Definizione informale Definizione

10. La sicurezza dei Sistemi Informativi

(tratte dal corso di Sistemi Informativi del Prof. Carlo Batini)

10.-2

DefinizioneConsiderazioni preliminariAspetti metodologiciAspetti tecnologiciStudio di caso

10.-3

Definizione

Definizione informale

L’insieme delle misure (di carattereorganizzativo e tecnologico) tese adassicurare a ciascun utente autorizzato (e anessun altro) tutti e soli i servizi previsti perquell’utente, nei tempi e nelle modalitàpreviste.

10.-4

Definizione

Definizione ISO

Più formalmente, l’insieme delle misure atte aproteggere i requisiti che si desidera ilsistema soddisfi, in termini di

• disponibilità• integrità• riservatezza

10.-5

Definizione ISO

Requisiti di disponibilitá

Il sistema deve rendere disponibili a ciascunutente abilitato le informazioni alle quali hadiritto di accedere, nei tempi e nei modiprevisti.

Nei sistemi informatici, i requisiti didisponibilità sono legati anche a quelli diprestazione e di robustezza.

10.-6

Definizione ISO

Requisiti di integrità

Il sistema deve impedire la alterazionediretta o indiretta delle informazioni, sia daparte di utenti e processi non autorizzati, che aseguito di eventi accidentali.

Anche la perdita di dati (e.g. a seguito dicancellazione o danneggiamento), vieneconsiderata come alterazione.

10.-7

Definizione ISO

Requisiti di riservatezza

Nessun utente deve poter ottenere o dedurredal sistema informazioni che non èautorizzato a conoscere.

Il fatto stesso che una informazione risultiprotetta, o che esista una comunicazione inatto fra due utenti o processi in un certocontesto, può essere sufficiente per dedurreinformazioni riservate.

10.-8

Considerazioni preliminari

Esigenza della sicurezza

Nasce dalla evoluzione dei Sistemi Inform. edel contesto nel quale operano

• Maggiore importanza nei processi aziendali− Dalla produzione alla gestione, dal marketing alla

pianificazione, al supporto alle decisioni.

• Maggiore esposizione ad eventi indesiderati− Maggiore interconnessione (reti locali, InterNet)− Maggiore complessità (architetture distribuite)

10.-9


Approccio al problemaOccorre partire dal presupposto che,a dispetto delle misure attuate,un evento indesiderato possacomunque violare i requisiti didisponibilità, integrità e riservatezza,attraverso meccanismi che nonavevamo previsto.

10.-10


Aree di interventoProteggere i requisiti di sicurezza di unsistema significa, in termini realistici,

• Ridurre ad un valore accettabile la probabilitàche vengano violati.

• Individuare tempestivamente quando ed in qualeparte del sistema questo accade.

• Limitare i danni e ripristinare i requisiti violati nelminor tempo possibile.

10.-11


Politica di sicurezzaOccorre evidentemente mettere in attocontemporanamente misure di tipocomplementare.

E’ molto importante che queste misuresiano adottate in modo organico esistematico, nell’ambito più generale di unapolitica di sicurezza .

10.-12


Rischio legato ad un eventoIl concetto di rischio è utile nella valutazionedella sicurezza di un sistema, in quantoesprime in modo combinato

• la probabilità che un certo evento accada

• il danno direttamente e indirettamente arrecatoquando accade

10.-13


Rischio associato al sistema

Funzione del rischio legato a tutti gli eventiche si ritiene possano interessareil sistema.

NET

10.-14


Minimizzazione del rischioDalla definizione data, due strade sonopercorribili in modo indipendente:

• ridurre la probabilità che gli eventi indesideratiaccadano.

• limitare il danno che arrecano al sistema nelcaso in cui accadano.

10.-15

Aspetti metodologici

Vincoli di baseLa definizione di una politica di sicurezzadeve tenere conto dei vincoli tecnici, logistici,amministrativi, politici ed economici impostidalla struttura in cui il sistema informativoopera.

Queste trasparenze sono focalizzatesul sistema informatico, cioè sulla parteautomatizzata del sistema informativo.

10.-16


Fasi principali• Analisi del contesto• Analisi del sistema informatico• Classificazione degli utenti• Definizione dei diritti di accesso• Catalogazione degli eventi indesiderati

• Valutazione del rischio• Individuazione delle contromisure• Integrazione delle contromisure

10.-17


• Analisi del contesto• Analisi del sistema informatico• Classificazione degli utenti• Definizione dei diritti di accesso• Catalogazione degli eventi indesiderati


10.-18


Analisi del contesto

• Finalità della organizzazione• Struttura della organizzazione

− Numero e distribuzione geografica delle sedi− Unità organizzative (dipartimenti, uffici, etc.)− Ruoli, competenze e responsabilità− Relazioni gerarchiche e funzionali

• Procedure e flussi informativi

10.-19




10.-20


Analisi del SI (Agenda)

• Analisi delle risorse fisiche• Analisi delle risorse logiche• Analisi delle dipendenze fra risorse

10.-21

Analisi del sistema informatico

Risorse fisicheIl sistema visto come insieme di dispositiviche, per funzionare, hanno bisogno di spazio,alimentazione elettrica, condizioni ambientaliadeguate, protezione da furti e dannimateriali.

10.-22


Risorse logiche

Il sistema come insieme di informazioni, flussi eprocessi. Gli aspetti non fisici del sistema, nelle lorocaratteristiche rilevanti ai fini della sicurezza.

Reato

Giudice

Indagato

Processo

Città

Tribunale Dirigente

InserimentoDati

Impiegato

Elaborazionestatistica

Dati aggregatiDati grezzi

10.-23


Risorse logiche (Agenda)

• Classificazione delle informazioni• Catalogazione dei servizi

10.-24


Risorse logiche (Classificazione info / 1)

Alcuni parametri per la classificazione delle informazioni aifini della sicurezza possono essere

• valore per la organizzazione. Può essere valutata a partire dallosforzo sostenuto per ottenerle, dal numero e dalla importanza deiprocessi che ne dipendono.

• grado di riservatezza . Può essere valutato in funzione del dannoipotizzabile in caso di utilizzo illecito.

• afferenza ad un certo contesto . Alcune informazioni possono essereriservate o meno in funzione del contesto al quale afferiscono. Adesempio, è possibile che la residenza di un pentito sia daconsiderare più riservata di quella di un indagato.

10.-25



La classificazione serve a definire vincoli comuni allacircolazione ed alla fruizione di informazioni concaratteristiche analoghe in termini di valore e di riservatezza.

Il lavoro di classificazione va svolto al giusto livello diastrazione , deve cioè tenere conto di come i dati elementarisono aggregati nel flusso di lavoro della organizzazione (adesempio in pratiche, certificati, verbali).

10.-26



È possibile che tutte le istanze di uno stesso concetto (adesempio tutti gli interrogatori) siano collocabili in una unicaclasse ai fini della sicurezza.

In generale , tuttavia, le classi di sicurezza non coincidonocon quelle che emergono dalla analisi concettuale, epossono raggruppare istanze di concetti diversi osottoinsiemi delle istanze di uno stesso concetto.

InterrogatorioIndiziato

Ad esempio, potremmo voler considerarecome riservati solo gli interrogatorieffettuati ad un certo indiziato.

10.-27


Risorse logiche (Catalogazione servizi)

Un presupposto essenziale per la sicurezza di un sistema, èche gli utenti possano controllarlo ed accedere alleinformazioni esclusivamente attraverso i servizi da luistesso messi a disposizione.

È quindi fondamentale individuare con precisione tutti iservizi offerti dal sistema informatico, al fine di verificare poi,in maniera sistematica, che ogni servizio rispondapienamente a tutte e sole le specifiche di progetto (e nonpresenti, ad esempio, pericolosi side-effects).

10.-28


Dipendenze fra risorsePer ciascuna risorsa del sistema, fisica o logica, occorreindividuare di quali altre risorse ha bisogno per funzionarecorrettamente.

Questa analisi tende ad evidenziare, almeno in primabattuta, le risorse potenzialmente critiche del sistema, cioèquelle da cui dipende il funzionamento di un numerorilevante di altre risorse.

10.-29


Dipendenze fra risorse (Propag.)

I risultati della analisi delle dipendenze fra risorse sono poiutilizzati anche nella fase di valutazione del rischio , ed inparticolare sono di supporto allo studio della propagazionedei malfunzionamenti a seguito della occorrenza di eventiindesiderati.

Disco ControllerSistemaOperativo

DBMS

Servizio A

Servizio C

Servizio B

10.-30




10.-31


Classificazione utentiLa assegnazione di una classe di appartenenza a ciascunutente permette di raggruppare gli utenti di una medesimaclasse e definire per loro vincoli comuni ai fini dellasicurezza.

Gli utenti possono essere classificati, ad un primo livello diapprossimazione, a partire dal ruolo che rivestono all’internodella organizzazione. Tale ruolo delinea infatti, in genere,anche i servizi e le informazioni alle quali hanno diritto diaccedere.

10.-32


Classificazione utenti (Conclus.)

Con la classificazione degli utenti completiamo ladefinizione di una vista del sistema nella qualeutenti, informazioni e servizi sono caratterizzati perquanto concerne la sicurezza.

Nascondere i dettagli irrilevanti aifini della sicurezza, permette diintrodurla in modo omogeneo econsistente attraverso le varie partidel sistema.Dirigenti Impiegati

10.-33




10.-34


Diritti di accessoOccorre definire esplicitamente a quali servizi edinformazioni può accedere ciascuna tipologia diutente, e con quali modalità.

La definizione dei diritti di accessopermette al sistema di valutare sel’accesso di un certo utente ad un certoservizio sia autorizzabile o meno.

10.-35


Diritti di accesso (Agenda)

• Note preliminari• Definizione diritti di accesso ai servizi• Definizione diritti di accesso alle informazioni

10.-36


Diritti di accesso (Note preliminari / 1)

Delineano anche, implicitamente, l’insieme di ciò che ungenerico utente non deve poter fare , in funzione dellatipologia alla quale appartiene.

Serviziabilitati perl’utente

Servizi offertidal sistema

Processi possibili sul sistema

10.-37



Le informazioni gestite dal sistema devono essereaccessibili agli utenti esclusivamente attraverso iservizi del sistema stesso.

Solo in questo modo, infatti, il sistemaha la possibilità di vagliare la validitàdi ciascun accesso ed eventualmentenegarlo.

10.-38



Base Dati del SI

Sistema Operativo

DBMS

SI

10.-39



I diritti di accesso vanno definiti sia per quantoriguarda i servizi che per quanto riguarda leinformazioni .

In alcuni sistemi è possibile che ciascunservizio acceda ad informazioni appartenentiad una classe di sicurezza nota a priori. Inquesti casi basta definire solamente i diritti diaccesso ai servizi.

10.-40


Diritti di accesso (Accesso servizi)

Per ogni coppia(Classe di utente CU, Servizio S),

si definiscono le condizioni che regolano se, come e quando un utenteappartenente alla classe CU può accedere al servizo S.

Le condizioni sono tipicamente basate su• storia (numero e frequenza degli accessi precedenti)• luogo (postazione dalla quale si chiede l’accesso)• tempo (data ed ora dell’accesso)

10.-41


Diritti di accesso (Matrice utenti/servizi)

Cla

ssi d

i ute

nte

Servizi

CU3

S4 Condizioni alle quali unutente appartenente allaclasse CU3 può accedereal servizio S4.

10.-42


Diritti di accesso (Accesso alle informazioni)

Per ogni coppia(Classe di utente CU, Classe di informazione CI ),

si definiscono le condizioni che regolano se, come e quando un utenteappartenente alla classe CU può accedere ad informazioni di classe CI .

Le condizioni sono tipicamente basate su• valore (attuale della informazione alla quale accedere)• contesto (valore attuale di informazioni correlate)• storia (numero e frequenza degli accessi precedenti)• luogo (postazione dalla quale si chiede l’accesso)• tempo (data ed ora dell’accesso)

10.-43


Diritti di accesso (Matrice utenti/informazioni)

Cla

ssi d

i ute

nte

Classi di Informazione

CU3

CI4 Condizioni alle quali unutente appartenente allaclasse CU3 può accederead informazioni di classeCI4.

10.-44


• Analisi del contesto• Analisi del sistema informatico• Classificazione degli utenti• Definizione dei diritti di accesso• Catalogazione degli eventi indesiderati• Valutazione del rischio• Individuazione delle contromisure• Integrazione delle contromisure

10.-45


Eventi indesideratiDopo aver descritto quello che deve poteraccadere nel sistema (accesso a servizi edinformazioni), cerchiamo ora di definire ciòche non deve poter accadere.

10.-46


Eventi indesiderati (Introduzione / 1)

Un buon punto di partenza, è costituito dalconsiderare come evento indesiderato qualsiasiaccesso (a servizio o informazione) che non siaesplicitamente permesso dalla rispettiva matricedei diritti.

L’insieme degli eventi indesiderati, tuttavia , èpiù esteso in quanto comprende eventi chenon sono affatto degli accessi, dal guasto di undisco all’attacco di un virus.

Accessi nonautorizzati

Eventi indesiderati

10.-47


Eventi indesiderati (Introduzione / 2)

Occorre condurre una indagine sistematicaal fine di individuare il maggior numeropossibile di eventi indesiderati.

A tal fine è possibile in generale distinguere• Attacchi intenzionali• Eventi accidentali

10.-48

Eventi indesiderati

AttacchiPossiamo caratterizzare gli attacchiintenzionali in funzione della

• risorsa , fisica o logica, oggetto dell’attacco (cioèsulla quale si esplica per prima la violazione diuno dei requisiti di disponibilità, integrità eriservatezza).

• tecnica utilizzata per condurre l’attacco.

10.-49

Eventi indesiderati

Attacchi (Matrice risorse/tecniche)

Ris

orse

del

sis

tem

a

Tecniche di attacco

C3

T Rischio associato all’usodella tecnica di attacco Tsulla risorsa C3.

(Da definire nella fase divalutazione dei rischi)

10.-50

Eventi indesiderati

Attacchi (Risorse attaccabili)

Per quanto riguarda le risorse , queste sonogià state individuate nella fase di analisi.Come detto, possono essere

• fisiche (calcolatori, dischi, periferiche, router, cavi di rete, impiantidi raffreddamento, gruppi di continuità, etc.)

• logiche (spazio su disco, file di configurazione, processi, basi dati,elementi architetturali come il Sistema Operativo, il DBMS, il sistemaEMAIL, etc.)

10.-51

Eventi indesiderati

Attacchi (Tecniche utilizzabili)

Le tecniche di attacco possono essereclassificate in funzione del livello al qualeoperano

• Tecniche di attacco a livello fisico• Tecniche di attacco a livello logico

È naturalmente possibile cheun attacco utilizzi tecnicheoperanti su entrambe i livelli.

10.-52

Eventi indesiderati

Tecniche di attacco (A livello fisico)

Gli attacchi a livello fisico sono principalmente tesia sottrarre o danneggiare risorse critiche.

• Furto. Prevedibile per nastri di backup, dischi o interiserver. È un attacco alla disponibilità ed alla riservatezza.

• Danneggiamento. Prevedibile per apparecchiature ecavi di rete, più difficilmente per calcolatori, dischi edapparecchiature di supporto come trasformatori dicorrente ed impianti di condizionamento. È un attaccoalla disponibilità ed alla integrità.

10.-53

Eventi indesiderati

Tecniche di attacco (A livello logico / 1)

Gli attacchi a livello logico sono principalmente tesia sottrarre informazione o degradare la operativitàdel sistema.

Un attacco può essere caratterizzato in funzione• dello strato architetturale sul quale agisce• dei risultati che è indirizzato a conseguire

10.-54

Eventi indesiderati


Gli strati architetturali sui quali può agire unattacco logico dipendono evidentemente dallaarchitettura del sistema.Ad un primo livello di dettaglio, possiamo comunquedistinguere fra gli strati

• Sistema Operativo / Rete• Applicazioni• DBMS

10.-55

Eventi indesiderati


Dal punto di vista dei risultati che è indirizzato aconseguire, un attacco logico può essereclassificato come di

• Intercettazione e deduzione (attacco allariservatezza).

• Intrusione (attacco alla integrità ed allariservatezza).

• Disturbo (attacco alla disponibilità).

10.-56

Eventi indesiderati

Tecniche di intercettazione / 1

• Possono richiedere un attacco preventivo− a livello fisico per installare dispositivi pirata o per agganciarsi

alla rete.− di intrusione (livello logico), per installare software di supporto

alla intercettazione.

• Possono basarsi su− Analizzatori di traffico (su LAN e WAN)− Applicazioni di analisi del traffico (sniffing)− Server pirata che si spacciano come router (spoofing)− Programmi che emulano servizi del sistema (tipicamente il login)

10.-57

Eventi indesiderati

Tecniche di intercettazione / 2

• Possono sfruttare debolezze di protocolli esoftware di rete. In certe condizioni, ad esempio,

− è possibile interrogare un X-Server per spiare tutto quello che faun utente. I meccanismi di controllo degli accessi X sono xhost eMIT-MAGIC-COOKIE-1, e sono entrambe aggirabili (il primo conla tecnica detta IP-spoofing, il secondo semplicementeintercettando il COOKIE che transita in chiaro).

− è possibile creare una richiesta fittizia di “zone transfer” edinviarla al server DNS (Database Network System) di una reteTCP/IP per ottenere informazioni su tutti i calcolatori in rete etalvolta anche sui loro sistemi operativi. Questo permette inseguito di condurre attacchi mirati.

10.-58

Eventi indesiderati

Tecniche di deduzioneGli attacchi basati su queste tecniche sono condottiincrociando informazioni tratte dall’osservazione del sistemacon informazioni ottenute per altre vie.Alcuni esempi sono gli attacchi condotti

• confrontando informazioni presenti nel sistema,individualmente configurate come poco riservate.

• a partire dal fatto stesso che un certo servizio o una certainformazione sia negata dal sistema.

• a partire dal monitoraggio dei volumi di traffico nellacomunicazione fra componenti del sistema.

10.-59

Eventi indesiderati

Tecniche di intrusione / 1

• Accesso con password di altro utente, ottenuta− con un preventivo attacco di intercettazione.− sfruttando il fatto che quell’utente abbia disatteso qualche norma

comportamentale imposta dalla politica di sicurezza (ad esempioscrivendo la password sotto la tastiera).

− per tentativi, utilizzando programmi appositamente progettati pergenerare combinazioni di caratteri ed utilizzarle come passwordper tentare l’accesso al sistema (ad esempio “ypx” sotto UNIX)

10.-60

Eventi indesiderati


• Sfruttamento di debolezze nei protocolli di rete.

Su reti TCP/IP, ad esempio, si possono generare in modo rawpacchetti IP falsificati, nei quali

− l’indirizzo del mittente è alterato, per far credere al destinatario chei pacchetti provengano da un’altro calcolatore. Questa tenica èdetta IP-spoofing .

− il routing da seguire è prefissato in modo conveniente. Questatecnica, detta source-routing , è spesso usata insieme alla prima.

Sempre su reti TCP/IP, è possibile indovinare il sequence-number diuna connessione, e quindi far credere ad un demone del calcolatoresotto attacco, che i pacchetti inviati siano relativi ad una connessionegià esistente e regolarmente autenticata.

10.-61

Eventi indesiderati


• Sfruttamento di debolezze nel software di rete

Su reti TCP/IP con NFS (Network File System), è possibile, nel casoin cui il file /etc/exports sia configurato in modo poco accorto,ottenere o indovinare per tentativi il file-handle di un disco remoto, eaccedervi direttamente attraverso nfsd, scavalcando mountd.

Telnetd è il demone che permette di aprire un terminale virtuale suuna macchina UNIX attraverso una connessione TCP/IP. Il terminalevirtuale è associato ad uno special-file i cui permessi in letturavengono revocati una volta che la connessione è stabilita. Con unatecnica opportuna, è comunque possibile leggere lo special-file nelmomento in cui l’utente digita username e password.

10.-62

Eventi indesiderati


• Installazione di una backdoor .

Una volta ottenuti in qualche modo (anche temporaneamente) i dirittidi amministratore, è possibile installare nel sistema un meccanismoche permetta anche in seguito di mantenere un accesso privilegiato.

− Si tratta di un attacco insidioso in quanto la backdoor, finchè nonviene individuata e rimossa, continua a garantire l’accessoall’intrusore anche se il primo accesso illegale viene scoperto ela password di amministratore viene cambiata.

− Nei sistemi UNIX, ad esempio, si può installare un demone piratacon privilegi di root che, in condizioni scatenabili dall’intrusore,provveda a lanciare una shell di comando con UID root. Questatecnica rientra fra quelle indicate come “cavallo di troia”.

10.-63

Eventi indesiderati

Tecniche di disturboGli attacchi che fanno uso di queste tecniche nonsono tesi ad accedere a servizi ed informazioni, masemplicemente a degradare la operatività delsistema. Sono considerabili come atti di sabotaggio.

Alcune tecniche di disturbo spesso utilizzate sono• Virus• Worms• Denial of service

10.-64

Tecniche di disturbo

Virus (Introduzione / 1)

I virus sono programmi auto-replicanti ,spesso inseriti nel sistema come cavalli ditroia, generalmente pericolosi per la integritàdel file-system e per la disponibilità deiservizi.

10.-65



• Sono molto diffusi sui Sistemi Operativi mono-utente, decisamente meno frequenti su quellimulti-utente.

• In molti contesti, il sistema informatico presentapostazioni di lavoro client basate su PersonalComputer con Sistema Operativo mono-utente.In questi contesti, gli attacchi tramite virus vannopresi in grande considerazione.

10.-66



• I virus sono principalmente caratterizzati da

− logica del payload (cioè dal modo in cui arrecanodanno al sistema. Il payload è la parte del codicevirale che arreca direttamente il danno.)

− modalità di infezione (cioè dal modo in cui siinseriscono e si duplicano nel sistema)

− modalità di mimetizzazione (cioè dal modo in cui sisottraggono alla identificazione da parte deiprogrammi anti-virus)

10.-67


Virus (Alcune esempi di logica payload)

• La logica del payload può essere piuttostocomplessa, e variare il comportamento del virusin funzione di variabili come

− data ed ora.− presenza di determinati file.− nome, tipo o dimensione dei file da alterare.

In questo modo i danni arrecati dal virus possono essereinizialmente scambiati per problemi nell’hardware o nelsoftware di base del calcolatore colpito.

10.-68


Virus (Alcune modalità di infezione e mimetizzazione)

• Rispetto alla modalità di infezione , abbiamo ad esempio− Virus parassiti− Virus di Boot-Sector− Virus gemelli− Virus multi-partiti

• Rispetto alla modalità di mimetizzazione, abbiamo− Virus stealth− Virus polimorfici− Virus armoured− Virus tunneling

10.-69


WormsI Worms sono virus particolari che si limitano adegradare le prestazioni del sistema, ad esempiolanciando molte imagini di uno stesso processo.

• Quando il rallentamento del sistema supera una certasoglia, alcuni servizi possono risultare di fattoinutilizzabili, ed in questo caso si ha una violazione deirequisiti di disponibilità.

• L’attacco con Worms è particolarmente subdolo susistemi batch , nei quali è più probabile che il degradodelle prestazioni sia rilevato con un ritardo inaccettabile.

10.-70


Denial of serviceSi tratta di una famiglia di tecniche tese afare in modo che il sistema neghi l’accessoa servizi ed informazioni anche ad utentiregolarmente autorizzati.

Gli attacchi che usano questetecniche minacciano quindi irequisiti di disponibilità delsistema.

10.-71


Denial of service (Esempi / 1)

• ICMP (Internet Control Message Protocol) è un protocolloutilizzato fra calcolatori e gateway di reti TCP/IP perscambiarsi messaggi di errore.È possibile comporre pacchetti IP contenenti falsimessaggi ICMP ed inviarli ad un calcolatore o gateway,al fine di indurre questo a credere che un altrocalcolatore o una intera sottorete sia fuori servizio.

Le nuove versioni di UNIX, comunque, non permettono più l’utilizzodi questa tecnica, in quanto dispongono di meccanismi più potentiper verificare la provenienza dei messaggi.

10.-72


Denial of service (Esempi / 2)

• La tecnica di Network Flooding consiste nel saturare labanda di una sottorete immettendovi pacchetti UDPpirata generati automaticamente.

Sfruttando la tecnica di IP-spoofing, è possibile fare ilmodo che il traffico pirata sia considerato dal gateway diaccesso alla sottorete come traffico interno al sistema, equindi immesso nella sottorete senza restrizioni.Quando la sottorete si congestiona, tutti i servizi che nefanno uso risultano evidentemente non più disponibili.

10.-73

Eventi indesiderati

Eventi accidentaliTentiamo di seguito una casistica degli eventiaccidentali che accadono più frequentemente.

• A livello fisico− Guasto di dischi o alimentatori, guasto di dispositivi di

supporto come condizionatori d’aria o trasformatori dipotenza, incendio o allagamento della sala CED.

• A livello logico− Perdita di password o chiave hardware, cancellazione

di file, corruzione del software di sistema (e.g. aseguito della installazione di estensioni incompatibili).

10.-74




10.-75


Valutazione rischioUna volta definiti e catalogati gli eventi checonsideriamo indesiderati, è importanteassociare un rischio a ciascuno di essi, inmodo da indirizzare la successiva attività diindividuazione delle contromisure verso learee del sistema potenzialmente più critiche.

10.-76


Valutazione rischio (Note preliminari / 1)

Ricordiamo che il concetto di rischio esprimein modo combinato

• la probabilità che un evento accada

• il danno che arreca al sistema se accade

Nel valutare il danno, occorre tenere conto delledipendenze fra risorse, e prevedere la eventualepropagazione del malfunzionamento iniziale.

10.-77


Valutazione rischio (Note preliminari / 2)

Nel valutare la probabilità di occorrenza di ciascun eventoindesiderato, può essere utile fare riferimento ad alcunestatistiche, come quelle elaborate dalla Datapro Research.Attacchi

• 10% Omissioni volontarie degli addetti• 10% Disonestà degli addetti• 5% Azioni di estranei

Eventi accidentali• 55% Errori degli addetti• 20% Eventi naturali e carenze strutturali

(Alimentazione, condizionamento...)55%

5%10%

10%20%

10.-78


Valutazione rischio (Attacchi intenz. / 1)

Per quanto riguarda gli attacchi intenzionali,• la probabilità di occorrenza (cioè la probabilità che un certo tipo di

attacco venga tentato ) dipende principalmente dalla facilità diattuazione e dai vantaggi che potrebbe trarne l’intrusore.

Nella quantificazione della probabilità è utile consultare i datistatistici disponibili in letteratura, rilevati dalla osservazione disistemi informatici attivi da molti anni.

• il danno arrecabile va misurato come grado di perdita di ciascunodei tre requisiti fondamentali di riservatezza, integrità e disponibilità.

10.-79



Occorre partire dal presupposto che l’attaccanteapplicherà sempre (in sequenza o in parallelo,sfruttando eventuali effetti sinergici), tutte letecniche di cui dispone su tutte le risorseattaccabili.

Conviene dunque, laddove possibile, calcolareanche il rischio legato agli attacchi compostirealisticamente attuabili.

10.-80



Con il termine attaccocomposto intendiamoun insieme di attacchielementari concepiti conun medesimo obiettivofinale, e condotti insequenza al fine disuperare varie misurepreventive attestate sustrati differenti dellaarchitettura software.

Sistema operativo

DBMS

DB

Applicazioni

10.-81


Valutazione rischio (Eventi accidentali / 1)

Per quanto riguarda gli eventi accidentali,• la probabilità di occorrenza può essere valutata a partire da dati

tecnici sulla risorsa oggetto dell’evento (ad esempio il MTBF di undisco) e/o da dati statistici sulla tipologia di evento (come adesempio una casistica sugli incendi nei CED).

• il danno arrecabile va misurato esattamente come visto per gliattacchi, cioè come grado di perdita di ciascuno dei tre requisitifondamentali di riservatezza, integrità e disponibilità.

10.-82


Valutazione rischio (Eventi accidentali / 2)

Conviene talvolta (nel caso in cui la probabilitàcombinata sia significativa) valutare anche il rischiolegato ad eventi composti , costituiti cioè da uninsieme di eventi elementari che accadono

• in sequenza (furto di nastri di backup esuccessivo guasto di un disco)

• o in parallelo (inizio di una transazione econtemporanea interruzione della alimentazioneelettrica).

10.-83




10.-84


ContromisureIndividuato l’insieme degli eventi indesideratie valutato il rischio ad essi associato, occorreora scegliere le contromisure da adottareper neutralizzarli.

10.-85


Contromisure (Agenda)

Valutazione del rapporto costo/efficaciaAnalisi di standard e modelli di riferimentoContromisure di carattere organizzativoContromisure di carattere tecnico

10.-86

Individuazione delle contromisure

Valutazione costo/efficacia / 1

La valutazione, almeno qualitativa, delrapporto costo/efficacia di ciascunacontromisura, permette di valutarne il gradodi adeguatezza , evitando in particolare quellecontromisure con un costo ingiustificatorispetto al rischio dal quale proteggono.

10.-87



• La efficacia di una contromisura può esserevalutata, in prima analisi, come funzione delrischio dal quale protegge , cioè dal rischiocomplessivamente legato agli eventi indesideratiche neutralizza.

10.-88



• Il costo di una contromisura deve esserevalutato ponendo la dovuta attenzione ai costinascosti.

Oltre al lavoro necessario per individuare ed attuare lecontromisure, infatti, occorre tenere presente lelimitazioni che esse impongono e le operazioni dicontrollo che introducono nel flusso di lavoro del sistemainformatico e della organizzazione nel suo complesso.

10.-89

Valutazione del rapporto costo/efficacia

Principali voci di costo / 1

Costo di messa in opera della contromisura. Si tratta diun costo “una tantum” che assume particolare rilevanzaladdove la contromisura imponga un riassetto logisticodella organizzazione (adeguamento di locali, trasloco diapparecchiature, etc.).

10.-90



Peggioramento della ergonomia della interfaccia utente.Aumentare la sicurezza di un sistema informatico imponegeneralmente la introduzione o la complicazione delleprocedure di autenticazione degli utenti.

L’utente che viene costretto ad inserie una chiave hardware ognivolta che accede ad un servizio riservato, ad esempio, troverà ilsistema informatico meno piacevole da utilizzare.

10.-91



Decadimento delle prestazioni del sistema nell’erogare iservizi. Un sistema informatico può spendere una parteanche consistente della sua potenza elaborativa nellavalidazione delle autorizzazioni di accesso, o nellacifratura di informazioni riservate.

Ne consegue un decadimento prestazionale che, superati certilimiti, si traduce in un calo nella produttività degli utenti.

10.-92



Aumento della burocrazia . Le procedure e le normecomportamentali sono generalmente rese più complessedalla introduzione della sicurezza, e complicanoinevitabilmente il rapporto fra una organizzazione ed isuoi dipendenti.

10.-93


Analisi degli standardUna ricognizione sugli standard internazionali, intema di sicurezza, permette di allineare il piùpossibile la scelta delle contromisure rispetto aquanto previsto da tali standard, anche ai fini di unaeventuale successiva certificazione del sistema.

Fra gli standard esistenti, possiamo citare quelli definiti nelcosiddetto “Orange Book ”, le norme ITSEC, lo standard ISO7498-2 per i servizi di sicurezza, il modello “TrustedNetwork Computing Environment Model ” di Novell.

10.-94


Contromisure organizzative / 1

Una condizione essenziale affinché latecnologia a protezione di un sistemainformatico risulti realmente efficace, è chevenga utilizzata nel modo corretto dapersonale pienamente consapevole della suaimportanza.

10.-95


Contromisure organizzative / 2

Occorre innanzitutto una forte dichiarazione di intenti da parte deivertici della organizzazione che gestisce il sistema. Devono quindiessere definiti con precisione ruoli e responsabilità nella gestionesicura del sistema, e per ciascun ruolo, dall’amministratore alsemplice utente, devono essere definite norme comportamentali eprocedure precise da rispettare.

Affinché tutti gli aspetti procedurali vengano compresi e attuaticorrettamente, è fondamentale istruire il personale, a tutti i livelli, conopportuni corsi di addestramento . La introduzione delle proceduredi sicurezza dovrebbe inoltre essere giustificata e resa accettabilecon una vasta opera di sensibilizzazione , da condursi ad esempiocon dimostrazioni che ne evidenzino il significato e la necessità.

10.-96

Contromisure organizzative

Ruoli principali / 1

I ruoli operativi che vengono generalmentedefiniti, nell’ambito della gestione sicura di unsistema informatico, appartengono a duetipologie, a seconda che controllino gli aspettifisici o logici del sistema.

10.-97



• Per quanto riguarda il controllo degli aspetti fisici , vannodefiniti ruoli (a vari livelli di responsabilità) di garantedella integrità fisica delle componenti del sistema (o partidi esso).

A fronte di questa responsabilità, devono essere stabilite, adesempio, procedure per il controllo e la registrazione dell’accesso dichiunque debba entrare nei locali che ospitano il sistema informatico(dagli stessi utenti, al personale della pulizia, a quello dellamanutenzione hardware). Altre procedure devono essere definite,ad esempio, per la custodia e la assegnazione delle chiavi diaccesso ai locali.

10.-98



• Per quanto riguarda il controllo degli aspetti logici , vannoinnanzitutto definiti i ruoli di amministratore e di auditordel sistema informatico.

10.-99



• I compiti di un amministratore sono in generale quelli di creazione ecancellazione degli utenti, corretta configurazione del sistemaoperativo ai fini della sicurezza, installazione e configurazione delleapplicazioni di rete, controllo delle attività periodiche di backup.

A fronte di queste responsabilità, l’amministratore può utilizzareservizi speciali del sistema operativo e dello stesso sistemainformatico.

• I compiti dell’auditor sono quelli di verificare che il sistemainformatico sia realmente sicuro.

Gli strumenti a disposizione dell’auditor comprendono l’analisi delleregistrazioni (log) delle attività svolte degli utenti (incluso lo stessoamministratore), interviste ai responsabili e tentativi di intrusione.

10.-100



I ruoli di più elevata responsabilità sulfronte della sicurezza, in generale nonomologabili in nessuna delle suddettetipologie, sono tipicamente contigui, e spessocoincidono, con i più alti vertici dellaorganizzazione nel suo complesso.

10.-101


Contromisure tecniche / 1

Per quanto riguarda le contromisure tecniche,conviene distinguere fra contromisure dibase e contromisure specifiche delparticolare Sistema Informatico considerato.

10.-102



Le contromisure di base si collocano al livellodel Sistema Operativo e dei servizi di rete.

I produttori di Sistemi Operativi rilasciano spesso delle guidealla configurazione “sicura” del loro prodotto. Questidocumenti sono spesso un buon punto di partenza per ladefinizione di una politica di sicurezza.Con il “Trusted Network Computing Environment Model ”,ad esempio, Novell definisce un insieme decisamente ampioed organico di misure adottabili su reti Netware.

10.-103



Le contromisure specifiche del particolareSistema Informatico si attestanonormalmente a livello applicativo.

In taluni casi è comunque necessarioagire anche a livello di SistemaOperativo, ad esempio per irrobustirela autenticazione degli utenti con laverifica di una chiave hardware.

10.-104



È interessante notare come certi meccanismi di sicurezza giàpresenti a livello di Sistema Operativo (autenticazione degliutenti, diritti su files) siano talvolta replicati e migliorati (speciedal punto di vista della flessibilità) a livello applicativo.

D’altra parte, è anche possibile che alcune funzionalità disicurezza offerte dai DBMS, ad esempio (crittografia, controllodegli accessi) siano invece disabilitate in quanto coperte piùefficacemente a livello applicativo.

10.-105



Meccanismi di sicurezzatipicamente offerti dal Sistema Operativo

Meccanismi di sicurezzatipicamente offerti dal DBMS

Meccanismi di sicurezzaimplementati a livello applicativo

In contestiparticolarmentecritici edarticolati

10.-106



Tentiamo di seguito una classificazione dellecontromisure tecniche più frequentemente adottate.

• Configurazione sicura del sistema operativo di server epostazioni di lavoro. Si tratta di contromisure di base che, a patto diutilizzare un sistema operativo certificato per un grado di sicurezzasufficiente, possono coprire un parte significativa delle esigenze diautenticazione degli utenti, controllo degli accessi, registrazione (log)delle attività.

• Confinamento logico delle applicazioni server (ad esempioDBMS) su calcolatori server dedicati, sistema di autenticazionereciproca con le applicazioni cliente, confinamento fisico dei server inlocali particolarmente controllati.

10.-107



• Etichettatura delle informazioni , allo scopo di permettere unadefinizione più precisa, e quindi un controllo più fine, dei diritti diaccesso.

• Moduli software di cifratura integrati con le applicazioni . Glialgoritmi generalmente utilizzati sono lo RSA (per la cifratura achiave pubblica), il DES (per la cifratura a chiave privata) e lo SHA(per la generazione di digest). I moduli software combinanoopportunamente le implementazioni di questi algoritmi allo scopo dioffrire alle applicazioni servizi di più alto livello, dalla firma digitalealla verifica di integrità.

10.-108



• Apparecchiature di telecomunicazione in grado di cifrare iltraffico dati in modo trasparente alle applicazioni. Questo tipo diprotezione può combinarsi con quella realizzata con moduli softwarea livello delle applicazioni, allo scopo di innalzare ulteriormente ilgrado di sicurezza rispetto alle intercettazioni passive.

• Firewall e proxy server in corrispondenza di eventuali collegamenticon reti TCP/IP esterne al sistema informatico, allo scopo di evitareintrusioni provenienti da tali reti.

• Chiavi hardware e/o dispositivi di riconoscimento degli utenti basatisu rilevamenti bio-fisici (impronte digitali, immagine della retina, etc.).Questi dispositivi sono a volte utilizzati per elevare il grado disicurezza offerto dal sistema nella fase autenticazione degli utenti.

10.-109




10.-110


Integrazione contromisure / 1

Un insieme di contromisure, per quantoindividuate ad hoc rispetto ad un sistemainformativo, può ancora presentarsi comeuna collezione di espedienti scorrelati chedifficilmente danno risposta adeguata ad unaesigenza di sicurezza che le organizzazionipercepiscono invece come globale.

10.-111



Definire una politica di sicurezza è inoltre unpresupposto importante affinché eventualinuove esigenze in tema di sicurezza(scenario piuttosto probabile) siano trattate inmodo consistente e compatibile con le scelteoperate in precedenza.

10.-112



• Occorre innanzitutto fare una selezione dellecontromisure da adottare effettivamente. Loscopo di tale selezione è quello di individuare ilsotto-insieme di costo minimo che alcontempo rispetti alcuni vincoli essenzialiesposti di seguito.

10.-113



− Completezza . Il sotto-insieme delle contromisurescelte deve comunque far fronte a tutti gli eventiindesiderati individuati per il sistema in esame.

− Omogeneità . Le contromisure che si decide diadottare devono essere compatibili ed integrabili traloro in modo da minimizzare il costo della loroattuazione congiunta. A fronte di eventi indesideraticon analogo livello di rischio, inoltre, le rispettivecontromisure dovrebbero avere costo comparabile.

10.-114



− Ridondanza controllata . La ridondanza dellecontromisure ha un costo e deve quindi essererilevata e vagliata accuratamente.Può accadere, ad esempio, che più contromisuresiano inutilmente ridondanti, che ad esempioneutralizzino un medesimo evento valutato a bassorischio.D’altra parte, è anche possibile che un evento ad altorischio, che potrebbe e dovrebbe essere neutralizzatoda più di una contromisura, di fatto non lo sia.

10.-115



− Effettiva attuabilità . L’insieme delle contromisuredeve rispettare tutti i vincoli di carattere tecnico,logistico, amministrativo imposti dalla organizzazionenella quale andranno ad operare.

10.-116



• Le contromisure così selezionate devono infineessere integrate nel quadro più ampio di unapolitica organica di sicurezza che le collochi e legiustifichi come parte di un disegno unitario.

Per ogni contromisura, in sostanza,deve essere evidenziato il ruolopreciso che occupa in relazione allealtre contromisure ed alle linee guidacui il disegno complessivo risponde.

10.-117

Aspetti tecnologici

• Algoritmi• Servizi base

• Servizi di notariato• Tecniche di autenticazione degli utenti• Componenti e servizi per la sicurezza su reti• Protocolli di comunicazione sicuri

10.-118

Aspetti tecnologici



10.-119

Aspetti tecnologici

Algoritmi

La tecnologia alla base dei meccanismi disicurezza è quella degli algoritmi dicrittografia e di hashing sicuro .

Combinando opportunamente questi algoritmiè possibile realizzare servizi di più altolivello, come quelli di autenticazione e diriservatezza.

10.-120

Algoritmi di crittografia

Introduzione / 1

Sono algoritmi matematici in grado di trasformare (cifrare)reversibilmente un insieme di dati, ad esempio undocumento, in modo da renderlo inintellegibile.Gli algoritmi sono tali che

• la trasformazione avviene in funzione di una variabile detta chiave.• le operazioni di cifratura e decifratura sono relativamente semplici

nel caso in cui si conosca la chiave; in caso contrario risultanolaboriose al punto da risultare praticamente inattuabili.

• risulta egualmente laborioso dedurre la chiave con cui è stato cifratoun documento confrontandolo con la sua versione in chiaro (cioè noncifrata).

10.-121


Introduzione / 2

Gli algoritmi di crittografia possono essereclassificati come

• simmetrici, anche detti a chiave privata .• asimmetrici, anche detti a chiave pubblica.

10.-122


Algoritmi simmetrici / 1

• Gli algoritmi simmetrici utilizzano la stessa (ed unica)chiave privata, per cifrare e decifrare.Un algoritmo di questo tipo generalmente utilizzato almomento è il DES (Data Encription Standard), nelle sueversioni normale e triplo, con chiavi a 56 e 112 bit.

− Il DES è un algoritmo non particolarmente costoso, in termini ditempo di calcolo, e ne esistono implementazioni molto velocianche su PC (circa 1Mb/sec su Pentium 60).

− Essendo un algoritmo simmetrico, richiede che il mittente di undocumento cifrato comunichi in qualche modo al destinatario lachiave di cifratura.

10.-123


Algoritmi simmetrici / 2

Come tutti gli algoritmi simmetrici, DES, non si prestabene a garantire la riservatezza nella comunicazionecontinuativa fra n soggetti indipendenti.

− Occorre una chiave privata per ogni coppia di soggetti− Ogni soggetto è costretto a possedere n-1 chiavi , a

mantenerle segrete ed a ricordare quale sia la chiave dautilizzare per comunicare con ciascuno degli altri soggetti.

− Nel caso in cui la chiave sia generata autonomamente dalsoggetto che avvia la comunicazione, è necessario che vengatrasmessa al destinatario affinché questo possa decifrare imessaggi che riceve. E durante il trasferimento la chiavepotrebbe essere intercettata .

10.-124


Algoritmi asimmetrici / 1

• Gli algoritmi asimmetrici sono di concezione recente(1976) ed utilizzano due chiavi distinte per cifrare edecifrare, con alcune proprietà fondamentali:

− un documento cifrato con una chiave può esseredecifrato con l’altra e viceversa .

− le chiavi vengono generate in coppia da uno specialealgoritmo ed è di fatto impossibile ottenere una chiavea partire dall’altra.

− Una qualsiasi delle due chiavi viene detta pubblica , èpuò essere distribuita. L’altra, detta privata, deveessere mantenuta segreta.

10.-125



L’algoritmo RSA, proposto da Rivest, Shamir e Adleman nel1978, è attualmente considerato come standard per lacrittografia a chiave pubblica.

• RSA basa la sua robustezza sulla complessitàalgoritmica della scomposizione in fattori primi,operazione per la quale non è attualmente noto unalgoritmo efficiente.

• Esistono varie implementazioni di RSA, che variano infunzione della dimensione in bit delle chiavi, e quindi delgrado di sicurezza offerto. Chiavi di 512 bit sono un buoncompromesso fra sicurezza e prestazioni.

10.-126



Essendo asimmetrico, RSA risulta molto più versatile diDES, ed è alla base di tutti i servizi di sicurezza.Nella comunicazione fra n soggetti, ad esempio, RSAgarantisce riservatezza con 2n chiavi, una coppia(pubblica,privata) per ciascun soggetto.

Se il soggetto A vuole inviare un messaggio riservato alsoggetto B, ad esempio, cifra il messaggio con la chiavepubblica di B che, in quanto pubblica, è nota a tutti. In questomodo il messaggio sarà decifrabile soltanto con la chiaveprivata di B che, in quanto privata, solo B conosce.A

B

10.-127



A causa della complessità algoritmica, le implementazioni diRSA sono generalmente troppo lente per cifraredirettamente i documenti (20 bytes/sec su Pentium 60,80Kb/sec su hardware dedicato).

• Per questo motivo RSA si utilizza spesso in congiunzione con DES(ad esempio per servizi di riservatezza) e con algoritmi di messagedigest come lo SHA (tipicamente per servizi di autenticazione).

• Per inviare un documento di grandi dimensioni in modo riservato, adesempio, si genera una password casuale, si cifra il documento conDES utilizzando la password casuale, poi si cifra la password stessa(112 bit al massimo) con RSA, ed infine si invia il tutto (documento epassword entrambe cifrati) al destinatario.

10.-128

Algoritmi di hashing sicuro

Introduzione / 1

Questi algoritmi permettono di creare, a partire daun documento D, una sequenza di bit, detta digest ,strettamente correlata a D e di lunghezza fissa (cioèindipendente dalla dimensione di D).

Un algoritmo di questo tipo generalmente utilizzato daiservizi sicurezza è lo SHA (Secure Hash Algorithm),sviluppato a partire da un lavoro di ricerca di Rivest.

10.-129


Introduzione / 2

Esistono versioni implementate di SHA chegenerano digest di 160 bit ad una velocità piuttostosoddisfacente nella maggioranza delle applicazioni(500 Kb/sec su Pentium 60).

L’utilizzo più immediato di SHA è nelle verifiche di integrità.Confrontando digest ottenuti da uno stesso documento adistanza di tempo, è possibile verificare facilmente se ildocumento ha subito alterazioni.

10.-130


Utilizzo nella firma digitale

SHA è spesso utilizzato insieme ad RSA pergenerare e validare firme digitali.

Generare la firma è semplice:• si estrae un digest SHA dal documento da firmare,• si cifra RSA il digest con la chiave privata del firmatario.

Chiunque può verificare la validità della firma• decifrando la firma con la chiave pubblica del firmatario,• generando a parte un digest SHA del documento firmato• confrontando il digest ottenuto dalla firma con quello ottenuto dal

documento.

10.-131

Aspetti tecnologici

• Algoritmi• Servizi base• Servizi di notariato• Tecniche di autenticazione degli utenti• Componenti e servizi per la sicurezza su reti• Protocolli di comunicazione sicuri

10.-132

Aspetti tecnologici

Servizi di base

Vari servizi di sicurezza sono stati definiti in modoformale dallo standard ISO 7498-2.

In questa sezione analizziamo in dettaglio, peralcuni di questi servizi, un esempio di come siapossibile realizzarli utilizzando in modo combinatogli algoritmi RSA, DES ed SHA.

10.-133

Servizi di base

Introduzione di riservatezzaInformazione

in chiaro

DES

Chiave RSA pubblicadel destinatario

Chiave DEScasuale

InformazionecifrataRSA

Chiave DES casualecifrata

10.-134

Servizi di base

Rimozione di riservatezza

Informazionecifrata

DES

Chiave RSA privatadel destinatario

Informazionein chiaro

RSA

Chiave DEScifrata

Chiave DESin chiaro

10.-135

Servizi di base

Autenticazione (firma digitale)

Chiave RSA privatadi chi firma

RSA

Documento

SHA

Digest

Firma

10.-136

Servizi di base

Verifica di autenticità (firma digitale)

Documento

SHA

Digest del documentonella versione corrente

Chiave RSA pubblicadi chi ha firmato

Firma

RSA

Digest del documentoal momento della firma

Comparazione

Firma falsa, oppure autentica ma appostasu un documento diverso da quello allegato

= !=

Firmavalida

10.-137

Servizi di base

Timbratura (time-stamp)

Chiave RSA privatadel server di timbratura

RSA

Informazioneda timbrare

SHA

Timbro

Data ed ora correntedel server di timbratura

Digest con time-stamp

NOTA: questo servizionon rientra nellostandard ISO 7498-2

10.-138

Aspetti tecnologici



10.-139

Aspetti tecnologici

Servizi di notariato

I servizi di notariato sono offerti da unaAutorità di certificazione che sia riconosciutacome riferimento valido per definizione datutti gli utenti del sistema informativo.

Come ogni altro utente, anche l'Autorità dicertificazione dispone di una coppia (privata,pubblica) di chiavi asimmetriche.

10.-140


Certificazione chiavi pubbliche / 1

L'Autorità di certificazione deve garantire la effettivacorrispondenza di una chiave pubblica con ilsoggetto che la espone.

A tal fine, l'Autorità pubblica, in un apposito registro,certificati firmati con la propria chiave privata. Talicertificati includono

• Il nome dell'Autorità• La data di emissione del certificato• La data di scadenza del certificato• Il nominativo del soggetto (distinguished name)• La chiave pubblica del soggetto

VeriSign 09/11/1998

Mario Rossi

JDF78EH9834 HF903NF0H3 48H39GFH8 H3948H

10.-141



La verifica di una firma impone ad esempio• La conoscenza della chiave pubblica del soggetto firmatario al

momento della firma . Questo é possibile richiedendo all'Autorità ilrelativo certificato.

• La certezza della reale appartenenza della chiave al soggettofirmatario. La firma dell'Autorità garantisce la validità del certificato equindi la effettiva corrispondenza fra chiave pubblica e soggetto.

Tale sequenza di operazioni viene tipicamente svolta in modoautomatico dal software che gestisce le firme digitali, a partire dainformazioni contenute nella firma stessa.

10.-142



Le chiavi pubbliche possono essere sospese orevocate (ad esempio a seguito di furto osmarrimento delle corrispondenti chiavi private). Ingenerale, quindi, i certificati relativi vanno richiestiall'Autorità al momento della verifica della firma.

L'Autorità di certificazione deve gestire un registrostorico delle chiavi pubbliche revocate , al fine digarantire nel tempo la verificabilità delle firmegenerate utilizzando le corrispondenti chiavi private.

10.-143


Certificazione temporale (timbratura)

Il servizio base di timbratura ricade fra i servizi di notariatoin quanto richiede che il time-stamp sia generato ed appostoda una Autorità riconosciuta da tutti gli utenti del sistema.

• Il cliente sottopone al servizio di timbratura un digest del documentoda timbrare.

• Il servizio di timbratura ottiene un time-stamp da un orologio che, inquanto gestito dall'Autorità, tutti gli utenti del sistema convengono diriconoscere come valido.

• Il servizio di timbratura allega il time-stamp al digest, cifra il tutto conla chiave privata dell'Autorità e lo restituisce al cliente.

10.-144

Aspetti tecnologici



10.-145

Aspetti tecnologici

Autenticazione degli utentiLa autenticazione degli utenti é generalmentebasata su una combinazione di tre tipi di elemento:

• Conoscenze dell’utente(e.g. una coppia username - password)

• Oggetti posseduti dall’utente(e.g. una card o una smart-card)

• Caratteristiche biometriche dell’utente(e.g. l’impronta di un polpastrello o l’immagine di una retina)

10.-146

Autenticazione degli utenti

Password / 1

La tecnica di autenticazione tramite password équella più diffusa, ma presenta il vari problemi legatial fatto che, tendenzialmente, gli utenti

• impostano password troppo brevi (e quindi facilmente forzabili) oprevedibili (e.g. il proprio nome) per ricordarle facilmente.

• impostano password appropriate ma poi le scrivono (in luoghi nonsicuri) per non doverle imparare a memoria.

• impostano password appropriate, impiegano del tempo per impararlea memoria, ma proprio per questo non le cambiano mai.

10.-147


Password / 2

Configurando opportunamente il sistema operativoé spesso possibile fare in modo che l’utente siacostretto a

• inserire password di lunghezza e formato appropriato (e.g. almeno20 caratteri di cui almeno 5 numerici)

• cambiare la password periodicamente o addirittura ad ogni sessione(one-time password ), anche al fine di evidenziare eventuali accessiilleciti.

10.-148


CardLe normali card contengono un chip non duplicabile che memorizza in modoinalterabile la chiave privata dell’utente. La card dialoga con la stazione dilavoro attraverso un apposito lettore, ed software applicativo può interrogarla perottenere la chiave privata dell’utente.

La card fornisce la chiave privata solo se riceve dalla applicazione (e quindidall’utente) un PIN (Personal Identification Number) segreto.

In definitiva, analogamente a quanto avviene con il Bancomat, l’utente éidentificato sia per il fatto di conoscere il PIN, sia per il fatto di possedere lacard.

Il punto debole delle card é insito nel fatto che la chiave privata dell’utente vienetrasferita sulla stazione di lavoro, ove potrebbe essere intercettata.

10.-149


Smart-cardA differenza delle semplici card, le smart -card non si limitano a memorizzare inmodo inalterabile la chiave privata dell’utente, ma dispongono di firmware, micro-processore e memoria con caratteristiche sufficienti a eseguire on-board unalgoritmo asimmetrico di crittografia .

Il principale vantaggio delle smart-card, rispetto alle card semplici, é che nonrichiedono il trasferimento della chiave privata dell’utente sulla stazione di lavoro.La chiave rimane sempre stabilmente memorizzata nella card, che resta peraltroinutilizzabile senza il PIN associato.

La presenza di un micro-processore a bordo, permette inoltre alle cardinteressanti funzionalità accessorie, quali ad esempio la generazione e lamemorizzazione automatica di una one-time password ad ogni sessione dilavoro.

10.-150

Aspetti tecnologici


• Servizi di notariato• Tecniche di autenticazione degli utenti• Componenti e servizi per la sicurezza su reti

10.-151

Aspetti tecnologici

Sicurezza su reti• Componenti

− Cifratori− Screening router− Application gateway− Bastion host

• Schemi architetturali “firewall ”− Packet filtering− Dual-homed application gateway− Screened host− Screened subnet

• Protocolli sicuri per il Web− S-HTTP− SSL

10.-152

Sicurezza su reti

CifratoriI cifratori sono dispositivi hardware che operano a basso livello, in modotrasparente rispetto allo strato applicativo, cifrando indiscriminatamentetutto il traffico.

Sono generalmente impiegati a coppie fra router che collegano due retilocali attraverso un collegamento geografico. In tal caso, i cifratoriincapsulano il traffico IP (IP-tunneling ) in modo da cifrare non solo ilpayload ma anche lo header dei pacchetti originali.

Nell’ambito di una LAN, infine, client e server possono essere dotati sischede di rete cifranti che, opportunamente configurate, consentono laautenticazione reciproca e la cifratura del traffico in modo trasparenterispetto allo strato applicativo.

10.-153

Sicurezza su reti

Screening router / 1

Gli screening router sono dispositivi in grado di bloccare o instradare i pacchettiin transito fra la rete interna e quella esterna, sulla base della loro intestazione(packet-filtering ) o del loro contenuto (packet-inspection ). Si tratta in ogni casodi dispositivi operano a basso livello (rete e trasporto) e quindi in modotrasparente rispetto allo strato applicativo.

Gli screening router sono chiaramente soggetti ad attacchi tesi a riconfigurarel’insieme delle regole di filtraggio dei pacchetti. Per questo motivo, le loroeventuali funzioni di configurazione remota devono essere disabilitate.

I router in generale, inoltre, sono sensibili ad attacchi tesi a modificare le tabelleinterne di routing ed aggirare in tal modo eventuali firewall posti a difesa dellarete interna. Questo tipo di attacchi possono ad esempio essere condottiattraverso falsi pacchetti ICMP. Per questo motivo, gli screening router vannoconfigurati in modo da disabilitare le funzioni di dynamic-routing .

10.-154

Screening router

Packet-filtering / 1

Gli screening router basati sul packet-filtering valutano i pacchetti sullabase della loro intestazione (header).

Si tratta di dispositivi configurabili con una lista ordinata di regole chepermettono o negano il passaggio di un pacchetto sulla base delleinformazioni contenute nell’header, quali:

• indirizzo IP e porta sorgente• indirizzo IP e porta destinazione• TCP flag• IP options

10.-155

Screening router


Molti produttori di router applicano le regole di filtraggio solo sui pacchettiin uscita dal router, e non su quelli in ingresso.

In questo modo, tuttavia, pacchetti artificiosamente generati aventi comeindirizzo sorgente quello di un host della rete interna (attacco di tipoaddress-spoofing) sarebbero instradati dal router sulla rete interna comese fossero effettivamente provenienti dall’host oggetto dello spoofing.

Verificando i pacchetti anche in ingresso, al router può facilmente rilevareche un pacchetto con indirizzo sorgente uguale a quello di un hostinterno non può provenire dalla rete esterna, e deve quindi esserebloccato.

10.-156

Screening router


Sui pacchetti che giungono al router dalla rete esterna• L’indirizzo IP sorgente permette di definire regole che accettino o scartino pacchetti provenienti da

un host o da una sottorete di host esterni .

• L’indirizzo IP destinazione permette di definire regole che accettino o scartino pacchetti destinatiad un host o ad una sottorete di host interni .

Sui pacchetti che giungono al router dalla rete interna• L’indirizzo IP sorgente permette di definire regole che accettino o scartino pacchetti provenienti da

un host o da una sottorete di host interni .

• L’indirizzo IP destinazione permette di definire regole che accettino o scartino pacchetti destinatiad un host o ad una sottorete di host esterni .

Su tutti i pacchetti• La porta sorgente e quella di destinazione permettono di definire regole che accettino o scartino

pacchetti relativi a servizi e protocolli che operano su porte con numeri noti o compresi in intervallinoti, quali telnet, FTP e X-Windows.

• Il TCP flag permette di definire regole che accettino o scartino pacchetti specifici, come quelli diinizio (SYN) o conferma (ACK) di una connessione.

10.-157

Screening router


Un problema specifico dei packet-filtering router risiede nella difficoltà diindividuare un insieme di regole corretto e completo rispetto alleesigenze della sicurezza.

Individuare eventuali errori nella configurazione di un packet-filteringrouter può essere inoltre assai difficile per la mancanza di strumentiautomatici di verifica, e per la incompletezza dei log generati.

10.-158

Screening router

Packet-inspectionGli screening router basati sul packet-inspection valutano i pacchetti sulla basedel loro contenuto (payload).

Si tratta di dispositivi in grado di comprendere un insieme predefinito (ed a volteconfigurabile) di protocolli che viaggiano incapsulati nel protocollo IP, e in talunicasi controllare lo stato delle relative sessioni (stateful inspection).

A fronte della loro complessità, i packet-inspection router offrono una notevoleflessibilità nella definizione delle regole di filtraggio (smart-rules) che, operando alivello di sessione (session filtering), sono spesso paragonabili a quelle offertedagli application gateway.

Rispetto agli application gateway, pero’, i packet-inspection router non hannofunzionalità proxy, ed in particolare non ricostruiscono i pacchetti, ma si limitanoa lasciar transitare quelli che superano le regole di filtraggio.

10.-159

Sicurezza su reti

Application gateway / 1

Gli application gateway sono i dispositivi che offrono, limitatamente ai protocollisupportati, attualmente il maggior grado di controllo del traffico fra una una reteinterna e la rete Internet.

Sono generalmente realizzati tramite un calcolatore opportunamente configuratocon software specifico in grado di erogare, accanto ai servizi di packet-filtering epacket-inspection (già visti negli screening router), anche i cosiddetti servizi diapplication proxy .

Un application proxy é un processo che, eseguito sul gateway, si interpone alivello di applicazione nella comunicazione fra componenti di una specificaapplicazione per la quale é stato progettato.

Esempi di application proxy commercialmente disponibili sono quelli per ilcontrollo del traffico telnet, FTP ed HTTP.

10.-160

Sicurezza su reti


Nel caso di applicazioni client-server , ad esempio, un application proxycomunica con il client simulando di essere il server, e viceversa, comunica con ilserver simulando di essere il client.

In nessun caso i pacchetti viaggiano direttamente fra client e server. Il flusso deipacchetti provenienti da ciascuna delle parti viene

• intercettato dal proxy;

• interpretato a livello applicativo;• ricostruito sulla base della conoscenza del protocollo;• instradato verso la parte opposta.

10.-161

Sicurezza su reti


Rispetto ai packet-inspection router, gli application gateway (o meglio gliapplication proxy in esecuzione su di essi), presentano vantaggi esvantaggi che vanno adeguatamente considerati.

• Ricostruendo il traffico, un application gateway minimizza le probabilità disuccesso di attacchi basati su debolezze di un server rispetto a particolarisequenze di messaggi non previste dal protocollo.

• La ricostruzione dei pacchetti in uscita richiede un tempo di processamentoche rende un application gateway solitamente più lento di un packet-inspection router.

• Operando a livello di applicazione, un application gateway é in grado dicontrollare un numero generalmente più ridotto di protocolli, e richiede lainstallazione e la configurazione di un nuovo proxy per ciascun nuovoprotocollo da gestire.

10.-162

Sicurezza su reti

Bastion hostCon il termine “bastion host ” si intendegeneralmente un application-gateway diparticolare importanza per la sicurezza dellarete, in quanto unico punto di contatto fra larete stessa e l’esterno.

10.-163

Sicurezza su reti

Architetture firewallCon il termine “firewall ” si tende a identificare in modo generico uninsieme di componenti e di servizi finalizzati a controllare e limitare iltraffico fra una rete da proteggere e l’esterno.

Gli schemi architetturali secondo i quali le componenti disponibili(principalmente router ed application gateway) possono essere disposteal fine di proteggere una rete sono molteplici, e vanno valutati dalprogettista sulla base di vari fattori:

• Sicurezza• Flessibilità , rispetto al controllo di nuovi protocolli ed applicazioni.• Prestazioni del sottosistema firewall e della rete nel suo complesso.• Costo di installazione e manutenzione

10.-164

Architetture firewall

Packet filtering

• Soluzione poco costosa

• Difficilmente configurabile e manutenibile

• Ogni host deve disporre di meccanismi avanzati di autenticazione degli utenti

Rete interna

Packet-filteringrouter

Internet

10.-165


Dual-homed gateway

• Application gateway con doppia scheda di rete ed IP-forwarding disabilitato

• Autenticazione degli utenti e controllo degli accessi gestito centralmente dal server

• Ottima sicurezza ma scarsa flessibilità (solo il traffico riconosciuto dai proxy viene instradato)

• Lo info-server a monte del gateway permette di pubblicare informazioni (e.g. un sito web) senzasovraccaricare il gateway.

Rete interna

Applicationgateway

Internet

Infoserver


10.-166


Screened host

• Configurazione meno sicura della dual-homed, ma più flessibile.

• Il traffico può aggirare l’application gateway laddove questo non offra un proxy utilizzabile.

Rete interna

Applicationgateway

Internet

Infoserver


Emailserver

10.-167


Screened subnet

• Costo elevato.

• Buon throughput e buona flessibilità

• Buona sicurezza

Rete interna

Applicationgateway

Internet

Infoserver


Emailserver


Screened subnet

10.-168

Sicurezza su reti

Protocolli sicuri per il Web / 1

Schema a chiave pubblica (S-HTTP)

• il client richiede un documento protetto

• il server replica con un messaggio di tipo “Unauthorized” al quale allega lapropria chiave pubblica

• il client genera una chiave casuale (session-key), vi associa i datiidentificativi dell’utente ed un time-stamp, cifra il tutto con la chiave pubblicadel server e glielo invia.

• il server decifra il messaggio del client con la sua chiave privata, estrae lasession-key del client, la usa per cifrare il documento riservato, ed invia ildocumento cifrato al client.

• Il client decifra il documento con la stessa session-key e lo presentaall’utente.

10.-169

Sicurezza su reti

Protocolli sicuri per il Web / 2

Schema SSL (Secure Socket Layer)

• A differenza del protocollo S-HTTP, la chiave pubblica del server é fornita alclient attraverso un certificato rilasciato e firmato da una Autorità dicertificazione.

• Anche il client può essere autenticato laddove disponga di un certificatovalido per la sua chiave pubblica.

• Come per S-HTTP, la riservatezza delle comunicazioni é realizzataattraverso la cifratura simmetrica del traffico con una chiave di sessionegenerata casualmente. SSL supporta inoltre la firma digitale dei documentiscambiati fra client e server.

• SSL é indipendente dal protocollo di applicazione, e può quindi supportarequalsiasi servizio che usi il protocollo TCP, quindi non solo HTTP ma ancheNews, Telnet, FTP, etc.

10.-170

Studio di caso

Introduzione / 1

Come studio di caso, descriviamo con uncerto dettaglio la introduzione di contromisuredi base in una rete Novell Netware.

Come suggerito nella sezione “Individuazione delleContromisure” seguiremo le guideline del produttoredel Sistema Operativo. In questo caso, in particolare,seguiremo quanto indicato nel documento “TrustedNetwork Computing Environment Model ” rilasciatodalla stessa Novell.

10.-171

Studio di caso

Introduzione / 2

Raggruppiamo di seguito le misure da attuareper tipologia . Trattandosi di un numeroconsistente di misure, omettiamo per brevitàdi riportare i comandi che occorre impartire alsistema per rendere operativa ciascunamisura.

10.-172

Studio di caso

Identificazione utenti• Imporre che a ciascun login name sia associato una persona fisica.• Disabilitare o eliminare i login name non più utilizzati per qualunque

motivo.• Mantenere una lista degli utenti cancellati.• Imporre che a ciascun login name sia associata una password.• Imporre agli utenti di cambiare periodicamente la password,

impedendo il riuso di password utilizzate in precedenza.• Verificare che tutti i serventi della rete siano fra loro reciprocamente

autenticati.

10.-173

Studio di caso

Controllo degli accessi• Limitare il numero delle connessioni simultanee di ciascun utente.• Rilevare i login falliti e disabilitare i login name al terzo tentativo.• Limitare gli intervalli temporali in cui è possibile utilizzare la rete.• Limitare gli indirizzi MAC di rete delle stationi di lavoro da cui consentire

l’accesso agli utenti.• Educare gli utenti a chiudere la sessione di accesso alla rete ogni volta

che abbandonano la propria stazione di lavoro.• Verificare periodicamente i diritti di accesso di ogni utente.• Limitare l’accesso fisico alle postazioni di lavoro ai soli utenti autorizzati.• Utilizzare esclusivamente prodotti certificati.• Installare le applicazioni di rete in modo conforme alle specifiche della

casa produttrice.

10.-174

Studio di caso

Protezione della rete• Configurare il sistema in modo che tutti i nodi firmino ogni pacchetto

trasmesso (8% di sovraccarico).• Definire esplicitamente un utente cui assegnare i diritti di

amministratore di rete (eliminando un eventuale utente di default).• Utilizzare Hub dotati di meccanismi anti-intercettazione.• Installare Hub e router in locali protetti, e far passare i cavi della rete

in canaline murate.

10.-175

Studio di caso

Protezione fisica dei server• Isolare i server in un locale sicuro.• Definire una politica precisa per la gestione e la distribuzione delle

chiavi di accesso ai local protetti.• Registrare gli accessi ai locali dove si trovano server e dispositivi di

rete.

10.-176

Studio di caso

Protezione logica dei server• Bloccare la console dei server con una password diversa da quella

dell’amministratore di rete.• Imporre una password per ciascun server di stampa.• Disabilitare e rimuovere fisicamente il floppy-disk drive da tutti i

server.• Limitare il caricamento dei serventi applicativi in directory predefinite.• Disabilitare tutti i servizi di console remota.• Rendere a sola lettura tutte le directory in cui sono installate

applicazioni.

10.-177

Studio di caso

Protezione da virus• Verificare periodicamente le dimensioni di tutti i files eseguibili,

rispetto a quelle dichiarate dal produttore.• Acquisire, installare ed aggiornare periodicamente un sistema

antivirus per le stazioni di lavoro in rete.

10.-178

Studio di casoGenerazione e protezione dei backup

• Definire una politica di backup periodico.• Abilitare la funzione di controllo automatico del backup.• Effettuare prove a campione di lettura dei dati su backup.• Isolare nastri e dischi di backup in un luogo sicuro, separato da

quello che ospita i server.

Documents

Definizione informale Definizione