1 / 22

Recenti sviluppi della sicurezza ICT

Recenti sviluppi della sicurezza ICT. Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni “ R.M. Capocelli” Università degli Studi di Salerno Fisciano (SA), 30 Novembre 2005. PSTN. INTERNET. MOBILE. INTERPHONET. Recenti problematiche per Internet.

chaka
Télécharger la présentation

Recenti sviluppi della sicurezza ICT

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Recenti sviluppi della sicurezza ICT Prof. Alfredo De Santis Dipartimento di Informatica ed Applicazioni “R.M. Capocelli” Università degli Studi di Salerno Fisciano (SA), 30 Novembre 2005

  2. PSTN INTERNET MOBILE INTERPHONET Prof. Alfredo De Santis - Università di Salerno

  3. Recenti problematiche per Internet • Malware • Virus, cavalli di troia, adware, spyware, etc. • Rintracciabilità • Furto d’identità • Pharming • Phishing Stesse problematiche anche in Interphonet Prof. Alfredo De Santis - Università di Salerno

  4. PSTN INTERNET MOBILE Rintracciabilità Rintracciabilità in Internet • L’origine di una comunicazione è associata ad un indirizzo IP dell’apparato • E’ difficile rintracciare un indirizzo IP se si utilizzano tecniche di anonimia Rintracciabilità su reti telefoniche fisse o mobili • L’origine di una comunicazione è il numero dell’utenza • Più facile che su Internet In caso di indagine, rintracciare l’origine è solo il primo passo per rintracciare un utente Prof. Alfredo De Santis - Università di Salerno

  5. Rintracciabilità in Interphonet: VoIP VoIP permette ad un utente di Internet di avere un numero telefonico • Si chiama/risponde tramite un computer connesso ad Internet • Si possono avere numeri “regolari” in tempi brevissimi, gratuitamente e con un alto grado di anonimato • Ad esempio 06-12345678 • L’utilizzatore del servizio può trovarsi fisicamente in qualsiasi punto della rete Internet (ad esempio in un’altra nazione) Anche per un utente esperto è difficile distinguere un numero VoIP da un numero della rete fissa tradizionale Un numero VoIP nasconde la reale posizione geografica di chi lo utilizza Prof. Alfredo De Santis - Università di Salerno

  6. PSTN INTERNET MOBILE Rintracciabilità in Interphonet • Una comunicazione VoIP può avere come origine o destinazione le reti mobili o fisse • Rintracciare un utente del servizio VoIP vuol dire rintracciarlo in Interphonet • Se un utente VoIP usa le tecniche di anonimia per Internet rintracciarlo è difficile Prof. Alfredo De Santis - Università di Salerno

  7. Pharming Un malintenzionato può avvantaggiarsi del servizio di VoIP per lanciare attacchi di pharming Un attacco di pharming dirotta le chiamate della vittima Installazione di un IVR raggiungibile al 089-1234567 (VoIP) INTERNET PSTN L’utente digita il numero della sua banca, ma in realtà chiama 089-1234567 Prof. Alfredo De Santis - Università di Salerno

  8. SMS falsi • SMS vengono “inseriti” nella rete di telefonia mobile tramite Internet • Appositi servizi Web • L’indirizzo del mittente viene specificato dall’utente • Si può inserire un qualsiasi numero Prof. Alfredo De Santis - Università di Salerno

  9. Phishing con SMS falsi Mittente: Banca Rella Comunicazione URGENTE, chiamare al 089-1234567 “Buongiorno, è la Banca Rella, mi servirebbero informazioni sul suo Conto…” INTERNET Prof. Alfredo De Santis - Università di Salerno

  10. M-commerce • Prevede l’utilizzo di dispositivi mobili per • Acquisto o vendita di prodotti • Accesso ad informazioni • Transazioni finanziarie • Diversi sistemi di pagamento basati su SMS • Acquisto biglietti trasporto pubblico con addebito su carta di credito (Ticketless di Trenitalia e BIT di ATAC) • Acquisto loghi e suonerie per cellulari (con addebito su SIM) • Pagamento parcheggio Prof. Alfredo De Santis - Università di Salerno

  11. richiesta suoneria (via SMS) Acquisti via SMSun semplice esempio • Basta inviare un SMS per farsi addebitare su SIM il costo di loghi e suonerie per cellulari • Problemi di sicurezza • Gli SMS possono essere falsificati • L’utente può ripudiare l’acquisto Cliente Mercante Prof. Alfredo De Santis - Università di Salerno

  12. richiesta di conferma (via SMS o telefono) numero telefonico, importo (via HTTP) conferma (via SMS) importo (via SMS o telefono) richiesta merce, numero telefonico (via GPRS) Acquisti via SMSun esempio più complesso Banca Cliente Mercante Prof. Alfredo De Santis - Università di Salerno

  13. Acquisti via SMSun esempio più complesso Banca Cliente Mercante Prof. Alfredo De Santis - Università di Salerno

  14. Punti deboli della sicurezza in Interphonet • Pharming e Phishing hanno successo perché è possibile impersonare un altro utente Manca l’ autenticazione tra i due end-point in una connessione • Si possono carpire informazioni riservate anche intercettando le comunicazioni mobili • La cifratura del GSM è debole Manca una cifratura forte end-to-end a garanzia della privatezza delle conversazioni Prof. Alfredo De Santis - Università di Salerno

  15. SPEECH: “Secure Personal End-to-End Communication with Handheld” • Applicazione per PocketPC 2002 e superiori • Permette conversazioni autenticate, cifrate e non ripudiabili • Permette l’invio di SMS cifrati ed autenticati • Utilizzabile su rete GSM (9600 bps o superiori) e reti TCP/IP • Non necessita di hardware dedicato • Dipartimento di Informatica ed Applicazioni “R.M. Capocelli” • Provincia di Salerno Prof. Alfredo De Santis - Università di Salerno

  16. Come funziona SPEECH A stabilisce un canale di comunicazione con B La mutua autenticazione tra A e B avviene tramite certificati digitali (SSL) B A A e B negoziano una chiave di cifratura La conversazione è cifrata con un elevato livello di sicurezza tramite AES A e B firmano la registrazione digitale della conversazione e si scambiano la firma Autenticazione, confidenzialità e non ripudio sono garantiti dai più moderni, noti e robusti algoritmi conosciuti Prof. Alfredo De Santis - Università di Salerno

  17. firma firma Servizi di call-center banche • La mutua autenticazione previene il furto di identità: Phishing e Pharming falliscono • La cifratura del canale garantisce la riservatezza della conversazione • Il non ripudio della conversazione protegge sia la banca che il cliente da operazioni bancarie non autorizzate INTERNET PSTN Prof. Alfredo De Santis - Università di Salerno

  18. Altri scenari di utilizzo Acquisto e vendita di titoli azionari Militare/Investigativo Giudiziario Antispionaggio industriale Tutela della privacy Prof. Alfredo De Santis - Università di Salerno

  19. Key Escrow • SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie • Ogni agenzia singolarmente non è in grado di decifrare la comunicazione Agenzia 2 Agenzia 1 A B Prof. Alfredo De Santis - Università di Salerno

  20. Key Escrow • SPEECH dà la possibilità di decifrare la comunicazione ad un insieme di Agenzie • Ogni agenzia singolarmente non è in grado di decifrare la comunicazione Agenzia 2 Agenzia 1 A B • La decifratura può essere richiesta • solo da un giudice • La privacy degli individui è garantita • In casi estremi è consentita l’intercettazione Prof. Alfredo De Santis - Università di Salerno

  21. Altri temi di ricerca e progetti attivi • Informazioni nascoste nei documenti digitali (Office e PDF) • E-voting • Filesystem cifrato • Time stamping • Moneta elettronica e micro pagamenti • Smart Card e sistemi di autenticazione Prof. Alfredo De Santis - Università di Salerno

  22. GRAZIE PER L’ATTENZIONE Prof. Alfredo De Santis - Università di Salerno

More Related