LEZIONE 1

LA S I C U R E Z Z A NEI
INFORMATIVI

SISTEMI

IN QUESTA U N I T IMPAREREMO.
le minacce per le reti
la valutazione dei rischi per la sicurezza dei sistemi informatici
la prevenzione e le tecniche per la sicurezza

Generalit
L a risorsa pi i m p o r t a n t e d i o g n i organizzazione l ' i n f o r m a z i o n e : grazie a l l ' i n f o r m a z i o n e le azie
operano sui m e r c a t i , p r e n d o n o d e c i s i o n i t a t t i c h e e strategiche, si s c a m b i a n o d a t i e d o c u m e n t i : i
la gestione delle i n f o r m a z i o n i svolge u n r u o l o d e t e r m i n a n t e p e r la sopravvivenza delle organizza
E l e i n f o r m a z i o n i d e v o n o essere p r o t e t t e perch m o l t e sono l e cause che p o t r e b b e r o c o m p r o m t
le m e t t e n d o i n p e r i c o l o a n c h e l ' i n t e r a v i t a della o r g a n i z z a z i o n e .
U n a p r i m a classificazione sulle p o s s i b i l i s i t u a z i o n i c h e
m i n a c c i a n o l ' i n t e g r i t d e i d a t i i n d i v i d u a due t i p o l o g i e
di minacce:
9 minacce naturali;
9 minacce umane.

Minacce alla sicurezza

Umane

Natura

Minacce naturali
Le m i n a c c e n a t u r a l i sono d o v u t e a calamit n a t u r a l i i m p r e v e d i b i l i q u a l i t e m p e s t e , i n o n d a i
f u l m i n i , i n c e n d i e t e r r e m o t i che praticamente impossibile i m p e d i r e e prevenire.
Per q u e s t a t i p o l o g i a necessario effettuare u n a analisi d e i rischi i n q u a n t o p o t r e b b e r o causare
p e r i o d i d i inattivit o p e r a t i v a ( d a n n i sulla rete e l e t t r i c a , f u l m i n i ecc.) d o v u t i a m a l f u n z i o n a n
o d a n n e g g i a m e n t i delle a p p a r e c c h i a t u r e o delle i n f r a s t r u t t u r e d i c o m u n i c a z i o n e , o p p u r e d a m i
archivi con perdita dei dati.
O l t r e c h e al b u o n senso, c h e i n d u c e a d assumere le m i s u r e d i p r e v e n z i o n e classiche c o m e i l pcs
n a m e n t o dei server i n l o c a l i p r o t e t t i , l ' u t i l i z z o d i s i s t e m i d i a l i m e n t a z i o n e a u t o n o m a t r a n
d i continuit o g e n e r a t o r i e l e t t r o g e n i , i l p e r i o d i c o salvataggio d e i d a t i , a n c h e d i s p o s i z i o n i l e g n i
( c o m e la legge 196/03) p r e v e d o n o la messa i n a t t o d i m i s u r e p r e v e n t i v e d e s t i n a t e alle o p e r a z i a
disaster r e c o v e r y , p r e d i s p o n e n d o dei p i a n i d i r i p r i s t i n o e d i emergenza.

114

La sicurezza nei sistemi informativi

; i r e s t e m i n a c c e v e n g o n o c o n s i d e r a t i anche gli atti v a n d a l i c i , le s o m m o s s e p o p o l a r i , le

i e n e e gli attacchi terroristici c h e , n o n o s t a n t e siano d o v u t i a i n t e r v e n t i u m a n i , s o n o d i f a t t o
cevedibili.

Kuccc

umane

crinacce u m a n e sono d o v u t e a soggetti che h a n n o i n t e r e s s i p e r s o n a l i ad a c q u i s i r e l e i n f o r m a OEL di u n a azienda (o d i u n soggetto) o a l i m i t a r e l'operativit delle o r g a n i z z a z i o n i danneggiando
i c r m a l i processi a z i e n d a l i .
sono essere causate da personale i n t e r n o (attacco interno), a d e s e m p i o da d i p e n d e n t i s c o n t e n t i
i l i n t e n z i o n a t i o p p u r e d a soggetti e s t r a n e i (attacchi esterni) c o n l o scopo d i creare p r o b l e m i o
... -.ciliare l'organizzazione.
Le m i n a c c e pi p e r i c o l o s e sono p r o p r i o quelle d o v u t e agli attacchi interni i n q u a n t o i d i p e n d e n t i
d i p e n d e n t i ) c o n o s c o n o l a s t r u t t u r a d e l sistema i n f o r m a t i v o e i s i s t e m i d i sicurezza che sono
[unzione e sono i n possesso d i a u t o r i z z a z i o n i per accedere a l sistema ( c o n o s c o n o i c o d i c i e l e
^>sword): q u e s t i possono f a c i l m e n t e a r r e c a r e d a n n i i n q u a n t o , o l t r e che a c a r p i r e i n f o r m a z i o n i ,
possono f a c i l m e n t e i n s e r i r e n e i s i s t e m i v i r u s , t r o j a n horse o w o r m i n grado d i p r o v o c a r e a n o m a l i e d i
" - a z i o n a m e n t o i n u n o o pi n o d i della rete e t r a s m e t t e r e i n f o r m a z i o n i del sistema i n f o r m a t i v o verso
esterno (es. Spyware) o p p u r e c r e a r e u n a testa d i p o n t e verso l ' i n t e r n o ( b a c k d o o r ) .
<k"on sono c o m u n q u e d a s o t t o v a l u t a r e a n c h e g l i i n t r u s i p r o v e n i e n t i d a l l ' e s t e r n o che, grazie a p r o g r a m m i c o m e g l i " s n i f f e r " , i n t e r c e t t a n o i d a t i e i n d i v i d u a n o le p a s s w o r d per accedere ai s i s t e m i .
q u e s t i i n d i v i d u i v e n g o n o spesso c h i a m a t i e r r o n e a m e n t e " h a c k e r " , s o p r a t t u t t o d a i g i o r n a l i s t i .

n " g o o d h a c k " una brillante soluzione a un p r o b l e m a di p r o g r a m m a z i o n e e " h a c k i n g " il

verbo che indica il desiderio di capire a f o n d o il f u n z i o n a m e n t o delle cose e, nel m o n d o digitale,
il funzionamento dei sistemi informatici. Un A h a c k e r una persona che studia e analizza il
sistema allo s c o p o " b e n e f i c o " di conoscerne e sfruttarne t u t t e le p o s s i b i l i t " e non un s o g g e t t o
che " p e n e t r a nei sistemi" in m o d o non autorizzato, v i o l a n d o i sistemi di protezione.
Hacker
D

B
El
E3
H

D
ED

A person who enjoys exploring the details of p r o g r a m m a b l e systems and how t o

stretch their capabilities, as o p p o s e d t o most users, who prefer t o learn only the m i n i m u m I
necessary.
O n e who programs enthusiastically (even obsessively) or who enjoys p r o g r a m m i n g rather
than just theorizing a b o u t p r o g r a m m i n g .
A person capable of appreciating (hack value).
A person w h o is g o o d at p r o g r a m m i n g quickly.
A n expert at a particular p r o g r a m , or one who frequently does work using it or on it; as in "a
Unix hacker". (Definitions 1 t h r o u g h 5 are correlated, and p e o p l e who fit t h e m congregate.) i
A n expert or enthusiast of any kind. O n e m i g h t be an astronomy hacker, for example.
One who enjoys the intellectual challenge of creatively overcoming or circumventing limitations.
A malicious meddler who tries t o discover sensitive information by p o k i n g around.

Hence "password hacker", "network hacker". The correct term for this sense is cracker.

I l t e r m i n e c o r r e t t o da u t i l i z z a r e per i n d i c a r e c o l o r o che si i n t r o d u c o n o n e i s i s t e m i senza a u t o r i z z a z i o n e -4 c r a c k e r .

1 A C r a c k e r C o i n e d ca. 1985 by hackers in defense against journalistic misuse of hacker. An

earlier a t t e m p t t o establish " w o r m " in this sense around 1981-82 on Usenet was largely a
failure.

M i n a c c e i n rete

I l p r o b l e m a della sicurezza " e s p l o s o " n e g l i u l t i m i d e c e n n i s o p r a t t u t t o a causa d e l l a connettivit

che ha p o r t a t o alla m o d i f i c a dei p a r a d i g m i d i elaborazione.
F i n o agli a n n i '80 l a s t r u t t u r a d i u n sistema i n f o r m a t i v o era c o s t i t u i t a d a u n u n i c o elaboratore
c e n t r a l e che c o n t e n e v a t u t t e le i n f o r m a z i o n i e a l quale si c o n n e t t e v a n o p o s t a z i o n i " s t u p i d e " che v i
a c c e d e v a n o m e d i a n t e c o m u n i c a z i o n e " u n i c a s t " , t r a m i t e l i n e e dedicate.

CED

Concentratore

ti

Terminali
C o n le r e t i l o c a l i d i p e r s o n a l c o m p u t e r i n t e l l i g e n t i e
c o n l ' a v v e n t o d i I n t e r n e t , l e i n f o r m a z i o n i e l'elaboraz i o n e n o n sono pi c o n c e n t r a t e m a d i s t r i b u i t e e l a com u n i c a z i o n e a v v i e n e i n " b r o a d c a s t " g e n e r a l m e n t e su
linee condivise.

Le reti locali in " b r o a d c a s t " costituiscono un p u n t o d e b o l e dal p u n t o di

vista della sicurezza.

I n u n a rete Lan E t h e r n e t i l m e z z o fisico d i c o m u n i c a z i o n e ( c a v o ) c o n d i v i s o da t u t t i gli h o s t e d

collassato a l l ' i n t e r n o d e l l ' H u b o dello S w i t c h che h a n n o i l c o m p i t o d i a m p l i f i c a r e i l segnale proven i e n t e da u n a p o r t a e d i r i t r a s m e t t e r l o sulle a l t r e p o r t e .

HUB/switch

R1

Pd

116

Pc2

Pc3

La sicurezza nei sistemi informativi

H e aziendale successivamente connessa a Internet t r a m i t e u n r o u t e r i n grado d i i n s t r a d a r e i l

i c o da e verso l'esterno e q u i n d i passibile d i accessi indesiderati da h o s t e s t e r n i a v e n t i lo scopo
j m p r o m e t t e r e le funzionalit della rete o c a r p i r n e i n f o r m a z i o n i d i interesse.

HUB/switch

Server
di posta

B p p o n i a m o a d e s e m p i o che l ' u t e n t e A stia s c a r i c a n d o l a p r o p r i a posta e l e t t r o n i c a d a u n server

s c o t o d i posta e l e t t r o n i c a e u n u t e n t e B sia i n t e n z i o n a t o a v e n i r n e a c o n o s c e n z a : c o n u n n o r m a l e
.-: Sniffer l ' u t e n t e B pu analizzare t u t t i i p a c c h e t t i che c i r c o l a n o su u n a rete locale, i n d i v i ICTC la p a s s w o r d d e l l ' u t e n t e A , e q u i n d i accedere a sua v o l t a alle i n f o r m a z i o n i p r e s e n t i s u l server.

oacket s n i f f e r " n o n s o n o stati realizzati a f a v o r e d e i cracker ma c o m e p r o g r a m m i d i d i a " ostica d e l l e reti grazie al f a t t o che s o n o in g r a d o d i c a t t u r a r e , analizzare e d e c o d i f i c a r e t u t t i
s a c c h e t t i in transito p e r m e t t e n d o d i i n d i v i d u a r e gli errori d i trasmissione e d i c o n o s c e r e lo
stato della rete; di f a t t o s o n o d i v e n u t i un i m p o r t a n t e s t r u m e n t o p e r i m a l i n t e n z i o n a t i .

Breve storia degli attacchi informatici

. _rczza i n f o r m a t i c a nasce s o p r a t t u t t o perch nell'arco della s t o r i a d e l l ' i n f o r m a t i c a si sono svipaie " t e c n i c h e d i a z i o n i n o c i v e " che m a l i n t e n z i o n a t i h a n n o messo a p u n t o per danneggiare e/o i m essarsi d i d a t i aziendali e/o personali: r i p e r c o r r i a m o b r e v e m e n t e le tappe d e i " c o m p u t e r c r i m e " .

prevenzione dai p r i m i v i r u s
p r i m i seri casi d i " v i r u s " e " w o r m " i n i z i a l a p r e v e n z i o n e : i l d i p a r t i m e n t o " U n i t e d States
C o m p u t e r S e c u r i t y C e n t e r " prepar e diffuse u n p o s t e r per sensibilizzare g l i u t e n t i d e i
r sui n u o v i p e r i c o l i .

7: p a k i s t a n v i r u s (o B r a i n V i r u s )
f r a t e l l i t i t o l a r i del n e g o z i o Brain C o m p u t e r Service n e l l a citt d i L a h o r e , r i s p e t t i v a m e n t e d i
a n n i , s v i l u p p a r o n o i l v i r u s c h e i n f e t t a v a i l s e t t o r e d i b o o t c a m b i a n d o i l n o m e d e l disco i n

117

Brain e i n c l u d e v a n e l c o d i c e u n a s t r i n g a d i testo c o n i l o r o n o m i , i n d i r i z z o e n u m e r o telefonicc

Q u e s t o v e n i v a i n s e r i t o i n c o p i e a b u s i v e d e l p r o g r a m m a L O T U S 1-2-3 v e n d u t o a 1,50 d o l l a r i anz:
che a 450.

1 9 8 8 : interesse della s t a m p a
I l f e n o m e n o inizi a d i f f o n d e r s i a n c h e grazie a i mass m e d i a : l a r i v i s t a
" T i m e " dedic l a c o p e r t i n a a i v i r u s d e i c o m p u t e r : n e l l o stesso a n n o s i
t e n n e a n c h e i l "raduno internazionale
di hacker e scrittori di virus".

2 0 0 0 : i l G 8 dediea u n a sessione
I l G 8 d i Parigi del maggio 2 0 0 0 dedic u n a sessione d i l a v o r o a H i g h Tech
C r i m e , s o t t o l i n e a n d o l ' i m p o r t a n z a d e l f a t t o r e "velocit": le tecnologie
i n v e c c h i a n o o g n i 18 m e s i , i n I n t e r n e t si m o d i f i c a n o o g n i 3, q u i n d i a i fini
della sicurezza, n e l l a rete, u n a n n o solare equivale, v i r t u a l m e n t e , a t r e
mesi.
/

A G 8 officials a n d t h e private s e c t o r m e e t to discuss c o m b a t i n g c o m p u t e r crime

Senior representatives o f the governments and the private sector from all G8 countries, and
the European Commission, met here this week t o continue discussions on c o m b a t i n g high-tech crime
and the criminal exploitation of the Internet by exploring possible solutions that enhance the public interest, including the protection of public safety, privacy and other social values and the encouragement
of the growth of the information society and e-commerce.
v
A

2 0 0 1 : attacco durante i l G 8
D u r a n t e i l G 8 d i G e n o v a d e l l u g l i o 2 0 0 8 f u r o n o s f e r r a t i 2 0 0 a t t a c c h i a l s i t o che gestiva l a manifestaz i o n e : 1 3 0 dall'estero e 7 0 d a l l ' I t a l i a ; si tent a n c h e d i i n f e t t a r e i l s i t o d e l l a m a n i f e s t a z i o n e u t i l i z z a n d o i l w o r m C o d e Red, gi n o t o p e r aver i n f e t t a t o l a Casa
Bianca.
Code Red d i v e n u t o famoso p e r l a sua "velocit d i d i f f u s i o n e " :
19 l u g l i o 2 0 0 1 o r e 2 4 : 0 0 159 n o d i i n f e t t a t i ;
> 20 luglio 2 0 0 1 ore 24:00 341.015 n o d i infettati;
q u i n d i o l t r e 3 0 0 . 0 0 0 i n f e z i o n i i n u n solo g i o r n o !

A C o d e r e d The original C o d e Red w o r m initiated a distributed denial of service (DDoS)

attack on the White House. That means all the computers infected with C o d e Red tried to
contact the W e b servers at the W h i t e House at the same t i m e , overloading the machines. " C o d e Red
W o r m " , also known as l-Worm.Bady and W32/Bady.worm f r o m Symantec Antivirus Research Center, is
a self-replicating malicious code that exploits a known vulnerability in IIS servers. Once it has infected a
system, it multiplies itself and it begins scanning random IP addresses at TCP port 80 looking for other
IIS servers t o infect.

2 0 0 4 : attacco a i c e l l u l a r i
Nel 2 0 0 4 v e n n e r o e f f e t t u a t i i p r i m i t e n t a t i v i d i i n f e z i o n e a t e l e f o n i c e l l u l a r i e p a l m a r i : i l p r i m o v i r u s
p e r Pocket-PC f u Dut a l quale fece seguito u n t r o j a n c h i a m a t o Brador.
Nel mese d i n o v e m b r e 2 0 0 4 v e n n e s c o p e r t o u n a l t r o t r o j a n d e n o m i n a t o Skulls, p r e s e n t e su a l c u n i
p r o g r a m m i s h a r e w a r e S y m b i a n s c a r i c a b i l i da web, che, u n a v o l t a i n s t a l l a t o su u n o s m a r t p h o n e , n e
a n n u l l a v a q u a s i t u t t e le funzionalit c o n s e n t e n d o a l l ' u t e n t e d i effettuare solo telefonate, senza per
p o t e r i n v i a r e messaggi n u t i l i z z a r e l a connessione a l W e b o l e a l t r e a p p l i c a z i o n i .

2005: inizia il phishing

l i r a i l 2 0 0 5 - 2 0 0 6 n a c q u e i l f e n o m e n o d e l phishing,
cio la t r u f f a c o n la quale u n aggressore cerca d i
sgannare l a v i t t i m a c o n v i n c e n d o l a a f o r n i r e i n f o r m a z i o n i p e r s o n a l i s e n s i b i l i : p a r t i c o l a r e interesse
0 0 gli a c c o u n t p e r i s e r v i z i finanziari, che p r i m e g g i a n o c o n i l 9 2 , 6 % degli a t t a c c h i .
fcpjrtiamo
u n e l e n c o d i p o s s i b i l i o b i e t t i v i degli a t t a c c h i d i p h i s h i n g :
i i a r e le a b i t u d i n i d e l l ' u t e n t e ;
I spiare a c q u i s t i o n l i n e ;
re t r a c c i a d e i s i t i v i s i t a t i ;
I sene re t r a c c i a degli a c q u i s t i o n l i n e ;
re t r a c c i a d e i d o w n l o a d ;
I c a r p i r e i l PIN d i c a r t e d i c r e d i t o e p a s s w o r d ;
x ^ c r i r s i i n sessioni d i e - c o m m e r c e ;
e c e t t u a r e a t t a c c h i D D O S ( D i s t i b u i t e d d e n i a l of s e r v i c e ) .
mezzi m a g g i o r m e n t e u t i l i z z a t i :
urare s c h e r m a t e ;
Jircare la pagina i n i z i a l e del b r o w s e r ;
^ ^ H d i f i c a r e la pagina i n i z i a l e del m o t o r e d i r i c e r c a :
apparire finestre p o p - u p ;
-.ungere n u o v i l i n k i n g a n n e v o l i sulle pagine web;
are pubblicit m i l l a n t a n d o p r e m i ;
ditcare pagine w e b ;
- -imere i l c o n t r o l l o r e m o t o del PC;
".aliare software senza a v v i s i ;
' nettere a server r e m o t i p i r a t a ;
re vulnerabilit web.
1

d i oggi sono m o l t e p l i c i e " s e m p r e n u o v i " , d o v u t i alle d i m e n s i o n i della r e t e e alla capillarit

a n n e s s i o n i , alle tecnologie w i - f i e q u i n d i alla connettivit t o t a l e da q u a l u n q u e d i s p o s i t i v o
n u o v i s i s t e m i o p e r a t i v i e alle n u o v e capacit d i m e m o r i a ,
d i c o n n e s s i o n i t e r r e s t r i , m a r i n e e s a t e l l i t a r i ha a n n u l l a t o d i s t a n z e e t e m p o !

turo prossimo

s s i m o f u t u r o p o s s i a m o p r e v e d e r e che si a v r a n n o u l t e r i o r i n u o v i r i s c h i d o v u t i i n p r i m o luogo
. icit e a l t r a s f e r i m e n t o i n g e n t e d i d a t i c o n l'interconnettivit p l a n e t a r i a , s o p r a t t u t t o dei
p*=s ergenti e a s i a t i c i .
=

JDO s i c u r a m e n t e n u o v i s v i l u p p i n e l l ' i n t e g r a z i o n e d e l l ' a m b i e n t e d o m e s t i c o ( d o m o t i c a ) e d i

i z i e n d a l e , c o n c o n n e s s i o n i s e m p r e pi wireless c o n distanze s e m p r e pi c o n s i d e r e v o l i ,
zzabile che l ' a u m e n t o delle c o n o s c e n z e porter u n s e m p r e maggior g r u p p o d i u t e n t i nella
-sione globale, a u m e n t a n d o d i f a t t o a n c h e i l n u m e r o d e i m a l i n t e n z i o n a t i .

k u r e z z a di u n sistema informatico
a s t e n i a d i sicurezza l ' o b i e t t i v o q u e l l o d i proteggere e c u s t o d i r e " i p r o p r i b e n i " , che
^ ^ D n o s t r o sono le informazioni
trasmesse, che q u i n d i c i r c o l a n o sulla rete, e i dati che sono
MaBBnzzati negli a r c h i v i .

119

I l problema della sicurezza nelle r e t i riveste u n a grande i m p o r t a n z a d a t o c h e ie r e t i p e r l o r o n a t u r a

n o n sono s i c u r e : m o l t e p l i c i sono l e m i n a c c e e i p e r i c o l i p e r i d a t i che sono p r e s e n t i n e i d i v e r s i host
e c h e c i r c o l a n o sulla rete.

In sintesi, q u i n d i , g a r a n t i r e la sicurezza d i un sistema i n f o r m a t i v o significa i m p e d i r e a p o t e r

ziali s o g g e t t i attaccanti l'accesso o l'uso n o n a u t o r i z z a t o d i i n f o r m a z i o n i e risorse.

C o n "soggetti a t t a c c a n t i " i n t e n d i a m o c o l o r o c h e c e r c a n o d i accedere i n rete m e d i a n t e u n a operaz i o n e illegale ( a t t a c c o i n f o r m a t i c o ) c o n i pi d i s p a r a t i s c o p i , d a l l a r i c e r c a d i u n guadagno e c o n o m i co o p o l i t i c o , alla volont d i danneggiare u n a o r g a n i z z a z i o n e o u n a i s t i t u z i o n e , alla s e m p l i c e sfida o
divertimento.
I d a n n i che possono derivare dagli a t t a c c h i i n f o r m a t i c i possono essere pi o m e n o gravi a seconda della
volont e del t i p o d i attacco: possono andare dal f u r t o d i danaro o d i i n f o r m a z i o n i , a l danneggiamento
parziale o totale d i a r c h i v i o servizi, alla violazione della p r i v a c y c o n la diffusione d i d a t i riservati ecc.
U n a d e f i n i z i o n e d i sicurezza i n f o r m a t i c a la seguente:

SICUREZZA INFORMATICA
C o n sicurezza informatica si intende l'insieme dei p r o d o t t i , dei servizi, delle regole organizzative e dei c o m p o r t a m e n t i individuali che p r o t e g g o n o i sistemi informatici di un'azienda.
Ha il c o m p i t o di p r o t e g g e r e le risorse da accessi indesiderati, garantire la riservatezza delle
informazioni, assicurare il f u n z i o n a m e n t o e la d i s p o n i b i l i t dei servizi a fronte di eventi imprevedibili.

V i e n e spesso i n d i c a t a c o n l ' a c r o n i m o CIA (dalle i n i z i a l i d i

C o n f i d e n t i a l i t y , I n t e g r i t y , A v a i l a b i l i t y ) , dove i p r i m i due term i n i si riferiscono ai d a t i m e n t r e i l t e r z o al s i s t e m a :
9 d a t a c o n f i d e n t i a l i t y : m a n t e n e r e la segretezza d e i d a t i ;
d a t a i n t e g r i t y : e v i t a r e c h e i d a t i vengano a l t e r a t i ;
I s y s t e m a v a i l a b i l i t y : g a r a n t i r e c h e i l s i s t e m a continuer a
operare.
Q u e s t i o b i e t t i v i sono t r a l o r o s t r e t t a m e n t e c o n n e s s i e gener a n o i l seguente i n s i e m e d i a s p e t t i c h e sono alla base dell'an a l i s i dei r i s c h i d e l l a s i c u r e z z a d i u n s i s t e m a i n f o r m a t i v o .
I A u t e n t i c a z i o n e (authentication):
c o n a u t e n t i c a z i o n e si i n t e n d e i l processo d i r i c o n o s c i m e n t o delle c r e d e n z i a l i
d e l l ' u t e n t e i n m o d o da a s s i c u r a r s i dell'identit d i c h i i n v i a
messaggi o esegue o p e r a z i o n i , e v i t a n d o c h e u n m a l i n t e n z i o n a t o s i spacci p e r q u a l c u n a l t r o .
L'identit d i u n u t e n t e pu essere v e r i f i c a t a p e r m e z z o d i c o n o s c e n z a d i i n f o r m a z i o n i riservate
c h e gli p e r m e t t o n o l'accesso al s i s t e m a i n f o r m a t i v o ( p a s s w o r d ) , t r a m i t e oggetti e l e t t r o n i c i (smart
card) oppure c o n s t r u m e n t i d i r i c o n o s c i m e n t o biologici, quali l ' i m p r o n t a digitale, i l fondo retina
ecc.
9 A u t o r i z z a z i o n e (authorisation):
l ' u t e n t e a u t e n t i c a t o , c h e q u i n d i pu accedere a l sistema, de
avere associato l'insieme delle autorizzazioni,
cio l'elenco c h e specifica q u a l i sono le a z i o n i permesse e q u a l i negate, a q u a l i risorse pu accedere e q u a l i d a t i c o n s u l t a r e e/o m o d i f i c a r e .
9 Riservatezza ( p r i v a c y ) : c o n riservatezza si i n t e n d e l'aspetto
Nessun u t e n t e d e v e p o t e r
pi classico, cio che le i n f o r m a z i o n i siano leggibili e c o m o t t e n e r e o d e d u r r e dal sistep r e n s i b i l i solo a c h i n e ha i d i r i t t i (solo le persone a u t o r i z ma informazioni che non
zate): necessario che gli a l t r i u t e n t i n o n le possano interautorizzato a conoscere.
c e t t a r e o, c o m u n q u e , n o n siano i n grado d i c o m p r e n d e r l e .

120

La sicurezza nei sistemi informativi

ponibilit ( a v a i l a b i l i t y ) : u n d o c u m e n t o deve essere disponibile i n q u a l u n q u e m o m e n t o a c h i

ne a u t o r i z z a t o ; necessario, q u i n d i , g a r a n t i r e l a continuit del s e r v i z i o p e r c i a s c u n u t e n t e che
deve p o t e r accedere e u t i l i z z a r e l e risorse e i d a t i i n o g n i m o m e n t o .

grit (integrity):
c o n integrit dei documenti s i i n t e n d e l'avere l a g a r a n z i a e l a c e r t e z z a c h e
u n d o c u m e n t o sia o r i g i n a l e e che i l suo c o n t e n u t o n o n sia stato l e t t o e/o a l t e r a t o e m o d i f i c a t o da
altre p e r s o n e n o n a u t o r i z z a t e : solo c h i a u t o r i z z a t o deve p o t e r p o r t a r e m o d i f i c h e a i d o c u m e n t i .
- o m u n q u e necessario p r e v e n i r e a n c h e a z i o n i i n v o l o n t a r i e o m a l d e s t r e che p o t r e b b e r o p o r t a r e
al d a n n e g g i a m e n t o d i d a t i e/o d i d o c u m e n t i o d i s t r u m e n t i i n grado d i v e r i f i c a r e se q u e s t i e v e n t i
io a c c a d u t i .

rnit: o g n i d o c u m e n t o deve essere associato a u n u t e n t e e questo u t e n t e n o n deve p o t e r r i p u d i a r e o negare messaggi da l u i s p e d i t i o f i r m a t i .

I n o l t r e spesso a n c h e r i c h i e s t o d i avere l a t r a c c i a b i l i t dei d o c u m e n t i , i n m o d o da sapere c h i e
q u a n d o h a l e t t o o c o n s u l t a t o o, s e m p l i c e m e n t e , h a effettuato u n accesso i n u n a r c h i v i o .

I
I

R i c o r d i a m o che un d o c u m e n t o e l e t t r o n i c o ha valenza d i prova f o r m a l e e d usabile in t r i b u naie, m a d e v e essere d i m o s t r a t o in m o d o i n n e g a b i l e l'autore d e l d o c u m e n t o , c i o I'

e l'iutenticazione del mittente e l ' i n t e g r i t del documento.

e m i s u r e d a i n t r a p r e n d e r e p e r o t t e n e r e l a segretezza possono essere a n c h e a f f r o n t a t e i n d i v e r s i

.elli della p i l a p r o t o c o l l a r e :
r

a livello fisico: si pu cercare d i i m p e d i r e c h e avvengano i n t e r c e t t a z i o n i d i d a t i , cio che i n t r u s i

possano c o n n e t t e r s i alla r e t e e p r e l e v a r e l e i n f o r m a z i o n i ;
a l i v e l l o d i data link: s i possono i n t r o d u r r e c o d i f i c h e e c i f r a t u r e d e i d a t i trasmessi p e r r e n d e r l i
i n c o m p r e n s i b i l i ai cracker.

Valutazione dei rischi

; = u n q u a l u n q u e processo aziendale, l a v a l u t a z i o n e d e i r i s c h i pu essere s t u d i a t a s c o m p o n e n d o ci e a n a l i z z a n d o p e r o g n i fase i s i n g o l i c o m p o n e n t i che l a c o s t i t u i s c o n o .

HB
8

->iamo i n d i v i d u a r e d u e fasi essenziali:

analisi dei rischi;
gestione della problematica.

a analisi dei rischi s i i n d i v i d u a n o p e r ogni s e r v i z i o l e s i B r i o n i d i vulnerabilit d e i d i v e r s i -4 asset e p e r c i a s c u ni esse v e n g o n o elencate l e p o s s i b i l i m i n a c c e , dove c o n

i n t e n d i a m o u n evento
intenzionale
(attacco) o
ideatale che pu causare l a p e r d i t a d i u n a propriet d i
izza.

A A s s e t C o n asset si i n tende l ' i n s i e m e d i b e n i ,

d a t i e persone necessar i e all'erogazione d i u n
servizio IT.

. . a s c u n s e r v i z i o offerto dalla I T g l i asset d i r i f e r i m e n t o d e i s i s t e m i i n f o r m a t i v i sono:

se u m a n e ;
^enologiche;
ione dei m a c c h i n a r i .
:

i o gi d e s c r i t t o l e p r o b l e m a t i c h e connesse agli e v e n t i n a t u r a l i : o r a a f f r o n t i a m o l e m i n a c c e
d i s t i n g u e n d o l e i n d u e g r u p p i e i n d i c a n d o p e r c i a s c u n o g l i e l e m e n t i c a r a t t e r i s t i c i e/o d i v u l -abilit.

21

Minacce alla sicurezza

Umane

Inondazioni, incer:
terremoti e tempes'e

Involontarie

Internazionali

Utenti esterni come

cracker o hacker

Naturali

Utenti interni come

dipendenti scontenti

Dipendenti inesperti

ESEMPIO
Tra gli e v e n t i intenzionali,
cio g l i a t t a c c h i , p o s s i a m o i n d i v i d u a r e :
9 IP s p o o h n g / shadow server: q u a l c u n o si s o s t i t u i s c e a u n host;
I p a c k e t s n i f n n g : si leggono p a s s w o r d d i accesso e/o d a t i r i s e r v a t i ;
9 c o n n e c t i o n h i j a c k i n g / data spoohng: si i n s e r i s c o n o / m o d i f i c a n o i d a t i d u r a n t e i l l o r o t r a n s i t o i n rete:
I denial-oi'-serviee ( D o S ) e d i s t r i b u t e d DoS ( D D o S ) : si i m p e d i s c e i l f u n z i o n a m e n t o d i u n servizio.
Tra g l i e v e n t i accidentali,
cio g l i e r r o r i e/o m a l f u n z i o n a m e n t i , possiamo i n d i v i d u a r e :
I n o n adeguatezza delle s t r u m e n t a z i o n i , delle p o l i t i c h e e delle tecnologie d i b a c k u p ;
locale server sensibile alle i n o n d a z i o n i ;
9 armadi contenenti i supporti magnetici/ottici n o n ignifughi;
e r r a t a gestione delle p a s s w o r d ;
9 m a n c a n z a d i g r u p p i d i continuit;
9 ecc.

Per c i a s c u n a situazione di rischio si p r o c e d e c o n u n a s t i m a p r o b a b i l i s t i c a della verificabilit defTevento d a n n o s o e i l grado d i dannosit d i c i a s c u n evento.

Servizio

Asset
Dati
Risorse ITC

Risorse umane
Location

Eventi

Minacce

Probabilit
dell'evento

Stima del rischio

122

La sicurezza nei sistemi informativi

ogni evento dannoso si i n d i v i d u a n o e studiano le possibili c o n t r o m i s u r e evidenziando quelle che ofao i l miglior rapporto prezzo/prestazioni, che siano necessarie e siano effettivamente i m p l e m e n t a b i l i .
rgura seguente r i p o r t a u n o s c h e m a r i a s s u n t i v o d e l processo

Vulnerabilit

Asset

Rischi
Selezione
contromisure

della stima dei

rischi.

Analisi

Minacce (threat)

Gestione

Implementazione
contromisure
Audit

procede c o n l ' i m p l e m e n t a z i o n e delle c o n t r o m i s u r e i n d i v i d u a t e , c h e n e c e s s a r i a m e n t e d e v o n o

uuite d a test e v a l u t a z i o n i p e r a n a l i z z a r n e l'efficacia e l'efficienza.

Principali tipologie di minacce

-radiare le possibili c o n t r o m i s u r e da o p p o r r e a ogni evento dannoso necessario i n p r i m o luogo
i n d u a r e e classificare i possibili a t t a c c h i ai q u a l i pu essere sottoposto u n sistema i n f o r m a t i c o .
j
aggressori h a n n o g e n e r a l m e n t e d e l l e ragioni o d e g l i obiettivi
c h e v a n n o dal s e m p l i c e
r s t ' u z i o n i s m o c h e mira a ostacolare le n o r m a l i a t t i v i t d e l l ' a z i e n d a alla v o l o n t d i sottrarre
: n a z i o n i : p e r r a g g i u n g e r e q u e s t i s c o p i , utilizzano tecniche,
metodi e s t r u m e n t i a p p o s i t i
i t e sfruttano vulnerabilit
presenti nel sistema, nei c o n t r o l l i o nei criteri d i sicurezza.

Obiettivo

Metodo

Vulnerabilit

Attacco

ATTACKS A l SISTEMI INFORMATICI

BK

C o n a t t a c c o a un sistema i n f o r m a t i c o si i n t e n d o n o i t e n t a t i v i di accesso n o n autorizzato

a un sistema i n f o r m a t i v o che p o s s o n o essere distinti in d u e t i p o l o g i e :
> attacchi d i m o s t r a t i v i , n o n p e r i c o l o s i , v o l t i a d i m o s t r a r e l ' a b i l i t del cracker;
~3cchi criminali:
" a c c e all'accesso delle informazioni, volte all'intercettazione o alla modifica di dati n o n p r o p r i ;
- a c c e ai servizi, p e r i m p e d i r e l'utilizzo di d e t e r m i n a t i servizi agli u t e n t i .
:

rima d i s t i n z i o n e t r a g l i a t t a c c h i pu essere f a t t a i n a t t a c c h i passivi e a t t a c c h i a t t i v i c h e a l o r o

w i l d h a n n o diverse possibilit.

123

A t t a c c h i passivi

S^^^^^^^^^^^^^^^^^^^^^MI

L e t t u r a del contenuto a d esempio mediante

lo s n i f f i n g d i p a c c h e t t i sulla L A N ;

Q u e s t e t i p o l o g i e d i attacchi s o n o m o l t o ; fiorili da rilevare d a t o che n o n p r o d u c o n o ef-

9 a n a l i s i d e l sistema e d e l traffico d i rete, senza a n a l i z z a r e i c o n t e n u t i .

fetti i m m e d i a t i visibili: solo possibile fans

prevenzione.

A t t a c c h i attivi
9 I n t e r c e t t a z i o n e : a differenza d i q u e l l a passiva c h e si l i m i t a a " s p i a r e " i d a t i ( p a c k e t s n i f f i n g ) , q u e la a t t i v a m i r a a i n t e r c e t t a r e l e p a s s w o r d p e r avere accesso a l s i s t e m a e d effettuare m o d i f i c h e ai
d a t i . E possibile c h e p e r effettuare l ' i n t e r c e t t a z i o n e sia necessario u n a t t a c c o p r e v e n t i v o p e r istallare c o m p o n e n t i h a r d w a r e ( d i s p o s i t i v i p i r a t a ) o software s p e c i f i c i . A d esempio, p o t r e b b e r o essere
i n s e r i t i n e l l a rete d e i server p i r a t a (shadow server) c h e si s p a c c i a n o p e r i server o r i g i n a l i n e i quaL
sono state m o d i f i c a t e le tabelle d i r o u t i n g ( s p o o f i n g ) o p p u r e possono essere i n s t a l l a t i p r o g r a m m i
che e m u l a n o servizi d e l sistema registrando al c o n t e m p o le i n f o r m a z i o n i riservate digitate dall'ut e n t e : p o t r e b b e essere s o s t i t u i t o i l p r o g r a m m a d i l o g i n cos c h e q u a n d o u n u t e n t e s i c o n n e t t e gli
viene intercettata la password (password cracking).
9 S o s t i t u z i o n e d i u n h o s t : s e m p r e t r a m i t e l a m o d i f i c a delle tabelle d i i n d i r i z z a m e n t o d e i r o u t e r (
s p o o f i n g ) q u a l c u n o s i sostituisce a u n h o s t falsificando l ' i n d i r i z z o d i rete d e l m i t t e n t e (solitam e n t e s i falsifica l ' i n d i r i z z o d i l i v e l l o 3 ( I P ) m a n u l l a v i e t a d i falsificare a n c h e q u e l l o d i l i v e l l o 21
Q u e s t o t i p o d i a t t a c c o p r e n d e i l n o m e d i s o u r c e a d d r e s s s p o o f i n g e h a l o scopo d i effettuare la
falsificazione d i d a t i m e d i a n t e l'accesso n o n a u t o r i z z a t o a i s i s t e m i i n f o r m a t i v i .
9 P r o d u z i o n e : i m a l i n t e n z i o n a t i p r o d u c o n o n u o v i c o m p o n e n t i c h e v e n g o n o i n s e r i t i n e l s i s t e m a con
lo scopo d i p r o d u r r e u n d a n n o , e n o n d i p r e l e v a r e i n f o r m a z i o n i . Sono d e i v e r i e p r o p r i a t t i d i
sabotaggio c h e h a n n o l ' o b i e t t i v o d i r i d u r r e l'integrit e l a disponibilit delle risorse d e l sistema.
Le p r i n c i p a l i t e c n i c h e d i d i s t u r b o sono le seguenti:
- a t t a c c h i virus: p r o g r a m m a c h e p r o v o c a d a n n i e si r e p l i c a " i n f e t t a n d o " a l t r i h o s t ;
- a t t a c c h i t r a m i t e -4 w o r m : l a sua c a r a t t e r i s t i c a p r o p r i o c h e s i r e p l i c a senza bisogno d i " a t t a c c a r s i " a u n a l t r o p r o g r a m m a p r o v o c a n d o d a n n i p r o p r i o perch " c o n s u m a " risorse;
- a t t a c c h i d i d i s t u r b o d e n i a l o f s e r v i c e (DoS): i n questa categoria r i e n t r a n o le t e c n i c h e c h e m i r a n o
a " t e n e r e o c c u p a t o " u n h o s t c o n o p e r a z i o n i i n u t i l i cos da i m p e d i r e c h e possa offrire i p r o p r i
s e r v i z i alla rete.
A l c u n e t e c n i c h e d i D o S sono l e s e g u e n t i :
- s a t u r a z i o n e d e l l a posta/log;
- ping flooding ("guerra dei ping");
- SYN a t t a c k ;
- d i s t r i b u t e d denial-of-serviee ( D D o S ) : v i e n e i n s t a l l a t o u n software p e r DoS su m o l t i n o d i c o s t i t u e n d o u n a B o t n e t : q u e s t i p r o g r a m m i sono a n c h e c h i a m a t i d a e m o n , z o m b i e o m a l b o t ( i daem o n sono g e n e r a l m e n t e c o n t r o l l a t i r e m o t a m e n t e da u n m a s t e r t r a m i t e c a n a l i c i f r a t i e h a n n o
capacit d i a u t o - a g g i o r n a m e n t o ) .
:

'.
7~,
\
\
4 W o r m A destructive program that replicates itself throughout a single computer or across a
network, b o t h wired and wireless. It can do damage by sheer reproduction, consuming internal
disk and memory resources within a single computer or by exhausting network bandwidth. It can also
deposit a Trojan that turns a computer into a zombie for spam and other malicious purposes. Very often,
the terms " w o r m " and "virus" are used synonymously; however, worm implies an automatic m e t h o d for
reproducing itself in other computers.

I P h i s h i n g ; a t t r a v e r s o s p a m m i n g d i e m a i l si a t t r a e u n u t e n t e su u n server p i r a t a ( s h a d o w server):
i n m o d o d a c a t t u r a r e le c r e d e n z i a l i d i a u t e n t i c a z i o n e o a l t r e i n f o r m a z i o n i p e r s o n a l i ; o p p u r e v i e n e
i n v i t a t o l ' u t e n t e a i n s t a l l a r e u n p l u g i n o u n a estensione c h e i n realt sono o v i r u s o t r o j a n . U n a

124

La sicurezza nei sistemi informativi

v a r i a n t e e v o l u t a l o spear p h i s h i n g che i n c l u d e n e l l a m a i l m o l t i d a t i p e r s o n a l i p e r a u m e n t a r e l a
credibilit d e l messaggio.
r u s i o n e : l ' i n t r u s i o n e l'accesso v e r o e p r o p r i o n o n a u t o r i z z a t o a u n o o pi host, che pu essere
i l r i s u l t a t o delle t e c n i c h e p r i m a d e s c r i t t e : u n a v o l t a c h e u n i n t r u s o si i n t r o d o t t o i n u n sistema
pu m o d i f i c a r e o c a n c e l l a r e le i n f o r m a z i o n i a l t r u i , prelevare i d a t i che g l i i n t e r e s s a n o , i n t r o d u r r e
d a t i falsi ecc.
Alcuni attacchi ( < a t t a c k s ) attivi v e n g o n o effettuati s f r u t t a n d o i b u g presenti nel software:
n o t o che anche il software p i c o l l a u d a t o n o n i m m u n e a difetti che g e n e r a l m e n t e si m a n i f e stano nel t e m p o e questi b u g v e n g o n o sfruttati per fini illegali, g e n e r a l m e n t e p e r attacchi di
d i s t u r b o DoS.

I I

c o r d i a m o un classico b u g p r e s e n t e nel sistema o p e r a t i v o W i n N T server ( 3 . 5 1 , 4.0): se v e niva inviata m e d i a n t e Telnet alla p o r t a 135 una sequenza d i 10 caratteri s e g u i t i d a < C R > il
server i n t e r r o m p e v a il suo servizio in q u a n t o si aveva l ' o c c u p a z i o n e d i CPU al 1 0 0 % senza c h e
enisse s v o l t o alcun lavoro!
:

Attacks "Attack technology is developing in a open-source environment and is evolving

*"ensive strategies are reactionary"
"cusands - perhaps millions - of system with weak security are connected to the Internet"
e olosion in use of the Internet is straining our scarse technical talent. The average level of system
r- nistrators . . . has decreased dramatically in the last 5 years"
e - s ngly complex sw is being written by programmers who have no training in writing secure c o d e "
cacks and attack tools trascend geography and national boundaries"
I e i fficulty of criminal investigation of cybercrime coupled with the complexity of international law
rs t h a t . . . prosecution of computer crime is unlikely"
'-'oadmap for defeating DDOS attacks"

s i c u r e z z a nei sistemi informativi distribuiti

iectssario i n t r o d u r r e delle m i s u r e i n grado d i proteggere sia l e i n f o r m a z i o n i p r e s e n t i sugli host e
S t a n t i sulla r e t e , sia l e risorse e i s e r v i z i che v e n g o n o o f f e r t i agli u t e n t i .
j r m e ISO d a n n o l a seguente d e f i n i z i o n e d i sicurezza.

SICUREZZA
La sicurezza l'insieme d e l l e misure a t t e a g a r a n t i r e la d i s p o n i b i l i t , la i n t e g r i t e la
riservatezza d e l l e i n f o r m a z i o n i g e s t i t e .

wm& q u e s t i m e c c a n i s m i d i s i c u r e z z a h a n n o i l c o m p i t o d i r i l e v a r e , p r e v e n i r e o p o r r e
q u a l u n q u e a z i o n e che c o m p r o m e t t a l a s i c u r e z z a delle i n f o r m a z i o n i .
amo
mezza
mezza
avello

rimedio

agli

u n a d i s t i n z i o n e t r a la:
nella r e t e ;
sugli h o s t :
d i sistema o p e r a t i v o (generale su l ' h o s t ) ;

r - c l l o d i a p p l i c a z i o n e (solo s i n g o l a r m e n t e su q u e i p r o g r a m m i che necessitano

protezione).

125

La sicurezza delle reti

A n c h e se le p r o b l e m a t i c h e sono t r a l o r o s o s t a n z i a l m e n t e l e stesse e sono t r a l o r o c o r r e l a t e dam

c h e u n a t t a c c o riuscito su d i u n h o s t p e r m e t t e a l m a l i n t e n z i o n a t o d i i n t r o d u r s i a n c h e sulla rei
viceversa: cio u n a t t a c c o r i u s c i t o alla rete pu far s c o p r i r e l e c r e d e n z i a l i degli u t e n t i e p e r n i i . : " .
d i v i o l a r e gli host c h e s o n o a essa c o n n e s s i .
Scopo d i u n a c o r r e t t a strategia d i s i c u r e z z a proteggere le i n f o r m a z i o n i i m p o r t a n t i e riservale
d e l l ' o r g a n i z z a z i o n e , r e n d e n d o l e c o n t e m p o r a n e a m e n t e d i s p o n i b i l i senza difficolt.
Per s v i l u p p a r e m i s u r e e c r i t e r i c h e c o n s e n t a n o d i proteggere l e risorse e r e n d e r l e m e n o v u l n e r
gli a m m i n i s t r a t o r i del s i s t e m a d e v o n o c o m p r e n d e r e i d i v e r s i a s p e t t i r e l a t i v i alla sicurezza.
I L'obiettivo di base quello di garantire al sistema il principio minimo di sicurezza c h e cons I ste nella protezione
dagli attacchi passivi e nel riconoscimento
degli attacchi
attivi.

Per fare ci si pu p a r t i r e a n a l i z z a n d o t u t t e le c o m p o n e n t i del s i s t e m a sia fisiche ( c a l c o l a t o r i , rou t c r c a v i ) c h e logiche (file, p r o c e s s i ecc.) e i n d i v i d u a r e p e r c i a s c u n a d i esse t u t t e le tecniche
a t t a c c o a essa a p p l i c a b i l i , separandole t r a a t t a c c h i a t t i v i e passivi.
I n o l t r e necessario m o n i t o r a r e c o n t i n u a m e n t e l a rete i n q u a n t o i m a l i n t e n z i o n a t i sono " s e m p r e al
l a v o r o " p r o g e t t a n d o e r e a l i z z a n d o s e m p r e n u o v e t e c n i c h e p e r sferrare i l o r o a t t a c c h i .
m o q u i n d i riassumere i t r e " p i l a s t r i " d e l l a s i c u r e z z a i n :
p r e v e n z i o n e ( a v o i d a n c e ) m e d i a n t e p r o t e z i o n e dei s i s t e m i e delle c o m u n i c a z i o n i ( c r i t t o g r a f i a , fir e w a l l . Y P X ecc.);
9 r i l e v a z i o n e ( d e t e c t i o n ) m e d i a n t e i l m o n i t o r a g g i o e i l c o n t r o l l o degli accessi t r a m i t e a u t e n t i c a z i o ne con password e certificati:
9 investigazione (investigation) con l'analisi dei dati, i l controllo i n t e r n o con i l confronto e la coll a b o r a z i o n e degli u t e n t i ecc.
;

Per q u a n t o riguarda l a p r e v e n z i o n e le t e c n i c h e a d o t t a t e sono elencate d i seguito e s a r a n n o oggetto

d i apposite l e z i o n i n e l seguito della p r e s e n t e unit d i a p p r e n d i m e n t o .
I Uso d e l l a c r i t t o g r a f i a : l a c r i t t o g r a f i a garantisce l a riservatezza delle i n f o r m a z i o n i e l'integrit dei
d a t i t r a s m e s s i ed u n efficace p r e v e n z i o n e c o n t r o g l i a t t a c c h i degli sniffer c h e i n t e r c e t t a n o i d a t i
i n t r a n s i t o sulla rete d e c o d i f i c a n d o i p r o t o c o l l i .

126

La sicurezza nei sistemi informativi

A u t e n t i c a z i o n e d e g l i u t e n t i : l ' a u t e n t i c a z i o n e garantisce d i riconoscere i n m o d o u n i v o c o l'identit

d e l l ' i n t e r l o c u t o r e r e m o t o i n m o d o d a avere l a sicurezza sulla autenticit e l a paternit delle i n f o r m a z i o n i : o l t r e alla a u t e n t i c a z i o n e c o n p a s s w o r d c r i p t a t e possibile i m p l e m e n t a r e m e c c a n i s m i
Pigici ( i m p r o n t e d i g i t a l i , l e t t u r a d e l l a r e t i n a ecc.) p e r l ' a u t e n t i c a z i o n e all'accesso a l singolo
host i n locale e m e c c a n i s m i d i a u t e n t i c a z i o n e che s i basano s u l l ' i n d i r i z z o IP o MA( : d e l l ' h o s t sorbente alla c o n n e s s i o n e d e l l ' h o s t alla r e t e .
Nel dettaglio a l l ' a u t e n t i c a z i o n e d e l l ' u t e n t e sono associate t r e diverse p r o b l e m a t i c h e :
sntificazione: r i s p o n d e alla d o m a n d a "chi sei?" e consiste n e l r i c o n o s c i m e n t o m e d i a n t e l'as d a z i o n e dello user I D alla p a s s w o r d o m e d i a n t e l'uso d i s m a r t - c a r d o d i d a t i b i o m e t r i c i ;
:enticazione: risponde alla d o m a n d a "come mi accerto che sei tu?", i l c u i scopo quello d i verificare l'identit d i c h i i n t e n d e utilizzare i l sistema e che questa c o r r i s p o n d a a u n utente autorizzato:
:orizzazione: r i s p o n d e alla d o m a n d a "cosa posso/are?",
e i n genere la parte pi complessa dei
En.izi d i sicurezza dato che sono m o l t i i m o d e l l i d i realizzazione che d e v o n o i n t e g r a r s i c o n le pol i t i c h e a z i e n d a l i e le c o n c e z i o n i delle metodologie applicate. L o schema classico d i c o n t r o l l o degli
accessi q u e l l o c h i a m a t o D i s c r e c t i o n a r y Access C o n t r o l o DA( l, dove viene d e f i n i t o i l p r o p r i e t a r i o
d i u n dato e d l u i a decidere quale t i p o d i accesso g l i a l t r i u t e n t i possono avere dello stesso.

^Brma

e l e t t r o n i c a : se firmiamo i d o c u m e n t i c o n la firma e l e t t r o n i c a e a b b i a m o la garanzie c h e

I questa sia a u t e n t i c a e n o n falsificabile, s i a m o c e r t i che i l d o c u m e n t o firmato n o n stato a l t e r a t o
H k q u i n d i n o n r i p u d i a b i l e i n q u a n t o l ' a u t e n t i c a z i o n e ne garantisce la paternit
I . a u t e n t i c a z i o n e d e l l e chiavi p u b b l i c h e d e v e essere effettuata m e d i a n t e terze p a r t i , le
on A u t h o r i t y , che g a r a n t i s c o n o l'integrit e l'autenticit d e l l ' e l e n c o d e l l e chiavi p u b b l i c h e
I {race. ITU A X . 5 0 9 ) .
WJF

. 5 0 9 A widely used standard for defining digital certificates. X.509 (Version 1) was first
: d in 1988 as a part o f the ITU X.500 Directory Services standard. W h e n X.509 was revised
3, t w o more fields were a d d e d resulting in the Version 2 format. These t w o additional fields supdirectory access control. X.509 Version 3 defines the format for certificate extensions used t o store
t o n a l information regarding the certificate holder and t o define certificate usage. Collectively, the
refers t o the latest published version, unless the version number is stated.
:

i s s i o n i T C P sicure m e d i a n t e SSL: realizzare delle c o n n e s s i o n i s i c u r e a l i v e l l o d i sessione

. m e n t a n d o p r o t o c o l l i c o m e i l Secure Socket L a y e r (SSL) c h e offre i s e r v i z i d i sicurezza p e r
Eacx=r.:icazionc delle p a r t i i n c o m u n i c a z i o n e , p e r g a r a n t i r e l'integrit d e i dati e la riservatezza
le . . f u m i c a z i o n i .
a i : u n sistema h a r d w a r e - s o f t w a r e d e d i c a t o alla difesa p e r i m e t r a l e d i u n a rete c h e agisce
. i o i l traffico d i p a c c h e t t i e n t r a n t i e/o u s c e n t i secondo delle regole p r e c e d e n t e m e n t e d e f i n i t e ;
configurazione d i u n firewall, p e r p r i m a cosa si deve decidere l a p o l i t i c a d i default per i
tri d i rete:
aurt d e n y : t u t t i s e r v i z i n o n e s p l i c i t a m e n t e p e r m e s s i sono negati;
;urt allow: t u t t i i s e r v i z i n o n e s p l i c i t a m e n t e n e g a t i sono permessi,
. t a l m e n t e u n firewall d i rete c o s t i t u i t o da pi m a c c h i n e d i f f e r e n t i c h e lavorano assieme p e r
accessi n o n v o l u t i : i l r o u t e r e s t e r n o , quello connesso a I n t e r n e t , i n v i a t u t t o i l traffico enil'application g a t e w a y che seleziona i p a c c h e t t i u t i l i z z a n d o apposite liste d i accesso ( A C L
n t r o l list) e l i i n o l t r a alla rete i n t e r n a : q u i n d i i l gateway filtra i l traffico e n t r a n t e e uscente,
ido i p a c c h e t t i che n o n soddisfano i r e q u i s i t i d i sicurezza i n d i v i d u a t i ( f i l t e r i n g r o u t e r ) ,
t e e r e t i p r i v a t e v i r t u a l i : possibile a c q u i s t a r e d i r e t t a m e n t e presso g l i o p e r a t o r i delle
M i c h e u n a l i n e a a uso esclusivo della a z i e n d a ( r e t i p r i v a t e ) , m a c o n c o s t i c o n s i d e r e v o l i ,
realizzare u n a rete p r i v a t a v i r t u a l e VPN c r e a n d o dei t u n n e l p r o t e t t i sulle i n f r a s t r u t t u r e d i
mediante connessioni punto-punto d i pacchetti autenticati (con contenuto informativo
incapsulati i n pacchetti tradizionali.

127