1 / 17

La sicurezza dei sistemi informatici

La sicurezza dei sistemi informatici. Alessandra Fascioli. Bibliografia. W. Stallings, Network Security Essentials , Prentice-Hall M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici , Apogeo B. Schneier, Applied Cryptography , John Wiley & Sons

tanuja
Télécharger la présentation

La sicurezza dei sistemi informatici

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. La sicurezzadei sistemi informatici Alessandra Fascioli

  2. Bibliografia • W. Stallings, Network Security Essentials, Prentice-Hall • M. Fugini, F. Maio, P. Plebani, Sicurezza dei sistemi informatici, Apogeo • B. Schneier, Applied Cryptography, John Wiley & Sons • W. R. Cheswick, S. M. Bellovin, Firewalls and Internet Security, Addison-Wesley • S. Garfinkel, “PGP (Pretty Good Privacy)”, O’Reilly & Associates • E. Spafford, S. Garfinkel, “Practical UNIX and Internet Security”, O’Reilly & Associates

  3. Riviste • Login • COMPUTER • Computer Programming • ... Link • CERTIT (Italian Computer Emergency Response Team) http://security.dsi.unimi.it • FIRST (Forum of Incident Response and Security Teams) http://www.first.org/ • RUR (Rete Urbana delle Rappresentanze)http://www.rur.it • AIPA (Autorità per l'Informatica nella Pubblica Amministrazione) http://www.aipa.it

  4. Sommario • Introduzione • computer security e network security • attacchi, meccanismi, servizi • Crittografia • Crittografia a chiave privata • Crittografia a chiave pubblica • Firma digitale • Applicazioni di network security • servizi di autenticazione • sicurezza della posta elettronica

  5. Computer security e network security • Computer security: strumenti automatici per proteggere le informazioni di un calcolatore • Network security: misure per proteggere le informazioni durante la trasmissione

  6. Sistemi distribuiti • Nuovi paradigmi • informazioni distribuite • accesso tramite sistemi distribuiti • Nuove problematiche di sicurezza • sicurezza delle reti locali • da attacchi esterni (con firewall) • da impiegati infedeli • sicurezza delle reti geografiche • da impostori (realizzata tramite una rete pubblica) • sicurezza delle applicazioni (e-mail, WWW,…) • fondamentali per le funzioni aziendali e il commercio elettronico

  7. Problemi base • le reti sono insicure perchè le comunicazioni avvengono in chiaro • l’autenticazione degli utenti si basa normalmente su password • non c’è autenticazione dei server • le reti locali funzionano in broadcast • le connessioni geografiche non avvengono tramite linee punto-punto ma • attraverso linee condivise • tramite router di terzi

  8. Sicurezza: aspetti fondamentali • Attacchi alla sicurezza: azioni che violano la sicurezza delle informazioni possedute da un'organizzazione • Meccanismi di sicurezza: misure progettate per prevenire, rivelare o recuperare da un attacco alla sicurezza • Servizi di sicurezza: servizi che rafforzano la sicurezza delle informazioni contrastando gli attacchi mediante uno o più meccanismi

  9. Attacchi alla sicurezza

  10. Attacchi passivi e attivi • difficili da rivelare • è possibile impedirli • difficili da impedire • è possibile rivelarli e recuperare

  11. Meccanismi di sicurezza • Esiste una grande varietà di meccanismi di sicurezza • Quasi tutti si basano su tecniche crittografiche

  12. Servizi di sicurezza (1) • Confidenzialità: protezione dei dati trasmessi da attacchi passivi • Autenticazione: verifica dell'identità di un'entità in una comunicazione • Integrità: verifica che un messaggio non è stato modificato, inserito, riordinato, replicato, distrutto

  13. Servizi di sicurezza (2) • Non ripudio: impedisce al mittente e al destinatario di negare un messaggio trasmesso • Controllo degli accessi: capacità di controllare gli accessi a dati e risorse • Disponibilità: impedisce le interferenze con le attività di un sistema

  14. Un modello per la sicurezza

  15. Infiltrazioni • I sistemi informatici vanno protetti da accessi indesiderati • utenti legittimi • utenti illegittimi • altri metodi: • virus • worms • Trojan horse

  16. Password • suggerimenti • lettere + cifre + caratteri speciali • lunghe (almeno 8 caratteri) • parole non presenti nel dizionario • cambiate frequentemente • Sistemi a sfida • utente e computer condividono un segreto: la password P • il computer genera una sfida • l’utente risponde con: soluzione = f(sfida, P) • OTP (One Time Password) • password pre-calcolate e scritte su un foglietto • generatore di numeri casuali con seme noto solo a server e utente

  17. Esempio di sistema a sfida Password: numero di 6 cifre P = (p1 ,p2 ,p3 ,p4 ,p5 ,p6) Operatori: OP = (+, - , *, mod) Sfida: sequenza di 10 interi positivi casuali S = ( n0,…,n9) Risposta: np1 mod np2 OP(np2 mod 4) np3 mod np4 OP(np4 mod 4) np5 mod np6 Esempio: P: 5 1 3 4 2 4 (1 2 3 4 5 6) S: 23 98 76 32 13 17 99 27 66 54 (0 1 2 3 4 5 6 7 8 9) R = (17mod98) OP(98mod4) (32mod13) OP(13mod4) (76mod13) = = 17 OP(2) 6 OP(1) 11 = 17 * 6 - 11 = 91

More Related