Sicurezza Informatica e Crittografia: Principi e Metodi

Sicurezza informatica -> l’insieme prodotti, servizi, regole organizzative e comportamenti individuali che proteggono il sistema informatico o informativo > garantiscono la riservatezza delle informazioni, assicurando il funzionamento e la disponibilità.

SISTEMI INFORMATICI: insieme delle tecnologie ICT (information, communication and technology) per sostenere e realizzare un moderno sistema informativo.

SISTEMI INFORMATIVI: sistema necessario x la raccolta di informazioni, x la loro organizzazione, correlazione e distribuzione.

ENISA > a l'obiettivo di garantire la sicurezza delle reti -> stabilisce gli standard dell’UE.

-> Nel 2019 questo ente viene sostituito con CSIRT (Computer Security Incident Response Team).

-> è un ente che esiste in ogni paese dell’UE -> ha il compito di monitorare costantemente la rete dello stato, attraverso un team di cybersecurity.

LE MINACCE NATURALI > -> calamità naturali, atti vandalici, sommosse popolari, guerre e attacchi terroristici -> imprevedibilità

Sistemi per prevenzione: > ● Sistemi di alimentazione autonoma (UPS), se salta la luce, l’UPS opera come se fosse una batteria. ● Backup (salvataggio periodico dei dati, stabilito per legge). ● Disaster recovery, vengono predisposti dei piani di ripristino e di emergenza.

LE MINACCE UMANE > Gli HACKER sono spinti dalla curiosità, i CRACKER sono mossi da interessi personali o di lucro.

ATTACCO INTERNO → interno all’azienda > causa la minaccia -> volontario o involontario

● Il cavallo di troia: file / app (innocuo) ma in realtà è malevolo

● Testa di ponte: punto di accesso illegale per l’accesso ad un server

● Virus: malware che danneggia un dispositivo e si espande ovunq

● Worn: danneggia e si diffonde in una rete.

● Sniffer (packet sniffer): programmi che intercettano i pacchetti che circolano nella rete ed estrapolano informazioni

● Phishing: un soggetto manda una moltitudine di messaggi a tanti utenti con l'obiettivo di truffarne almeno uno.

CRITTOANALISI E PRINCIPIO DI KERCKHOFFS > Crittoanalisi → un attacco di un crittoanalista mirato a violare il crittosistema.

Il principio di Kerckhoffs stabilisce che la chiave è l’elemento fondamentale per la sicurezza di un sistema informatico.

ONE TIME PAD (cifrario): le due parti condividono un blocco (pad) / OTK

● SSO (single sign on): autenticazione unica per accedere ad una serie di servizi.

EVENTI INTENZIONALI (ATTACCHI)

● IP Spoofing / shadow server: si sostituisce ad un host.

● Packet sniffing: “sniffare” pacchetti -> intercettare dei pacchetti x rubare password/informaz.

● Connection Hijacking / data spoofing: modifica o inserisce i dati in transito in una rete.

● Dos: impedisce il funzionamento di un servizio.

DDOS: attacco ad un server con milioni di tentativi di accesso -> fanno cadere il server (volont/involont).

SICUREZZA NEI SISTEMI INFORMATIVI DISTRIBUTIVI

● PREVENZIONE ● RILEVAZIONE ● INVESTIGAZIONE

PRINCIPI DI CRITTOGRAFIA

● SEGRETEZZA ● AUTENTICAZIONE ● AFFIDABILITÀ DEI DOCUMENTI

Codifica → metodo di scrittura in chiave -> consiste nel sostituire alcune parole con altre.

Cifratura → sostituisce lettere o caratteri con altri.

SISTEMA CRITTOGRAFICO ASIMMETRICO

Ogni utente ha due chiavi PUBBLICA e PRIVATA

MODALITÀ DI FUNZIONAMENTO DEI SISTEMI ASIMMETRICI

Modalità confidenziale → sicurezza e integrità del messaggio.

Modalità autenticazione → garantisce l’integrità, la paternità ma non la riservatezza.

RISULTATI DELLA CRITTOGRAFIA

L’AUTENTICAZIONE

È possibile autenticare il contenuto del messaggio aggiungendo in fondo al messaggio un l'hash (codice). Nel caso in cui ci fosse un’alterazione durante la trasmissione, alla decodifica l’hash sarebbe diverso e quindi il destinatario potrebbe verificare l'anomalia.

RISERVATEZZA E AUTENTICAZIONE

Per ottenere riservatezza e autenticazione dobbiamo utilizzare contemporaneamente entrambe le coppie di chiavi.

ALGORITMO RSA

RSA utilizza un numero n ottenuto dal prodotto di due numeri primi: n = p · q

● Password vault (cassaforte) dove sono contenute tutte le password difficili da ricordare.

● Utilizzo di OTP → schema di lamport: un algoritmo che parte da un valore associato all’utente, poi viene generato un insieme di password in sequenza che hanno come seme quel dato valore, partendo dalla funzione di hash: dato lo stesso input il risultato deve essere uguali e viceversa. La funzione di hash viene utilizzata dai grandi server per registrare le password dei suoi utenti.

● Utilizzo di 2FA che può essere portato a n-factor.

PASSPHRASE: frasi intervallate i cui caratteri possono essere intervallati da altri caratteri o numeri.

DICEWARE: metodo basato sul lancio di dadi il cui scopo è quello di creare password, avendo delle parole che corrispondono ai numeri dei dadi.

TIPOLOGIE DI ATTACCHI (password)

● Attacchi a Forza Bruta → ricerca esaustiva > tutte le soluzioni possibili per accedere.

● Attacco a Dizionario → accedere forzatamente con un dizionario con informazioni dell’utente.

FIREWALL (muro tagliafuoco): dispositivo di sicurezza perimetrale.

Funzioni:

● Verifica i pacchetti in transito, sia in entrata che in uscita, tramite IP filtering.

● Mascheramento degli indirizzi IP.

LA VPN (VIRTUAL PRIVATE NETWORK) > lavora attraverso un tunnel dove passano i vari pacchetti che passano dall’esterno all’interno di una rete o un dispositivo.

NORMATIVA SULLA SICUREZZA E SULLA PRIVACY

Azioni aziendali per la tutela dei dati

● Identificazione delle informazioni critiche, delle minacce e delle strategie di contromisura.

● Analisi delle disposizioni legali vigenti e adeguamento dei sistemi informativi.

● Analisi economica dei costi e scelta delle alternative più convenienti.

Il garante della privacy è un organo indipendente, collegiale per la tutela dei dati personali, quattro membri eletti dal Parlamento. La tutela dei dati dell’utente è direttamente connessa alla sicurezza.

DIRITTO ALLA RISERVATEZZA: controllo sui propri dati personali

La legge italiana prevede di regolare sia i diritti sulla tutela della privacy sia delle persone fisiche che di quelle giuridiche.

● Privacy (D.lgs. n. 196/2003), D. lgs. n. 101/2018 (Codice sulla Privacy) e GDPR (Reg. UE n. 679/2016). Prevedeva la protezione dei dati personali (riguardano le persone a cui si riferiscono) e i soggetti che li trattano.

GDPR

● Prevedeva il consenso al trattamento dei dati da parte degli utenti e ciò non doveva condizionare l’accesso da parte dell’utente al sito.

● Viene eliminato il principio di esplicito consenso.

● La conservazione dei dati degli utenti può avvenire al di fuori dell'Unione europea solo con il consenso degli utenti.

● Diritto all’anonimato

● Diritto all’oblio: cancellazione al fine di tutelare un utente

SISTEMI INFORMATICI: insieme delle tecnologie ICT (information, communication and technology) per sostenere e realizzare un moderno sistema informativo.

SISTEMI INFORMATIVI: sistema necessario x la raccolta di informazioni, x la loro organizzazione, correlazione e distribuzione.

Gli HACKER sono spinti dalla curiosità, i CRACKER sono mossi da interessi personali o di lucro.

ATTACCO INTERNO → ● Cavallo di troia ● Testa di ponte ● Virus ● Worn

ATTACCO ESTERNO → ● Sniffer ● Phishing

TRIADE CIA → ● Data Confidentiality → segretezza ● Data Integrity → nessuna alterazione ● System Availability → operatività

PROCESSI DI SICUREZZA → ● Autenticazione ● Autorizzazione ● Riservatezza (privacy) ● Disponibilità ● Integrità (non alterazione) ● Paternità

EVENTI INTENZIONALI (ATTACCHI) → ● IP Spoofing / shadow server ● Packet sniffing ● Connection Hijacking / data spoofing ● Dos (Denial of service)

SICUREZZA NEI SISTEMI INFORMATIVI DISTRIBUTIVI → ● PREVENZIONE ● RILEVAZIONE ● INVESTIGAZIONE

PRINCIPI DI CRITTOGRAFIA → ● SEGRETEZZA ● AUTENTICAZIONE ● AFFIDABILITÀ DEI DOCUMENTI

Codifica → metodo di scrittura in chiave -> consiste nel sostituire alcune parole con altre.

Cifratura → sostituisce lettere o caratteri con altri.

SISTEMA CRITTOGRAFICO ASIMMETRICO > Ogni utente ha due chiavi PUBBLICA e PRIVATA

Modalità confidenziale → sicurezza e integrità del messaggio.

Modalità autenticazione → garantisce l’integrità, la paternità ma non la riservatezza.

ALGORITMO RSA > n=p x q

Utilizzo di OTP → schema di lamport: un algoritmo che parte da un valore associato all’utente, poi viene generato un insieme di password in sequenza che hanno come seme quel dato valore, partendo dalla funzione di hash: dato lo stesso input il risultato deve essere uguali e viceversa. La funzione di hash viene utilizzata dai grandi server per registrare le password dei suoi utenti.

Il garante della privacy è un organo indipendente, collegiale per la tutela dei dati personali, quattro membri eletti dal Parlamento. La tutela dei dati dell’utente è direttamente connessa alla sicurezza.

●(D.lgs. n. 196/2003), D. lgs. n. 101/2018 (Codice sulla Privacy) e GDPR (Reg. UE n. 679/2016). Prevedeva la protezione dei dati personali