco sufficiente a fare s che anche la scansione fisica pi approfondita difficilmente sar in grado di recuperare qualunque dato utile. La serie degli schemi la seguente:
01010101 01010101 01010101 55 55 55 10101010 10101010 10101010 AA AA AA 10010010 01001001 00100100 92 49 24 01001001 00100100 10010010 49 24 92 00100100 10010010 01001001 24 92 49 00000000 00000000 00000000 00 00 00 00010001 00010001 00010001 11 11 11 00100010 00100010 00100010 22 22 22
Metodo Gutmann
108
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asuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (2,7) RLL MFM (2,7) RLL MFM (2,7) RLL MFM (2,7) RLL (2,7) RLL (2,7) RLL MFM MFM
13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35
Critiche
Gutmann ha ricevuto critiche per avere asserito che i servizi di sicurezza nazionali riescono con ogni probabilit a leggere dati sovrascritti.[1] Non stato provato in alcun modo che questo sia possibile, e non esistono prove pubbliche che i servizi di sicurezza governativi e non, siano in grado di recuperare file i cui settori sono stati sovrascritti. Le aziende specializzate nel recupero dei dati da periferiche danneggiate non sono in grado di recuperare file completamente sovrascritti. Queste aziende si specializzano nel recupero di informazioni da dispositivi che sono stati danneggiati da incendi, acqua, o altri danni simili. Nessuna azienda di recupero dati afferma di essere in grado di ricostruire dati completamente sovrascritti. Lo stesso Gutmann ha risposto ad alcune di queste critiche e ha criticato nell'epilogo del suo lavoro originale come ci siano stati abusi del suo algoritmo. Citando tale epilogo:
Metodo Gutmann
109
Nel periodo seguente la pubblicazione di questo lavoro, alcuni hanno trattato l'algoritmo di sovrascrittura a 35 passi pi
come una incarnazione voodoo per scacciare gli spiriti maligni che come una analisi tecnica dei metodi di codifica dei dischi. Come risultato, suggeriscono di utilizzare il rito voodoo ai dischi PRML ed EPRML anche se non avr alcun effetto al di fuori di una sovrascrittura casuale dei dati. In realt, utilizzare l'intero algoritmo a 35 passi insensato per qualunque disco, siccome questo attacca un insieme di scenari che includono tutti i tipi di codifica (utilizzati normalmente), che copre qualunque tecnica utilizzata da oltre 30 anni a questa parte. Se state utilizzando un disco che utilizza la tecnologia di codifica X, necessario eseguire solo i passi specifici per X, e non c' mai alcun bisogno di eseguire tutti i 35 passi. Per qualunque disco PRML/EPRML moderno, alcuni passi di scrittura casuale il meglio che si possa fare. Come la ricerca dice chiaramente, "una bella sovrascrittura con dati casuali otterr i risultati che ci si aspetta. Questa affermazione era vera nel 1996, ed tuttora vera
Implementazioni software
CCleaner - Software Freeware che nelle ultime versione esegue la cancellazione dei file indesiderati tramite il metodo Gutmann solo su richiesta. Eraser - Software Open-source gratuito che utilizza il metodo Gutmann Utility Disco - Software fornito con Mac OS X che cancella i contenuti di un disco utilizzando l'algoritmo di Gutmann. Tune Up Utilities [2] (versione 2007 e seguenti) utilizza tra gli altri anche l'algoritmo di Gutmann per l'eliminazione sicura dei file. DBAN [3] - Un altro software open-source di cancellazione che supporta tutti i dischi fissi esistenti. Supporta, fra gli altri, anche l'algoritmo di Gutmann. Advanced SystemCare - software che permette di utilizzare oltre al metodo Gutmann, la sovrascrittura dei files da cancellare con lo 0 e in alternativa l'eliminazione con lo standard DoD 5220.22-M.
Collegamenti esterni
La ricerca originale di Gutmann: "Secure Deletion of Data from Magnetic and Solid-State Memory" [4] Can Intelligence Agencies Read Overwritten Data? [5], una critica alle asserzioni di Guttman.
Note
[1] Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. (http:/ / www. nber. org/ sys-admin/ overwritten-data-gutmann. html) [2] http:/ / www. tune-up. com/ products/ tuneup-utilities/ [3] http:/ / www. dban. org/ download/ [4] http:/ / www. cs. auckland. ac. nz/ ~pgut001/ pubs/ secure_del. html [5] http:/ / www. nber. org/ sys-admin/ overwritten-data-guttman. html
Metodologia Octave
110
Metodologia Octave
La metodologia Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation) una delle principali metodologie di analisi del rischio utilizzate attualmente. Oggigiorno proteggere i sistemi informatici ed essere in grado di conoscere i principali pericoli che essi corrono senza dubbio diventata una priorit. Le politiche di sicurezza (Security Policy) adottate a tal fine rappresentano l'insieme di regole e procedure che hanno come finalit la sicurezza di un sistema. Per un sistema informatico le security policy indirizzano infatti tutte quelle procedure finalizzate alla protezione dei dati, alla corretta gestione del flusso informativo per il personale autorizzato, alla restrizione di accessi al sistema dall'esterno. Octave un sistema di strategie basate sul rischio e di tecniche di pianificazione per la Sicurezza Interna Aziendale, realizzato dal CERT (Computer Emergency Response Team). particolarmente indicato per tutte le aziende che desiderano conoscere fino in fondo quali siano i propri bisogni di sicurezza.
Le sue caratteristiche
Octave possiede alcune caratteristiche che lo rendono affidabile e allo stesso tempo utilizzabile con profitto dalla maggior parte delle aziende: Auto-Regolato: frutto della collaborazione tra manager esperti nel ramo degli affari e informatici della stessa azienda. Il gruppo, inoltre, sfrutta la conoscenza e lesperienza di molti impiegati per definire lo stato della sicurezza, i rischi per i beni principali dellazienda, e per pianificare quindi le dovute strategie; Flessibile: pu essere adattato alle esigenze di numerose aziende diverse; Diverso dalle tipiche Metodologie Concentrate sulla Tecnologia: si focalizza sul rischio organizzativo e strategico e su argomenti di interesse pratico.
Le fasi di Octave
Octave agisce attraverso tre fasi:
Fase 1
Tracciare profili delle minacce rivolte ai beni: In questa fase, che riguarda lazienda nella sua totalit, ci si propone di identificare gli "Asset" (le risorse, i beni) principali dellazienda, le minacce a queste risorse e in che misura esse vadano protette. Si cerca anche di comprendere quali strategie di protezione lazienda stia mettendo in atto al momento in cui questanalisi viene compiuta, e quali siano i punti deboli di tali strategie.
Metodologia Octave
111
Fase 2
Identificare i punti Deboli delle Infrastrutture Informatiche: Questa fase si configura come un esame delle Principali Componenti Operative dei Sistemi Informatici, per evidenziarne eventuali pericolose Debolezze.
Fase 3
Sviluppare Piani e Strategie di Protezione: In questa ultima fase vengono analizzati i Rischi. Le informazioni raccolte nelle due precedenti fasi sono analizzate per identificare quali siano gli effettivi Rischi per lazienda, e per valutare limpatto che tali rischi potrebbero avere sulla mission dellazienda. Inoltre, vengono sviluppate delle Strategie di Protezione e dei Piani di Ammortizzamento nei confronti dei rischi pi elevati.
Voci correlate
Internet Security Policy
Collegamenti esterni
(EN)CERT [1]
Note
[1] http:/ / www. cert. org/ octave/
Microsoft Strider
Microsoft Strider Search Defender un software creato da Microsoft, per arginare il fenomeno del Comment Spamming, ovvero la forma di spam che consiste nell'inserire link a pagine pubblicitarie in blog, newsgroup, etc.
Funzionamento di Strider
Per rendere i propri link maggiormente appetibili, gli spammer creano delle "doorway pages" su siti web conosciuti: quando un utente clicca su uno di questi indirizzi, il browser rimanda alle pagine pubblicitarie. Stinger effettua una precisa verifica degli indirizzi che sono presenti nelle pagine web di pubblico accesso.
Modello Bell-LaPadula
112
Modello Bell-LaPadula
Il Modello di riservatezza di Bell-La Padula (BLP) stato definito tra il 1973 e il 1976 da David Elliott Bell e Len LaPadula. Inizialmente, stato sviluppato per soddisfare le esigenze del Dipartimento della Difesa Americano (Department of Defense - DOD), relative all'accesso alle informazioni, mentre, successivamente, stato principalmente rivolto alla riservatezza delle stesse. Rappresenta, comunque, uno dei pi importanti modelli di sicurezza applicabili ai sistemi operativi e alle basi di dati.
Caratteristiche
Il modello Bell-LaPadula si concentra su riservatezza di dati e accesso a informazioni classificate, in contrasto con il Modello d'integrit BIBA che descrive regole per la protezione di integrit dei dati. In questo modello formale, le entit in un sistema informativo sono divise in soggetti e oggetti. Ai soggetti sono assegnati i clearance levels; Agli oggetti sono assegnati i sensitivity levels. I clearance levels come i sentitivity levels sono chiamati access classes. Una classe di accesso (access class) consiste di due componenti: 1. security level: un elemento basato sull'ordinazione, costituito da una classificazione (classification) gerarchica ( TopSecret > Secret > Confidential > Unclassified ); 2. category set: un insieme di categorie dipendenti dall'applicazione in cui i dati sono usati; non gerarchico, indica il settore di appartenenza. (ES: posta elettronica, prodotti commerciali, centrali atomiche ecc.). Ogni soggetto pu inoltre accedere ai vari oggetti secondo modi di accesso (access modes) detti: Read: per la sola lettura; Append: per l'aggiunta (senza lettura); Execute: l'esecuzione (per i programmi); Write: la lettura-scrittura.
Stato Sicuro
Il concetto di uno Stato Sicuro definito ed provato dal fatto che ogni transizione preserva la sua sicurezza spostandosi da stato sicuro ad un altro stato sicuro. Il passaggio da uno stato a un altro stato definito da funzioni di transizione. Uno stato di sistema definito sicuro se tutti i modi di accesso dei subjects and objects sono conformi alla politica di sicurezza. Per determinare se un modo di accesso specifico permesso, la clearance paragonato alla classificazione dell'object (pi precisamente: la combinazione di classificazione e l'insieme di compartimenti compongono il livello di sicurezza) per determinare se il soggetto autorizzato a quello specifico modo di accesso. Lo schema di accesso/classificazione espresso in termini di un reticolo. Ogni operazione richiesta controllata da un reference monitor, e la sua esecuzione concessa se, e solo se, lo stato risultante in cui si verrebbe a trovare il sistema sia sicuro, ovvero soddisfi tutte le propriet del modello. Il modello definisce due regole obbligatorie del controllo accessi (MAC) e una regola discrezionale di controllo accessi (DAC) con tre propriet sulla sicurezza: 1. Il Simple Security Property (SS-property): dichiara che possibile che un soggetto possa accedere ad un oggetto solo se il suo livello di sicurezza maggiore od uguale a quella dell'oggetto; (quindi: no read up); 2. Il Star-Property (S-property): dichiara che un soggetto pu accedere all'oggetto solo per operazioni di append se ha un livello inferiore (rispetto all'oggetto), per operazioni di write se ha un livello uguale e per operazioni di read se ha un attuale livello di sicurezza superiore a quello dell'oggetto; (quindi no write-down);
Modello Bell-LaPadula 3. Il Discretionary Security Property (DS-property): utilizza una matrice di accesso per specificare il controllo accessi discrezionale; cio ogni soggetto pu esercitare solo gli accessi per cui ha la necessaria autorizzazione. Queste regole insieme servono ad evitare che le informazioni possano propagarsi senza controllo da parte del proprietario, e sono lo strumento per impedire che il sistema possa essere espugnato da un trojan horse (Cavallo di Troia: virus nascosto in un programma che penetra tramite il programma in un computer). Il trasferimento di informazioni da un paragrafo high-sensitivity a un documento lower-sensitivity pu avvenire nel modello Bell-LaPadula per mezzo del concetto di soggetti di fiducia. Subjects di fiducia non sono limitati dalla propriet. A Subjects di fiducia deve essere mostrato e testato affinch possa essere dichiarato affidabile in merito alla politica di sicurezza. Con Bell-LaPadula, gli utenti possono creare contenuto solo sopra il loro personale livello di sicurezza (i ricercatori Secret possono creare file Secret o Top-Secret ma non possono creare file Public): nessun write-down. Al contrario, gli utenti possono esaminare contenuto solo sotto il loro personale livello di sicurezza (i ricercatori Secret possono esaminare file Public o Secret, ma non possono esaminare file Top-Secret): nessun read-up.
113
Transizioni di stato
Attraverso specifiche operazioni lo stato del sistema pu subire delle transizioni. Le transizioni di stato consentite all'interno del modello di Bell-LaPadula sono: Create object: attiva un oggetto inattivo rendendolo accessibile; Delete object: disattiva un oggetto attivo. l'operazione inversa alla precedente; Get access: quando un soggetto guadagna l'accesso ad un oggetto; Release access: quando il soggetto termina l'accesso bisogna. l'operazione inversa alla precedente; Give access: permette che i diritti di accesso ad un oggetto possano essere propagati da un soggetto ad un altro. L'operazione viene eseguita solo se rispetta le politiche di sicurezza; Rescind access: revoca un accesso precedentemente garantito con l'operazione precedente. Affinch questa operazione possa essere eseguita, il soggetto richiedente deve avere il permesso di scrittura sul genitore dell'oggetto interessato; Change subject security level: cambia l'attuale livello di sicurezza. Il nuovo livello deve essere inferiore della clearance attribuita inizialmente al soggetto; Change object security level: ha l'effetto di attribuire un nuovo valore alla funzione 'f' dell'oggetto inattivo; tale livello pu solo essere aumentato, e non deve mai superare la clearance del soggetto richiedente il cambiamento.
Voci correlate
Modello Biba Modello Clark-Wilson Modello Brewer e Nash
Modello Bell-LaPadula
114
Collegamenti esterni
AIPSI [1]
Note
[1] http:/ / aipsi. org/
Modello Biba
Il modello di integrita Biba venne sviluppato nel 1977 da K.J. Biba del M.I.T., per aggirare le debolezze del modello di protezione per sistemi operativi di computer denominato modello di riservatezza di Bell-LaPadula quale non prevedeva la possibilit di eliminazione implicita degli oggetti di sicurezza scritti da loro. Il modello di Biba comprendeva tre politiche, di cui una era il doppio matematico del modello Bell-LaPadula, ed il sistema consiste in una serie di soggetti, oggetti e livelli di integrit. In generale, preservare l'integrit aveva tre obbiettivi: Prevenire la modifica dei dati da oggetti non autorizzati; Prevenire modifiche non autorizzate ai dati da oggetti autorizzati; Mantenere la consistenza interna ed esterna (es.: dati che rispecchino il mondo reale). Il modello Biba implementa le protezioni definendo una serie ordinata di livelli di integrit per i soggetti e gli oggetti, rispettando la regola del: leggere sopra e scrivere sotto: Questo significa che un soggetto che si trova al livello di integrit X pu leggere solo oggetti allo stesso livello o superiore (assioma di integrit semplice); Similarmente, un soggetto al livello di integrit X pu scrivere solo oggetti allo stesso livello o di livello pi basso (assioma di integrit "*"); Un soggetto al livello di integrit X pu chiamare solo un altro soggetto che si trovi allo stesso livello di integrit o pi basso.
Voci correlate
Modello Bell-LaPadula Modello Clark-Wilson Modello Brewer e Nash
115
Lettura
Un soggetto S pu leggere un oggetto O se: l'oggetto O in un CD di cui il soggetto ha gi letto qualcosa, oppure l'oggetto O appartiene ad una COI di cui il soggetto non ha letto ancora niente, oppure l'oggetto O appartiene alla stessa COI di un altro CD ma di tipo pubblico. In parole povere il soggetto S pu leggere tutti gli oggetti O appartenenti a COI diverse.
Scrittura
Un soggetto S pu scrivere un oggetto O se: l'oggetto O, appartenente ad un determinato CD, pu essere anche letto; il soggetto S non ha mai letto altri O di altri CD nello stesso COI. In parole povere il soggetto S, una volta che scrive in un CD, non pu pi leggere O di altri CD nello stesso COI; allo stesso modo, nel momento in cui legge oggetti O appartenenti a diversi COI, non pu pi scrivere nei COI letti.
116
Voci correlate
Modello Bell-LaPadula Modello Biba Modello Clark-Wilson
Modello Clark-Wilson
Il modello Clark-Wilson venne sviluppato nel 1987 da due studiosi: David D. Clark e David R. Wilson. Questo modello rappresenta un'alternativa al Modello Biba dell'integrit.
Scenario
L'integrit del modello definita tramite un insieme di vincoli, e questo in uno stato consistente se il modello soddisfa i vincoli. Clark-Wilson identifica due meccanismi principali per rafforzare l'integrit e il controllo degli accessi:
Transazioni
Le transazioni ben formate preservano l'integrit di dati e prevengono che utenti li manipolino arbitrariamente. Una transazione di questo tipo costituita da una serie di operazioni che muovono il sistema da uno stato consistente ad un altro stato consistente. In questo ambito le transazioni sono una serie di operazioni che consentono di far passare da uno stato consistente ad uno consistente, anche se questa non andata a buon fine, in quanto deve essere presente un meccanismo di rollback.
Il modello
Alla base del sistema abbiamo quattro entit di base: CDI: entit o dati soggetti a vincoli d'integrit (constrained data item); UDI: entit o dati non soggetti a vincoli d'integrit (unconstrained data item); IVP: procedure che controllano i vincoli d'integrit (integrity verification procedures); TP: procedure di trasformazione che portano il sistema da uno stato valido ad un altro stato valido (transformation procedures).
Modello Clark-Wilson
117
Le regole
In questo contesto vengono indicate regole di certificazione (Certification rules) e regole di rinforzo (Enforcement rules): CR1: Se un IVP eseguito, deve assicurarsi che tutti i CDI siano in uno stato valido. CR2: Una TP deve trasformare un insieme di CDI da uno stato valido ad uno stato valido. ER1: Il sistema deve garantire che solo le TP certificate ad operare su determinati CDI svolgano operazioni su di essi. ER2: Il sistema deve associare ad ogni TP il CDI su cui pu lavorare e l'utente per conto del quale pu lavorare su tale CDI. CR3: Le relazioni di permesso devono essere basate sulla separazione dei compiti. ER3: Il sistema deve autenticare ogni utente che vuole utilizzare una TP. CR4: Tutte le TP devono scrivere in appositi CDI di solo accodamento, tutte le operazioni sufficienti a ricostruire le operazioni svolte. CR5: Ogni TP che prende in input un UDI pu eseguire solo trasformazioni valide, oppure nessuna trasformazione. ER4: Solo chi certifica un TP pu cambiare la liste delle entit associata a tale TP.
Voci correlate
Modello Bell-LaPadula Modello Biba Modello Brewer e Nash
MS-CHAP
In informatica l' MS-CHAP (acronimo di Microsoft Challenge-Handshake Authentication Protocol) un protocollo di autenticazione. MS-CHAP un protocollo sviluppato da Microsoft deriva direttamente dal CHAP ed stato modificato per integrare la funzionalit di autenticazione basate sulla cifratura, tra Pc in reti windows. MS-CHAP eredita dal CHAP il meccanismo di challenge-response per autenticare attraverso una password il client verso il server. Il server di autenticazione diversamente dal CHAP non ha necessit di memorizzare la password neanche in formato cifrato, e gli algoritmi utilizzati per il processo di cifratura e per quello di hashing sono rispettivamente il DES (Data Encryption Standard) e l'MD4 (Message Digest 4). Microsoft, in questo [1] articolo, ha dichiarato obsoleto questo protocollo, escludendolo di fatto dai protocolli presenti in Windows Vista, sostituendolo con la nuova versione dello stesso.
MS-CHAP
118
Voci correlate
MS-CHAPv2
Collegamenti esterni.
RFC 1994 "PPP Challenge Handshake Authentication Protocol". RFC 2433 "Microsoft PPP CHAP Extensions" RFC 1320 "MD4 Message Digest Algorithm".
Note
[1] http:/ / support. microsoft. com/ kb/ 926170/ en-us
MS-CHAPv2
MS-CHAP versione 2 deriva dal protocollo MS-CHAP. In MS-CHAPV2 il processo di autenticazione reciproco, il client e il server si presentano e il server deve dimostrare al client che in grado di accedere al database dove contenuta la password dell'utente che sta tentando la connessione. In linea di massima i passi compiuti dal processo di autenticazione sono: 1. Il client contatta il server e stabilisce una sessione. 2. Il server di autenticazione invia al client un messaggio composto da: 1. un identificatore della sessione(IdS) 2. una stringa pseudocasuale (A). 3. Il client riceve il messaggio dal server e invia una risposta composta da: 1. Username 2. Una stringa fittizia(B). 3. La stringa pseudocasuale(A), lidentificativo di sessione (IdS), la password utente tutto cifrato. 4. Il server riceve il messaggio dal client lo verifica e invia la relativa risposta composta da: 1. Lesito del tentativo di connessione. 2. La stringa fittizia(B) e la password utente tutto cifrato. 5. Il client riceve la risposta e se avvenuta lautenticazione utilizza la sessione altrimenti interrompe la connessione. Rispetto al MS-CHAP lMS-CHAP v2 pi sicuro, questo perch: 1. Ogni volta che l'utente si collega generata una chiave per crittografare i dati basata sia sulla password utente sia su una stringa casuale. Nella versione v1 essendo la chiave generata solo a partire dalla password la chiave di crittografia sempre la stessa. 2. I dati inviati e quelli trasmessi sono cifrati con chiavi generate separatamente e non come nella versione v1 dove la chiave era sempre la stessa.
Collegamenti esterni
RFC 2759 "Microsoft PPP CHAP Extensions, Version 2"
Negazione plausibile
119
Negazione plausibile
Negazione plausibile, tradotto dall'inglese plausible deniability, il termine usato per indicare un'azione o un dato non riconducibile al proprio autore. Viene usata in due contesti: nel contesto politico e nel contesto di sicurezza informatica.
Negazione d'esistenza
Per proteggere gli utilizzatori di filesystem cifrati da attacchi basati sulla tortura, il software FreeOTFE crea volumi cifrati in due modalit: utilizzando un file dedicato all'interno del filesystem o utilizzando dello spazio non inizializzato all'interno di un disco. La prima modalit analoga ad altri sistemi di filesystem cifrati: loop-aes, dm-crypt, filevault. L'utente decide di creare un disco cifrato di una certa dimensione, questa dimensione viene allocata in un file su filesystem. Il file cifrato, e il software di cifratura decifra il file come se fosse un disco fisico. in questo modo l'utente puo' accedere al filesystem solo quando il software viene sbloccato da password. La seconda modalit non utilizza un file allocato, ma dello spazio non allocato sul disco. Questo causa che ad un'analisi dei settori non utilizzati, risulti una porzione di dati cifrati, facendo quindi intuire all'analista la presenza di un disco cifrato nascosto. Quando un disco cifrato viene inizializzato, gli spazi non utilizzati vengono riempiti di dati random, cos un utente pu creare un disco cifrato sul proprio filesystem utilizzando un file allocato, mettere dei dati, e nello spazio non utilizzato creare un disco nascosto. In questo modo un'analisi dei settori non utilizzati all'interno del disco cifrato non dar alcun risultato differente da quello aspettato, perch le propriet statistiche di un file cifrato e di dati random sono pari. L'utente gode di negazione plausibile nei confronti di chi, una volta chiesta la password (e consegnatagli dall'utente) necessaria per accedere al primo filesystem, non potr dire con certezza che altri dati sono cifrati nei settori nascosti. I dati inseriti nel primo filesystem saranno acceduti.
Negazione plausibile
120
Ripudiabilit di creazione
Questo tipo di protezione stato implementato da OTR (Off The Records) riferito alla terminologia giornalistica. OTR un protocollo di cifratura per Instant Messaging, una volta scambiata la chiave tra i due utenti, che possono autenticarsi reciprocamente, i dati non sono pi firmati digitalmente. In questo modo si pu comunicare con riservatezza, e nel caso l'attaccante dovesse decifrare il contenuto dei messaggi, l'autore potrebbe sostenere di non essere stato lui a produrli, ma un terzo in possesso della chiave.
Netcraft
Netcraft una societ di monitoraggio della rete internet con sede a Bath in Inghilterra. Netcraft fornisce analisi sui server web e il mercato dell'hosting, inclusi la rilevazione di web server e sistemi operativi, e il loro servizio in alcuni casi consiste nel monitorare l'uptime. Offre anche verifiche di sicurezza e pubblica novit sullo stato di varie reti che compongono internet. Queste statistiche sono ampiamente considerate e ritenute rilevanti dalla stampa internet. La societ famosa per la sua barra gratuita anti-phishing per Firefox e Internet Explorer. Uno studio commissionato da Microsoft concluse che la barra di Netcraft tra i pi efficaci strumenti per combattere il phishing su Internet.
Collegamenti esterni
Sito di Netcraft [1] La barra di Netcraft per Firefox o Internet Explorer per Windows 2000/XP [2]
Note
[1] http:/ / www. netcraft. com [2] http:/ / toolbar. netcraft. com/
121
Funzionamento
Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in: Pattern Matching: l'abilit del NIDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto IPv4, TCP, la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme". Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e algoritmi matematici che si rifanno alle RFC e ai loro standard. Se uno o pi flussi non rispettano gli standard, il sistema segnala l'errore con il consueto allarme. Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticit, ad esempio Low, Medium, High; spesso si presentano dei falsi positivi, ovvero eventi che in realt non costituiscono un pericolo per i sistemi informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. In genere i sensori di rete che comunicano con il server centralizzato del NIDS effettuano un monitoring full-duplex passivo della rete, posizionati dietro un network tap, brutalmente definibile come un 'rubinetto' che regola il traffico e che si preoccupa di far rimanere la sonda invisibile sulla rete. Affinch i sensori lavorino correttamente devono essere sottoposti ad un continuo aggiornamento delle signatures per contrastare le vulnerabilit pi recenti. I moderni NIDS lavorano sempre con dei Firewall, a tal scopo stanno prendendo sempre pi piede nel settore commerciale gli IPS, intrusion prevention system, che oltre a fornire il controllo sui flussi, procedono ulteriormente bloccando quelli non autorizzati.
Pro e Contro
In un sistema informatico che implementa valide politiche di sicurezza, un buon sistema di incident response e che adotta firewall, antivirus e tutte le pi moderne misure di sicurezza, i NIDS giocano un ruolo fondamentale, in quanto: analizzano il payload dei pacchetti identificando il traffico anomalo; danno informazioni sulle scansioni che la rete ha ricevuto; permettono di ricevere allarmi real-time; evidenziano eventuali errori nella configurazione del sistema; evidenziano eventuali vulnerabilit della rete; permettono di monitorare il comportamento degli utenti interni alla rete; segnalano se qualche altra misura di sicurezza, come il firewall o lantivirus, non ha funzionato correttamente; rilevano eventuali attacchi provenienti dalla rete interna verso la rete esterna; rilevano la presenza di eventuali worm che cercano di inviare informazioni allesterno della rete;
effettuano il monitoraggio delle risorse condivise utilizzate; permettono di capire quali misure preventive adottare al fine di evitare eventuali attacchi futuri; sono difficili da rilevare in quanto agiscono passivamente.
Network intrusion detection system Le ampie funzionalit descritte hanno portato alcuni amministratori di rete a pensare che i NIDS siano in grado di segnalare e risolvere qualsiasi problema di sicurezza. Paradossalmente, pensare che i NIDS garantiscano totale sicurezza date le loro enormi potenzialit, pu risultare controproducente in quanto ci genererebbe un falso senso di sicurezza. Non esiste, infatti, n totale sicurezza, n un unico prodotto che permetta di essere totalmente sicuri. Anche se i NIDS sono sicuramente necessari a garantire un buon livello di sicurezza del sistema, da soli non sarebbero sufficienti in quanto: non sostituiscono lesistente staff di sicurezza in quanto necessitano di costante monitoraggio; non individuano attacchi che sfruttano vulnerabilit non ancora rese pubbliche detti 0-day; agiscono passivamente, ovvero non bloccano il traffico dannoso anche se possono essere configurati per interagire con un firewall; quando c una grande quantit di traffico da processare, possibile che vengano persi dei pacchetti, con conseguente fallimento nella rilevazione di un attacco; non possono analizzare informazioni criptate; identificano un tentativo dattacco ma non rilevano se questo riuscito; presentano problemi nel gestire attacchi che utilizzano pacchetti frammentati; incrementando il numero delle firme, pu essere ridotta lefficenza del NIDS; richiedono notevoli risorse in termini di spazio per larchiviazione dei log; non sostituiscono gli altri meccanismi di protezione. Da quanto detto, emerge che i NIDS sono necessari ad aumentare il controllo sullattivit dei sistemi ma non sono sufficienti a garantire la continuit del servizio in quanto agiscono passivamente.
122
NIDS vs Firewall
Sia i firewall che i NIDS collaborano al fine di prevenire accessi abusivi ad una rete. Entrambi sono fondamentali ma nessuno sufficiente a garantire da solo un elevato livello di sicurezza. A parte queste analogie, ci sono delle sostanziali differenze tecniche che li caratterizzano. I firewall hanno funzione di filtraggio dei pacchetti allo scopo di bloccare il traffico non conforme alle loro politiche. I pacchetti vengono filtrati in base allindirizzo IP sorgente o di destinazione e alle corrispettive porte. Difficilmente i log memorizzati riguardano il traffico permesso, in quanto ritenuto affidabile. Se alcuni dei pacchetti dannosi riuscissero a superare il firewall a causa di una configurazione non corretta dello stesso, o di una qualsiasi vulnerabilit sfruttata, non solo sarebbe possibile portare a termine un attacco con successo ma, soprattutto, non verrebbe memorizzata alcuna informazione in merito. Per ovviare a questo problema, entrano in gioco i NIDS, i quali analizzano il contenuto di tali pacchetti e segnalano con un allarme ogni attivit anomala individuata, indipendentemente dal successo o dallinsuccesso della stessa. Inoltre nel caso in cui un attacco provenisse dallinterno della rete, il firewall non avrebbe utilit alcuna. Esso infatti, pur essendo capace di filtrare il traffico verso e dalla rete esterna, non ha alcun potere sul traffico interno alla rete. Altra debolezza dei firewall dovuta al fatto che talvolta gli utenti per ingenuit o impazienza si collegano a Internet creando connessioni non autorizzate tramite modem. Questo comportamento mette a rischio lintera rete perch il traffico generato, anche in questo caso, non sar filtrato dal firewall. I NIDS, pertanto, pur monitorando il traffico interno alla rete, non eliminano i firewall.
123
attacchi 0-day dei quali non stata ancora rilasciata la corrispettiva firma.
Network intrusion detection system Il numero di falsi negativi pu essere limitato solo con una costante manutenzione del NIDS e con un frequente aggiornamento delle firme. Per trovare il giusto equilibrio tra falsi positivi e falsi negativi, opportuno analizzare approfonditamente la topologia della rete ed eliminare la causa che genera falsi allarmi. Procedere eliminando radicalmente la regola corrispondente ad un attacco, potrebbe essere una scelta troppo ingenua e superficiale che talvolta pu comportare il rischio di non rilevare attacchi reali.
124
Posizionamento
Una delle attivit maggiormente critiche nella configurazione e messa in opera di un IDS il suo posizionamento allinterno della rete da monitorare. In base alla topologia della rete, possono presentarsi diversi casi. Quando in un segmento di rete gli host sono collegati da un hub, limplementazione di un NIDS relativamente semplice perch lhub una componente di rete che si occupa di replicare ogni singolo pacchetto su tutte le porte. In questo modo sufficiente collegare il NIDS a una porta qualsiasi dellhub per poter leggere tutto il traffico passante. In presenza di uno switch, invece, la situazione diversa e limplementazione dei NIDS maggiormente complicata. Gli switch, infatti, lavorano ad un livello superiore della pila ISO/OSI rispetto agli hub e quando devono inviare un pacchetto, lo inviano solo verso la relativa porta di destinazione. Una soluzione per poter leggere tutto il traffico del segmento di rete il port mirroring che consiste nel monitorare una o pi porte dello switch, copiandone il traffico su unaltra porta detta mirror port. Tale porta dovr necessariamente avere una capacit di banda possibilmente pari alla somma della capacit di banda di tutte le porte monitorate. Solo in questo modo il traffico potr essere gestito in modo opportuno. Come detto, la scelta del posizionamento degli IDS unattivit molto delicata che deve tener conto delle esigenze della rete e delle risorse di cui si dispone. Unaltra variabile da considerare nel posizionamento di un IDS la sua collocazione rispetto ad un firewall. Posizionando lIntrusion Detection System allesterno del firewall, si identificheranno tutte le attivit anomale incluse quelle che non avranno accesso alla rete in quanto bloccate dal firewall. Un IDS disposto in questo modo sar pi esposto agli attacchi provenienti dallesterno perch privo di protezione. Le risorse richieste sono ingenti in quanto la quantit di traffico analizzato e di log memorizzati sar rilevante. Una soluzione pi economica consiste nel posizionare lIDS allinterno del firewall per monitorare solo il traffico che accede alla rete. In tal modo saranno generati meno allarmi e ci saranno meno log da analizzare. Se invece, lobiettivo dellIDS la protezione dei server, una valida alternativa installare il sistema di intrusion detection nella Demilitarized Zone (DMZ). Tuttavia, gli altri segmenti di rete rimarrebbero privi di monitoraggio.
Network intrusion detection system Pertanto, nel caso in cui le risorse a disposizione siano elevate, la soluzione pi robusta consiste nellinstallare un IDS per ogni segmento di rete. Questo permette di tenere sotto controllo lintera rete, di configurare ciascun Intrusion Detection System in maniera diversa in base alle esigenze del singolo segmento e di evitare eventuali sovraccarichi dei sistemi. Inoltre, se un IDS dovesse venire meno per una qualsiasi ragione (come ad esempio errori hardware/software o attacchi di vario tipo), gli altri segmenti di rete continuerebbero ad essere monitorati.
125
Log Analysis
Lanalisi dei log di fondamentale importanza nel processo di intrusion detection sia nel caso ci siano stati dei tentativi di intrusione, che nel caso si sia verificato un incidente informatico. I log memorizzano record contenenti informazioni sul timestamp, sul protocollo utilizzato, sullindirizzo IP sorgente e di destinazione e sulle porte utilizzate da qualsiasi attivit anomala monitorata. Possono anche essere contenuti dati aggiuntivi come una descrizione testuale dellevento o il numero della regola che ha generato lallarme. Quando vengono generati log causati da eventi di una certa entit, opportuno memorizzare anche il payload del pacchetto che ha generato lallarme per avere maggiori dettagli sullevento. Facciamo un esempio considerando una richiesta DNS. In corrispondenza di questo evento, verr generato un log dove sar riportato che il potenziale attaccante con indirizzo IP 100.200.100.200 ha inviato un pacchetto UDP al destinatario 90.80.70.60, sulla porta 53. Ci non sar sufficiente a capire se la richiesta DNS stata dannosa o meno. La situazione sarebbe differente nel caso in cui si potesse analizzare anche il payload del pacchetto. Uno dei problemi maggiori nellanalisi dei log leterogeneit intrinseca degli stessi, in quanto variano a seconda del firewall, del router o dellIDS utilizzato. Non esistono tool che sincronizzano cronologicamente i log prodotti da sistemi differenti. Pu talvolta capitare che la time zone differisca da sistema a sistema, rendendo ancora pi complicata lanalisi; tuttavia, per sincronizzare sistemi diversi, possono essere usati protocolli come NTP. Inoltre, di estrema importanza la capacit di reazione di fronte ad unintrusione. Intervenire tempestivamente quando si identifica unintrusione, spesso essenziale per evitare che lattaccante possa alterare o eliminare i log. Gli amministratori di rete, tuttavia, dovrebbero prestare attenzione non solo alla possibile manipolazione dei log ma anche alle molteplici attivit anomale che possono presentarsi, come quelle che si stanno per analizzare. Il calo delle performance della rete dovuto alla saturazione della banda, che si verifica perch spesso lattaccante utilizza le macchine compromesse per archiviare programmi, mp3 e film da mettere illegalmente in condivisione con gli altri utenti della rete. Il traffico sospetto verso indirizzi IP sconosciuti o su protocolli non utilizzati comunemente. Se si rilevano connessioni in uscita provenienti da un server web, questo pu significare che il server sia stato compromesso. Se si identificano pacchetti malformati, c il rischio che un attaccante sia alla ricerca di vulnerabilit sulle varie macchine del sistema o stia tentando di aggirare un firewall. La perdita di connettivit, che potrebbe essere associata ad un attacco DoS. Un numero elevato di tentativi di login falliti, i quali sono comuni quando lattaccante cerca di ottenere maggiori privilegi di quelli realmente concessi. Unattivit inusuale del modem, che potrebbe indicare la probabile presenza di dialer. Le Scansioni verso le macchine della rete, che sono utilizzate dallattaccante per raccogliere informazioni sui sistemi operativi installati, i servizi attivi, le porte aperte e la topologia della rete. Tali informazioni saranno poi usate per effettuare un attacco. Lalta quantit di traffico generata in orari non di lavoro, indice di utenti non autorizzati che stanno usufruendo della rete. Nel caso in cui nella rete attaccata fosse presente uno switch, una volta introdottosi, lattaccante potrebbe intercettare il traffico utilizzando due attacchi. Lattacco ARP-POISONING, dove vengono alterate le tabelle ARP degli host appartenenti allo stesso segmento di rete, in modo che la macchina sul quale risiede lo sniffer veda anche il traffico generato dagli altri host.
Network intrusion detection system Lattacco DHCP-POISONING, dove lattaccante fa in modo che un host della rete interna simuli di essere il server DHCP e invii delle risposte ad-hoc alle DHCP-REQUEST che gli arrivano, specificando lindirizzo IP dellattaccante come default gateway. In tal modo tutto il traffico, prima di arrivare allesterno, passer per la macchina controllata dallattaccante.
126
Aspetti Legali
Qualsiasi attivit di monitoraggio della rete deve rispettare le normative in vigore nello stato in cui si trova il sistema informatico e le politiche interne aziendali. In caso contrario esiste il rischio di essere perseguiti penalmente per violazione della privacy degli utenti della rete e per intercettazione abusiva di comunicazione informatica. Non sar, inoltre, possibile utilizzare i dati raccolti per intraprendere azioni legali nei confronti di un intruso. pertanto opportuno: informare gli utenti che la loro attivit di rete sar monitorata; indicare lo scopo del monitoraggio; specificare le tipologie di traffico monitorate; specificare il responsabile a cui saranno inviate le segnalazioni di eventuali compromissioni.
Dal punto di vista burocratico tali accorgimenti possono essere tradotti in una lettera informativa da far firmare a tutti gli utenti della rete per presa visione. Dal punto di vista tecnico possibile implementare un Message of the Day (MOTD) che consiste in un messaggio iniziale che informa gli utenti dellattivit di logging della rete. In caso di incidente informatico i log rappresentano prove preziose, ed in quanto tali, devono essere ottenute in modo conforme alla normativa vigente ed essere tali da poter illustrare dettagliatamente lo svolgimento dei fatti. pertanto opportuno fare in modo che la prova ottenuta sia: autentica ed inalterata anche in caso di spostamenti dei dispositivi che contengono la prova stessa; completa, in quanto non deve mostrare lincidente dallunica prospettiva riconducibile alle azioni compiute dallattaccante, ma deve valutare anche prospettive che potrebbero dare adito a contraddizioni; comprensibile e credibile, ovvero rappresentata in un formato leggibile da chiunque e non ad uso esclusivo degli esperti del settore.
Scelta di un NIDS
Per concludere questa panoramica, vengono discussi gli elementi da tenere in considerazione durante la scelta di un NIDS. Costo: deve, ovviamente, essere proporzionato alle risorse che si vogliono proteggere. Capacit del la banda supportata: la quantit di traffico che il sensore pu analizzare in ununit di tempo. Si misura in Mb/s o in pacchetti/s. Aggiornamento delle firme: i NIDS da questo punto di vista funzionano esattamente come gli antivirus. Per poter identificare i nuovi attacchi devono avere nel loro database le firme recenti. Per questa ragione di estrema importanza che gli aggiornamenti vengano rilasciati in modo tempestivo e venga data la possibilit di aggiornare il database in modo automatico. Importante anche la possibilit di utilizzare firme personalizzate create ad-hoc per le proprie esigenze. Attivit di logging: opportuno verificare la chiarezza dei log e valutare se loutput viene salvato in formato standard o proprietario. Scalabilit: La possibilit di ampliare le funzionalit del NIDS in caso di esigenze future di estrema importanza, in partiolare andrebbe valutato il numero di sensori supportati e la possibilit di gestire il sistema in maniera centralizzata tramite unapposita console.
127
Voci correlate
Sicurezza informatica Intrusion detection system (IDS) Host-based intrusion detection system (HIDS)
Collegamenti esterni
(EN) Snort [4] - Popolare NIDS Open Source (EN) ISS RealSecure Network IDS [2] (EN) The RFC Archive [1]
Note
[1] http:/ / www. faqs. org/ rfcs/
Network tap
Tap un dispositivo hardware inserito in reti informatiche che permette il monitoraggio non invasivo del flusso dati in transito. Il significato del nome in lingua inglese rubinetto, e rappresenta in modo figurato lo scopo del dispositivo. Tuttavia anche un retro-acronimo, in quanto consiste nelle iniziali di Test Access Port. Si presenta come una scatola con almeno tre connettori: A, B e Monitor. Il segmento di rete sottoposto a monitoraggio viene derivato tra A e B mentre il connettore Monitor collegato ai dispositivi di monitoraggio, spesso attraverso una rete indipendente. Il flusso dati tra A e B assicurato senza alcuna alterazione fisica o temporale (pass through) e ricopiato integralmente sulla porta Monitor. Le reti informatiche, inclusa Internet, sono collezioni di dispositivi, quali computer, router e switch che sono interconnessi attraverso diverse tecnologie al livello 2 della pila ISO/OSI. A questo livello, un dispositivo Tap virtualmente invisibile. L'uso virtuoso di questo dispositivo in sistemi di amministrazione remota delle reti o del monitoraggio delle intrusioni ai fini della sicurezza informatica. pertanto importante che il livello fisico della rete sia adeguatamente protetto (ad esempio, l'accesso ai locali di un datacenter non deve essere consentito agli estranei), ad evitare l'inserzione indesiderata ed un uso maligno di questo dispositivo. Lo svantaggio principale di questa soluzione sta nel costo addizionale che esso comporta, pertanto in diversi casi gli viene preferita una soluzione software quale il packet sniffer.
Network tap
128
Voci correlate
Packet sniffer
Collegamenti esterni
Comcraft [1] Datacom Systems [2] Net Optics/NPC [3] Telena SPA [4]
Note
[1] [2] [3] [4] http:/ / www. lan-wan-tap. com http:/ / www. datacomsystems. com/ http:/ / www. network-taps. it/ http:/ / www. telena. eu/
Applicazioni
Le applicazioni progettate per NGSCB sarebbero state divise in due parti: lo NCA, un modulo "fidato" in grado di accedere a un insieme ristretto di API, e una parte "non fidata" che sarebbe stato in grado di accedere a tutte le API di Windows. Ci al fine di evitare che il modulo "fidato" fosse in grado di effettuare delle chiamate ad API che avrebbero potuto contenere delle falle di sicurezza (ossia che non siano 'fidate'); il codice fidato avrebbe dovuto usare solo API che fossero state attentamente esaminate al fine di chiudere ogni possibile falla di sicurezza.
129
Critiche
L'NGSCB ed il Trusted Computing furono criticati soprattutto in quanto considerati inefficaci nel risolvere la maggior parte degli odierni problemi di sicurezza informatica, quali ad esempio virus informatici e trojans. Ci nonostante, Microsoft aveva affermato in passato che l'NGSCB una tappa necessaria propria nella lotta ai virus[1] . Tuttavia, in seguito Microsoft non ha pi aggiunto nulla circa l'effettiva capacit dell'NGSCB di risolvere questi problemi[2] .
Disponibilit
Quando fu annunciato, ci si aspettava che l'NGSCB facesse parte del nuovo sistema operativo Windows, Windows Vista (precedentemente denominato Longhorn). Nel maggio 2004 fu riportato che la Microsoft aveva accantonato il progetto NGSCB[3] . La notizia fu repentinamente smentita dalla Microsoft, che rilasci alla stampa la dichiarazione di star al contrario "riprendendo" il progetto.
Voci correlate
Trusted computing BitLocker Drive Encryption
Note
[1] (http:/ / archives. linuxfromscratch. org/ mail-archives/ lfs-chat/ 2003-August/ 016683. html) [2] (http:/ / www. microsoft. com/ technet/ archive/ security/ news/ ngscb. mspx) [3] (http:/ / www. crn. com/ sections/ breakingnews/ dailyarchives. jhtml;jsessionid=STLRITJUXF2YCQSNDBCCKH0CJUMEKJVN?articleId=18841713& _requestid=350195) [4] (EN) System Integrity Team Official Blog (http:/ / blogs. msdn. com/ si_team/ archive/ 2006/ 03/ 02/ 542577. aspx)
Collegamenti esterni
(EN) Microsoft's NGSCB page (http://www.microsoft.com/resources/ngscb/default.mspx) (EN) Blog del system integrity team (http://blogs.msdn.com/si_team/default.aspx) Articolo di Ross Anderson sul palladium (http://www.complessita.it/tcpa/) Richard Stallman's Can You Trust Your Computer? (http://www.gnu.org/philosophy/can-you-trust.it.html) (EN)Bruce Schneier's analysis (http://www.schneier.com/crypto-gram-0208.html#1) of Palladium/TCPA (EN) Register story: MS security patch EULA gives Bill Gates admin privileges on your box (http://www. theregister.co.uk/content/4/25956.html) (EN) The Trojan Palladium (http://homepage.mac.com/cparada/GML/Palladium.html) (EN) News.com story: What's in a name? Not Palladium (http://news.com.com/2100-1001-982127. html?tag=fd_top)
Next-Generation Secure Computing Base (EN) Microsoft patents "Digital Rights Management Operating System" (http://www.oreillynet.com/cs/user/ view/wlg/956) (EN) Microsoft's "Digital Rights Management Operating System" patent (http://patft.uspto.gov/netacgi/ nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=/netahtml/srchnum.htm&r=1&f=G&l=50& s1=6330670.WKU.&OS=PN/6330670&RS=PN/6330670) (EN) Microsoft moves to integrate Windows with BIOS (http://news.zdnet.co.uk/software/developer/ 0,39020387,39116902,00.htm) (EN) Secure Startup: Microsoft in Your Motherboard (http://www.devhardware.com/c/a/Motherboards/ Secure-Startup-Microsoft-in-Your-Motherboard/): Article about Microsoft's plans for security and the hardware involved
130
Nmap
Nmap Sviluppatore Ultimaversione S.O. Genere Licenza Gordon Lyon (Fyodor) 5.51 (12 febbraio 2011) Multi-piattaforma Sicurezza Informatica GNU General Public License (Licenza libera) http:/ / www. insecure. org/ nmap/
Sito web
Nmap un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning, cio mirato all'individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da determinare quali servizi di rete siano disponibili. in grado di ipotizzare quale sistema operativo sia utilizzato dal computer bersaglio, tecnica conosciuta come fingerprinting. Nmap divenuto uno degli strumenti praticamente indispensabili della "cassetta degli attrezzi" di un amministratore di sistema, ed usato per test di penetrazione e compiti di sicurezza informatica in generale. Come molti strumenti usati nel campo della sicurezza informatica, Nmap pu essere utilizzato sia dagli amministratori di sistema che dai cracker o script kiddies. Gli amministratori di sistema possono utilizzarlo per verificare la presenza di possibili applicazioni server non autorizzate, cos come i cracker possono usarlo per analizzare i loro bersagli. Nmap spesso confuso con strumenti per la verifica di vulnerabilit come Nessus. Nmap pu essere configurato per evadere dagli IDS (Intrusion Detection System) ed interferire il meno possibile con le normali operazioni delle reti e dei computer che vengono scanditi.
Nmap
131
Curiosit
Nel film Matrix Reloaded Trinity usa Nmap per penetrare nel sistema della centrale elettrica, tramite la forzatura dei servizi SSH e il bug CRC32[1] (scoperto nel 2001).
Note
[1] BBC News: Matrix mixes life and hacking (http:/ / news. bbc. co. uk/ 1/ hi/ technology/ 3039329. stm)
Voci correlate
Port scanning hping Nessus
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Nmap
Collegamenti esterni
(EN) The Nmap Security Scanner (http://www.insecure.org/nmap/) Guida in Italiano per Nmap (http://www.shishii.com/dummy/index.php?id=99)
One-time password
Una One-Time Password (password usata una sola volta) una password che valida solo per una singola sessione di accesso o una transazione. La OTP evita una serie di carenze associate all'uso della tradizionale password (statica). Il pi importante problema che viene risolto da OTP che, al contrario della password statica, esso non vulnerabile agli attacchi con replica. Ci significa che, se un potenziale intruso riesce ad intercettare una OTP che stata gi utilizzata per accedere a un servizio o eseguire una transazione, non sar in grado di riutilizzarla, in quanto non sar pi valida. D'altra parte, una OTP non pu essere memorizzata da una persona. Essa richiede quindi una tecnologia supplementare per poter essere utilizzata.
One-time password messaggistica SMS. Infine, in alcuni sistemi le OTP sono stampate su carta, che l'utente tenuto a portare con s.
132
OpenID
OpenID un meccanismo di identificazione creato da Brad Fitzpatrick di LiveJournal. Si tratta di un network distribuito e decentralizzato, nel quale la propria identit un URL, e pu essere verificata da qualunque server supporti il protocollo. Su un sito che supporta OpenID, gli utenti Internet non hanno bisogno di creare ed amministrare un nuovo account per accedervi. Al contrario essi effettuano una autenticazione col proprio provider OpenID, che fornisce la dichiarazione di identit al sito che supporta l'OpenID. al momento supportato da LiveJournal e dai suoi fork (come GreatestJournal. InsaneJournal, LiveJournal e DeadJournal), cos come da Plone (versione 3.0) [1](EN), LifeWiki, SupportOffice e Schtuff.
Fondazione OpenID
La fondazione OpenID, cos come la sua controparte europea OpenID Europa, una struttura, senza scopo di lucro, impegnata nello sviluppo della rete OpenID, fondata nel 2007[2] .
Adozione di OpenID
America Online Bitbucket Orange VeriSign Simptropolis.com Six Apart Springnote WordPress.com Wikitravel, Ma.gnolia, ClaimID, IconBuffet, UserStyles.org, e Basecamp Yahoo! SourceForge Google Facebook Identi.ca Virgilio (portale) Ikariam Embarcadero Developer Network
OpenID
133
Voci correlate
Identity Centric Architecture Light-Weight Identity Single sign-on LiveJournal DataPortability Google Friend
Note
[1] http:/ / plone. org/ products/ plone/ roadmap/ 173 [2] (EN) OpenID Foundation (http:/ / openid. net/ foundation/ ). OpenID Foundation.URL consultato il 26-06-2008.
Collegamenti esterni
(EN) OpenID Europe Foundation (http://openideurope.eu/) OpenID Italia (http://www.openid.it/) - Progetto Open Source per OpenID in Italia Video: cos' OpenID (http://www.ictv.it/file/vedi/355/openid/) (EN) Home Page di OpenID (http://www.openid.net/) (EN) OpenID Site Directory: una lista di siti che usano OpenID (https://www.myopenid.com/directory) (EN) The OpenID Directory: un'altra lista di siti che usano OpenID (http://openiddirectory.com/)
OpenSSL
OpenSSL Sviluppatore Ultimaversione S.O. Linguaggio Genere Licenza The OpenSSL Project 1.0.0e (6 settembre 2011) Multi piattaforma C Sicurezza Licenza Apache-style (Licenza chiusa) http:/ / www. openssl. org
Sito web
OpenSSL un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C) eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure che permettono di accedere alle funzioni della libreria OpenSSL. disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e Mac OS X, ed anche per Microsoft Windows. OpenSSL originariamente basato sulle librerie SSLeay di Eric Young e Tim Hudson.
OpenSSL
134
Versioni principali
OpenSSL 1.0.0 rilasciata il 29 marzo 2010 OpenSSL 0.9.8 rilasciata il 5 luglio 2005 (annuncio) [1] OpenSSL 0.9.7 rilasciata il 31 dicembre 2002 OpenSSL 0.9.6 rilasciata il 25 settembre 2000 OpenSSL 0.9.5 rilasciata il 28 febbraio 2000 OpenSSL 0.9.4 rilasciata il 9 agosto 1999 OpenSSL 0.9.3 rilasciata il 25 maggio 1999.
Algoritmi implementati
OpenSSL supporta diversi algoritmi crittografici: Cifrari Blowfish, Camellia, CAST, DES, RC2, RC4, RC5, IDEA, AES funzioni hash crittografiche MD5, MD2, SHA, MDC-2 Crittografia a chiave pubblica RSA, DSA, Scambio di chiavi Diffie-Hellman Funzioni di Autenticazione dei messaggi HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA Certificati X.509
Licenza
OpenSSL utilizza una sistema dual-license (doppia licenza), la OpenSSL License e la SSleay License. Normalmente in un sistema a doppia licenza possibile scegliere quale delle due licenze adottare; nel caso della OpenSSL occorre seguire entrambe. La licenza risultante simile a quella di Apache. La licenza richiede che la frase "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit" appaia come clausola pubblicitaria, che la rendono incompatibile con la licenza GPL. Non ben chiaro se la OpenSSL rientri nella eccezione della GPL riguardo alle librerie di sistema. Alcuni autori preferiscono inserire una esplicita GPL linking exception per permettere l'utilizzo della OpenSSL nel loro software. Altri hanno preferito sostituirla con la GnuTLS.
OpenSSL
135
Alternative
GnuTLS della Free Software Foundation una libreria analoga che svolge le stesse funzioni, ma compatibile con la licenza GNU Lesser General Public License.
Collegamenti esterni
(EN) Sito web OpenSSL [3] (EN) GnuTLS [4] Introduzione ed esempi (codice sorgente C) per gli algoritmi: DES, Blowfish, Idea, MD5 [5] Introduzione ed esempi (codice sorgente C) per l'algoritmo: RSA [6] (EN) Debian Security Advisory del bug nel pacchetto openssl [7] Guida alle connessioni tunnel con SSH (forwarding) [8]
Note
[1] [2] [3] [4] [5] [6] [7] [8] http:/ / www. openssl. org/ news/ announce. html http:/ / www. oss-institute. org/ http:/ / www. openssl. org/ http:/ / www. gnu. org/ software/ gnutls/ http:/ / ardoino. com/ 21-openssl-des-blowfish-idea-md5-implementation/ http:/ / ardoino. com/ 20-openssl-rsa-implementation/ http:/ / www. debian. org/ security/ 2008/ dsa-1571 http:/ / www. compago. it/ index. php/ manuali/ 34-linux/ 166-connessioni-tunnel-con-ssh
OSSIM
136
OSSIM
OSSIM uno strumento per il security monitoring (si basa, tra l'altro, su Nessus, Snort, Ntop): il nome rappresenta l'acronimo di "Open Source Security Information Manager".
Correlazione
OSSIM un correlatore, in un contesto in cui correlare implica la capacit di osservare tutti gli eventi in tutti i sistemi in un posto e nella stessa disposizione, e da questa posizione di vantaggio privilegiata confrontare e valutare le informazioni, permettendo cos di migliorare la possibilit di rilevazione. L'idea di correlazione inoltre implicita nella visione del progetto, inteso come unione di pi prodotti e con la possibilit di integrare diverse fonti dati. Nel quadro generale di OSSIM, sono stati integrati in un unico prodotto una serie di software sviluppati negli ultimi anni, che generano nuove possibilit quando le loro funzionalit sono correlate.
Valutazione di rischio
Per decidere se o non realizzare un'azione si valuta il report di minaccia. Strumenti di cui OSSIM il correlatore: Nessus snort ntop p0f Pads Spade Tcptrack Nagios Osiris Arpwatch
137
Voci correlate
Autenticazione CHAP
Penetration Test
In informatica, il penetration test il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. L'analisi comprende pi fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilit che ne hanno permesso l'accesso non autorizzato. L'analisi condotta dal punto di vista di un potenziale attaccante e consiste nello sfruttamento delle vulnerabilit rilevate al fine di ottenere pi informazioni possibili per accedere indebitamente al sistema. Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme ad una valutazione del loro impatto nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di migrazione e mitigazione del sistema. Il penetration test fornisce una stima chiara sulle capacit di difesa e del livello di penetrazione raggiunto nei confronti: delle vulnerabilit interne al sistema; delle vulnerabilit esterna al sistema; della sicurezza fisica.
Procedimenti di analisi
L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attivit chiamato penetration tester o auditor e oggi anche con il pi moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le stesse logiche utilizzate da un hacker. Un gruppo di penetration tester chiamato anche tiger team. I processi di penetration test possono essere effettuati in diverse modalit. La differenza consiste sulla quantit e qualit delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test Black Box non presuppongono precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi. Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, codice sorgente delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili Grey Box. I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della
Penetration Test piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilit, incluse quelle pi recenti e alcune ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse. L'attivit si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza di ci che si espone.
138
Certificazioni Professionali
Nell'ambito del penetration test possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute caratteristiche tecniche e di affidabilit degli operatori nonch quello di fornire una metodologia che renda il test di per se replicabile, valutabile e misurabile nel tempo: ISECOM - OSSTMM Professiona Security Tester (OPST) International Council of E-Commerce Consultants - Certified Ethical Hacker (CEH) Offensive Security (offensive-security.com)- Offensive Security Certified Professional (OSCP)
Piano di contingenza
Il piano di contingenza (o piano emergenziale) un programma operativo che delinea preventivamente le azioni di determinati soggetti od enti per il caso che si verifichi un evento dannoso o comunque pericoloso per la collettivit. Il piano, cio, prevede in genere linee guida pi o meno dettagliate su cosa ciascuno dei soggetti od enti che devono dargli esecuzione debba fare al verificarsi dell'evento.
sismico,
Piano di contingenza emergenziali militari rispondono anche a questa esigenza. In Italia alcuni di questi piani, ordinariamente coperti da segreto militare o segreto di stato, sono emersi in occasione di inchieste giudiziarie; cos fu ad esempio per il Piano Solo e per il piano Esigenza Triangolo. Ad un riordino e coordinamento dei piani emergenziali provvide negli anni cinquanta l'allora capo della polizia, prefetto Angelo Vicari.
139
Altri significati
Nella programmazione aziendale, ad esempio per la redazione di studi di fattibilit, i piani di contingenza sono le analisi dei problemi potenzialmente ostanti al corretto raggiungimento degli obiettivi di impresa (generali o specifici)
Piano di contingenza e comprendono le soluzioni operative che si prevede di voler applicare in simili eventualit.
140
Note
[1] Linee guida per la pianificazione di contingenza per emergenze sanitarie (http:/ / www. asl3. liguria. it/ doc/ pdf/ LG_piano_contingenza. pdf) [2] Linee guida per la pianificazione di contingenza per la gestione di un laboratorio (http:/ / www. medicalsystems. it/ editoria/ GALA/ Gala7_1_3. pdf) [3] Michael E. Whitman, Herbert J. Mattord, Management of Information Security, 2/E ISBN 1-4239-0130-4 [4] NIST IT Contingency Planning Guide (http:/ / csrc. nist. gov/ publications/ nistpubs/ 800-34-rev1/ sp800-34-rev1. pdf)
Voci correlate
Business continuity plan Esigenza Triangolo Piano Solo
Port knocking
In informatica, il port knocking un sistema per aprire delle porte su un firewall dall'esterno inviando tentativi di connessione ad una sequenza prestabilita di porte chiuse; una volta che ci sia stato fatto le regole del firewall vengono aggiornate dinamicamente per consentire all'host che ha inviato la giusta sequenza di connettersi alla porta voluta. Questo scopo viene ottenuto principalmente impiegando un demone che controlli continuamente i log del firewall in cerca della sequenza corretta e in tal caso ne modifichi la configurazione, ma si pu usare anche uno sniffer che esamini direttamente i pacchetti ricevuti, usando in questo caso delle porte gi aperte su cui ricevere la bussata. L'utente invece utilizzer un piccolo programma, che pu essere un semplice script netcat o un ping modificato sino ad un generatore di hash, da lanciare prima della normale connessione alla macchina di destinazione. Il port knocking viene frequentemente impiegato per consentire l'accesso sulla porta TCP 22, usata da SSH, in quanto questo servizio spesso l'obiettivo di attacchi a forza bruta in seguito a port scan. La bussata analoga ad una stretta di mano segreta e pu consistere in qualsiasi quantit di pacchetti TCP, UDP, ICMP diretti a porte numerate sulla macchina di destinazione. La complessit della bussata pu variare da una semplice lista di porte da contattare sequenzialmente ad uno schema temporizzato che discrimini l'indirizzo IP e impieghi tecniche crittografiche. Molte implementazioni sono vere e proprie macchine a stati che consentono di non rivelare alcuna informazione circa lo stato attuale, in altre parole se la parte iniziale della bussata stata ricevuta correttamente, mentre quella finale no, l'utente non ha nessun modo di saperlo in quanto l'unico effetto osservabile l'eventuale apertura della porta a cui si vuole connettere quando la sequenza inviata corretta.
Port knocking
141
Benefici
Se un malintenzionato non conosce la corretta bussata, scoprire una sequenza anche molto semplice richiede un attacco a forza bruta piuttosto impegnativo. Ad esempio una bussata su tre porte richiederebbe all'attaccante di provare ogni loro possibile combinazione nell'intervallo che va da 1 a 65535 e quindi controllare se per caso si sia aperta la porta desiderata; questo equivale approssimativamente all'invio di 655354 (18,445,618,199,572,250,625 o 18 milioni di miliardi circa) pacchetti per una singola porta, statisticamente ne sarebbero necessari 9 milioni di miliardi. Generalmente, quando una bussata ha successo, le regole del firewall sono modificate in modo da consentire l'accesso solo all'indirizzo IP da cui stata generata; in questo modo diversi utenti potranno effettuare la procedura senza che questa venga influenzata da altri e possono anche essere definite distinte bussate per ogni IP. Questo approccio paragonabile ad una sorta di whitelist dinamica: la porta potr essere chiusa dall'utilizzatore, senza l'intervento di un amministratore di sistema, con un'altra bussata, oppure sar previsto un timeout. Le prime implementazioni del port knocking consistevano in semplici liste di porte a cui connettersi in sequenza, questa semplicit ha ingenerato un certo sospetto nella comunit di esperti di sicurezza informatica, soprattutto a causa dell'inefficacia di questo approccio verso i replay attack, ma l'introduzione di primitive crittografiche (quali ad esempio gli hash) ha consentito di superare anche questa limitazione. Ad ogni modo, anche se un malintenzionato venisse a conoscenza della corretta bussata, il servizio sotto attacco avrebbe ancora a sua difesa i suoi usuali meccanismi di autenticazione. Il port knocking pu essere utilizzato anche per scopi che esulano dall'apertura porte; in effetti una bussata potrebbe fare partire una qualsiasi azione sulla macchina, ad esempio il lancio di un programma.
Voci correlate
Firewall
Collegamenti esterni
(EN) PORTKNOCKING - A system for stealthy authentication across closed ports. [1] (EN) Linux Journal: Port Knocking [2] (EN) A Netfilter module for port knocking. [3] Il portknocking: implementazione su Linux e Windows [4] Howto port knocking sul Linux User Group di Perugia [5]
Note
[1] [2] [3] [4] [5] http:/ / www. portknocking. org/ http:/ / www. linuxjournal. com/ article/ 6811 http:/ / portknocko. berlios. de/ http:/ / www. areanetworking. it/ esempio-di-topologia-complessa. html http:/ / www. ptlug. org/ wiki/ Howto_port_knocking
Privoxy
142
Privoxy
Privoxy Sviluppatore Ultimaversione Ultima beta S.O. Linguaggio Genere Licenza Privoxy Developers [1]
3.0.13 (14 giugno 2009) 3.0.15 beta (18 ottobre 2009) Multipiattaforma C Filtering proxy GNU GPL 2 (Licenza libera) www.privoxy.org [2]
Sito web
Privoxy un programma di proxy web, spesso usato in combinazione con Tor e Squid. Ha funzionalit di filtro per la protezione della privacy, per la modifica dei dati delle pagine web, per la gestione dei cookies, per il controllo degli accessi, e per la rimozione selettiva di contenuti come annunci, banner e pop-up. Pu essere personalizzato e pu essere usato sia per sistemi stand-alone che per reti multi-utente. Il programma un progetto associato di Software in the Public Interest e si basa sull'Internet Junkbuster; rilasciato con licenza GNU General Public License. disponibile per sistemi GNU/Linux, Windows, Mac OS X, OS/2, AmigaOS, BeOS e la maggior parte delle varianti Unix. Quasi tutti i browser web sono in grado di usarlo. Privoxy combinato con Tor viene utilizzato anche in tutto il mondo per aggirare la censura di Internet.
Voci correlate
Proxy server
Collegamenti esterni
privoxy.org [2] Privoxy su Sourceforge [3]
Note
[1] http:/ / www. privoxy. org/ user-manual/ copyright. html [2] http:/ / www. privoxy. org/ [3] http:/ / sourceforge. net/ projects/ ijbswa
Procedura GIANOS
143
Procedura GIANOS
Il GIANOS (generatore indici di anomalia per operazioni sospette) una procedura informatica di selezione delle operazioni potenzialmente sospette diffusa nelle banche. stata realizzata da un gruppo di lavoro interbancario coordinato dall'ABI con il supporto di esperti legali, informatici, organizzativi e statistici. Attualmente in uso la versione 1.006 e presto sar operativa la versione 1.007 completa di una extention relativa ai generatori di profili di rischio antiriciclaggio (GIANOS 2007 GPR)
Protezione
Protezione ha diversi significati a seconda del contesto.
Informatica
Nell'informatica la protezione consiste nel prevenire, attraverso opportuni controlli a tempo di esecuzione, che vengano eseguite operazioni illegittime sugli oggetti di un sistema. I meccanismi di protezione vengono usati per due scopi distinti: come prevenzione dagli errori dovuti ai guasti, e in questo caso si parla di tolleranza ai guasti; come salvaguardia da condotte maliziose, per garantire principalmente la confidenzialit, l'integrit e la disponibilit delle informazioni, e in questo caso si parla di sicurezza informatica. Per le finalit della sicurezza informatica sono fondamentali sia le tecniche usate per la tolleranza ai guasti, sia tecniche aggiuntive come la crittografia e l'autenticazione.
Meccanismo di protezione
Il compito di un meccanismo di protezione quello di verificare che ogni volta che un certo soggetto (ad esempio un modulo di elaborazione) invoca una operazione su un certo oggetto (ad esempio una struttura dati), esista in quell'istante un diritto che gli consente tale comportamento. Nel caso in cui il diritto esiste, l'operazione verr eseguita, altrimenti verr generata un'eccezione di violazione di protezione. In un sistema di protezione un tale meccanismo presente a tutti i livelli di astrazione dell'architettura, eventualmente utilizzando i meccanismi dei livelli sottostanti.
Elettrotecnica
In elettrotecnica la protezione quel dispositivo che evita la folgorazione della persona o per la protezione dei carichi o linee annesse. Di queste protezioni esistono molte forme e variabili a seconda del tipo di servizio e utilit.
Telecomunicazioni
Nelle reti di telecomunicazione, il termine protezione indica quei meccanismi di intervento automatico o semi-automatico che garantiscono la continuit della trasmissione a fronte di guasti o degradi dei nodi della rete, del mezzo trasmissivo o del segnale trasmesso.
Protezione
144
Sicurezza
Nel campo della sicurezza le misure di protezione servono a ridurre le conseguenze di un incidente (incendio, allagamento, crollo, ecc.) nel momento in cui si verifica. A differenza delle misure di prevenzione che riducono la probabilit di accadimento di un evento, esse non riducono le occasioni di incidente ma ne contengono esclusivamente le conseguenze e ne limitano i danni (a persone e cose). Nel campo della sicurezza antincendio si distinguono in: Misure di protezione passiva, che non richiedono l'azione dell'uomo o l'azionamento di un impianto: adeguate compartimentazioni e porte antincendio; uscite di sicurezza, vie d'esodo, scale protette e a prova di fumo; adeguata segnaletica di sicurezza Misure di protezione attiva, che richiedono l'intervento umano o l'azionamento di un impianto: impianti di rilevamento incendi e di allarme; estintori, idranti, naspo, reti sprinkler; luci di emergenza; presidi e attrezzature antincendio; adeguata squadra di emergenza e di pronto soccorso;
Pagine correlate
Protezione della memoria, per quanto riguarda il meccanismo di protezione al livello di astrazione dei processi Affidabilit
Requisiti di protezione
Per una base di dati, i requisiti di protezione rispetto agli attacchi sono: Protezione da accessi impropri; Protezione da inferenza; Integrit della base di dati: uso di tecniche di backup e recovery del sistema operativo e del DBMS; Integrit semantica: uso di vincoli semantici e di software del tipo concurrency manager del DBMS Accountability e auditing; Autenticazione degli utenti; Identificazione, protezione e gestione dei dati sensibili; Protezione multilivello, adatta per basi di dati altamente sensitive, quali quelle militari e governative, in cui i dati sono etichettati e gli utenti identificati e autorizzati mediante clearance;
Sconfinamento: si tratta di confinare i programmi allesecuzione entro precisi domini di esecuzione in modo che gli eventuali danni siano limitati a quel dominio. Si attuano per evitare il trasferimento di informazioni lungo canali autorizzati (ad esempio, nella scrittura di variabili condivise fra moduli software), canali di memoria (sia centrale sia di massa, ad esempio monitorando quando lI/O sta svolgendo un programma si possono inferire
Protezione del database informazioni), canali covert (si tratta di canali di flusso dati di cui i gestori, o i progettisti di sistema, sono a conoscenza; ad esempio, flussi di dati tra zone di memoria, che si scoprono solamente mediante una tecnica apposita detta covert channel analysis).
145
Controlli di sicurezza
I controlli per una base di dati, rispetto agli attacchi, sono principalmente i seguenti: Controlli di flusso. Si tratta di controllare le sequenze di operazioni del tipo READ X, WRITE Y che avvengono da un oggetto X (supponiamo autorizzato) verso un oggetto Y (supponiamo non autorizzato). Infatti, il valore contenuto in X viene copiato in Y. Controlli di inferenza. Con operazioni di assegnamento tipo Y = f(X), in cui l insieme di dati Y (supponiamo non autorizzato) ricavato applicando la funzione f allinsieme X (supponiamo autorizzato). Si possono allora verificare tre tipi di inferenza: accesso diretto, dati correlati, dati mancanti. Controlli di accesso. Sono i tipi di controllo pi diffusi per applicativi e dati e si basano sul controllo dellidentit dei soggetti, della modalit di accesso della richiesta (ad esempio scrittura, lettura), e delloggetto cui il soggetto chiede di accedere. Le modalit di accesso vengono anche dette privilegi di accesso e privilegi amministrativi, che permettono ad alcuni soggetti speciali di concedere e revocare privilegi di accesso alle risorse. I privilegi amministrativi vengono realizzati pressoch tutti in sistemi mediante le due operazioni GRANT e REVOKE. I meccanismi di controllo dellaccesso sono parte del sistema operativo, del DBMS e di alcuni pacchetti add-on per la sicurezza, quali RACF o TOP-SECRET che, aggiunti al sistema operativo, permettono un controllo dellaccesso alle risorse pi specifico. Questi controlli, se opportunamente personalizzati in un sistema, permettono di attuare varie politiche di controllo di accessi ai dati, quali la politica mondatoria, discrezionale, di autorizzazione cooperativa ecc.
Politiche di autorizzazione
Le principali politiche di autorizzazione per una base di dati si possono riassumere come segue. Privilegio minimo (need-to-know): ogni soggetto possiede i minimi privilegi sulle risorse, che gli permettono di portare avanti le proprie mansioni organizzative. Privilegio massimo: in ambienti in cui la condivisione di informazioni deve essere massima, questa politica fornisce a tutti i soggetti la massima visibilit e il massimo accesso alle risorse; nata con i primi sistemi Unix, sistemi rivolti allo sviluppo di applicazioni (in ambiente universitario). Amministrazione centralizzata: esiste un unico amministratore di sistema che ha tutti i privilegi di accesso e amministrativi sulle risorse, e che pu concedere in via temporanea, alcuni privilegi ad altri soggetti su specifiche risorse, e successivamente revocarli. Amministrazione decentralizzata (ownership): ogni utente proprietario delle proprie risorse e pu concedere temporaneamente alcuni privilegi ad altri soggetti su risorse, e successivamente revocarli. Autorizzazione cooperativa: necessaria lautorizzazione da parte di pi soggetti per ottenere un privilegio di accesso. Amministrazione gerarchica: esistono gerarchie di amministratori, ciascuno responsabile di una porzione della base di dati, collegati fra loro da privilegi GRANT/REVOKE di amministrazione. Sistemi chiusi/aperti: in un sistema chiuso tutti i privilegi che non sono esplicitamente autorizzati sono negati, mentre in un sistema aperto a tutti i privilegi che non sono esplicitamente negati sono autorizzati. I sistemi chiusi forniscono un maggior grado di sicurezza e sono pi adatti per basi di dati con requisiti di protezione elevati. Controllo di accesso discrezionale: i soggetti possiedono lownership degli oggetti da loro creati e possono concedere e revocare a loro discrezione alcuni privilegi ad altri soggetti; Controllo di accesso obbligatorio: i soggetti non possono propagare i privilegi di accesso. I controlli sono rigidi e basati sulla etichettatura dei dati (labeling) e sullassegnamento di clearance.
146
laffidabilit dei sistemi hardware/software; gli aspetti amministrativi, umani, organizzativi, economici. Per entrambe le basi di dati, quelle classificate/pubbliche e quelle commerciali, la sicurezza si basa su controlli organizzativi e strumenti hardware/software. Alcuni tentativi in corso consistono nellapplicare DBMS trusted e basi di dati commerciali. Tuttavia si hanno controlli rigidi, inadeguati, costosi, e comunque non efficaci contro attacchi quali cavalli di troia e teapdoor nel software applicativo. Per le basi governative, la principale soluzione consiste nel realizzare architetture DBMS multilivello, quali: Integrit Lock (Mitre Corporation) disponibile nel prodotto Truedata; Kernelized architecture (SRI) in Secure Oracle; architettura a soggetti trusted (modello ASD-RTW) realizzata da Sybase, Rubix, Informix, Oracle, Dec.
Modelli di sicurezza
I modelli di sicurezza o pi propriamente di autorizzazione per le basi di dati, servono per esprimere formalmente le politiche di protezione di un dato sistema e verificare alcune propriet di sicurezza che devono essere rispettate dal sistema che si implementa. I modelli si distinguono in due categorie: modelli discrezionali, per sistemi con politiche di propagazione privilegi e di ownership (GRANT/REVOKE); modelli mandatori, per sistemi con dati altamente sensitivi. Sono caratterizzati da soggetti con clearance, oggetti con etichettatura (label), procedure per la gestione sicura di classificazioni ed etichettature (uso di software trusted).
147
Distribuzione e sicurezza
La distribuzione dei dati pu avvenire mediante partizionamento dei dati orizzontale e/o verticale, oppure mediante replicazione dei dati. I vantaggi della distribuzione sono una maggiore disponibilit e affidabilit del sistema e migliori tempi di accesso ai dati. Altri aspetti della distribuzione e quindi della sicurezza, sono: molteplicit di amministratori locali; eterogeneit e sicurezza.
Protocollo AAA
148
Protocollo AAA
In telematica, e in particolare nelle reti di telecomunicazione o di computer, un protocollo AAA un protocollo che realizza le tre funzioni di autenticazione (authentication), controllo degli accessi (authorization) e tracciamento del consumo delle risorse da parte degli utenti (accounting). L'espressione protocollo AAA non si riferisce dunque a un particolare protocollo ma a una famiglia di protocolli che offrono, anche in modi diversi, i servizi citati.
Requisiti
(EN)RFC 2194 Review of Roaming Implementations (EN)RFC 2477 Criteria for Evaluating Roaming Protocols (EN)RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model (EN)RFC 2903 Generic AAA Architecture (EN)RFC 2904 AAA Authorization Framework (EN)RFC 2905 AAA Authorization Application Examples (EN)RFC 2906 AAA Authorization Requirements
(EN)RFC 3169 Criteria for Evaluating Network Access Server Protocols (EN)RFC 3539 AAA Transport Profile
Protocollo Kerberos
149
Protocollo Kerberos
Kerberos un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identit e cifrando i dati. Kerberos previene l'intercettazione e i replay attack, e assicura l'integrit dei dati. I suoi progettisti mirarono soprattutto ad un modello client-server, e fornisce una mutua autenticazione sia l'utente che il fornitore del servizio possono verificare l'identit dell'altro. Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.
Storia e sviluppo
Il Massachusetts Institute of Technology (MIT) svilupp Kerberos per proteggere i servizi di rete forniti dal Project Athena. Il protocollo fu battezzato come il personaggio mitologico Cerbero, che nella mitologia greca era il cane a tre teste posto a guardia dell'Ade. Ci sono diverse versioni del protocollo; le versioni dalla 1 alla 3 furono utilizzate solo all'interno del MIT. Steve Miller e Clifford Neuman, i principali sviluppatori di Kerberos versione 4, pubblicarono questa versione alla fine degli anni Ottanta, anche se era stata sviluppata principalmente per il Project Athena. La versione 5, progettata da John Kohl e Clifford Neuman, venne formalizzata nella RFC 1510 nel 1993 (resa obsoleta dalla RFC 4120 nel 2005), con l'intenzione di risolvere i limiti e i problemi di sicurezza della versione 4. Il MIT mette a disposizione una implementazione di Kerberos libera, sotto una licenza simile alla BSD Le autorit degli USA classificarono Kerberos come arma e ne vietarono l'esportazione poich utilizzava l'algoritmo di crittazione DES (con chiavi da 56 bit). Una implementazione di Kerberos non statunitense, KTH-KRB [1] sviluppata in Svezia, rese il sistema disponibile anche al di fuori degli Stati Uniti, prima che questi cambiassero la propria legge sull'esportazione degli algoritmi crittografici (attorno al 2000). L'implementazione svedese del protocollo era basata su una versione di Kerberos detta eBones. eBones era basata sulla versione MIT Bones (in pratica una versione di Kerberos priva delle funzioni crittografiche e delle loro chiamate) ricavata da Kerberos 4 patchlevel 9. L'australiano Eric Young, autore di diverse librerie crittografiche, reinser le chiamate alle funzioni crittografiche utilizzando la propria libreria libdes. Questa versione limitata di Kerberos fu chiamata eBones. Una implementazione della versione 5 di Kerberos, Heimdal [2], fu rilasciata essenzialmente dallo stesso gruppo che cre KTH-KRB. Windows 2000, Windows XP e Windows Server 2003 usano una variante di Kerberos come sistema predefinito di autenticazione. Alcune aggiunte di Microsoft a Kerberos sono documentate nella RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" (trad.: "Protocolli Kerberos di impostazione password e cambio password in Microsoft Windows 2000"). Anche Mac OS X di Apple utilizza Kerberos sia nella versione client sia in quella server. Nel 2005 il gruppo di lavoro su Kerberos dello IETF ha aggiornato le specifiche [3]. Recenti aggiornamenti includono: "Encryption and Checksum Specifications" (trad.: "Specifiche di crittazione e calcolo checksum") (RFC 3961) "Advanced Encryption Standard (AES) Encryption for Kerberos 5" (trad.: "Crittazione con AES in Kerberos 5") (RFC 3962), Una nuova edizione delle specifiche di Kerberos 5 "The Kerberos Network Authentication Service (V5)" (trad.: "Servizio Kerberos per l'Autenticazione su Reti") (RFC 4120). Questa versione rende obsoleta la RFC 1510, chiarifica alcuni aspetti del protocollo e il suo utilizzo in modo pi dettagliato e chiaro, Una nuova edizione delle specifiche per GSS-API (RFC 4121)
Protocollo Kerberos
150
Descrizione
Kerberos si basa sul protocollo di Needham-Schroeder. Utilizza una terza parte affidabile per centralizzare la distribuzione delle chiavi detta Key Distribution Center (KDC), che consiste di due parti separate logicamente: l'Authentication Server (AS) e il Ticket Granting Server (TGS). Kerberos funziona utilizzando dei "biglietti" (detti ticket) che servono per provare l'identit degli utenti. L'AS mantiene un database delle chiavi segrete; ogni entit sulla rete che sia un client o un server condivide la chiave segreta solo con l'AS. La conoscenza di questa chiave serve per provare l'identit di un'entit. Per comunicazioni tra due entit, Kerberos genera una chiave di sessione, che pu essere utilizzata dai due terminali per comunicare.
Utilizzi
Il seguente software in grado di usare Kerberos per l'autenticazione: OpenSSH (con Kerberos 5 o successivo) NFS (a partire dalla versione NFSv4) PAM (con il modulo pam_krb5) SOCKS (a partire da SOCKS5)
Il protocollo
Il protocollo pu essere definito come segue utilizzando la notazione per protocolli di sicurezza, dove Alice (A) si autentica presso Bob (B) usando il server S:
La sicurezza del protocollo si basa fortemente sui timestamp T e sui tempi di vita L come indicatori affidabili della creazione recente della comunicazione per evitare replay attack (vedi logica BAN). importante notare come il server S qui stia sia come Authentication Service (AS) che come Ticket Granting Service (TGS).
Operazioni di Kerberos
Quella che segue una descrizione semplificata del protocollo. Saranno utilizzate le seguenti abbreviazioni: AS = Authentication Server, TGS = Ticket Granting Server, SS = Service Server. In breve: il client si autentica presso AS che gli fornisce un ticket di sessione per accedere a TGS, si autentica presso TGS e riceve il ticket per aprire una sessione di comunicazione con SS. In dettaglio:
Protocollo Kerberos Utente: Autenticazione di base 1. Un utente inserisce username e password sul client. Client: Autenticazione AS 1. Il client manda un messaggio non crittato all'AS richiedendo i servizi per l'utente. ("L'utente XYZ vorrebbe richiedere dei servizi"). N la chiave segreta n la password vengono inviate all'AS. 2. L'AS controlla se il client nel suo database. Se lo invia due messaggi al client: Messaggio A: Chiave di sessione client-TGS crittata usando la chiave segreta dell'utente. Messaggio B: Ticket-Granting Ticket (che include l'identificativo del client, l'indirizzo di rete, il tempo di validit del ticket e la chiave di sessione client-TGS) crittata utilizzando la chiave segreta di TGS. 3. Quando il client riceve i messaggi A e B, decritta il messaggio A ottenendo la chiave di sessione client-TGS. Questa chiave utilizzata per le successive comunicazioni con TGS. (Nota: il client non pu decrittare il Messaggio B, che stato crittato con la chiave segreta di TGS). A questo punto il client possiede i mezzi per autenticarsi presso TGS. Client: Autenticazione TGS 1. Quando richiede dei servizi, il client invia i seguenti due messaggi a TGS: Messaggio C: composto dal Ticket-Granting Ticket (mandatogli dal AS nel messaggio B) e dall'identificativo del servizio richiesto Messaggio D: autenticatore (Authenticator) (che formato da identificativo del client e timestamp), crittato usando la chiave di sessione clientTGS. 2. Ricevendo i messaggi C e D, TGS decritta il messaggio C con la propria chiave e dal messaggio estrae la chiave di sessione clientTGS che utilizza per decrittare il messaggio D (autenticatore). A questo punto invia i seguenti due messaggi al client: Messaggio E: Ticket client-server (che include l'identificativo del client, l'indirizzo di rete del client, il periodo di validit e la chiave di sessione client-server) crittato utilizzando la chiave segreta del server che offre il servizio. Messaggio F: Chiave di sessione client-server crittato usando la chiave di sessione client-TGS. Client: Autenticazione SS 1. Ricevendo i messaggi E e F dal TGS, il client pu autenticarsi presso il SS. Il client si connette al SS e invia i seguenti due messaggi: Messaggio G: Ticket client-server crittato usando la chiave segreta di SS. Messaggio H: un nuovo autenticatore, che include l'identificativo del client, il timestamp e crittato usando la chiave di sessione client-server. 2. Il server decritta il ticket usando la sua chiave segreta e invia il seguente messaggio al client per confermare la propria identit e la volont di fornire il servizio al client: Messaggio I: il timestamp trovato nell'autenticatore incrementato di uno, crittato utilizzando la chiave di sessione client-server. 3. Il client decritta la conferma usando la chiave di sessione client-server e controlla che il timestamp sia correttamente aggiornato. Se lo , il client pu considerare affidabile il server e iniziare a effettuare le richieste di servizio. 4. Il server fornisce i servizi al client.
151
Protocollo Kerberos
152
Voci correlate
Single sign-on SPNEGO S/Key
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Kerberos
Collegamenti esterni
Pagina di Kerberos del MIT [4] FAQ di Kerberos [5] Tutorial Kerberos [6] Kerberos 5 - autenticazione utente [7]
Bibliografia
B. Clifford Neuman e Theodore Ts'o, Kerberos: An Authentication Service for Computer Networks, IEEE Communications, 32(9) pp3338. Settembre 1994. [8] John T. Kohl, B. Clifford Neuman, e Theodore Y. T'so, The Evolution of the Kerberos Authentication System. Distributed Open Systems, pp7894. IEEE Computer Society Press, 1994. [9] (Formato postscript)
Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] http:/ / www. pdc. kth. se/ kth-krb/ http:/ / www. pdc. kth. se/ heimdal/ http:/ / www. ietf. org/ html. charters/ krb-wg-charter. html http:/ / web. mit. edu/ kerberos/ http:/ / www. faqs. org/ faqs/ kerberos-faq/ general/ http:/ / www. zeroshell. net/ kerberos/ http:/ / xoomer. alice. it/ sigma83/ kerberos5/ index. html http:/ / gost. isi. edu/ publications/ kerberos-neuman-tso. html ftp:/ / athena-dist. mit. edu/ pub/ kerberos/ doc/ krb_evol. PS
RADIUS
153
RADIUS
RADIUS (Remote Authentication Dial-In User Service) un protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilit IP. RADIUS attualmente lo standard de-facto per lautenticazione remota, prevalendo sia nei sistemi nuovi che in quelli gi esistenti.
Il codice stabilisce il tipo di pacchetto RADIUS. I codici sono: 1 = Access-Request 2 = Access-Accept 3 = Access-Reject 4 = Accounting-Request 5 = Accounting-Response 11 = Access-Challenge 12 = Status-Server (sperimentale) 13 = Status-Client (sperimentale) 255 = riservato
Lidentificatore un ottetto che permette al client RADIUS di associare una risposta RADIUS con la relativa richiesta. Il significato della stringa Authenticator, di 16 byte, verr chiarito dopo. Nella sezione degli attributi, infine, conservato un numero arbitrario di campi.
Funzionamento
Lintero processo ha inizio quando un client crea un pacchetto RADIUS Access-Request, includendo almeno gli attributi User-Name e User-Password, e generando il contenuto del campo identificatore. Il processo di generazione del campo identificatore non specificato nel protocollo RADIUS, ma solitamente implementato come un semplice contatore incrementato ad ogni richiesta. Il campo authenticator contiene una Request-Authenticator, ovvero una stringa di 16 byte scelta in modo casuale. L'intero pacchetto trasmesso in chiaro, a parte per lattributo User-Password, che protetto nel modo seguente: il client e il server condividono una chiave segreta. Tale chiave viene unita con la Request Authenticator, e l'intera stringa viene sottoposta a una funzione hash MD5 per la creazione di un valore di 16 ottetti, sottoposto a sua volta a
RADIUS un XOR con la password immessa dallutente (e se tale password pi lunga di 16 ottetti, vi un calcolo MD5 addizionale, utilizzando il testo cifrato anzich la Request Authenticator). Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il client. In caso negativo, il pacchetto viene silenziosamente ignorato. Poich anche il server in possesso del segreto condiviso, possibile utilizzare una versione modificata del processo di protezione del client per ottenere la password in chiaro. Quindi il server consulta il database per convalidare username e password; se la password valida, il server crea un pacchetto Access-Accept da rimandare al client. In caso contrario, crea un pacchetto Access-Reject e lo invia al client. Entrambi i pacchetti Access-Accept e Access-Reject utilizzano lo stesso valore identificatore del pacchetto Access-Request del client, e hanno una Response Authenticator nel campo Authenticator. La Response Authenticator la funzione hash MD5 del pacchetto di risposta con lassociata Request Authenticator, concatenata con il segreto condiviso. Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una precedente richiesta utilizzando il campo identificatore. Se non esiste alcuna richiesta con lo stesso identificatore, la risposta silenziosamente ignorata. Quindi il client verifica la Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed infine comparando il risultato con il campo Authenticator. Se la Response Authenticator non coincide, il pacchetto silenziosamente ignorato. Se il client riceve un pacchetto Access-Accept verificato, username e password sono considerati corretti, e lutente autenticato. Se invece riceve un pacchetto Access-Reject verificato, username e password sono scorretti, e di conseguenza lutente non autenticato.
154
Utilizzo di RADIUS
RADIUS un protocollo ampiamente utilizzato negli ambienti distribuiti. comunemente usato per dispositivi di rete integrati come router, server modem, switch ecc., per svariate ragioni: I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con informazioni di autenticazione distinte, poich questo richiederebbe molta pi memoria di massa di quanta ne possiedano la maggior parte di essi. RADIUS facilita lamministrazione utente centralizzata, che importante per diverse applicazioni. Molti ISP hanno decine di migliaia, centinaia di migliaia o anche milioni di utenti, aggiunti e cancellati di continuo durante una giornata, e le informazioni di autenticazione cambiano costantemente. Lamministrazione centralizzata degli utenti un requisito operativo. RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente. Un supporto RADIUS quasi onnipresente. Altri protocolli di autenticazione remota non hanno un consistente supporto da parte dei fornitori di hardware, quando invece RADIUS uniformemente supportato. Poich le piattaforme sulle quali implementato RADIUS sono spesso sistemi integrati, vi sono limitate possibilit di supportare protocolli addizionali. Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una compatibilit minima con client e server RADIUS preesistenti (e non modificati). Nonostante ci, stato messo a punto un nuovo protocollo, DIAMETER, candidato a rimpiazzare RADIUS: utilizza infatti TCP anzich UDP ed di conseguenza considerato pi sicuro ed affidabile.
RADIUS
155
Standard
Il protocollo RADIUS definito in: RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting Altre RFC rilevanti sono: RFC 2548 Microsoft Vendor-specific RADIUS Attributes RFC 2607 Proxy Chaining and Policy Implementation in Roaming RFC 2618 RADIUS Authentication Client MIB RFC 2619 RADIUS Authentication Server MIB RFC 2620 RADIUS Accounting Client MIB RFC 2621 RADIUS Accounting Server MIB RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support RFC 2868 RADIUS Attributes for Tunnel Protocol Support
RFC 2869 RADIUS Extensions RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices
RADIUS RFC 3162 RADIUS and IPv6 RFC 3575 IANA Considerations for RADIUS RFC 3576 Dynamic Authorization Extensions to RADIUS RFC 3579 RADIUS Support for EAP RFC 3580 IEEE 802.1X RADIUS Usage Guidelines RFC 4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option
156
Collegamenti esterni
(EN) An Analysis of the RADIUS Authentication Protocol [1] (EN) List of RADIUS attributes [2] (EN) The History of the RADIUS Server [3]
Note
[1] http:/ / www. untruth. org/ ~josh/ security/ radius/ radius-auth. html [2] http:/ / www. freeradius. org/ rfc/ attributes. html [3] http:/ / www. interlinknetworks. com/ resources. htm
Voci correlate
Recovery Time Objective (RTO) Disaster recovery Tolleranza ai guasti
157
Ridurre l'RTO
Un'utile misura per la riduzione dell'RTO consiste nell'avere dei backup dei dati disponibili integralmente su siti secondari qualora il sito primario risulti danneggiato.
Voci correlate
Business continuity
Restore
Il restore nell'informatica indica l'operazione inversa del backup. Il backup l'operazione di salvataggio dati da un supporto di memorizzazione di massa (hard disk, nastro magnetico, Cd Rom, etc) ad un altro supporto di memorizzazione di massa. Quando, in seguito ad errori umani o guasti hardware, i dati presenti sul primo supporto non sono accessibili, il recupero (restore) dei dati salvati (backup) permette di ricostruire la situazione iniziale.
Risk Assessment
158
Risk Assessment
All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si passati dalla figura del "computer security technologist" a quella del "professional risk manager" per cercare di definire quanto sicurezza sia sufficiente a prevenire problemi indesiderabili.
Nozioni di base
La sicurezza delle informazioni
La sicurezza delle informazioni sempre stata nella storia dell'uomo un importante processo. Possiamo definirla come la ricerca di proteggere quattro aspetti chiave : Disponibilit : l'accessibilit motivata alle informazioni; Integrit : la completezza e la leggibilit delle informazioni; Autenticit : la validit delle informazioni; Riservatezza : la possibilit che solo chi autorizzato possa leggere le informazioni.
La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate
Risk Assessment
159
Framework
Il framework era basato su diverse fasi : Analisi delle minacce : si valutano potenziali minacce (azioni umane, catastrofi naturali, errori involontari) e le risorse che si vogliono proteggere. Analisi della vulnerabilit : si valutano le debolezze nella sicurezza che possono favorire un attacco. Analisi degli scenari possibili : richiede una stima accurata delle risorse, delle preoccupazioni sulla sicurezza, delle minacce e della vulnerabilit. Questi scenari sono utilizzati, poi, nella fase di risk-management per valutare le conseguenze e per quantificare le dimensioni del rischio. Test di accettabilit : si confrontano i rischi misurati per una data risorsa con le esigenze stabilite. Decisioni di salvaguardia : vengono prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste. Il processo verr poi ripetuto con i nuovi risultati di salvaguardia, facendo risultare un n uovo misuramento del rischio per ogni risorsa. Questi "risk-measurement", con la stima dei costi di salvaguardia, sono inoltre utilizzati per generare le analisi di costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che implementano questo tipo di framework sono @Risk, BDSS, CRAMM.
Fallimento di ALE
La fine del modello ALE venne decretata da tre importanti motivi : Il meccanismo di creazione di scenari della metodologia creava una stima dei lavori di dimensioni esagerate. I tecnici formularono modelli completamente deterministici a causa della loro visione "binaria" della sicurezza. Ale dipendeva troppo dalle informazioni che erano, e restano, scarse.
Metodologie Valuation-Driven
Questo approccio utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un piano studiato e valutati attentamente i rischi e le risorse.
Risk Assessment
160
Best practices
Questo tipo di approccio prevede l'instaurazione di precise regole da rispettare al fine di non dover essere costretti a fronteggiare i rischi. Viene fatta poco lavoro di analisi.
Voci correlate
Sicurezza Informatica Piano di Contingenza
S/KEY
S/KEY un sistema one-time password sviluppato per l'autenticazione su sistemi operativi Unix-like, in particolare dai cosiddetti 'dumb terminal' o da computer pubblici nei quali l'utente non vuole scrivere una password a lunga scadenza. La reale password dell'utente viene combinata in un dispositivo offline con un piccolo insieme di caratteri e un contatore decrementale in modo da formare una password monouso. Dato che la password utilizzabile solo per una sessione, l'utilizzo di sniffer diventa inutile. L'insieme di caratteri non cambia finch il contatore decrementale non raggiunge lo zero. cos possibile preparare una lista di password single-use che l'utente pu portare con se. Alternativamente, l'utente pu presentare la password, i caratteri e il valore del contatore desiderato ad un calcolatore locale per generare la password appropriata che pu quindi essere trasmessa attraverso la rete in chiaro. Questa seconda opzione la pi comune e si riduce praticamente ad una forma di autenticazione challenge-response. S/KEY supportato in Linux tramite PAM, OpenBSD, NetBSD e FreeBSD. Inoltre una generica implementazione open source permette l'utilizzo su ogni altro sistema. S/KEY un marchio commerciale di Telcordia Technologies, conosciuta comunemente come Bell Communications Research (Bellcore). Ci si riferisce a S/KEY anche con il nome di 'schema di Leslie Lamport', dal nome dell'autore. stato sviluppato da Neil Haller, Phil Karn e John Walden nei laboratori Bellcore sul finire degli anni 80. Al momento della scadenza dei brevetti sulla crittografia a chiave pubblica e l'ampio utilizzo di SSH e altri protocolli di crittografia che possono rendere sicura l'intera sessione, non solo la password, S/KEY caduto in disuso. SecurID uno schema one-time password simile che ancora risulta ampiamente utilizzato perch, a differenza di S/KEY, fornisce autenticazione a due fattori, richiedendo un token fisico che difficilmente pu essere riprodotto.
S/KEY
161
Autenticazione
Dopo la generazione della password, l'utente ha un foglio di carta con n password. La prima la stessa password che il server ha memorizzato e che non sar utilizzata per l'autenticazione. Al suo posto verr utilizzata la seconda: L'utente fornisce al server la seconda password della lista e la cancella. Il server tenta di calcolare H(pwd) dove pwd la password fornita. Se H(pwd) produce la prima password (quella che il server ha memorizzato, allora l'autenticazione corretta. Il server memorizzer quindi pwd come referenza per la successiva autenticazione. Pi in generale, fornendo la password i, verr calcolata H(i) con la password memorizzata i-1.
Sicurezza
La sicurezza di S/KEY confida sulla difficolt di invertire la funzione di hash. Si supponga che un attaccante ottenga una password i che stata utilizzata per una precedente autenticazione. Tale password inutile per le autenticazioni successive perch ogni password pu essere usata una volta soltanto. Se la password i sniffata dall'attaccante fosse l'ultima utilizzata, si potrebbe tentare di invertire la funzione di hash in modo da ottenere la prossima password. Tale operazione risulta estremamente difficoltosa. S/KEY comunque vulnerabile ad un attacco man in the middle. anche vulnerabile a certe race conditions, come nel caso in cui un attaccante utilizzasse uno sniffer per trovare i primi N-1 caratteri per poi utilizzare rapidamente un bruteforce per scoprire il restante carattere. Questo tipo di vulnerabilit possono essere evitate utilizzando ssh, SSL, SPKM o un altro metodo di trasmissione crittata.
SANS
Il SANS Institute (SysAdmin, Audit, Networking, and Security) una organizzazione dedita a fornire educazione informatica ed addestramento in materia di sicurezza informatica. stata fondata nel 1989. Nella loro strutturazione originale, le Conferenze di SANS erano simili alla maggior parte delle conferenze tecniche tradizionali: incontri per presentazioni cartacee. Dalla met degli anni novanta, si sarebbero evolute in un forum di istruzione su argomenti di sicurezza e audit. La maggior parte dell'istruzione disponibile focalizzata al raggiungimento di una delle numerose certificazioni di sicurezza GIAC. SANS mantiene i seguenti siti Web: Internet Storm Center GIAC Security Certification [1] S.C.O.R.E. (Security Consensus Operational Readiness Evaluation) [2] I docenti SANS hanno contribuito alla redazione di molti libri sulla sicurezza: Hackers Beware: The Ultimate Guide to Network Security (ISBN 0735710090) Hiding in Plain Sight : Steganography and the Art of Covert Communication (ISBN 0471444499) Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems (ISBN 0735712328) Malware: Fighting Malicious Code (ISBN 0131014056) Network Intrusion Detection (ISBN 0735712654) Network Intrusion Detection: An Analyst's Handbook (ISBN 0735710082)
SANS
162
Collegamenti esterni
SANS Institute [3] SANS Internet Storm Center [4]
Note
[1] [2] [3] [4] http:/ / www. giac. org/ http:/ / www. sans. org/ score http:/ / www. sans. org/ http:/ / isc. sans. org/
Security descriptor
I security descriptor (in italiano: descrittori di sicurezza) sono strutture che forniscono informazioni di sicurezza per gli oggetti dei sistemi operativi Windows; questi oggetti sono identificati da un nome univoco. I Security Descriptor possono essere associati ad ogni tipo di oggetto (file, cartelle, chiavi di registro e altro) e contengono anche informazioni sul proprietario dell'oggetto (l'utente creatore) e anche quali utenti possono avere accesso all'oggetto e in che modo (lettura, lettura/scrittura, esecuzione...). possibile modificare un Security Descriptor utilizzando vari strumenti come CACLS, uno strumento a riga di comando di Windows.
Voci correlate
Lista di controllo degli accessi (ACL) Audit Token CACLS
Security Management
163
Security Management
Con Security management si indicano tutte quelle attivit gestionali di individuazione, valorizzazione e analisi di un rischio che pu provocare danni patrimoniali e non (furti, frodi, divulgazione di informazioni,...) in un'azienda, ente o raggruppamento di beni e persone. La persona che si occupa di tale lavoro normalmente viene chiamato security manager o responsabile della sicurezza.
Tipologie
Nella normalit, essendo il termine "sicurezza" capace di racchiudere molteplici eventi gestionali, si possono distinguere tre diverse tipologie di Security Management con il relativo responsabile: Sicurezza patrimoniale: il loss prevention & security manager il responsabile aziendale per la sicurezza patrimoniale. Si occupa di tutte le attivita di vigilanza ed investigazione per far fronte alle continue perdite di un'azienda legata a furti, frodi o truffe. Sicurezza informatica: il IT Security Manager colui che deve garantire la sicurezza dei sistemi informatici in modo da non subire attacchi da esterni con la relativa protezione delle informazioni e dei dati aziendali o da virus. Sicurezza sul lavoro ed ambiente: l'RSA colui che deve garantire la vivibilit dei posti di lavoro, individuare eventuali pericolosit e trovarne rimedio (legge 626).
Attivit
L'attivit viene svolta in punti ben definiti che non vadano ad incidere negativamente sulla produzione e/o il commercio dell'azienda; sono attivit che devono essere condivise da tutte le divisioni dell'azienda. Tali punti si possono riassumere come segue: Valori Aziendali: individuazione del campo di attivit dell'azienda e riconoscimento dei responsabili delle varie strutture. Definizione degli obiettivi: Obiettivi strategici: non devono intralciare le strategie e le politiche aziendali. Obiettivi operativi: devono essere efficaci ed efficienti sul piano attuativo delle primarie attivit aziendali. Obiettivi di conformit: devono rispettare pienamente le leggi civili e penali dello Stato e/o i regolamenti aziendali. Obiettivi di reporting: deve essere assicurata una piena distribuzione e un'attivit di informazione delle politiche da emanare. Identificazione del problema: identificazione dei rischi. Risk Assestment: analisi dei rischi individuati precedentemente e valutazione del loro impatto tenedo conto dei rischi potenziali e dei rischi effettivi. Risk Response: individuazione delle attivit di contenimento e/o di contrasto da svolgere per la riduzione dei rischi analizzati. Control Activities: stabilire e rendere pubbliche le politiche, le attivit e le procedure attuative. Information & Communication: attivit di audit interno, divulgazione e spiegazione delle procedure emanate facendole comprendere e sentire necessarie anche a chi le deve applicare. Monitoring: attivit di controllo continuo nell'applicazione delle procedure. L'attivit di Security Management in generale ancora poco utilizzata all'interno delle aziende che la considerano un costo e non un investimento, ma il trend sta cambiando.
164
165
Reporting
I Log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica particolarmente importante perch, oltre a fornire il dettaglio di eventuali tentatitivi di intrusione da parte di soggetti non autorizzati o di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, pu permettere al cliente di intraprendere delle azioni preventive.
Security Alert
Il servizio di security alert volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilit in modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle nuove vulnerabilit.
DDos mitigation
Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial of Service" indirizzato verso un servizio critico facente parte dellinfrastruttura di rete di un cliente. Il compito del servizio quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure necessarie per risolvere lincidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo di "pulitura" e di reinstradamento del traffico. Segue notifica del termine dellattacco.
166
Security Assessment
Alcuni elementi di servizio che solitamente fanno parte delle attivit di Security Assessment sono: - Vulnerability Assessment. - Penetration Test. Vulnerability Assessment Il vulnerability assessment volto ad individuare vulnerabilit note dei sistemi e dei servizi installati sugli stessi. Tale attivit svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni assessment. Penetration test Il Penetration Test volto ad individuare e sfruttare vulnerabilit note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilit, in grado di evidenziare in maniera pi efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attivit svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate per ogni assessment, sia tramite attivit manuali specifiche per ogni servizio, sistema ed applicativo analizzato.
Assistenza tecnica
In genere il SOC pu fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a problemi di funzionalit, violazioni di sistema, aggiornamento e configurazione di software e hardware per la sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche pu essere fornita da remoto o on-site a seconda delle problematiche e del contratto stipulato tra le parti.
Voci correlate
Sicurezza informatica Vulnerabilit Vulnerability Assessment and Mitigation Buffer overflow Exploit Tiger team Hacker Firewall Antivirus Polizia Postale e delle Comunicazioni Computer Security Incident Response Team (CSIRT) o CERT (Computer Emergency Response Team)
167
Collegamenti esterni
Open Web Application Security Project (OWASP) [1] Unit di prevenzione e gestione degli incidenti informatici governativa (CERT-SPC) nel Sistema Pubblico di Connettivit (SPC) [2]
Note
[1] http:/ / www. owasp. org/ index. php/ Main_Page [2] http:/ / www. cert-spc. it
168
Voci correlate
Anomaly based intrusion detection system
Single sign-on
Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) un sistema specializzato che permette ad un utente di autenticarsi una sola volta e di accedere a tutte le risorse informatiche alle quali abilitato.
Obiettivi
Gli obiettivi sono multipli: semplificare la gestione delle password: maggiore il numero della password da gestire, maggiore la possibilit che vengano utilizzate password simili le une alle altre e facili da memorizzare, abbassando cos il livello di sicurezza; semplificare la gestione degli accessi ai vari servizi; semplificare la definizione e la gestione delle politiche di sicurezza.
Architettura
Vi sono tre approcci per la creazione di un sistema di SSO: l'approccio centralizzato, l'approccio federativo e l'approccio cooperativo.
Approccio centralizzato
Il principio di disporre di un database globale e centralizzato di tutti gli utenti e di centralizzare allo stesso modo la politica della sicurezza. Questo approccio destinato principalmente ai servizi dipendenti tutti dalla stessa entit, per esempio all'interno di una azienda.
Single sign-on
169
Approccio federativo
Con questo approccio differenti gestori ("federati" tra loro) gestiscono dati di uno stesso utente. L'accesso ad uno dei sistemi federati permette automaticamente l'accesso a tutti gli altri sistemi. Un viaggiatore potrebbe essere sia passeggero di un aereo che ospite di un albergo. Se la compagnia aerea e l'albergo usassero un approccio federativo avrebbero un accordo reciproco sull'autenticazione dell'utente. Il viaggiatore potrebbe ad esempio autenticarsi per prenotare il volo e essere autorizzato, in forza di quella sola autenticazione, ad effettuare la prenotazione della camera d'albergo. Questo approccio stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni gestore federato mantiene il controllo della propria politica di sicurezza.
Approccio cooperativo
L'approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l'autenticazione viene effettuata dal gestore che ha in carico l'utente per l'accesso alla rete. Come per l'approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica di sicurezza. L'approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono dipendenti da una entit, come ad esempio in universit, laboratori di ricerca, amministrazioni, etc.
Single sign-on usando un web proxy server o installando un componente su ogni web server stabilito. Gli utenti non autorizzati, che tentano di accedere a una risorsa, vengono deviati verso un servizio di autenticazione e ritornano solo dopo aver effettuato con successo un single sign-on. I Cookies sono usati molto spesso per tracciare lo stato di autenticazione dell'utente; l'infrastruttura Web-SSO estrae le informazioni dell'identificazione dell'utente dagli stessi cookies, passandole in ogni risorsa web. 6. Kerberos un meccanismo conosciuto alle applicazioni e serve per estrarre interamente le autenticazioni. Gli utenti si registrano sul server Kerberos, il quale rilascia un "biglietto da visita", che il loro client software presenter ai server a cui loro tenteranno di accedere. Kerberos disponibile per Unix, per Windows e per piattaforme di elaborazione dati, ma richiede ampie modifiche al codice dell'applicazione client/server, perci non usato da molte "legacy application". 7. Federation un nuovo approccio, anche per applicazioni web, che usa un protocollo basato su degli standard che permette a una applicazione di accertare una sola volta l'identit di un utente di servizi diversi, in modo tale da evitare il bisogno di autenticazioni ridondanti. Gli standard per supportare Federation includono SAML e WS-Federation (http://www-128.ibm.com/developerworks/library/specification/ws-fed). 8. Light-Weight Identity e Open ID, sotto la protezione di YADIS, offrono SSO ripartiti e decentralizzati, dove l'identit legata a una URL eseguita facilmente, che pu essere verificata da qualsiasi server che usi uno dei protocolli condivisi. 9. JOSSO o Java Open Single Sign-On un'infrastruttura SSO open source basata su J2EE, che punta a trovare una soluzione per piattaforme centralizzate di autenticazione dell'utente neutrale. JOSSO usa i servizi web per accertare l'identit dell'utente, permettendo l'integrazione di applicazioni non-Java (cio PHP, Microsoft ASP, ecc.) al Servizio Single Sign-On usando il protocollo SOAP sopra il protocollo HTTP. 10. Shibboleth System un pacchetto software opensource, basato su standard, per il we SSO tra organizzazioni o all'interno di un'organizzazione (sistema sviluppato da Internet2).
170
Cenni Storici
Il primo metodo d'identificazione scientifico biometrico fu sviluppato nei laboratori del carcere di Parigi da Alphonse Bertillon (23 aprile 1853 - 13 febbraio 1914). Bertillon era figlio dello statistico Louis Bertillon e fratello del demografo - statistico Jacques. Nel 1870 venne nominato fotografo di servizio presso la prefettura di Parigi: annotando tutte le caratteristiche fisiche dei detenuti, fonda cos il primo laboratorio di polizia scientifica e didentificazione dei criminali, inventa lantropologia giudiziaria chiamata appunto Sistema Bertillon o Bertillonage un sistema di identificazione rapidamente adottato in tutta lEuropa continentale e inseguito anche a Londra. Il suo metodo consisteva nella rilevazione delle misure fisiche dei detenuti in quanto lossatura umana non cambia pi dopo il ventesimo anno det ed ogni scheletro diverso per ciascun individuo. Il nome del detenuto, le descrizioni e le misure fisiche del corpo di un individuo (cranio, lunghezza degli arti, lunghezza delle dita e dei piedi, lunghezza del naso, caratteristiche dellorecchio) e una foto segnaletica, frontale e laterale dell'individuo a mezzo busto, venivano annotate su una scheda detta "Osservazioni Antropometriche".
Sistema di riconoscimento biometrico Larchivio cresce molto velocemente, cos possibile riconoscere un soggetto nuovamente arrestato che presentava una falsa identit. Il problema maggiore che si evidenzi era per le misure, dovevano essere effettuate con grande accuratezza, solo lo scopritore di questo sistema di classificazione era in grado di effettuare i rilievi con la dovuta precisione. Bertillon organizz corsi di formazione per numerosi esponenti di polizie europee a Londra e Parigi, ma le misure prese da altri soggetti, pure addestrati erano imprecise e non cos affidabili come quelle del francese. La tecnica cadde gradualmente in disuso nel frattempo vi fu la scoperta dell'impronta digitale. Diversi sono i nomi legati a questa invenzione[1] anche se i due nomi pi significativi sono quello di Galton e di sir Henry, che impostarono in modo sistematico la classificazione delle impronte digitali e che, all'inizio di questo secolo, contribuirono a dare alle impronte digitali il valore criminologico che oggi ricoprono. In Italia questo metodo fu messo a punto da un funzionario di polizia, Giovanni Gasti. Un'autentica rivoluzione nellutilizzo delle impronte digitali, soprattutto a fini criminologici, si avuta una dozzina di anni fa, quando la crescente potenza dei sistemi di elaborazione permise alla polizia americana di mettere a punto il primo sistema AFIS - automatic fingerprint identification system. Solo grazie all'utilizzo di questo dispositivo informatico, collegato ad un capiente database, l'impronta digitale ha raggiunto lattuale importanza criminologica.
171
Introduzione
La biometria permette di stabilire che ogni individuo ha caratteristiche: 1. 2. 3. 4. Universali = tutti devono averla; Uniche = due o pi individui non possono avere la stessa uguale caratteristica; Permanenti = questa non varia nel tempo; Collezionabili = deve essere misurata quantitativamente.
Caratteristiche
Le caratteristiche prese in considerazione dal sistema di riconoscimento biometrico possono essere: Fisiologiche le impronte digitali, laltezza, il peso, il colore e la dimensione delliride, la retina, la sagoma della mano, il palmo della mano, la vascolarizzazione, la forma dellorecchio, la fisionomia del volto.
Sistema di riconoscimento biometrico Comportamentali Ossia azioni che normalmente lindividuo compie limpronta vocale, la scrittura grafica, la firma, lo stile di battitura sulla tastiera, i movimenti del corpo.
172
Le caratteristiche fisiologiche di un individuo sono abbastanza stabili, soggette solo a piccole variazioni nel tempo, le componenti comportamentali invece possono essere influenzate dalla situazione psicologica dellindividuo, proprio per questo devono essere aggiornate spesso. Questo sistema vuole garantire lunicit della persona, infatti codici segreti e carte di identificazione verificano solo ci che una persona conosce e/o possiede, come ad esempio una password o un codice pin od il badge ma non lidentit della persona stessa. Le applicazioni biometriche possono essere utilizzate da sole o integrate con altre tecnologie come ad esempio smart card, chiavi crittografiche, RFID e firma digitale.
Verifica e identificazione
I sistemi biometrici possono operare in due diverse modalit: verifica e identificazione. Il processo di verifica (1 to 1 matching, uno ad uno) si ha quando il soggetto dichiara la sua identit. Il sistema quindi effettua un confronto tra limmagine rilevata in tempo reale e quella corrispondente del template presente nellarchivio. Lidentificazione (1 to many matching, verifica uno a molti) si ha quando limmagine acquisita in tempo reale viene confrontata con tutte le immagini presenti nel database del sistema e viene poi associata a quella con le caratteristiche pi simili.
173
Sicurezza e Privacy
Come per molti altri sistemi informatici provvisti di database e dati sensibili di utenti, un sistema di riconoscimento biometrico pu essere soggetto ad attacchi che possono minare uno o pi dei tre requisiti classici della sicurezza informatica ovvero la confidenzialit dei dati, l'integrit dei dati e la disponibilit dei dati minando quindi anche il funzionamento stesso del sistema di riconoscimento.
Mercati di Applicazione
I sistemi di riconoscimento biometrico vengono utilizzati in diversi tipi di mercato, sia in ambito governativo (Militare, Sanit, Giustizia, enti e istituzioni pubbliche) e sia in quello commerciale (turismo, trasporti, banche, assicurazioni, hi-tech, telecomunicazioni, industria), per assicurare una maggiore sicurezza ai sistemi, alle transazioni e alla tutela dei dati. Le applicazioni maggiormente in uso sono: autenticazione degli accessi fisici in locali protetti, sicurezza nelle transazioni finanziarie, prevenzione delle frodi, proteggere e tutelare lattivit bancaria via internet, identificazione di soggetti, sicurezza negli aeroporti, investigazione, schedatura dei criminali.
174
Note
[1] Per esempio, quello di Edward Henry.
Voci correlate
AFIS (Sistema di identificazione automatica delle impronte digitali) Impronte digitali Edward Henry
Snort
Snort Sviluppatore Ultimaversione S.O. Genere Licenza The Snort Release Team 2.9.05 (06 giugno 2011) Multi-piattaforma Sicurezza Informatica GNU General Public License (Licenza libera) http:/ / www. snort. org
Sito web
SNORT un applicativo open source con funzioni di tipo IDS distribuito con la licenza GPL.
Voci correlate
OSSIM
Altri progetti
Wikibooks contiene testi o manuali: http://it.wikibooks.org/wiki/Snort
Collegamenti esterni
(EN) Sito Ufficiale [4] (EN) Guide all'uso di Snort [1] (EN) Snort Virtual Machine [2] (IT,EN) Snortattack Snort guide, tips and tricks [3]
Note
[1] http:/ / www. snort. org/ docs/ [2] http:/ / www. internetsecurityguru. com/ [3] http:/ / www. snortattack. org/
175
Introduzione
Alla stessa maniera delle "route poisoning" (che interessano le reti di telecomunicazione), le "poisoning action" sono condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato conseguente la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare profilo.
Tassonomia
Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e sicura dell'Identit digitale, possibile introdurre i principali strumenti di poisoning attualmente praticabili ed ipotizzarne di nuovi in uno scenario futuro: Strumenti attuali sostituzione di identit, ovvero la possibilit di impersonare un altro utente per gli scopi pi vari dall'intelligence al social engineering[5] . simulazione di identit[6] , la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per fini malevoli o semplicemente per mantenere l'anonimato. profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i sistemi di intelligence, impedire attivit di OSINT[7] o per altre forme di vantaggio personale. Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale. Strumenti futuri: personae / social bots[8] , creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili) gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalit verosimile, modificando cos il "sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations sensate sui dati. black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (Search engine optimization[9] ) gi in uso sui motori di ricerca.
176
Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley. Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press. Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer. David Birch (2007). "Digital Identity Management", David Birch Editor. Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley. Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress. Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag. Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications. Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in Practice)", O'Reilly Media.
Bibliografia
Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker pi famoso del mondo, Feltrinelli Editore (2005), ISBN 8807818418 Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing, Ltd. (2008), ISBN 0566087731 Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress (2002), ISBN 1931836515 Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications Ltd (2011), ISBN 1847873952 Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI Publishing (2007), ISBN 159904207X Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social Media, Sites O'Reilly Media (2007), ISBN 1449388345 Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071 John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010), ISBN 0470583894
Voci correlate
Sicurezza Informatica Social engineering Rete sociale Social media New economy Identit digitale Hacking Black hat White hat Furto d'identit Defense Advanced Research Projects Agency Servizio di social network
177
Collegamenti esterni
Reato falsa identit in rete (Cassazione 46674/2007) (http://www.cittadinolex.kataweb.it/article_view. jsp?idCat=311&idArt=81355) Furto di identit (http://www.professionisti.it/enciclopedia/voce/2384/Furto-d_identita) (http://www.cnipa.gov.it/) Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) (http://www.interlex.it/Testi/dlg05_82.htm) Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it Identity theft (http://www.identitytheft.org.uk/) Identity Theft Resouce Center (http://www.idtheftcenter.org/) Theft and Identity Fraud (Department of Justice US) (http://www.justice.gov/criminal/fraud/websites/idtheft. html/) Social Media Poisoning (http://www.seomoz.org/blog/ social-media-poisoning-possibly-the-most-insiduous-negative-tactic-in-smm) Spy Operation on social network (http://www.guardian.co.uk/technology/2011/mar/17/ us-spy-operation-social-networks) HBGary and social media manipulation (http://www.infosecisland.com/blogview/ 12250-HBGary-Federal-Document-on-Manipulating-Social-Media.html) Darpa Project & social network monitoring (http://www.wired.com/dangerroom/2011/07/ darpa-wants-social-media-sensor-for-propaganda-ops/) Social media & National Security (http://www.rawstory.com/rs/2011/07/20/ pentagon-looks-to-social-media-as-new-battlefield/) A Practical Attack to De-Anonymize Social Network Users (http://iseclab.org/papers/sonda-tr.pdf) A Standards-based, Open and Privacy-aware Social Web (http://www.w3.org/2005/Incubator/socialweb/ XGR-socialweb-20101206/) Threat of malware targeted at extracting information about the relationships in a real-world social network Massachusetts Institute of Technology, Cambridge (http://www.scribd.com/doc/39006379/Stealing-Reality) The Socialbot Network:When Bots Socialize for Fame and Money (http://lersse-dl.ece.ubc.ca/record/264/ files/ACSAC_2011.pdf)
Spam
178
Spam
Lo spamming, detto anche fare spam o spammare, il susseguirsi ripetuto di una parola/frase (generalmente commerciali). Pu essere attuato attraverso qualunque sistema di comunicazione, ma il pi usato internet, attraverso messaggi di posta elettronica, chat, tag board o forum. Lo Spam volendo pu anche definirsi una forma di flood, in quanto ripetendo pi volte un parola/frase magari in una chat crea un effetto flood, ovvero lo scorrere veloce delle righe. anche detto in gergo flooddare.
Scopi
Il principale scopo dello spamming la pubblicit, il cui oggetto pu andare dalle pi comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cio l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.
Spam Per definizione lo spam viene inviato senza il permesso del destinatario ed un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato. Sondaggi hanno indicato che al giorno d'oggi lo spam considerato uno dei maggiori fastidi di Internet; l'invio di questi messaggi costituisce una violazione del contratto "Acceptable Use Policy" (condotta d'uso accettabile) di molti ISP e pertanto pu portare all'interruzione dell'abbonamento (account) del mittente. Un gran numero di spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Per fare questo vengono usate informazioni anagrafiche false o rubate, in modo da ridurre ulteriormente i loro costi. Questo permette di muoversi velocemente da un account a un altro appena questo viene scoperto e disattivato dall'ISP. Gli spammer usano software creato per osservare connessioni Internet con scarsa sicurezza, che possono essere facilmente dirottate in modo da immettere i messaggi di spam direttamente nella connessione dell'obiettivo con il proprio ISP. Questo rende pi difficile identificare la posizione dello spammer e l'ISP della vittima spesso soggetto di aspre reazioni e rappresaglie da parte di attivisti che tentano di fermare lo spammer. Entrambe queste forme di spamming "nascosto" sono illegali, tuttavia sono raramente perseguiti per l'impiego di queste tattiche. I mittenti di e-mail pubblicitarie affermano che ci che fanno non spamming. Quale tipo di attivit costituisca spamming materia di dibattiti, e le definizioni divergono in base allo scopo per il quale definito, oltre che dalle diverse legislazioni. Lo spamming considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati soggetto a sanzioni.
179
Altri termini
I termini unsolicited commercial email, UCE (email commerciale non richiesta) e unsolicited bulk email, UBE (email non richiesta in grandi quantit) sono usati per definire pi precisamente e in modo meno gergale i messaggi e-mail di spam. Molti utenti considerano tutti i messaggi UBE come spam, senza distinguere il loro contenuto, ma i maggiori sforzi legali contro lo spam sono effettuati per prendere di mira i messaggi UCE. Una piccola ma evidente porzione di messaggi non richiesti anche di carattere non commerciale; alcuni esempi comprendono i messaggi di propaganda politica e le catene di Sant'Antonio
Spam
180
I costi
Lo spamming a volte definito come l'equivalente elettronico della posta-spazzatura (junk mail). Comunque, la stampa e i costi postali di questa corrispondenza sono pagati dal mittente - nel caso dello spam, il server del destinatario paga i costi maggiori, in termini di banda, tempo di elaborazione e spazio per immagazzinamento. Gli spammer usano spesso abbonamenti gratis, in modo tale che i loro costi siano veramente minimi. Per questa ricaduta di costi sul destinatario, molti considerano questo un furto o un equivalente di crimine. Siccome questa pratica proibita dagli ISP, gli spammer spesso cercano e usano sistemi vulnerabili come gli open mail relay e server proxy aperti. Essi abusano anche di risorse messe a disposizione per la libera espressione su internet, come remailer anonimi. Come risultato, molte di queste risorse sono state disattivate, negando la loro utilit agli utenti legittimi. Molti utenti sono infastiditi dallo spam perch allunga i tempi che usano per leggere i loro messaggi di e-mail.
Economia
Siccome lo spam economico da inviare, un ristretto numero di spammer pu saturare Internet con la loro spazzatura. Nonostante solo un piccolo numero dei loro destinatari sia intenzionato a comprare i loro prodotti, ci consente loro di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per una azienda rispettabile una via economicamente non attuabile per fare business, sufficiente per gli spammer professionisti convincere una piccola porzione di inserzionisti ingenui che efficace per fare affari.
Spam
181
DNSBL
Una specifica tecnica di bloccaggio comprende le DNSBL (DNS-based blackhole lists), nella quale un server pubblica liste di indirizzi ip, in modo che un server di posta possa essere facilmente impostato per rifiutare la posta che proviene da questi indirizzi. Ci sono diverse liste di DNSBL, che hanno politiche diverse: alcune liste contengono server che emettono spam, altre contengono open mail relay, altre elencano gli ISP che supportano lo spam.
Tecniche miste
Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono pi tecniche di riconoscimento dello spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per spam), dall'altro per aumentare l'efficienza del filtraggio. Si pu quindi pensare di combinare il filtraggio per DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare cos in modo di unire i pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.
Address munging
Un modo in cui gli spammer ottengono gli indirizzi e-mail il setaccio del Web e di Usenet per stringhe di testo che assomigliano a indirizzi. Perci se l'indirizzo di una persona non mai apparso in questi posti, non potr essere trovata. Un sistema per evitare questa raccolta di indirizzi falsificare i nomi e indirizzi di posta. Gli utenti che vogliono ricevere in modo legittimo posta riguardante il proprio sito Web o i propri articoli di Usenet possono alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per esempio, joe@example.net potrebbe venir modificato in joeNOS@PAM.example.net. Questo sistema detto address munging, dalla parola "munge" tratta dal Jargon File che significa rompere. Questo sistema, comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.
Spam
182
Bug e Javascript
Molti programmi di posta incorporano le funzionalit di un Web browser come la visualizzazione di codice HTML e immagini. Questa caratteristica pu facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni casi, messaggi del genere contenevano attacchi ad alcune vulnerabilit che permettevano l'installazione di programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da non visualizzarli di default.
Evitare di rispondere
ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" come conferma che l'indirizzo valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione dell'indirizzo, ma comportano uno spam ancora maggiore.
Denunciare spam
Agli ISP La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura dell'abbonamento. Sfortunatamente, questo pu essere difficile e anche se ci sono degli strumenti che possono aiutare, non sempre sono accurati. Tre di questi servizi sono SpamCop [4],Network Abuse Clearinghouse [5] e [6] Essi forniscono mezzi automatici o semi automatici per denunciare spam agli ISP. Alcuni li considerano imprecisi rispetto a ci che pu fare un esperto di posta elettronica, ma molti utenti non sono cos esperti. Gli ISP spesso non mettono in atto misure preventive per impedire l'invio di spam, quali un limite massimo agli indirizzi di posta ai quali inoltrare la stessa e-mail, e un limite dell'ordine delle migliaia di unit alla posta elettronica inviabili in un giorno. Talora, oltre all'accesso viene disattivata la connessione Internet. La disconnessione pu essere permanente se l'abbonamento ADSL a IP statico, bloccando l'indirizzo IP. Alle Autorit Il metodo pi efficace per fermare gli spammer di sporgere reclamo alle autorit competenti. Questo richiede maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge e pagano eventuali multe e risarcimenti, in questo modo per loro si annulla il vantaggio economico, anzi l'azione illecita si traduce in una perdita economica. Le procedure da intraprendere: 1. Individuare gli indirizzi in rete da dove proviene lo spam tramite per esempio: SpamCop Clearinghouse [5] 2. Individuare lo stato dal quale stato spedito lo spam per esempio tramite MostraIP [7] 3. Verificare se lo stato in oggetto mette a disposizione un indirizzo di posta elettronica per esempio dalle liste pubblicate su OECD Task Force on Spam [8], Spam Reporting Adresses [9] o Spam Links [10].
[4]
o Network Abuse
Spam
183
WikiWikiWeb
Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che d ampie possibilit a un visitatore di modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che impediscono la pubblicazione di determinati link proprio per arginare questo fenomeno. In molti casi lo scopo quello di ottenere un miglioramento della visibilit del proprio sito sui motori di ricerca. Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo "nofollow" che indica ai motori di ricerca di non seguire il link, le pagine vengono ripristinate alla loro versione precedente all'intervento e in caso di reiterati inserimenti l'indirizzo IP viene bloccato in scrittura.
Messaging spam
I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il profilo degli utenti, includendo informazioni demografiche come l'et e il sesso. Coloro che fanno pubblicit possono impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ci, alcuni utenti scelgono di ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di messaging integrato in Microsoft Windows, winpopup, che non "MSN Messenger", ma piuttosto una funzione progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte provocate da un firewall comprende le porte da 135 a 139 e 445.
Usenet
Le vecchie convenzioni di Usenet definiscono erroneamente lo spamming come "eccessivo invio multiplo di messaggi" (messaggi sostanzialmente simili la quale definizione esatta flooding). Nei primi anni '90 ebbe luogo una notevole controversia tra gli amministratori di server news sull'uso dei messaggi di cancellazione per il controllo dello spam. Un messaggio di cancellazione un'istruzione ad un server delle news per cancellare un messaggio, in modo da renderlo inaccessibile a chi lo volesse leggere. Alcuni lo considerano un cattivo precedente, incline alla censura, mentre altri lo ritengono uno strumento giusto per controllare la crescita del problema dello spam. In quel periodo, dovunque il termine spam su Usenet era usato per riferirsi all'invio di messaggi multipli. Furono coniati altri termini per comportamenti simili, come un cross-posting eccessivo o pubblicit non in tema con il manifesto del newsgroup, comunque pi recentemente anche questi casi sono stati catalogati con il termine spam per analogia al ben pi conosciuto fenomeno della posta elettronica.
Spam
184
Forum
Nei forum (o BBS) spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto spesso possibile caricare la medesima discussione nello stesso forum per attirare ancora pi utenti. Altre volte si intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo caso, tuttavia, il termine pi adatto sarebbe "flood". L'utente che pratica spam nei forum, soprattutto nel secondo caso, viene tipicamente definito con il termine gergale spammone. Il termine dispregiativo, un utente considerato spammone viene spesso giudicato anche inaffidabile o incompetente dagli altri. A volte per il termine pu avere un tono pi scherzoso e goliardico, soprattutto nei forum dove c' abbastanza tolleranza nei confronti dello spam.
Blog
Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo spammer vuole pubblicizzare, esistono due tecniche, ben pi evolute: lo spammer fa uso di una sorta di query-bombing dei sistemi multipiattaforma pi noti come WordPress[11] o b2evolution[12] , attaccando i database con l'inserimento continuo di messaggi pubblicitari. Le componenti di un blog pi vulnerabili sono quindi quelle che sono esposte all'utilizzo pubblico: i commenti (per i quali i vari creatori dei sistemi multipiattaforma forniscono con periodicit plug-in di protezione) e gli hitlogs, ovvero il sistema di tracking dei referer (i siti che linkano la pagina in questione).
Keyword spamming
Il keyword spamming il termine dato all'eccessivo uso di keyword o parole chiave in una pagina web al fine di incrementarne la visibilit per i motori di ricerca. Questa tecnica considerata una cattiva SEO. Le nuove tecniche ed algoritmi hanno per introdotto delle funzionalit che permettono ai motori di controllare l'utilizzo ripetitivo degli stessi termini e quindi penalizzare i siti web che adottano questa forma di spam.
Aspetti giuridici
Lo spam un reato in innumerevoli paesi, inquisito anche all'estero con richieste di estradizione. Tra gli spammer pi famosi, si ricordano Laura Betterly, Brian Haberstroch, Leo Kuvayevo, Jeremy Jaynes e Sanford Wallacer.
Italia
La disciplina italiana concernente linvio di posta elettronica a fini commerciali disciplinata dallart. 130 Codice Privacy, rubricato Comunicazioni indesiderate. Lambito di applicazione di detto articolo proprio quello dello spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla Comunit Europea) quello dellopt-in, che prevede la possibilit di avvalersi del trattamento dei dati personali solo dopo aver ottenuto il consenso del soggetto interessato. inoltre vietato, sempre dallart. 130 Codice Privacy, linvio di comunicazioni a scopi pubblicitari, per la vendita diretta o per ricerche di mercato effettuato camuffando o celando lidentit del mittente o ancora senza fornire un idoneo recapito presso il quale linteressato possa esercitare i propri diritti. per prevista una deroga ai dettami di tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dallinteressato nel contesto della vendita di un prodotto o servizio, per linvio di ulteriori messaggi promozionali aventi ad oggetto simili beni o servizi, senza dover nuovamente chiederne il consenso.
Spam Vi poi nel nostro ordinamento unulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul commercio elettronico. Lart. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e devono altres contenere lindicazione che il destinatario del messaggio pu opporsi al ricevimento in futuro di tali comunicazioni. Va da ultimo esaminato limpianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma 6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei confronti di un certo indirizzo di posta elettronica. Di ben maggiore deterrenza appare poi lart. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non costituisca pi grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel Codice stesso, al fine di trarne un profitto o recare ad altri un danno, punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione da sei a ventiquattro mesi. Lattivit di spamming espone, infine, ai sensi dellart. 161 Codice Privacy, alla sanzione amministrativa di omessa informativa (di cui allart 13), la quale va da un minimo di tremila euro ad un massimo di diciottomila euro. La sanzione viene erogata dallautorit Garante per la protezione dei dati personali a seguito di un apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non pu essere proposto se, per il medesimo oggetto e tra le medesime parti, gi stata adita lautorit giudiziaria. La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a quella giudiziaria. La prima controversia italiana avente ad oggetto attivit di spamming stata risolta dal Giudice di Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto lilliceit di tale attivit, condannando il titolare del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare della casella di posta elettronica. Lassetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data protection, qualifica dunque il nostro come un sistema improntato al cosiddetto opt-in (necessit del consenso preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di propri prodotti o servizi analoghi, ispirato ad un sistema che potremmo definire di soft opt-out. Con particolare riferimento al tema delle comunicazioni commerciali,, lart. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti ove prevede particolari limiti allimpiego di alcune tecniche di comunicazione a distanza: 1.limpiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza lintervento di un operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema pienamente assimilabile allopt-in, il secondo invece apertamente ispirato ai meccanismi dellopt-out. Questa regolamentazione comportava gi alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dallart. 58, comma 1, del Codice del consumo? Il tema ancora oggi fortemente dibattuto, fermi per alcuni punti di riferimento che devono costituire i criteri guida per la soluzione di questo problema esegetico: a)si tratta di due consensi aventi natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla correttezza del comportamento del professionista dallaltro); b)comuni sono le sanzioni che derivano dalla violazione delle norme, come evidentemente dimostrato dallart. 62 del Codice del consumo, che espressamente prevede la trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei diritti dei consumatori, affinch il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi
185
Spam scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virt di quanto prima sostenuto in tema di sanzioni debba ritenersi pi significativo lorientamento del Garante Privacy il quale, in numerosi provvedimenti, ha dichiarato lillegittimit di qualsiasi comunicazione non preventivamente autorizzata: RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il consenso preventivo degli interessati richiesto anche per l'invio di una sola comunicazione mediante posta elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).
186
Stati Uniti
Dal 1997 in poi si registra negli Stati Uniti unintensa attivit a livello legislativo statale in risposta ai problemi creati dal crescente fenomeno della posta indesiderata. Trentasei stati hanno emanato una legislazione ad hoc sul tema. Le previsioni legislative dei singoli stati sono le pi disparate, alcuni dispongono che vi debbano necessariamente essere informazioni atte ad identificare il mittente, unanime poi la previsione della possibilit per lutente di vedere cancellato il proprio indirizzo dalla banca dati dello spammer. Gli Stati Uniti infatti aderiscono al modello di regolazione opt-out (fatta eccezione per lo stato della California e del Delaware), che di fatto rende lecito lo spamming ma consente allutente di esprimere in ogni momento la propria volont a che cessi lattivit di spamming sulla sua casella di posta elettronica. Altre previsioni legislative statali generalmente condivise riguardano il divieto di porre in essere, mediante lo spamming, attivit ingannevoli, falsificando alcune parti del messaggio o loggetto stesso. Dal momento che la quasi totalit dei messaggi spedita in maniera transfrontaliera allinterno della federazione, si resa necessaria unarmonizzazione tra le varie legislazioni. Alcune legislazioni statali contengono infatti delle previsioni atte ad individuare lordinamento competente a regolare i vari casi di spamming che coinvolgono pi stati. Lintervento pi significativo e uniformante per avvenuto a livello federale, con il Can-Spam Act del 2003 (entrato in vigore il primo gennaio 2004). Con questo provvedimento si rimette al Dipartimento di Giustizia, lo FTC, allattourney general statale e agli ISP la facolt di tutelare i diritti dei privati, stabilendo per coloro che violano le previsioni dello statute (tra le quali, ancora, linserimento di informazioni e oggetti fuorvianti o lomissione dellapposita etichetta prevista per i messaggi a contenuto sessuale) sanzioni pecuniarie fino a $ 2.000.000, con la possibilit di triplicare la pena nel caso in cui la violazione sia stata commessa intenzionalmente e consapevolmente. Sono previste inoltre sanzioni penali per gli spammer che inviano messaggi commerciali illeciti, a contenuto osceno, pedo-pornografico o lidentit del cui mittente falsa o rubata. Il Can-Spam Act prevale sulle disposizioni normative statali, ma di fatto, stato tacciato dalla dottrina come statute per lo pi simbolico alla luce del suo scarso impatto pratico.
187
Note
[1] http:/ / it. youtube. com/ watch?v=anwy2MPT5RE Lo sketch originale su YouTube. [2] http:/ / www. templetons. com/ brad/ spamreact. html Pagina che riporta le reazioni al primo spam, e una trascrizione di quest'ultimo; notare come, non essendo in grado il programma di invio di posta elettronica di supportare pi di un certo numero di indirizzi email, parte di questi ultimi siano finiti nel corpo della mail. [3] http:/ / www. aol. com [4] http:/ / spamcop. net [5] http:/ / www. abuse. net/ [6] http:/ / www. spammer. org/ spammer [7] http:/ / www. mostraip. it/ Default. aspx [8] http:/ / www. oecd-antispam. org/ sommaire. php3 [9] http:/ / banspam. javawoman. com/ report3. html [10] http:/ / spamlinks. net/ track-report-addresses. htm#country [11] WordPress Blog Tool and Publishing Platform (http:/ / wordpress. org) [12] b2evolution.org (http:/ / b2evolution. org)
Bibliografia
"Diritto dell'informatica e della comunicazione", A.M. Gambino, A. Stazi, con la collaborazione di D. Mula, Giappichelli editore, 2009 (http://www.dimt.it/Segnalazioni editoriali.html)
Voci correlate
E-mail Mailbombing
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Electronic spam Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/Spam
Collegamenti esterni
Trascrizione della scenetta dei Monty Python (http://www.spamterminator.it/orig_it.asp) Progetto Spamhaus (http://www.spamhaus.org) Spam Laws - Leggi sullo spam di diverse nazioni (http://www.spamlaws.com/) Un filtro antispam intelligente in Java (http://www2.mokabyte.it/cms/article. run?articleId=STS-3CY-GIV-6HP_7f000001_14191084_d2ba6e6c)
Spim
188
Spim
Con l'espressione spim o messaging spam [1] [2] [3] si indica l'invio di grandi quantit di messaggi indesiderati, generalmente commerciali, attraverso software di messaggistica in tempo reale (noti anche con l'acronimo IM cio instant messaging).
Applicazioni IM
Sistemi di messaggistica immediata come Yahoo! Messenger, AIM, Windows Live Messenger, Tencent QQ, ICQ, Skype, XMPP e le chat rooms di Myspace sono tutti afflitti dallo spim. Molti di questi sistemi offrono un servizio di directory mediante il quale si pu accedere all'elenco degli utenti, comprensivo di dati sensibili quali et e sesso. Gli spammer possono raccogliere queste informazioni, accedere al sistema e spedire messaggi non richiesti, inclusi scam-ware, virus e collegamenti a siti truffaldini (click fraud). Microsoft ha annunciato che la versione 9.0 di Windows Live Messenger avr speciali caratteristiche dedicate alla lotta allo spim.[4] In molti sistemi tuttavia gli utenti gi possono bloccare la maggioranza della messaggistica indesiderata, tramite l'uso di una white-list.
Contromisure
Molti utenti scelgono di poter ricevere messaggi solo da persone presenti nella propria lista di contatti (white-list). AOL Instant Messenger (AIM) consente agli utenti di "ammonire" altri utenti. Gli ammonimenti fanno decrescere il numero di messaggi che un utente pu spedire, diminuendo lo spam; inoltre l'utente ammonito visibile come tale dagli altri utenti che hanno quindi una percezione immediata delle reali intenzioni dell'utente. Skype consente di bloccare gli utenti indesiderati. In ambito aziendale, lo spim bloccabile mediante prodotti quali Akonix, ScanSafe, Symantec, e CSC.
Spim
189
Voci correlate
Spam
Note
[1] CNET: Spim, splog on the rise (http:/ / www. news. com/ Spim,-splog-on-the-rise/ 2100-7349_3-6091123. html) [2] New Scientist: Spam being rapidly outpaced by spim (http:/ / www. newscientist. com/ article/ dn4822-spam-being-rapidly-outpaced-by-spim. html) [3] Spamfo: SPIM, your new spam (http:/ / www. spamfo. co. uk/ component/ option,com_content/ task,view/ id,153/ Itemid,2/ ) [4] Jeremy Kirk. Microsoft to clamp down on spam over IM (http:/ / www. computerworlduk. com/ technology/ security-products/ prevention/ news/ index. cfm?RSS& NewsId=6359). IDG News.URL consultato il 24 novembre 2007. [5] Messenger Service window that contains an Internet advertisement appears (http:/ / support. microsoft. com/ kb/ 330904). Microsoft.URL consultato il 1 dicembre 2007.
Stamping Authority
La Stamping authority quell'ente che appone una marca temporale durante le firme di documenti elettronici e le comunicazioni via PEC (Posta Elettronica Certificata). Spesso la Stamping Authority parte integrante della Certification Authority, tuttavia assolve un compito totalmente diverso. Il riferimento temporale usato per comunicare UTC, concordato a livello internazionale.
Voci correlate
Certification Authority UTC
190
Storia
Gli standard di sicurezza informatica sono una recente invenzione perch oggi informazioni sensibili sono spesso memorizzate su computer che sono collegati a Internet. Inoltre molte attivit che prima erano condotte manualmente oggi sono svolte dai computer e perci c' maggiore bisogno di affidabilit e sicurezza dei sistemi informatici. La sicurezza informatica importante anche per gli individui che devono proteggersi dal cosiddetto furto di identit. Le aziende hanno bisogno di sicurezza perch devono proteggere i loro segreti industriali e le informazioni sui dati personali dei clienti. Il governo inoltre ha la necessit di assicurare le sue informazioni. Questo crea particolari critiche poich alcuni atti di terrorismo sono organizzati e facilitati usando Internet. Uno degli standard di sicurezza pi ampiamente usati oggi l'ISO 27002 del 2007. Questo standard deriva dallo standard BS 7799-1, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al BS 7799-1 si affiancava il BS 7799-2, ora a sua volta sostituito dall'ISO 27001. Quest'ultimo la base per la certificazione, mentre l'ISO 27002 pu essere inteso come un manuale pratico (Security Code of Practice), in quanto privo di valore normativo. quindi una delle svariate metodologie adottabili per soddisfare i requisiti della norma ISO 27001, anche se sicuramente quella pi naturalmente compatibile. Negli Stati Uniti il National Institute of Standards and Technology (NIST) ha pubblicato diversi documenti speciali per la sicurezza del cyberspazio. In particolare tre di questi: l'800-12 ("Computer Security Handbook"), l'800-14 ("Generally Accepted Principals and Practices for Securing Information Technology") e la 800-26 ("Security Self-Assessment Guide for Information Technology Systems").
ISO 27002:2007
Lo standard ISO 27002 stabilisce che la sicurezza dell'informazione caratterizzata da integrit, riservatezza e disponibilit. stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard britannico BS7799 nel 1995, anche attraverso l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni. Il documento organizzato in 10 aree di controllo, ogni sezione dedicata ad una parte specifica: politiche di sicurezza (Security Policy): forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza. sicurezza organizzativa (Security Organization): controllo della sicurezza delle informazioni in seno all'azienda; mantenere la sicurezza e la facilit dei processi organizzativi delle informazioni anche quando accedono le terze parti; monitorare la sicurezza delle informazioni quando la responsabilit dell'elaborazione dell'informazione stata conferita in outsource. controllo e classificazione dei beni (Asset Classification and Control):
Standard di sicurezza informatica mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione. sicurezza del personale (Personnel Security): Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori; accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della societ sulla sicurezza nel corso del loro lavoro normale; per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti. sicurezza fisica e ambientale (Physical and Environmental Security): impedire l'accesso, il danneggiamento e l'interferenza dei non autorizzati all'interno del flusso delle informazioni del business; impedire perdita, danni o l'assetto del sistema e la interruzione delle attivit economiche; impedire la manomissione o il furto delle informazioni. gestione di comunicazioni e operazioni (Communications and Operations Management): accertarsi del corretto funzionamento e facilit di elaborazione dell'informazione; minimizzare il rischio di guasti dei sistemi; proteggere l'integrit dei software e delle informazioni; mantenere l'integrit e la validit dei processi di elaborazione dell'informazione e della comunicazione; garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto; prevenire danni ai beni e le interruzioni alle attivit economiche; impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
191
controllo di accesso (Access Control): per controllare l'accesso alle informazioni; per impedire l'accesso non autorizzato ai sistemi d'informazione; per accertare la protezione dei servizi in rete; per impedire l'accesso non autorizzato nel calcolatore; per rilevare le attivit non autorizzate; per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
sviluppo e manutenzione di sistemi (System Development and Maintenance): accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema; per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione; per proteggere riservatezza, autenticit e l'integrit delle informazioni; per accertarsi che le attivit di progetto e supporto alle attivit siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema. gestione continuit operativa (Business Continuity Management): neutralizzare le interruzioni alle attivit economiche ed ai processi critici degli affari, dagli effetti dei guasti. adeguatezza (Compliance): evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza; per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.
192
ISO 27001:2005
Lo Standard ISO 27001:2005 una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Lo standard stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che sinora stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Vedi anche Standard_ISO_27001:2005.
NERC
Il North America Electric Reliability Council (NERC) ha creato molti standard. Quello maggiormente riconosciuto il NERC 1300 che una modifica/aggiornamento del NERC 1200. La versione pi recente del NERC 1300 viene chiamata CIP-002-1 dal CIP-009-1 (dove CIP significa Critical Infrastructure Protection). Questi standard sono utilizzato per rendere sicuri dei sistemi elettrici molto grandi sebbene il NERC abbia creato standard anche in altre aree. Gli standard per i sistemi elettrici forniscono anche sicurezza nell'amministrazione di rete nonostante supportino ancora i processi industriali. Il North America Electric Reliability Council ha creato molti standard. Il pi conosciuto NERC 1300 che una modifica di NERC 1200. La pi rencete versione di NERC 1300 definita CIP-002/CIP-009. Questi standard sono usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice industriali.
NIST
1) La pubblicazione speciale 800-12 fornisce un'ampia panoramica sulla sicurezza informatica e le aree di controllo. Inoltre pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. Inizialmente questo documento era indirizzato al governo federale sebbene molte pratiche contenuto in questo documento possono essere applicate anche nel settore privato. Nello specifico, era stato scritto per i responsabili, all'interno del governo federale, della gestione di sistemi sensibili. [1] 2) La pubblicazione speciale 800-14 descrive i comuni principi di sicurezza utilizzati. Fornisce una descrizione di alto livello di ci che dovrebbe essere implementato all'interno di una politica di sicurezza informatica. Descrive cosa pu essere fatto per migliorare la sicurezza gi esistente e come sviluppare nuove pratiche di sicurezza. In questo documento sono descritti otto principi e quattordici pratiche. [2] 3) La pubblicazione speciale 800-26 fornisce dei consigli sulla gestione della sicurezza informatica. Questo documento pone enfasi sull'importanza dell'auto valutazione e sulla valutazione dei rischi. [3]
193
ISO 15408
Questo standard stato sviluppato come test di verifica comune, viene definito in inglese Common Criteria. Dorvrebbe permettere a molte e differenti applicazioni software di essere integrate e testate in modo sicuro. Questo standard non fornisce una lista di requisiti di sicurezza o funzionalit che il sistema deve possedere. Al contrario descrive solo un quadro concettuale al cui interno gli utilizzatori di un sistema informatico possono specificare i loro requisiti di sicurezza, i produttori possono implementare e pubblicizzare le caratteristiche dei loro sistemi e i laboratori di test possono valutare i sistemi per determinare se effettivamente soddisfano i requisiti dichiarati. In altri termini i Common Criteria assicurano che il processo di specificazione, implementazione e valutazione di un sistema rispetto alla sicurezza informatica venga condotto in una maniera rigorosa e standardizzata.
Note
[1] National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12. [2] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996) [3] Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).
Steganografia
La steganografia una tecnica che si prefigge di nascondere la comunicazione tra due interlocutori, infatti il termine composto appunto dalle parole greche (nascosto) e (scrittura). Tracce di questa tecnica si hanno gi nell'antica Grecia: Erodoto narra l'episodio di Demarato che per avvisare i compatrioti di una possibile invasione persiana scrive su di una tavoletta un messaggio da nascondere, poi copre la tavoletta di cera e sulla cera scrive un messaggio innocuo. Poich nell'antichit le tavolette di cera erano normalmente usate per scrivere testi provvisori, non dest sospetti.[1] Per una teorizzazione completa di questa tecnica bisogna per attendere il 1499, quando la steganografia viene teorizzata dall'abate Tritemio nell'omonimo libro.
Steganografia
194
Libri
La "Steganographia" di Tritemio si proponeva di poter inviare messaggi tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza l'utilizzo di simboli o messaggeri. L'opera inizi a circolare in corrispondenze private e suscit reazioni cos allarmate che l'autore decise di non darla alle stampe e ne distrusse addirittura larghe parti, ritenendo che non avrebbero mai dovuto vedere la luce. Continu comunque a circolare in forma di minuta e fu pubblicata postuma nel 1606[2] .
Uso
La steganografia pu trovare uso in ogni forma di comunicazione, sufficiente che mittente e destinatario abbiano concordato un codice non Frontespizio del primo libro sulla vincolato ai normali simboli alfabetici. Ad esempio: Alice e Bob si accordano steganografia sull'uso di un sistema steganografico: il numero di virgole presente in una singola pagina sar tra 1 e 21, questo numero corrisponder ad una lettera dell'alfabeto. Qualora A e B dovessero trovarsi in un regime di comunicazione controllata, potrebbero scrivere pagine di copertura narrando informazioni prive di valore per loro, ma facendo un uso accurato delle virgole, riuscirebbero a nascondere il vero messaggio con questa tecnica steganografica.
Caratteristiche
La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non conosce la chiave atta ad estrarli, mentre per la crittografia non rendere accessibili i dati nascosti a chi non conosce la chiave. La crittanalisi l'attacco alla crittografia, che mira ad estrarre i dati cifrati senza chiave. L'obiettivo della steganalisi non quindi quello di estrarre i dati nascosti, ma semplicemente di dimostrarne l'esistenza.
Steganografia Chi analizzer S avr davanti a s un'immagine plausibile, e pur conoscendo l'algoritmo avr bisogno di K per verificare se c' un messaggio nascosto. sempre possibile un attacco di tipo forza bruta, avendo chiaro l'algoritmo e il dato da forzare, come avviene nella crittografia. In alcuni algoritmi di steganografia, K viene usato per cifrare D e non nel processo steganografico, che di conseguenza sempre uguale per ogni esecuzione dell'algoritmo. Essendo la sicurezza dell'algoritmo vincolata a parametri umani, non si pu generalizzare dicendo che questo approccio insicuro, ma l'uso della chiave per finalit crittografiche e quindi un uso della distribuzione steganografica non dipendente da chiave, pu diventare una vulnerabilit. L'esempio portato con le immagini pu essere replicato su altri dati multimediati (file audio e video), perch tutti condividono la caratteristica di tollerare distorsioni plausibili, lasciando fruibile il contenuto originale. Questa tecnica steganografica viene generalizzata dicendo che si basa sul rumore di fondo. Tutte quelle porzioni di dati contenenti dettagli inessenziali per la trasmissione del contenuto possono essere utilizzate come contenitore steganografico, una volta trovato un codice adeguato a non causare incoerenze evidenti all'analista.
195
Tools Steganografici
OpenPuff: BMP, JPG, PNG, TGA, Mp3, WAV, 3gp, Mp4, MPEG-1, MPEG-2, VOB, SWF, FLV, PDF S-Tools: BMP, GIF, Wav, unused floppy disk space MP3Stego: Mp3 Invisible Secrets: BMP, PNG, JPG, WAV, Html StegFS: File system steganografico
Distorsione
Un attacco a distorsione portato quando la terza parte che osserva le comunicazioni pu modificare il dato in modo automatico al fine di cambiarne alcune caratteristiche. Un attacco di distorsione applicato a dei contenuti multimediali con steganografia LSB si realizza diminuendo la definizione del contenuto: infatti qualunque tecnica steganografica sia stata applicata, la ridefinizione dell'immagine danneggia il messaggio nascosto nel dato.
Steganografia
196
Note
[1] Nicola Cocchiaro. Steganografia (http:/ / cocchiar. web. cs. unibo. it/ steg/ intro. html). cocchiar.web.cs.unibo.it, 2005.URL consultato il 4 novembre 2011. [2] Graziella Montemarani, op. cit., p.16 [3] http:/ / www. spammimic. com [4] http:/ / www. delirandom. net/ 20070407/ steganalysis-attack-against-spammimic/
Voci correlate
Watermark Crittografia negabile
Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Steganography
Collegamenti esterni
Dmoz - Tools Steganografici (http://search.dmoz.org/Computers/Security/Products_and_Tools/ Cryptography/Steganography/) Tritemio e la Steganografia (http://www.pazuzu.it/tritemio/) Esempio in C di steganografia LSB su file BMP (http://mamo139.altervista.org/index.php?tipo=c&id=100) Graziella Montemarani. Steganografia - Larte della scrittura nascosta (http://www.dia.uniroma3.it/ ~dispense/merola/critto/tesine/stega/stega2.pdf) (pdf). Universit degli Studi Roma Tre - Dipartimento di Informatica e Automazione, 5 giugno 2005.URL consultato il 17/08/2011. (LA) Testo completo della Steganographia (http://books.google.fr/books?id=bQdCAAAAcAAJ& printsec=frontcover&dq=Johannes+Trithemius&hl=it&ei=_QQyTquxCsmLswbi0pTpBg&sa=X& oi=book_result&ct=result&resnum=4&ved=0CDgQ6AEwAw#v=onepage&q&f=false) di Trithemius scaricabile da Google Libri
Strong authentication
197
Strong authentication
Una autenticazione a due fattori (o autenticazione a pi fattori o strong authentication) un metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.
Metodi di autenticazione
Per autenticarsi a sistemi digitali (es. computer o bancomat) vengono distinte tre diverse metodologie: "Una cosa che conosci", per esempio una password o il PIN. "Una cosa che hai", come un telefono cellulare, una carta di credito un oggetto fisico come un token. "Una cosa che sei", come una impronta digitale, la retina o l'iride, o altre caratteristiche di riconoscimento attraverso caratteristiche uniche del corpo umano (biometria).
Strong authentication
Quando viene utilizzato pi di un fattore di autenticazione si parla di strong authentication (autenticazione forte); l'uso di un solo fattore, ad esempio la sola password, viene considerato una autenticazione debole. Una strong authentication si basa su pi fattori di autenticazione che possano tutti essere utilizzati online (ci comporta di non usare i fattori di tipo fisico o di utilizzarli in modo diverso).
Voci correlate
Autenticazione Token
TACACS
198
TACACS
TACACS lacronimo di Terminal Access Controller Access Control System ed un protocollo per l'autenticazione e l'autorizzazione remota (non quindi AAA, in quanto manca la funzionalit di Account), nato e usato principalmente nelle reti UNIX, progettato per la rete ARPANET. Esso permette a un server ad accesso remoto di comunicare (nella maggior parte dei casi un NAS) con un server per autenticazione allo scopo di determinare se lutente ha accesso alla rete. stato specificato nella RFC 1492. TACACS permette ad un client avente un nome utente e una password, e di inviare una richiesta al server di autenticazione TACACS, che viene anche chiamato TACACS Daemon o semplicemente TACACSD. Tale server nella maggior parte dei casi un programma eseguito in un determinato calcolatore, il quale elaborando la richiesta del client, permette o nega laccesso. In questo modo il processo di decisione di tipo aperto, cio lalgoritmo e i dati usati per stabilire il permesso implementato nel TACACS daemon da parte dellamministratore. Il protocollo solo si interessa della comunicazione della richiesta e dellesito della stessa. Il protocollo sfrutta la comunicazione con pacchetti UDP, e usa di default la porta 49. I dati vengono scambiati tra client e server attraverso i pacchetti TACACS (aventi una lunghezza tra 6 e 516 byte), che sono inseriti nel campo dati dei pacchetti UDP. Username e password vengono inviati senza criptazione e vengono valutati in modalit case-insensitive. [RFC 1492] Una modifica alloriginale protocollo stata introdotta da CISCO nel 1990, con XTACACS (Extended TACACS), il quale aggiunge la funzionalit di Accounting, rendendo quindi il protocollo di tipo AAA. Unaltra aggiunta la possibilit di operare con pi server XTACACS, la quale aumenta la robustezza del sistema, evitando malfunzionamenti generali dellintera rete generati da un singolo server non funzionante.
Tecniche euristiche
Le analisi (o tecniche) euristiche sono dei tipi di analisi del computer utilizzate dai programmi antivirus per individuare minacce sconosciute o non presenti nel database di virus dell'antivirus. Tuttavia, questo tipo di analisi a volte poco attendibile, se programmi normali si comportano con modalit che secondo i parametri di comportamento dell'antivirus sono tipici dei virus (falso positivo). Le analisi euristiche sono simili alle ricerche proattive, ma le prime, anche se meno attendibili, sono pi sicure delle seconde poich le analisi euristiche analizzano un file solo "osservandolo", mentre le ricerche proattive lo eseguono: cosa che potrebbe dare luogo a infezioni nella macchina.
Tiger team
199
Tiger team
Il termine Tiger Team era usato originariamente con riferimento militare per quelle squadre il cui scopo era di penetrare la sicurezza di installazioni "amiche", e in questo modo di testare le loro misure di sicurezza.
Esempi
I loro membri sono professionisti che lasciano traccia dei loro successi, come ad es. lasciare cartelli di segnalazione con scritto "bomba" in installazioni difensive di importanza critica, oppure note manoscritte recanti la dicitura "i vostri codici sono stati rubati" (cosa che non fanno mai) all'interno di luoghi sicuri, ecc. Alle volte, dopo un'intrusione portata a termine con successo, un membro della sicurezza di alto livello si presenta per un "controllo di sicurezza", e "scopre" le tracce dell'intrusione. Successi di alto livello conseguiti dalle Tiger Teams hanno alle volte portato a pensionamenti anticipati di comandanti di basi o ufficiali addetti alla sicurezza.
Oggi
Il termine ormai obsoleto, ed adesso pi comune riferirsi a loro come Penetration Tester o Ethical Hacker e il processo di valutazione di un computer o di una infrastruttura informatica come Penetration Test. Il termine diventato noto in Italia in seguito alle vicende sorte intorno al tigerteam di Telecom Italia, dei suoi dirigenti Giuliano Tavaroli e Fabio Ghioni[1] e i suoi collegamenti con il cosiddetto Scandalo Telecom-Sismi. Secondo la stampa facevano parte del tigerteam anche Andrea Pompili (l'autore di Catalypse), Rocco Lucia (messo ai domiciliari per il caso RCS), Andrea Bodei (nipote del filosofo Remo Bodei), Roberto Preatoni (figlio del finanziere di Sharm el-Sheikh Ernesto Preatoni). Il gruppo indagato per intrusione informatica a danno di RCS[2] in particolare per le intercettazioni illegali verso Massimo Mucchetti, varie responsabilit riguardo lo scandalo Telecom-Sismi, il rapimento del Caso Abu Omar (Imam di Milano), l'istigazione al suicidio che ha causato la morte di Adamo Bove e in Brasile per spionaggio internazionale ai danni di Kroll Inc. (agenzia investigativa privata legata alla CIA) nel contesto della scalata di Telecom Italia a Brasil Telecom[3] .
Bibliografia
2007 - Massimo Mucchetti. Il Baco del Corriere. Milano, Feltrinelli, 2007 (vedi su http://www.feltrinellieditore. it/SchedaLibro?id_volume=5000741) 2008 - Giorgio Boatti, Giuliano Tavaroli: Spie, 241 pp, Mondadori, Collana Frecce, ISBN 978-88-04-58072-0 2008 - Sandro Orlando: La repubblica del ricatto - Dossier segreti e depistaggi nell'Italia di oggi (prefazione di Furio Colombo, 299 pp, Chiarelettere editore srl, Milano, ISBN 978-88-6190-004-2 2008 - Emilio Randacio: Una vita da spia - 007 si nasce o si diventa?, 182 pp, Rizzoli, Collana Futuropassato, ISBN 978-88-17-02057-2 2009 - Andrea Pompili. Le Tigri di Telecom. Roma, 2009. ISBN 978-88-6222-068-2
Tiger team
200
Voci correlate
Security Operation Center Hacker Penetration Test Sicurezza informatica Scandalo Telecom-Sismi Caso Abu Omar Caso Adamo Bove
Note
[1] Articolo sull'Espresso - Dio, patria e spioni (http:/ / espresso. repubblica. it/ dettaglio/ Dio-patria-e-spioni/ 1503447/ 16/ 0) [2] Articolo sul Corriere - Sala Mara, il bunker delle tigri di Ghioni (http:/ / archiviostorico. corriere. it/ 2007/ gennaio/ 21/ Sala_Mara_bunker_delle_tigri_co_9_070121163. shtml) [3] Articolo sul Corriere della Sera - Giornalisti spiati. Il Tiger team rubava email (http:/ / www. corriere. it/ Primo_Piano/ Cronache/ 2007/ 01_Gennaio/ 28/ ferrarella. html)
Time Machine in esecuzione con Quick Look che mostra l'anteprima di un file Sviluppatore Ultimaversione S.O. Genere Licenza Apple Inc. - (2007) Mac OS X Backup Software proprietario (Licenza chiusa) [1]
Sito web
Time Machine un programma di backup automatico annunciato il 7 agosto 2006 da Apple Inc. durante il Worldwide Developers Conference. Il programma incluso con la nuova versione del sistema operativo Mac OS X 10.5 Leopard. Time Machine crea delle copie di ogni file utente in modo che se il file dovesse venir sovrascritto o cancellato l'utente possa tornare alla versione precedente. Il programma pu recuperare la versione precedente di un singolo file o di gruppi di file. Time Machine non funziona unicamente con i file del Finder ma in grado di recuperare
Time Machine (software) precedenti versioni di programmi. Il programma per esempio in grado di recuperare album fotografici cancellati da iPhoto o schede cancellate dalla Rubrica Indirizzi. Il programma effettua il backup dei file modificati ogni ora per le ultime 24 ore. Dei backup pi vecchi di un giorno viene mantenuto solo uno per la giornata al fine di non occupare inutilmente spazio. Quindi l'utente pu aver accesso alle modifiche effettuate nell'ultimo giorno con passi di un'ora o nell'arco del periodo precedente con il passo di un backup al giorno. Quando il sistema termina lo spazio disponibile sul disco il programma provvede a rimuovere i backup pi vecchi. Time machine permette di recuperare l'intero sistema operativo e non solo i file dell'utente. Quindi se l'utente lo desidera pu utilizzare il programma per riportare l'intero computer allo stato presente in uno dei backup o per migrare il sistema su un nuovo computer Apple.
201
Interfaccia grafica
Il programma dotato di un'interfaccia grafica coreografica. Una volta selezionato l'elemento che conteneva i file da recuperare (cartelle, programmi, ecc) si attiva il programma. Il programma fa scomparire il Finder e mostra uno sfondo stellato che si muove, in primo piano la finestra o il programma selezionato e dietro la finestra mostra in prospettiva le precedenti versioni temporali dell'elemento da recuperare, in fondo viene mostrato quello che sembra una specie di nucleo stellare. A destra viene mostrata una linea del tempo scorribile, che permette di "navigare" tra le varie copie temporali della finestra selezionata. Quindi come se le singole finestre acquisissero una dimensione temporale e questo spiega il nome del programma ("Time Machine" in inglese significa "macchina del tempo"). La rappresentazione grafica del programma ottenuta tramite il sistema Core Animation inclusa nel sistema operativo. L'utente pu utilizzare Quick Look per visualizzare i file e decidere se recuperare il file.
Tecnologia
Il programma genera per ogni backup una cartella sul volume destinato al backup. I file che non sono stati modificati vengono collegati alle versioni precedenti con degli hard link mentre i file modificati vengono copiati integralmente. Il programma non effettua un backup incrementale ma copia ogni volta l'intero file modificato. Quindi anche una piccola modifica in un file costringe il sistema a effettuare una copia completa del file durante il backup. Apple ha reso disponibili delle API per poter utilizzare Time Machine all'interno di programmi di terze parti, questa API si chiamano Backup Core. Il programma per funzionare correttamente richiede un secondo hard disk con una partizione non avviabile o un computer con Mac OS X Server nella rete locale. La gestione delle revisioni a livello di file system si trova anche nei file system di OpenVMS, in Microsoft Windows 2003 e in Windows Vista.
Configurazione
Gli utenti possono modificare alcune impostazioni di Time Machine riguardanti il backup, tra le quali: possibile modificare il volume dove Time Machine salver i backup e le impostazioni si possono escludere alcune tipologie di file l'impostazione di default di Time Machine, prevede un backup ogni ora. Tuttavia, conserver i backup orari delle ultime 24 ore, quelli giornalieri dell'ultimo mese e quelli settimanali fino a quando non si esaurir lo spazio su disco. Al verificarsi di questo evento, si verr avvisati che i backup pi vecchi saranno rimossi. Nel keynote del 15 gennaio 2008, Jobs ha presentato Time Capsule: esteticamente simile all'AirPort Extreme, oltre a integrare le medesime funzioni di quest'ultimo, contiene un hard disk da 1 TB o da 2 TB a seconda del modello scelto, che permette a Time Machine di effettuare backup di qualsiasi Mac. Il backup potr avvenire sia via LAN che via Wi-Fi.
202
Collegamenti esterni
Pagina di Time Machine sul sito web Apple Italia [1]
Note
[1] http:/ / www. apple. com/ it/ macosx/ what-is-macosx/ time-machine. html
Token (sicurezza)
Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o semplicemente token) un dispositivo fisico necessario per effettuare un'autenticazione (tipicamente una autenticazione a due fattori). Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato a batteria con autonomia nell'ordine di qualche anno, dotato di uno schermo e talvolta di una tastiera numerica. Alcuni token possono essere collegati ad un computer tramite una porta USB per facilitare lo scambio di dati. Un token pu anche essere di tipo software, ove le informazioni necessarie risiedono direttamente nel computer dell'utente, e non in un oggetto esterno.
Funzionamento
Un token tipicamente un generatore di numeri pseudocasuali ad Token della VeriSign intervalli regolari (nell'ordine di poche decine di secondi) secondo un algoritmo che, tra i vari fattori, tiene conto del trascorrere del tempo grazie ad un orologio interno. Altri fattori che influenzano l'algoritmo possono essere il numero di serie del token, o altri codici numerici associati al possessore all'atto della consegna del token. Lo stesso algoritmo anche implementato su di un server di autenticazione, che stato inizialmente sincronizzato con il token e che, quindi, genera la stessa sequenza di numeri pseudocasuali del token negli stessi momenti, pur non essendoci alcuna comunicazione tra i due oggetti. Tale numero viene combinato con una password nota all'utente ed al sistema di autenticazione per generare una password temporanea, o di sessione, che pu essere usata per effettuare l'autenticazione entro la scadenza dell'intervallo temporale. Di conseguenza, la password temporanea per l'autenticazione sar diversa in momenti diversi della stessa giornata. L'autenticazione a due fattori data dal fatto che per generare la password temporanea corretta necessario: possedere lo specifico token che, in un dato istante, genera lo stesso numero pseudocasuale generato dal server di autenticazione; conoscere la password di partenza con cui il numero va combinato. Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza dovrebbe non solo indovinare quella valida (cosa che presuppone la conoscenza dell'algoritmo, dei valori che lo influenzano e anche della password nota all'utente) per il particolare istante, ma dovrebbe anche usarla prima che essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza.
Token (sicurezza)
203
Voci correlate
Phishing Keylogger Sniffing
Tolleranza ai guasti
La tolleranza ai guasti (o fault-tolerance, dall'inglese) la capacit di un sistema di non subire fallimenti (cio intuitivamente interruzioni di servizio) anche in presenza di guasti. La tolleranza ai guasti uno degli aspetti che costituiscono l'affidabilit. importante notare che la tolleranza ai guasti non garantisce l'immunit da tutti i guasti, ma solo che i guasti per cui stata progettata una protezione non causino fallimenti. I controlli di protezione (che vengono effettuati a tempo di esecuzione), assieme a controlli analoghi effettuati staticamente (come a tempo di progettazione o di compilazione), sono una metodologia molto efficace per ottenere un'elevata robustezza (rapida rilevazione degli errori e loro confinamento) in un sistema. La tolleranza ai guasti pu portare al peggioramento di altre prestazioni, per cui nella progettazione di un sistema necessario trovare adeguate ottimizzazioni e compromessi.
Robustezza
La robustezza la propriet di quei sistemi che assicurano una rapida rilevazione degli errori e che ne consentono il confinamento. Studi statistici hanno mostrato che almeno due errori su tre sono dovuti a richieste illegali di operazioni su oggetti, cio proprio a quelle richieste che i controlli di protezione prevengono.
Esempi di applicazioni
La fault-tolerance varia per tipologia a seconda dell'aspetto al quale viene applicata e pu avere tipi di implementazione molto differenti fra loro.
Apparati elettronici
Si pu andare da un semplice sistema di fault-tolerance nell'alimentazione di apparati elettronici, utilizzando un gruppo di continuit o UPS: in caso di assenza della tensione di alimentazione, gli apparati continueranno a funzionare per un periodo dipendente dalla capacit del sistema di backup. Un sistema pi complesso, sempre relativo alle alimentazioni degli apparati attivi, consiste nella replicazione dell'alimentatore; se l'alimentatore principale si dovesse guastare, l'apparato continuer a funzionare grazie ad uno o pi alimentatori posti in ridondanza. La fault-tolerance ovviamente corrisponder al numero di alimentatori ridondanti utilizzati nel sistema: banalmente, se un apparato dispone di tre alimentatori e si guastano tutti contemporaneamente, l'apparato si ferma.
Tolleranza ai guasti
204
Sistemi multiprocessore
Nel campo dei microprocessori, la tecnica SMP permette di utilizzare pi microprocessori contemporaneamente, sfruttando la potenza di calcolo complessiva e, nel caso uno dei processori si dovesse fermare, il funzionamento passer al/ai processore/i ancora in funzione.
Voci correlate
Protezione della memoria Variabile casuale esponenziale Triple Modular Redundancy Indice di fragilit
205
Multipiattaforma C Onion routing / Anonimato Licenza BSD (Licenza libera) www.torproject.org [2]
Sito web
Tor (The Onion Router) un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing. Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. Originariamente sponsorizzato dalla US Naval Research Laboratory, stato un progetto della Electronic Frontier Foundation ed ora gestito da The Tor Project, una associazione senza scopo di lucro.
Panoramica
Lo scopo di Tor quello di rendere difficile l'analisi del traffico e proteggere cos la privacy, la riservatezza delle comunicazioni, l'accessibilit dei servizi. Il funzionamento della rete Tor concettualmente semplice: i dati che appartengono ad una qualsiasi comunicazione non transitano direttamente dal client al server, ma passano attraverso i server Tor che agiscono da router costruendo un circuito virtuale crittografato a strati. Le comunicazioni via Tor sono a bassa latenza e questo lo rende adatto alla navigazione web, alla posta, instant messaging, SSH, IRC etc. Tor supporta esclusivamente il protocollo TCP. La rete Tor fornisce essenzialmente due servizi: 1. Connessioni anonime in uscita 2. Fornitura di servizi nascosti
Connessioni anonime
Gli utenti della rete Tor eseguono il software Tor sulla loro macchina. Questo software periodicamente negozia un circuito virtuale attraverso pi nodi Tor, fino alla destinazione finale. L'uso della crittografia a strati (per analogia con onion, che in inglese significa cipolla), permette di ottenere una perfetta segretezza in avanti. Pi in particolare, ogni onion router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per spedire i dati in modo sicuro, cifrandoli. In questo modo, nessun osservatore posto in un punto qualsiasi del circuito, in grado di conoscere l'origine o la destinazione della connessione. Le comunicazioni tra i nodi Tor del circuito sono cifrate, tranne il tratto tra l'ultimo nodo Tor (detto exit node) e la destinazione finale, che normalmente in chiaro. Se la destinazione a sua volta un relay Tor, l'intera
Tor (software di anonimato) comunicazione cifrata e sfugge all'analisi di un eventuale osservatore posto nella tratta finale del circuito. Il software Tor fornisce un'interfaccia SOCKS tramite la quale qualsiasi software di rete che la supporti (browser web, client IRC...) pu comunicare in forma anonima, attraverso un proxy SOCKS locale configurato ad hoc, come Polipo (software) o Privoxy.
206
Client
In questa configurazione normale di base, Tor gestisce unicamente le connessioni dell'utente permettendogli di collegarsi alla rete Tor.
Middleman relay
un nodo Tor che gestisce traffico di terzi da e per la rete Tor, senza collegarsi direttamente all'esterno. Nel caso funga anche da client, esso gestisce anche le connessioni dell'utente, garantendo un maggiore anonimato. Tutti i relay sono pubblicamente noti, per scelta progettuale.
Exit relay
un nodo Tor che gestisce traffico di terzi da e per la rete Tor, e verso l'esterno. possibile definire una exit policy sulle connessioni in uscita all'esterno della rete Tor. Come il caso precedente, offre una protezione maggiore all'utente che lo usi per le proprie connessioni. Come tutti i relay Tor, essi sono pubblicamente noti.
Bridge relay
I bridge relay [3] sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor anche in presenza di un filtraggio efficace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche dei nodi noti ma devono venire richiesti esplicitamente.
207
Problemi
L'8 settembre 2006, comincia una serie di sequestri[4] di server Tor in Germania da parte delle autorit. La motivazione ufficiale quella di controllare l'eventuale presenza di materiale illegale, contenuto presumibilmente in alcuni servizi nascosti. Questo fatto costituisce il primo vero test per l'intera rete Tor.
Etiquette e abuso
Gli eventuali abusi della rete Tor vengono mitigati dalla possibilit, per ciascun nodo Tor di uscita (exit node), di definire una politica d'uscita (exit policy) che definisca quale tipo di traffico pu uscire o meno attraverso l'exit node. Usando una combinazione di indirizzi e porte, possibile combattere la maggior parte degli abusi. I potenziali abusi includono: Esaurimento della banda considerato scortese e improprio trasferire grandi quantit di dati attraverso la rete Tor, ad esempio con software peer to peer, dato che gli onion router sono mantenuti da volontari che donano la propria banda. E-mail L'uso anonimo del protocollo SMTP (per esempio: l'email), pu portare allo Spam. Di conseguenza, la politica di uscita di default dei nodi Tor rifiuta le connessioni in uscita verso la porta 25, cio quella usata per SMTP. Vandalismo Sicuri del fatto di non poter essere rintracciati, alcuni utenti Tor scrivono messaggi ritenuti impropri su Forum, wiki, o chatroom. Come risultato, molti grandi provider di questi servizi impediscono agli utenti anonimizzati di utilizzare i propri servizi. Wikipedia, ad esempio, inibisce la modifica delle proprie pagine agli utenti anonimi che si collegano via Tor tramite un'estensione chiamata TorBlock. L'uso da parte di utenti registrati resta comunque soggetto a dei limiti.
Limiti
Richieste DNS
importante notare che molti software continuano a effettuare richieste DNS dirette, senza usare il proxy Tor. Ci compromette l'anonimato perch rivela ad un osservatore le richieste DNS fatte, e quindi le destinazioni delle connessioni. Possibili soluzioni a questo problema sono l'uso di Privoxy, o del comando 'tor-resolve' fornito con Tor. In pi, le applicazioni che usano SOCKS 4a (quindi supportano le richieste basate sul nome al proxy) possono veicolare le richieste DNS attraverso la rete anonima, e ottenere che le richieste vengano fatte dal nodo di uscita ottenendo cos lo stesso livello di anonimizzazione del resto del traffico Tor.
208
ISP ostile
Alcuni ipotizzano che un Internet Service Provider ostile potrebbe costruire una propria rete Tor privata e ridirigere l il traffico dei propri utenti Tor sorvegliandone interamente il traffico. Per evitare questo scenario di attacco tuttavia il software Tor dell'utente contiene cablate di default le credenziali (l'indirizzo e le chiavi crittografiche) dei 7 directory authority della rete Tor[6] [7] ; al primo tentativo di collegamento in questa rete ostile l'utente avrebbe un errore di autenticazione crittografica e non potrebbe proseguire. In questo scenario di attacco quindi l'ISP dovrebbe anche distribuire agli utenti una propria versione modificata del software Tor, con le credenziali delle proprie directory authority ostili. Per questo motivo il software Tor viene distribuito tramite diversi canali (il sito web ufficiale, siti web mirror, per email) e si raccomanda la verifica dell'integrit del software tramite le firme crittografiche dei rilasci.
Piattaforme
Tor disponibile per Windows, Linux/BSD/Unix, Mac OS X ed software libero basato sulla licenza BSD.
Note
[1] [2] [3] [4] [5] https:/ / blog. torproject. org/ blog/ iran-blocks-tor-tor-releases-same-day-fix https:/ / www. torproject. org/ https:/ / bridges. torproject. org/ Germania, crackdown contro la rete Tor (http:/ / punto-informatico. it/ p. aspx?id=1641461) da Punto Informatico Low-Cost Traffic Analysis of Tor (http:/ / www. cl. cam. ac. uk/ users/ sjm217/ papers/ oakland05torta. pdf) (PDF). 19-01-2006.URL consultato il 21-05-2007. [6] Tor FAQ: Key management (https:/ / www. torproject. org/ faq. html. en#KeyManagement) [7] Tor directory protocol, version 3 (https:/ / gitweb. torproject. org/ tor. git?a=blob_plain;hb=HEAD;f=doc/ spec/ dir-spec. txt)
Voci correlate
Anonimato Anonymous remailer Crittografia Freenet Identificazione Netsukuku Sicurezza informatica
209
Collegamenti esterni
Sito ufficiale (https://www.torproject.org/) Tor Browser (https://www.torproject.org/projects/torbrowser), browser senza necessit di installazione e gi predisposto per la navigazione tramite Tor Check page (https://check.torproject.org/), verifica l'indirizzo IP TorCheck (https://torcheck.xenobite.eu/), verifica l'indirizzo IP e i potenziali problemi del browser per l'anonimizzazione Tor: lezioni di guida ( 1 (http://punto-informatico.it/2070093/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 2 (http://punto-informatico.it/2099433/PI/Commenti/ cassandra-crossing-tor-lezione-teoria.aspx), 3 (http://punto-informatico.it/2104131/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 4 (http://punto-informatico.it/2110219/PI/Commenti/ cassandra-crossing-tor-lezioni-teoria-4.aspx), 5 (http://punto-informatico.it/2116209/PI/Commenti/ cassandra-crossing-tor-lezioni-server.aspx), 6 (http://punto-informatico.it/2122739/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 7 (http://punto-informatico.it/2141287/PI/Commenti/ cassandra-crossing-tor-lezione-freenet-7.aspx)) da Punto Informatico
Realizzazione di un voter
Nel caso in cui il sistema in esame da ridondare sia un sistema digitale in cui ingresso ed uscita sono costituiti da un unico bit, si pu pensare di utilizzare come voter un full-adder, che prenda in ingresso come operandi e riporto entrante le uscite dei tre sistemi costituenti il TMR. La decisione di maggioranza sar costituita dal bit di riporto uscente (l'uscita relativa alla somma pu essere trascurata), in quanto il segnale di riporto di un full-adder alto quando almeno due dei tre ingressi sono alti ed basso quando almeno due dei tre ingressi sono bassi.
210
Voci correlate
Tolleranza ai guasti Dual modular redundant Codici a ripetizione
Note
[1] http:/ / www. apmcsta. org/ File/ doc/ Conferences/ 6th%20meeting/ Chen%20Zhenyu. doc [2] Sspc Mpc (http:/ / www. omnisys. se/ projects/ smart/ power-control/ sspc_mpc. htm) [3] Actel engineers use triple-module redundancy in new rad-hard FPGA - Military & Aerospace Electronics (http:/ / mae. pennnet. com/ Articles/ Article_Display. cfm?Section=OnlineArticles& SubSection=Display& PUBLICATION_ID=32& ARTICLE_ID=111934) [4] SEU Hardening of Field Programmable Gate Arrays (FPGAs) For Space Applications and Device Characterization (http:/ / klabs. org/ richcontent/ Papers/ Synopses/ nsrec94. htm) [5] FPGAs in Space (http:/ / www. fpgajournal. com/ articles/ 20040803_space. htm) [6] Commercial Microelectronics Technologies for Applications in the Satellite Radiation Environment (http:/ / radhome. gsfc. nasa. gov/ radhome/ papers/ aspen. htm)
TruPrevent Technologies
TruPrevent Technologies, sono una serie di tecnologie sviluppate da Panda Software per una protezione proattiva a casa e nelle aziende, in opposizione ai prodotti tradizionali come gli antivirus che offrono una protezione reattiva. Truprevent Technologies offre una generica protezione contro molte tecniche comunemente usate dal nuovo malware, e politiche e regole sviluppate sulle nuove vulnerabilit che appaiono ogni giorno.
Collegamenti esterni
Sito di Panda Security [1]
Note
[1] http:/ / www. pandasecurity. com/
Trusted computing
211
Trusted computing
L'espressione inglese Trusted Computing (TC, letteralmente informatica fidata o calcolo fidato) si riferisce ad una tecnologia nascente, derivata da specifiche del Trusted Computing Group (TCG) che ha ereditato quelle del Trusted Computing Platform Alliance (TCPA) con l'obiettivo dichiarato di rendere dispositivi come computer o telefoni cellulari pi sicuri mediante l'uso di opportuni Il logo del Trusted Computing Group, gruppo di hardware e software. Il raggiungimento di tale scopo viene ottenuto aziende promotore del Trusted Computing inserendo in ogni dispositivo un chip (denominato Trusted Platform Module o pi brevemente TPM) dotato di una coppia di chiavi crittografiche (univoca per ogni chip), impossibili da modificare anche per il proprietario, e capace di generare altre chiavi per la crittografia di dati o dispositivi[1] . La controversia attorno a tale tecnologia nasce dal fatto che tali dispositivi sarebbero sicuri sia da manomissioni esterne che da eventuali utilizzi, definiti impropri, dell'utente. I principali sviluppatori di tale tecnologia sono i Membri Promotori del Trusted Computing Group, ovvero AMD, HP, IBM, Infineon, Intel, Lenovo, Microsoft e Sun Microsystems[2] . Attualmente soltanto alcuni computer portatili e telefoni cellulari destinati all'utenza business sono dotati del TPM, che li rende pronti per tale tecnologia, mentre diversi produttori di schede madri rendono disponibili prodotti compatibili con l'installazione opzionale del TPM[3] .
Concetti Chiave
Alla base del Trusted Computing vi sono i meccanismi di crittografia asimmetrica. Questi vengono applicati per i seguenti scopi: Ogni singolo dispositivo identificato univocamente da una sorta di passaporto elettronico, ovvero da un numero di serie e una chiave di cifratura Le informazioni possono essere cifrate con la chiave della macchina Le informazioni possono essere firmate con la chiave della macchina La cifratura delle informazioni viene eseguita a livello hardware in modalit sicura L'implementazione di tali meccanismi avviene essenzialmente per mezzo del Trusted Platform Module (TPM), un microchip costruito secondo le specifiche del Trusted Computing Group. Le direttive del Trusted Computing Group specificano che esso debba essere caratterizzato principalmente da un co-processore crittografico per la crittografia asimmetrica, un generatore di chiavi asimmetriche, un generatore di numeri casuali, un motore crittografico HMAC, un motore crittografico SHA-1, un chip di memoria volatile per la memorizzazione di chiavi, utilizzabile anche dall'utente e da un chip di memoria non volatile[4] . L'unit TPM, secondo le specifiche del Trusted Computing Group, avr cinque principali funzionalit. Ognuna ha uno scopo diverso, anche se possono essere usate insieme. Perch siano attive, per, necessario che anche il software in utilizzo ne implementi il supporto. Queste caratteristiche sono: Endorsement Key (chiave di approvazione) Secure I/O (Input/Output sicuro) Memory curtaining (separazione della memoria) Sealed storage / Trusted storage (memoria sigillata / memoria fidata) Remote attestation (attestazione remota)
Trusted computing
212
Endorsement Key
L'integrit del sistema viene protetta da manomissioni e falsificazioni grazie a una sofisticata tecnica crittografica che impedisce a emulatori software (ad esempio driver) di avviare una transazione sicura con un programma, un dispositivo hardware o un sistema remoto. Ci sar realizzabile mediante una coppia di chiavi RSA a 2048 bit che identifica univocamente ogni TPM. Tale coppia di chiavi, detta Endorsement Key (chiave di approvazione), diversa per ogni chip e viene generata al momento della produzione del chip. In alcuni casi, ma non sempre, revocabile (e dunque modificabile) solo con una password fornita dal produttore. Il TPM realizzato in modo che non esistano funzioni in grado di estrarre in alcun modo tale chiave, e lo stesso dispositivo hardware (secondo le specifiche) riconoscer di essere stato manomesso. All'atto dell'instaurazione di una transazione sicura, i TPM coinvolti dovranno firmare un numero casuale per certificare la loro identit e la propria adesione alle specifiche TCG. Ci potr, ad esempio, impedire la falsificazione dell'IMEI di un cellulare rubato. Le credenziali di Approvazione, Conformit e Piattaforma possono generare, su richiesta del proprietario, una Attestation Identity Key (AIK, "chiave di attestazione dell'identit") univoca da sottoporre a una Autorit di Certificazione Questa funzionalit potr estendersi fino alla creazione di una vera e propria infrastruttura a chiave pubblica (PKI) hardware e all'identificazione univoca di ogni dispositivo conforme alle specifiche TCG.
Secure I/O
Le operazioni di input/output vengono rese sicure (da qui il nome di "secure I/O") con l'utilizzo dei meccanismi di cifratura a chiave asimmetrica. Tutte le informazioni che transitano sui bus del sistema sono cifrate: in questo modo impossibile da parte di appositi programmi o meccanismi hardware carpire le informazioni scambiate tra la tastiera e un'applicazione, tra l'applicazione e lo schermo, ... Sul bus di collegamento tra CPU e TPM (se esterno al processore), i dati viaggiano sempre e comunque cifrati. Principali indicazioni: Un sistema di autenticazione biometrico potr garantire all'utente che nessun programma spia intercetti, memorizzi e ritrasmetta i dati di accesso (impronte digitali, iride...). Vedi in seguito per ulteriori approfondimenti. In infrastrutture semplici, si potr garantire l'inefficacia di un keylogger (programma che monitora i caratteri digitati su tastiera) a carpire le chiavi (password) di accesso al sistema. Si potr impedire a programmi di cattura delle immagini visualizzate su schermo di tentare la lettura di un CAPTCHA o il salvataggio di immagini non copiabili, ad es. protette da copia non autorizzata[5] [6] .
Trusted computing
213
Memory curtaining
Il memory curtaining (separazione della memoria) prevede che l'hardware impedisca a ogni programma la lettura e la scrittura delle zone di memoria (lo spazio in cui normalmente i programmi parcheggiano i dati che stanno elaborando in quel momento) utilizzate dagli altri applicativi in esecuzione. Nemmeno il kernel del sistema operativo sar in grado di accedere a tali zone di memoria, anche perch i dati in esse sono cifrati, quindi le informazioni saranno al sicuro anche nel caso in cui un intruso riuscisse a prendere il controllo dell'intero sistema. Qualcosa di molto simile pu essere ottenuto anche con il software, ma l'approccio hardware fornisce una soluzione pi elegante e affidabile. Questo meccanismo pu per anche rendere impossibili alcuni metodi di debugging (correzione degli errori di applicazioni difettose).
Sealed storage
Il sealed storage (memoria sigillata), o trusted storage (memoria fidata), protegge le informazioni per mezzo della cifratura, usando una chiave che deriva dallo stato del sistema, ovvero dal software utilizzato e dall'hardware su cui esso in esecuzione. Questo significa che tali informazioni possono essere fruibili solo con la stessa combinazione di software e hardware. Per esempio, gli utenti che tengono un proprio diario privato sul proprio computer non vogliono che altri programmi o altri computer siano in grado di leggerlo. Oggi, un virus (Sircam faceva qualcosa di simile) pu cercare il diario, leggerlo e inviarlo a qualcun altro. Una volta caduto nelle mani sbagliate, anche se fosse protetto da una password, un cracker potrebbe tentare di accedere al diario per mezzo di un attacco basato su un dizionario. Si potrebbe accedere alle informazioni contenute nel diario dell'utente anche modificando il software di scrittura dello stesso: usando il sealed storage, il diario viene cifrato in modo sicuro cosicch soltanto il programma per la sua gestione (non modificato) presente in quel computer in grado di accedervi. Questo metodo di cifratura dei dati impedisce anche di rimuovere un disco da un computer e utilizzarlo, con i dati in esso contenuti, in un altro computer. Nel trusted storage il compito di decidere chi sia autorizzato ad accedere ai dati fidati ricade sullo stesso dispositivo di memorizzazione, e non sull'applicazione che ha creato i dati. Ci permette ad esempio di assegnare della memoria del disco alle applicazioni fidate di cui le altre applicazioni ignorano l'esistenza, o di creare un disco rigido i cui dati siano leggibili solo da un certo computer. Un disco rigido trusted deve contenere un processore crittografico, per essere in grado di garantire prestazioni elevate nella crittazione del disco, e si pone come radice ((EN): root) di una catena di fiducia ((EN): chain of trust) in cui controlla e firma le periferiche a cui l'utente decide di garantire l'accesso al computer[7] [8] .
Trusted computing
214
Remote attestation
La remote attestation (attestazione remota) permette a terzi di interrogare il sistema e di conoscerne lo stato, ovvero di rilevarne le sue variazioni. In questo modo si pu evitare che informazioni riservate siano inviate da un computer compromesso o non sicuro, o che da questo siano ricevuti comandi "pericolosi". Il meccanismo si basa sul protocollo di Direct Anonymous Attestation, ovvero utilizzando un certificato digitale generato dall'hardware che garantisce l'anonimit del processo. Il sistema pu presentare tale certificato ad altri sistemi remoti per mostrare che esso non stato compromesso. L'attestazione remota di solito effettuata per mezzo della cifratura a chiave pubblica, in modo tale che le informazioni scambiate possano essere lette soltanto dai programmi coinvolti nell'attestazione, e non da malintenzionati. Per riprendere l'esempio del diario, il programma per la sua gestione potrebbe inviare le informazioni contenute in quest'ultimo ad altri computer soltanto se questi sono in grado di attestare che su di essi in esecuzione una copia sicura del programma di gestione dello stesso. Combinata con altre tecnologie, l'attestazione remota fornisce un canale pi sicuro per i dati: l'I/O sicuro li protegge in fase di digitazione sulla tastiera e di visualizzazione sullo schermo, il memory courtaining li protegge mentre questi vengono elaborati, il sealed storage quando vengono salvati sul disco fisso; infine l'attestazione remota protegge i dati da utilizzi non autorizzati anche quando questi vengono utilizzati su altri computer.
Trusted computing semplicemente inserendo l'hard disk in un altro computer. Enforcer invece un modulo di sicurezza di Linux scritto per garantire la sicurezza del sistema operativo garantendo che non avvenga alcuna alterazione del file system[17] . Enforcer in grado di interagire con hardware trusted per garantire alti livelli di sicurezza per software e dati sensibili. Pu interagire con un Trusted Platform Module per garantire l'immagazzinamento dei dati sicuri in un file system crittato, disabilitandolo quando rileva file alterati e impedendone l'accesso finch la macchina non viene riavviata con file non alterati, proteggendo cos i dati da attacchi. Un terzo programma di crittazione della memoria di massa che fa uso del Trusted Computing Turaya.Crypt, che differisce dagli altri due per essere concepito per essere in grado di funzionare in diverse modalit d'uso[18] . Turaya.Crypt pu infatti crittare sia hard disk che periferiche rimuovibili come chiavi USB; in grado di funzionare sia in sistemi a utente singolo, chiedendo password prima del boot del sistema operativo, sia in sistemi multiutente, garantendo a un amministratore centrale i diritti di poter scegliere le risorse da assegnare a ogni singolo utente.
215
Trusted computing
216
Correntisti sicuri
Inoltre lo stesso server, mediante AIK e Remote Attestation, potr distinguere se l'utente sta operando dal proprio PC di casa o da un'altra postazione (es. imponendo un tetto massimo alle operazioni, contattando telefonicamente per conferma) qualora egli abbia preso accordi in merito con la propria banca.
Trusted computing
217
Con la tecnologia attuale, una connessione SSL garantisce che nessuno possa intercettare la sequenza di bit rappresentante le impronte suddette, ma la presenza di uno spyware sul PC permetterebbe un'intercettazione delle impronte direttamente dal lettore con le conseguenze catastrofiche di cui sopra. Le soluzione al problema praticamente unica: fare in modo che dal bus del lettore esca una sequenza criptata non leggibile da nessuno tranne un software fidato. Con il secure I/O possibile realizzare questa soluzione in tutta sicurezza.
Trusted computing
218
Sostenitori e detrattori
I sostenitori del TC sono oltre 170 aziende[19] tra le pi grandi dell'industria informatica mondiale, come AMD, hp, IBM, Intel, Microsoft e Sun Microsystems e lo presentano come la soluzione per ottenere computer pi sicuri, affidabili e meno attaccabili da virus e programmi nocivi. Microsoft Windows Vista fa uso del Trusted Computing per implementare la tecnologia BitLocker Drive Encryption per la crittografia dell'hard disk, mentre Intel ha lanciato una tecnologia chiamata Trusted Execution Technology per garantire un avanzato supporto hardware del Trusted Computing. L'esercito USA richiede che tutti i suoi computer ne siano dotati[20] [21] ; dal 3 luglio 2007 tutti i computer acquistati dal dipartimento della Difesa Americano devono essere dotati di chip TPM di versione 1.2[22] . La Commissione Europea finanzia un progetto open source per lo sviluppo del Trusted Computing chiamato OpenTC, che lavora a stretto contatto sia con diversi membri del gruppo, quali AMD, Hewlett-Packard e IBM, sia con importanti istituti accademici europei, tra cui l'Universit di Cambridge e il Politecnico di Torino[23] . La pi grossa critica al Trusted Computing Group viene invece dalla comunit legata al software libero. La Free Software Foundation nei propri articoli fa spesso riferimento al Trusted Computing come "Treacherous Computing", ovvero "informatica infda"[24] . In Italia No1984, un gruppo il cui nome si ispira al noto romanzo di G. Orwell "1984", si pone fermamente contro questa nuova tecnologia e, ad oggi, ha tradotto in italiano un breve filmato divulgativo di critica al Trusted Computing[25] ed ha pubblicato vari articoli sull'argomento, assieme ad un elenco dei computer che contengono al proprio interno un chip TPM[26] .
Critiche
Le voci critiche sul Trusted Computing sostengono che un suo effetto indesiderabile potrebbe essere quello di imporre restrizioni immotivate all'uso del computer da parte dei legittimi proprietari. Il livello di fiducia e sicurezza , infatti, garantita dall'amministratore; molti utenti desktop non hanno tuttavia l'esperienza e le capacit d'amministrazione necessarie per operare politiche di sicurezza efficaci sulla propria stazione di lavoro, e le funzionalit del Trusted Computing hanno come obiettivo quello di sopperire alle carenze tecniche del proprietario del PC; l'implicazione denunciata dai critici quella di privare il proprietario del diritto di decidere quale software usare per accedere a servizi offerti da altri computer in rete.
La disapprovazione del TC da parte di alcuni esperti di sicurezza[27] deriva dal fatto che tale tecnologia potrebbe aumentare la capacit di controllo dei sistemi da parte dei produttori hardware e software, in maniera che essi possano imporre quello che gli utenti hanno il diritto di fare con i propri dispositivi, e approfittarne per attuare meccanismi che minaccerebbero la libera competizione del mercato dell'Information and Communication Technology ed il libero sviluppo del software da parte dei singoli individui, come invece attualmente accade. I critici inoltre sono preoccupati del fatto che non si pu essere sicuri che l'hardware che implementa il TC sia realizzato correttamente e non contenga delle backdoor (meccanismi in grado di garantire l'accesso non autorizzato a chi ne conosce presenza e uso) o funzioni nascoste che possono rappresentare un rischio per la sicurezza del sistema e quindi, dipendentemente dall'ambito nel quale il sistema viene utilizzato, per la riservatezza o per la sicurezza di un'azienda o per la sicurezza nazionale. La paura nasce dal fatto che le specifiche del TC sono pubbliche ma non lo sono le relative implementazioni. Allo stesso modo, molti sono preoccupati che i modelli crittografici ed i relativi algoritmi utilizzati diventino obsoleti. Ci potrebbe portare ad un'obsolescenza forzata dei computer con TC. Per esempio, nelle nuove versioni delle specifiche TC stato aggiunto, e richiesto, l'algoritmo crittografico AES.
Trusted computing Mentre i sostenitori affermano che il Trusted Computing aumenta la sicurezza, i critici ribattono che non solo la sicurezza non ne trarr alcun beneficio, ma il TC faciliter anche la realizzazione di Digital Rights Management (DRM) di nuova generazione, leder il diritto alla riservatezza e imporr altre restrizioni agli utenti (legittimi proprietari del dispositivo). Affidare la gestione dei computer in rete ad autorit di controllo piuttosto che ai singoli individui potrebbe creare fenomeni di censura informatica. Per i critici, bisogner dunque contrastare il Trusted Computing con il secure computing (informatica sicura), in cui la principale preoccupazione sia quella dell'anonimato piuttosto che della trasparenza. I sostenitori del secure computing sostengono che possibile ottenere della sicurezza addizionale senza passare il controllo dei computer dagli utenti a dei super-utenti. Come risposta a ci, i sostenitori del TC ritengono che le preoccupazioni sulla riservatezza siano prive di basi, poich i consumatori manterranno la scelta tra sistemi basata sulle loro necessit individuali. I sostenitori del TC asseriscono che alcune necessit richiedano dei cambiamenti a livello hardware per permettere al computer di agire come un sistema fidato, ricordando anche che, nel caso in cui non si intenda utilizzare tale tecnologia, il modulo TPM rimovibile da un computer oppure completamente disattivabile attraverso il BIOS.
219
Trusted computing tecnicamente possibile per Microsoft, non sarebbe legale, in quanto verrebbero violate le norme antitrust, atte a impedire il monopolio di un soggetto nel mercato.
220
Trusted computing essere ritenute pi sicure grazie all'attestazione remota, questa schedatura potrebbe causare la perdita dell'aspettativa di anonimato da parte dell'utente durante l'utilizzo di Internet. L'unico dubbio che gli scettici si pongono quello delle modalit di utilizzo effettive dei dati personali ottenuti, specie in paesi come l'Italia dove la normativa sul trattamento dei dati personali molto severa.
221
Owner Override
Una delle principali polemiche nasce perch il Trusted Computing protegge il sistema da tutte le interferenze, persino dal controllo del proprietario. Una semplice soluzione a questo problema quella di lasciare al proprietario dell'elaboratore la possibilit di controllare queste protezioni. Questa operazione denominata Owner Override ed attualmente abbozzata soltanto come un suggerimento di modifica. Prevede la possibilit da parte del proprietario di "scavalcare" le protezioni imposte dal dispositivo TPM sui dati sensibili. Quando la Owner Override viene attivata, l'elaboratore utilizza il percorso sicuro di I/O per assicurarsi che ci sia fisicamente una persona presente e che tale persona sia il proprietario dell'elaboratore. L'utente proprietario potrebbe decidere quindi di: impedire l'attivazione del Trusted Platform Module; alterare la propria identit, cio la Attestation Identity Key; generare false attestazioni; gestire le proprie chiavi (non la Endorsement Key, ovviamente) salvate all'interno del TPM. La prima funzionalit disponibile su tutte le piattaforme dotate di TC. Attraverso il tool di configurazione del BIOS, il proprietario della macchina pu disattivare completamente il TPM in modo che il computer si comporti come una macchina di vecchia generazione. Ci potrebbe ovviamente incidere sulla possibilit di utilizzare software che ha come requisito minimo un TPM genuino, ossia un TPM che abbia una Endorsement Key riconosciuta come genuina dal server cui ci si vuole collegare. Con l'Attestazione Remota scavalcata, sarebbe possibile forzare l'elaboratore a generare false attestazioni per esempio, certificati che indicano che si sta usando Internet Explorer quando in realt si usa Mozilla Firefox. Invece di riportare quando il software stato modificato, l'attestazione remota indicherebbe al contrario quando il software stato cambiato senza il permesso del proprietario[32] . Alcuni membri del TCG hanno per contestato questa modifica, presentandola come la potenziale rovina del movimento TC . L'Owner Override, se permettesse al proprietario di manipolare le informazioni di sicurezza, farebbe cadere l'intera idea di fiducia nei confronti degli elaboratori degli altri utenti, ossia il compito stesso dell'Attestazione Remota. La Owner Override continuerebbe a fornire tutti i benefici di sicurezza e di esecuzione sulla propria macchina, ma perderebbe tutta la capacit di accertare che un altro proprietario non abbia modificato le regole o le restrizioni sulla sua macchina durante le transazioni in Rete.
Trusted computing
222
Voci correlate
Trusted Computing Group Trusted Network Connect Trusted Platform Module Trusted Software Stack Sicurezza informatica Crittografia
Note
[1] (EN) TPM Design Principles - Specification Version 1.2 - Level 2, Revision 103 (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), sezione 38, "Revoke Trust" [2] (EN) Trusted Computing Fact Sheet (https:/ / www. trustedcomputinggroup. org/ about/ FACTSHEET_revised_sept_07. pdf) [3] Asus presenta la nuova linea di schede madri compatibili con Windows Vista (http:/ / it. asus. com/ news_show. aspx?id=5996) [4] (EN) TCG TPM Specification Design Principles, versione 1.2, revisione 103, pagina 16 e successive (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip) [5] (EN) Intel Trusted Execution Technology Architectural Overview (http:/ / www. intel. com/ technology/ security/ downloads/ arch-overview. pdf) - Pagina 3, Protected Graphics [6] (EN) OpenTC -D02.2 Requirements Definition and Specification (http:/ / www. opentc. net/ deliverables2006/ OTC_D02. 2_Requirements_Definition_and_Specification_update. pdf) - Pagina 90 [7] (EN) Slide sul Trusted Storage (https:/ / www. trustedcomputinggroup. org/ groups/ storage/ TCG_storage_spec_avail_slides_FINAL. pdf) [8] (EN) The Register - Trusted Storage Specs near to completion (http:/ / www. theregister. co. uk/ 2007/ 06/ 21/ trusted_computing_drafts_hdd_security/ ) [9] (EN) Registro dei cambiamenti in Linux 2.6.13 (http:/ / www. kernel. org/ pub/ linux/ kernel/ v2. 6/ ChangeLog-2. 6. 13) [10] Infineon Security Platform nel Sony Vaio TX3XP (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1549/ sony-vaio-tx3xp-10-ore-di-autonomia-e-tpm-12_3. html) [11] Utility per la sicurezza nei notebook Acer (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1600/ utility-per-la-sicurezza-dei-notebook-acer_5. html) [12] (EN) Trusted Computing for the Java Platform (http:/ / trustedjava. sourceforge. net/ ) [13] (EN) Trousers Home Page (http:/ / trousers. sourceforge. net/ ) [14] (EN) TrustedGrub su SourgeForge.net (http:/ / sourceforge. net/ projects/ trustedgrub) [15] (EN) Trusted Network Connect FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TNCFAQ/ ) [16] Ferguson, Niels. AES-CBC + Elephant: A Disk Encryption Algorithm for Windows Vista (http:/ / download. microsoft. com/ download/ 0/ 2/ 3/ 0238acaf-d3bf-4a6d-b3d6-0a0be4bbb36e/ BitLockerCipher200608. pdf). Microsoft TechNet, August 2006 [17] (EN) Enforcer Home Page (http:/ / enforcer. sourceforge. net/ ) [18] (EN) Turaya.Crypt Device Encryption Information (http:/ / www. emscb. com/ content/ pages/ turaya. crypt. htm) [19] (EN)https:/ / www. trustedcomputinggroup. org/ about/ members/ [20] (EN) U.S. Army requires trusted computing (http:/ / www. securityfocus. com/ brief/ 265) [21] (EN) strategic goal n. 3 , "deliver a joint netcentric information that enables warfighter decision superiority", October 2006 (http:/ / www. army. mil/ ciog6/ news/ 500Day2006Update. pdf) [22] (EN)http:/ / iase. disa. mil/ policy-guidance/ dod-dar-tpm-decree07-03-07. pdf [23] (EN) OpenTC Partners (http:/ / www. opentc. net/ index. php?option=com_content& task=view& id=5& Itemid=37) [24] Richard Stallman - Puoi fidarti del tuo computer? (http:/ / www. gnu. org/ philosophy/ can-you-trust. it. html) [25] Filmato di critica sul Trusted Computing (http:/ / www. no1984. org/ Trusted_Computing_movie) [26] Hardware TC-compliant - no1984.org (http:/ / www. no1984. org/ Hardware_TC-compliant) [27] (EN) Trusted Computing' Frequently Asked Questions - Ross Anderson (http:/ / www. cl. cam. ac. uk/ ~rja14/ tcpa-faq. html) [28] (EN) Electronic Frontier Foundation - Meditations on Trusted Computing (http:/ / www. eff. org/ wp/ meditations-trusted-computing) [29] (EN) Authenticated Booting, Remote Attestation, Sealed Memory aka Trusted Computing (http:/ / os. inf. tu-dresden. de/ Studium/ DOS/ SS2007/ 02_Booting. pdf) [30] (EN) Digital Rights Management Demonstrator (http:/ / www. emscb. com/ download/ Turaya. FairDRM_req_design_070313. pdf) Requirements, Analysis, and Design [31] Trusted Computing - The RTM and the TPM Infrastructure Group Working Activity (http:/ / www. isg. rhul. ac. uk/ files/ IY5608_-_Lecture_4_Infrastructure_WG. pdf), Royal Holloway University of London [32] (EN) Trusted Computing: Promise and Risk (http:/ / www. eff. org/ wp/ trusted-computing-promise-and-risk) - Electronic Frontier Foundation [33] (EN) Cosa succede ai miei dati se il TPM si rompe? (http:/ / trousers. sourceforge. net/ faq. html#2. 3) ,Trousers FAQ
Trusted computing
223
Altri progetti
Wikisource contiene opere originali: http://it.wikisource.org/wiki/Puoi fidarti del tuo computer?
Collegamenti esterni
Siti e documentazioni ufficiali
(EN) Sito del Trusted Computing Group (https://www.trustedcomputinggroup.org) (EN) Next Generation Secure Computing Base di Microsoft (http://www.microsoft.com/resources/ngscb/ default.mspx) (EN) Wave Systems Corp. TPM Trust Infrastructure provider (http://www.wave.com/)
224
Architettura
Le specifiche pubblicate dal Trusted Computing Group[4] definiscono quale dev'essere l'architettura del processore e quali funzionalit minime esso deve offrire. Ogni TPM deve offrire determinate minime funzioni[5] , ovvero: generazione di numeri pseudo-casuali; generazione e memorizzazione di chiavi crittografiche (RSA); cifratura e decifratura di informazioni con RSA; generazione e verifica di hash SHA1.
A tale scopo, ogni Trusted Platform Module deve essere dotato di specifiche componenti, connesse tra loro attraverso un bus interno e capaci di interagire con il resto del calcolatore con un bus esterno. Tali componenti devono essere i seguenti:
Dispositivo di Input/Output
Il componente di I/O deve essere in grado di gestire le comunicazioni sui bus interni ed esterni, crittografando e decodificando le informazioni quando necessario. Deve garantire l'accesso al dispositivo in associazione col dispositivo Opt-In.
Coprocessore Crittografico
Ogni dispositivo deve essere dotato di un processore in grado di eseguire le seguenti operazioni: Generazione asimmetrica di chiavi Crittazione e decrittazione asimmetrica Generazione di numeri casuali Hashing SHA-1
Tale processore pu utilizzare anche la crittografia asimmetrica per comunicazioni interne al modulo, ma non deve esporre dati generati con algoritmi simmetrici all'esterno dello stesso. Per l'emissione di firme digitali, viene utilizzato l'algoritmo asimmetrico RSA con chiave di dimensione di 2048 bytes, sebbene il modulo debba supportare anche chiavi da 512 e 1024 byte. Tali chiavi possono essere note solo al modulo o in congiunzione tra un'entit
225
Motore HMAC
Il motore HMAC deve essere in grado di fornire due importanti funzioni: Provare la correttezza dei dati di identificazione Provare che i dati in ingresso nel modulo sono autorizzati e non hanno subito modifiche durante la trasmissione. A tale scopo viene utilizzato l'algoritmo crittografico HMAC con una dimensione di chiave di 20 bytes e una dimensione di blocco dati di 64 bytes. Le peculiarit dell'algoritmo lo rendono adatto a tali scopi: HMAC utilizza infatti una combinazione del messaggio originale e della chiave segreta per la crittografia dei dati, garantendo la massima sicurezza.
Motore SHA-1
Il modulo deve integrare un dispositivo in grado di gestire hash SHA-1 di 160 bits di dimensione. Tali hash vengono utilizzati per la firma digitale dei file.
Gestore di Alimentazione
Il Trusted Platform Module deve essere fornito di un componente in grado di gestire l'alimentazione del modulo e di informare il modulo stesso sullo stato di alimentazione dei dispositivi disponibili sulla macchina in cui installato. Queste informazioni vengono utilizzate dal modulo per rilevare la presenza fisica di utilizzatori della macchina per fare in modo, per esempio, che alcune specifiche operazioni sul modulo siano eseguibili solo attraverso l'autorizzazione o, in caso di gestione remota, della presenza di un operatore.
226
Opt-In
Il componente Opt-In deve essere in grado di fornire i meccanismi e le protezioni necessarie per accendere, spegnere, attivare o disattivare il TPM. inoltre il componente deputato al controllo della presenza fisica di operatori sulla macchina sui cui installato il Trusted Platform Module. Il componente Opt-In deve garantire che il modulo possa essere acceso, spento, attivato o disattivato solo da utenti che detengono il controllo del TPM, definiti come TPM Owner, o, nel caso di Owner remoto, se vi sono operatori presenti sulla macchina.
Motore di Esecuzione
Il motore di esecuzione esegue il codice esterno, ottenuto dal modulo di Input/Output, per utilizzare le funzionalit del Trusted Platform Module. Deve essere in grado di garantire la trasparenza delle operazioni e la protezione dei dati sensibili.
Utilizzo
Per essere utilizzato, ogni Trusted Platform Module richiede l'utilizzo di uno specifico Trusted Software Stack, anch'esso determinato dalle specifiche del Trusted Computing Group. Se usato insieme ad tale software, il TPM pu: attestare l'identit e lo stato fidato della piattaforma di cui fa parte (attestazione remota); cifrare le informazioni che vengono inviate sui bus del sistema o salvate sulla memoria di massa (data sealing, lett. "sigillamento dei dati", e data binding. lett. "collegamento dei dati" al TPM); La tecnica di sealing dei dati corrisponde al salvataggio dei dati cifrati usando una chiave che dipende dallo stato del sistema, ossia una la combinazione dell'hardware e del software in esecuzione. La decifratura degli stessi dati sar possibile soltanto per mezzo della stessa chiave, cio utilizzando la stessa configurazione del sistema all'atto del salvataggio (lo stesso hardware e lo stesso software in esecuzione). Il binding si riferisce alla cifratura dei dati usando una chiave di approvazione detta Endorsement Key, ovvero una chiave RSA che identifica univocamente il TPM stesso inserita nel chip durante la sua fabbricazione garantendo cos che tali dati siano decifrabili soltanto dallo stesso modulo che li ha criptati. L'attestazione remota viene effettuata per mezzo di apposite chiavi di cifratura, dette AIK (Attestation Identity Key), generate all'occorrenza dal TPM .In alternativa dalla versione 1.2 delle specifiche TCG per autenticarsi su rete possibile utilizzare il protocollo di Direct Anonymous Attestation [6] [7] , che consente l'autenticazione remota della macchina preservando la riservatezza del sistema autenticato. Il chip, in sostanza, ha una funzione di controllo passivo sull'hardware ed il software installato sulla macchina su cui presente. Per mezzo di speciali registri al suo interno, detti PCR (Platform Configuration Register), il TPM tiene traccia dell'evoluzione dello stato del sistema, misurandolo (si tratta praticamente dell'elaborazione di un hash delle informazioni prelevate dai dispositivi e del software in esecuzione) secondo la seguente formula
ovvero, il contenuto dell'i-esimo PCR viene aggiornato (al tempo 1, RFC 3174
[8]
) con l'hash SHA1 (US Secure Hash Algorithm ) e sulle informazioni prelevate
) dal sistema (all'avvio del sistema, il contenuto dei PCR impostato a 0).
Trusted Platform Module Il software (il boot loader, il sistema operativo, i programmi applicativi), realizzato opportunamente per interfacciarsi con il TPM, potr quindi decidere, in base alle informazioni correntemente contenute nei PCR ed in base alla propria logica programmata, quali operazioni intraprendere.
227
Critiche
Molte opposizioni all'adozione di questo tipo di chip si sono levate dall'ambito del software libero e dei sostenitori del fair use. I detrattori sostengono che tale sistema possa essere usato non solo per rendere pi sicura una macchina, anche se rimane da chiarire chi che stabilisce le regole in base alle quali ritenere sicuro un determinato stato del sistema, ma anche per decidere quali programmi possano accedere a certi dati, creando od amplificando una sorta di monopolio da parte dei sostenitori del Trusted Computing. Il microchip, secondo le specifiche pubblicate dal Trusted Computing Group, ha per solo un controllo passivo sul software, ovvero non in grado di decidere ci che un utente pu utilizzare; al contrario, per, un software basato sul Trusted Platform Module potrebbe decidere di non eseguire operazioni considerate non sicure come, per esempio, la connessione a una rete considerata non affidabile. Critiche si sono sollevate contro il sistema di attestazione remota[9] , mentre taluni ritengono che il sealing abbia come funzione essenziale la creazione di nuovi e pi efficaci sistemi di Digital Rights Management, piuttosto che una protezione delle informazioni in s.
Bug
Nell'ottobre 2007 stata scoperta una falla di sicurezza basata sul buffer overflow nei servizi forniti dal modulo TPM installati sui Notebook IBM ThinkPad che permetterebbe l'esecuzione di codice arbitrario attraverso pacchetti HTTP[10] . IBM ha consegnato tutti i dati relativi alla falla a Lenovo[11] per la risoluzione del problema. A dicembre 2007 non sono disponibili ulteriori informazioni al riguardo.
Voci correlate
Trusted Computing Trusted Computing Group Trusted Software Stack Hengzhi chip
Bibliografia
(EN) Specifiche del Trusted Platform Module [12], versione 1.2, revisione 103
Note
[1] (EN) FAQ sul Trusted Platform Module (https:/ / www. trustedcomputinggroup. org/ faq/ TPMFAQ/ ) [2] (EN) Trusted Computing: come rendere i vostri dati e sistemi veramente sicuri (https:/ / www. trustedcomputinggroup. org/ news/ events/ pastevents/ presentations/ GovSec_Presentation_052505. pdf) [3] Microsoft's leaner approach to Vista security (http:/ / m. news. com/ Microsofts+ leaner+ approach+ to+ Vista+ security/ 2163-7355_3-5843808. html) [4] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ [5] (EN) Specifiche del Trusted Computing (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), versione 1.2, revisione 103, pagine 16 e successive. [6] (EN) Direct Anonymous Attestation (http:/ / eprint. iacr. org/ 2004/ 205. pdf) [7] (EN) Direct Anonymous Attestation -versione ridotta (http:/ / www. zurich. ibm. com/ ~jca/ papers/ brcach04. pdf) [8] http:/ / www. faqs. org/ rfcs/ rfc3174. html [9] (http:/ / www. oceanidigitali. it/ drupal/ DAA) [10] (EN) http:/ / en. securitylab. ru/ nvd/ 305875. php [11] (EN) http:/ / www. irmplc. com/ index. php/ 111-Vendor-Alerts
228
Principali Funzionalit
Quelle che seguono sono solo alcune delle funzionalit che il trusted software stack fornisce: In pratica, qualsiasi applicazione che sfrutti le funzionalit offerte dal trusted computing deve usare un trusted software stack per accedere alle funzioni offerte dal TPM .Le funzionalit elencate di seguito vanno quindi considerate come delle funzionalit che potrebbero essere offerte da applicazioni funzionanti su una trusted platform che sfruttino le API fornite dal Trusted software stack. Le funzionalit di dette applicazioni infatti non sono state standardizzate dal TCG.
Policy Translation
Implementazione di tutte le politiche di sicurezza che vengono imposte dai programmi all'utente o ai programmi dall'utente
Privacy Protection
Difesa dell' utente dagli abusi del TC (nessun software deve ad esempio fare il sealing dei dati o inviare la parte pubblica dell' Endorsement Key a terze parti senza il consenso del proprietario del TPM )
Trusted GUI
Garantisce la protezione dei dati considerati sensibili dalle applicazioni che sfruttano il TSS sia in input che in output
Compartment Manager
Gestisce le partizioni di esecuzione; alcune applicazioni possono essere avviate in una partizione di esecuzione protetta che sfrutta le funzionalit offerte dal trusted computing per garantire l'integrit dell'applicazione e la privacy dei dati da essa elaborati
Note
[1] https:/ / www. trustedcomputinggroup. org/ faq/ TSSFAQ/ (EN) FAQ sul Trusted Software Stack [2] https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ (EN) FAQ sul Trusted Software Stack versione 1.2
Voci correlate
Trusted Computing Trusted Computing Group Trusted Platform Module
229
Collegamenti esterni
(EN) Specifiche del Trusted Software Stack (https://www.trustedcomputinggroup.org/specs/TSS/ TSS_1_2_Errata_A-final.pdf) (EN) FAQ di Trousers (http://trousers.sourceforge.net/faq.html), un TSS open source (EN) Architettura di una "trusted platform" (http://www.perseus-os.org/content/pages/Overview.htm) (EN) Introduzione al trusted software stack (http://www.perseus-os.org/content/pages/Trusted Software.htm) (EN) Presentazione dell'architettura del trusted computing , sezione 4.5.3 (https://www.trustedcomputinggroup. org/groups/TCG_1_4_Architecture_Overview.pdf)
DataBase
Al terzo livello si trovano i Database (Oracle, SQL Server, Sybase SQL Server). Queste banche dati verranno analizzate automaticamente da strumenti in grado di rilevare eventuali debolezze nel campo della sicurezza. noto come un DataBase contenga una gran mole di informazioni critiche ed indispensabili per un'azienda e data l'enorme complessit venutasi a creare durante la loro organizzazione, si vengono facilmente a creare vulnerabilit comodamente sfruttabili da un malintenzionato, molto pi di quanto possa accadere con le falle presenti nei Sistemi Operativi.
Rete Telefonica
Il quarto possibile portale di accesso risulta essere la rete telefonica, vera e propria alternativa agli attacchi tramite IP, che solitamente sono difesi dall'uso di firewall. Nel caso specifico verranno valutati i possibili bachi presenti nei Sistemi RAS e saranno scansionati anche modem e centralini, alla ricerca di possibili vie di accesso per eventuali attacchi. Tale attivit viene chiamata WarDial.
Applicazioni
L'ultimo punto della nostra lista prevede l'External Application Assessment e l'Internal Application Assessment. Il primo caso analizza un'applicazione web dal punto di vista dell'utente senza competenze specifiche, ovvero senza che questo sia a conoscenza dell'architettura dell'applicazione. Vengono incluse nell'analisi anche le eventuali sezioni protette da username e password presenti nell'applicazione, che pu offrire servizi tramite protocolli HTTP o HTTPS. Nello specifico vengono verificati i seguenti campi relativi alla sicurezza: information leakage, ovvero scansione dei dati sensibili inviati tramite l'applicativo e che potrebbero essere esposti al rischio di venire intercettati da un malintenzionato tramite l'esame del codice HTML, degli script o di
Vulnerability Assessment and Mitigation altre informazioni ottenibili da eventuali meccanismi di debugging. approfondita analisi dei campi interattivi tra l'applicazione e l'utente, in modo da individuare eventuali falle create da input (in)volontariamente inserito, buffer overflow, ecc. procedure di autenticazione problematiche relative ad una sessione, come ad esempio timeout, logout, hijacking, login tramite indirizzi non verificati, ecc. validazione ed alterabilit dei dati esecuzione di comandi in zone impreviste dell'applicazione, che ad esempio tramite specifiche stringhe SQL pu portare alla diretta manipolazione del DataBase, con chance di acquisizione, modifica, cancellazione dei dati presenti interazioni inappropriate o non corrette con il Sistema Operativo (shell escapes) analisi della sicurezza dei dati inviati tramite l'applicazione
230
Nel caso dell'Internal Application Assessment, che comprende anche i punti elencati qui sopra, vengono presi in considerazione anche i seguenti casi: aspetti legati alla configurazione di web server e application server configurazione di DataBase Management System (DBMS) presenti ed eventuali interazioni tra questi e l'applicazione stessa esame dei file di log e/o di configurazione utilizzabili dai web server e dagli application server vulnerabilit legate alla determinata architettura utilizzata nell'applicazione
Conclusioni
Ogni attivit elencata qui sopra andrebbe eseguita a cadenza periodica (4-6 volte durante l'arco dei 365 giorni) e costituisce una risorsa irrinunciabile nella continua ricerca di affidabilit dei sistemi di sicurezza aziendali. Grazie al loro impiego possibile instaurare un'efficace politica di difesa che garantisca investimenti volti al potenziamento dell'Infrastruttura IT.
231
232
233
234
235
Licenza
236
Licenza
Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/