Indice

Voci
Tecniche di difesa informatica 1
Access token 1
Accountability 1
Anomaly based intrusion detection system 2
Anonimato 3
Antivirus 4
Application-level gateway 11
Architettura di reti sicure 11
L'arte dell'inganno 13
L'arte dell'intrusione 14
ASLR 14
Audit 15
Autenticazione 16
Backup 19
BitLocker Drive Encryption 23
Capability 25
CAPTCHA 25
Carta d'identità elettronica italiana 29
CCleaner 32
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche 33
Certificate authority 35
Certificate revocation list 38
Certificato digitale 39
Checksum 41
chroot 42
Clickjacking 43
Confidenzialità 44
Contactless smartcard 44
Data mining e sicurezza 45
Demilitarized zone 48
Dependability 49
Digital Signature Algorithm 51
Direct Anonymous Attestation 53
Disaster prevention 54
Disaster recovery 54
Dll injection 57
Documento programmatico sulla sicurezza 58
Extensible Authentication Protocol 59
False acceptance rate 61
FileVault 62
Filtro bayesiano 63
Fingerprint 63
Firma digitale 64
Firma elettronica 70
Gestione della continuità operativa 73
GnuTLS 74
Greylisting 75
Hardening 76
Hash 77
Hengzhi chip 81
Honeypot 82
Host-based intrusion detection system 83
Identity management 85
Identità digitale 86
Integrità dei dati 88
Internet Security Policy 89
Intrusion Countermeasures Electronics 91
Intrusion detection system 91
Intrusion prevention system 95
IS auditing 96
ISO/IEC 27001 97
IT Baseline Protection Manual 100
Jingjing e Chacha 101
Key server 102
Lista di controllo degli accessi 103
Login 104
Metodo Gutmann 107
Metodologia Octave 110
Microsoft Strider 111
Modello Bell-LaPadula 112
Modello Biba 114
Modello Brewer e Nash 115
Modello Clark-Wilson 116
MS-CHAP 117
MS-CHAPv2 118
Negazione plausibile 119
Netcraft 120
Network intrusion detection system 121
Network tap 127
Next-Generation Secure Computing Base 128
Nmap 130
One-time password 131
OpenID 132
OpenSSL 133
OSSIM 136
Password authentication protocol 137
Penetration Test 137
Piano di contingenza 138
Port knocking 140
Privoxy 142
Procedura GIANOS 143
Protezione 143
Protezione del database 144
Protocollo AAA 148
Protocollo Kerberos 149
RADIUS 153
Recovery Point Objective 156
Recovery Time Objective 157
Restore 157
Risk Assessment 158
S/KEY 160
SANS 161
Security descriptor 162
Security Management 163
Security Operation Center 164
Sicurezza tramite segretezza 167
Signature based intrusion detection system 168
Single sign-on 168
Sistema di riconoscimento biometrico 170
 Snort 174
Social Network Poisoning 175
Spam 178
Spim 188
Stamping Authority 189
Standard di sicurezza informatica 190
Steganografia 193
Strong authentication 197
TACACS 198
Tecniche euristiche 198
Tiger team 199
Time Machine (software) 200
Token (sicurezza) 202
Tolleranza ai guasti 203
Tor (software di anonimato) 205
Triple Modular Redundancy 209
TruPrevent Technologies 210
Trusted computing 211
Trusted Platform Module 224
Trusted Software Stack 228
Vulnerability Assessment and Mitigation 229

Note
Fonti e autori delle voci 231
Fonti, licenze e autori delle immagini 235

Licenze della voce

Licenza 236
 1

Tecniche di difesa informatica

Access token
Un Access token (in italiano: Token d'accesso) è un oggetto dei sistemi operativi Microsoft Windows che contiene
la sessione di accesso (logon) e identifica l'utente, i suoi privilegi e il gruppo di utenti al quale appartiene. Il sistema
associa il token a ciascun processo avviato dall'utente. La combinazione di processo e token viene chiamata
soggetto. I soggetti operano sugli oggetti di Windows richiamando i servizi di sistema. Ad ogni accesso a una risorsa
il sistema richiama una routine di convalida dell'accesso che confronta il token del soggetto con l'elenco di controllo
degli accessi ACL (Access Control List) per decidere se l'operazione può essere effettuata; se l'accesso è consentito
non si ota niente, se è negato in genere vine mostrato un messaggio.

Tipi di Token
• Primary token
• Impersonation token

Accountability
Nell'ambito della sicurezza informatica Accountability è la capacità di un sistema di identificare un singolo utente,
di determinarne le azioni e il comportamento all'interno del sistema stesso. Per fare ciò è supportato dall' audit delle
tracce e dal sistema di autenticazione (login).

Descrizione
L'accountability è un aspetto del controllo di accesso e si basa sulla concezione che gli individui siano responsabili
delle loro azioni all'interno del sistema.
Tale aspetto è supportato dall'audit delle tracce degli eventi registrati all'interno del sistema e nella rete. L'audit delle
tracce può essere utilizzato per il rilevamento di intrusioni e per il rilevamento di eventi passati.
Anomaly based intrusion detection system 2

Anomaly based intrusion detection system

Un Anomaly Based Intrusion Detection System è una tipologia di Intrusion detection system che rileva violazioni
alla sicurezza informatica attraverso un'analisi del sistema e un'identificazione e classificazione delle anomalie. Le
anomalie possono essere rilevate tramite un'analisi comportamentale del traffico osservato in precedenze (euristica),
contrariamente a quanto accade nei sistemi signature based dove la ricerca viene fatta tramite regole, tramite la
ricerca di pattern o di firme caratteristiche delle violazioni di sicurezza. I sistemi ADS sono un miglioramento dei
sistemi basati sull'individuazione delle violazioni tramite regole.
Per poter individuare un'anomalia il sistema deve conoscere il comportamento normale del sistema. Per far ciò
possono essere utilizzati sistemi differenti:
• sistemi derivati dall'intelligenza artificiale come le reti neurali che vengono addestrate a classificare il traffico di
rete come normale o sospetto
• tramite l'utilizzo di un modello matematico che rappresenti il comportamento atteso del sistema. Studiando le
deviazioni dal modello l'Anomaly Based
Intrusion Detection System è in grado di individuare le anomalie e di segnalarle.
Il problema più grosso dei sistemi ADS è l'addestramento. Sono possibili due approcci:
• addestramento continuo: il sistema si addestra non appena parte e utilizza i nuovi dati che riceve per rimodellare
la sua conoscenza. Il vantaggio di questo approccio è che il sistema può "assorbire" eventuali modifiche nel
profilo. Per esempio se aumentano gli utenti di una rete il sistema solleverà un allarme, fino al momento in cui
capisce che il nuovo schema è diventato il traffico regolare. Lo svantaggio di questo approccio è che se la durata
dell'attacco è pari all'inerzia del sistema un attaccante può essere in grado di addestrare il sistema dall'esterno.
• addestramento preventivo: il sistema viene addestrato con quello che viene ritenuto del traffico corretto.
Qualunque tipo di analisi viene effettuata come un discostamento da questo traffico (modello). Questo approccio
ha lo svantaggio di richiedere che venga identificato un certo tipo di traffico che è certamente privo di attacchi.
Ha il vantaggio che un attaccante non può riaddestrare il sistema dall'esterno.
Infine, rispetto ad un IDS un anomaly detection ha il vantaggio che non deve essere aggiornato il suo database (come
avviene anche per gli antivirus).

Voci correlate
• Signature based intrusion detection system
• Intrusion detection system

Collegamenti esterni
• (EN) Un modello rigoroso per la rilevazione delle anomalie [1]

Note
[1] http:/ / www. phrack. org/ show. php?p=56& a=11
Anonimato 3

Anonimato
L'anonimato (o anche anonimìa) è lo stato di una persona anonima, ossia di una persona di cui l'identità non è
conosciuta. Questo può accadere per diversi motivi: una persona è riluttante a farsi conoscere, oppure non lo vuole
per motivi di sicurezza come per le vittime di crimini e di guerra, la cui identità non può essere individuata.
Nascondere la propria identità può essere una scelta, per legittime ragioni di privacy e, in alcune occasioni, per
sicurezza personale: un esempio ne sono i criminali, i quali, solitamente, preferiscono rimanere anonimi, in
particolare nelle lettere ricattatorie.
Un'opera si dice anonima quando non si conoscono i suoi autori. Lo possono essere i prodotti del folclore o della
tradizione, tramandati oralmente; oppure lo sono i dati riguardanti il nome di un autore andati perduti o
intenzionalmente nascosti.

Anonimato e Internet
Verso la fine del XX secolo, Internet ha consentito la divulgazione e la pubblicazione di informazioni in forma
parzialmente anonima. Tuttavia, la diffusione delle comunicazioni via Internet ha spinto governi e multinazionali a
sviluppare metodi di sorveglianza senza precedenti: Echelon, Total Information Awareness e Carnivore sono
soltanto alcuni esempi.
Su Internet è frequente l'uso di pseudonimi (nickname in inglese) anche per nascondere la propria identità; questo è
necessario ma non sufficiente a garantire il proprio anonimato. Tuttavia, secondo la legge italiana, non è consentita
l'assunzione di false identità: si veda la voce "Pseudonimo".
Gli Anonymous remailer e gli pseudonymus remailer utilizzano sistemi di crittografia per rendere estremamente
difficile individuare l'identità reale del mittente di un messaggio di posta elettronica. Protocolli di rete come Tor e
Freenet permettono di leggere e pubblicare informazioni con un alto grado di anonimato.

Anonimato e diritto d'autore

L’autore di un'opera è considerato chi "è' in essa indicato come tale, nelle forme d'uso, ovvero è annunciato come
tale, nella recitazione, esecuzione, rappresentazione e radiodiffusione dell'opera stessa."(art.8, 633/41) [1]
Si intende per forme d’uso il modo in cui nelle varie opere si scrive o si mostra il nome dell’autore, sia una copertina
di un libro o un titolo in un'opera cinematografica.
L’autore, inoltre, può essere identificato, oltre che con il nome civile, anche con uno pseudonimo secondo il sopra
citato art. 8: “Valgono come nome lo pseudonimo, il nome d'arte, la sigla o il segno convenzionale, che siano
notoriamente conosciuti come equivalenti al nome vero.”
La legge riconosce il diritto sia pubblicare un’opera anonima, sia di rivendicarne successivamente il diritto. “L'autore
di un'opera anonima o pseudonima ha sempre il diritto di rivelarsi e di far riconoscere in giudizio la sua qualità di
autore.”(21, 633/41) [2]
Il diritto d’autore, nella sua accezione come diritto all’utilizzazione, ha delle limitazioni nella durata. In regola
generale per l'art. 25 [3]: “I diritti di utilizzazione economica dell'opera durano tutta la vita dell'autore e sino al
termine del settantesimo anno solare dopo la sua morte.” Per le opere anonime, invece, secondo l'articolo 27 [4]: “la
durata dei diritti di utilizzazione economica è di settant'anni a partire dalla prima pubblicazione, qualunque sia la
forma nella quale essa è stata effettuata.” Se, quindi, la paternità dell’opera non viene rivelata entro i 70 anni dalla
prima pubblicazione l’opera diventa automaticamente di dominio pubblico. La S.I.A.E., differenzia l’uso di
pseudonimo o anonimato all’uso del nome d’arte; in quanto quest’ultimo è notoriamente, per fama dell’autore,
conosciuto come il nome vero.
Anonimato 4

Voci correlate
• Tor
• Privoxy

Altri progetti
• Wikisource contiene opere originali: http://it.wikisource.org/wiki/Autore:Anonimo
• Wikiquote contiene citazioni: http://it.wikiquote.org/wiki/Anonimo
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Anonymus
• Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/anonimato

Note
[1] http:/ / www. interlex. it/ testi/ l41_633. htm#8
[2] http:/ / www. interlex. it/ testi/ l41_633. htm#21
[3] http:/ / www. interlex. it/ testi/ l41_633. htm#25
[4] http:/ / www. interlex. it/ testi/ l41_633. htm#27

Antivirus
Un antivirus è un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi (malware) come
worm, trojan e dialer.

Funzionamento
Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all'interno
dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus è composto da un numero
ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che
cercare se questa sequenza è presente all'interno dei file o in memoria). Uno schema viene anche detto "firma del
virus". Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus è in
grado di riconoscere, aggiornamento effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli
utenti e da gruppi specializzati nell'individuazione di nuovi virus.
Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento
dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di
file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando
una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).
Antivirus 5

Parti che compongono l'antivirus

Con il termine antivirus in realtà si intendono più parti differenti, alcune indipendenti tra di loro:
1. il file (o i file) delle firme: file che contiene tutte le firme dei virus conosciuti. Questa parte è fondamentale ed
essenziale per il funzionamento corretto di qualsiasi altro componente
2. il binario in grado di ricercare il virus all'interno dell'elaboratore. Questo componente è l'antivirus vero e proprio
3. il binario che rimane residente e richiama l'antivirus ogni qual volta viene creato/modificato un nuovo file o viene
modificata una zona di memoria per controllare che il computer non sia stato infettato con questa operazione
4. il binario che effettua gli update (aggiornamento) del file delle firme e di tutti i binari dell'antivirus
Nota: alcuni software antivirus possono essere sprovvisti di una o di entrambe le parti 3 e 4

Limiti di un antivirus
Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i
nuovi virus (per nuovi si intende sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati
scoperti) possono passare completamente inosservati ed agire senza che l'antivirus intervenga. Inoltre l'antivirus
riesce ad intercettare il virus soltanto quando questo è entrato all'interno del computer e quindi ha già infettato un file
o la memoria; a questo punto, a seconda del virus, può "disinfettare" il file o la memoria eliminando completamente
il virus o in alcuni casi è costretto a mettere in "quarantena" il file contagiato ed eliminarlo per l'impossibilità di
recuperare il file originario.
Occorre aggiornare continuamente il proprio antivirus per evitare che malware già riconosciuti (cioè già immessi
nella lista del database online del software) non siano riconosciuti e quindi possano infettare il proprio PC.
L'antivirus inoltre è un grande utilizzatore delle risorse del computer e se viene avviato in background ogni volta che
viene acceso il computer può comportare un forte rallentamento soprattutto nelle fasi iniziali (perché controlla prima
tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale
rallentamento è presente anche in tutte le fasi in cui si scrive su disco, benché ciò possa risultare più trascurabile. Per
tali motivi l'antivirus accelera l'obsolescenza del proprio computer, creando la necessità di aggiornarne alcune parti o
prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente.
La scelta di un antivirus è una cosa molto complessa, anche perché antivirus diversi possono riuscire a rintracciare e
quindi a controllare i nuovi virus prima di altri.
La scoperta di un nuovo virus dipende molto da quanto è "infettivo": più un virus si propaga velocemente, più veloce
e semplice risulta essere la sua identificazione e quindi l'aggiornamento delle firme; se invece il virus tende ad essere
molto poco "infettivo" ed a rimanere localizzato soltanto in una certa area, può passare molto tempo prima che venga
intercettato e aggiunto alle firme.
Succede più volte che un antivirus consideri dei file o programmi come virali anche se in realtà non lo siano (falso
positivo). Questo è dovuto al fatto che un insieme di istruzioni che compongono un virus (o una sua parte) può essere
presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati
salvati non in formato testo. Il problema principale è che si può non riuscire ad eseguire questo programma od aprire
il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o
rovinato in modo irreparabile nel frattempo.
Ci sono numerosi metodi per criptare e compattare un codice malware rendendolo così non rintracciabile da un
antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono
non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in
RAM per essere eseguito e solo in questo momento l'antivirus sarà in grado di rintracciarlo.
Infine le compagnie che creano i software antivirus possono avere un incentivo finanziario molto forte a far sì che
nuovi virus vengano creati continuamente e che il panico nel pubblico generi un continuo ricorso all'aggiornamento
Antivirus 6

dei loro software. Questa è una delle accuse avanzate da varie parti ai produttori di antivirus, benché in realtà non vi
sia attualmente alcuna prova che convalidi tale tesi.

Tecnologia euristica
La tecnologia euristica è un componente di alcuni antivirus che consente di rilevare alcuni programmi maligni non
noti all'antivirus, cioè non contenuti nel suo database dei malware.
Questa tecnologia non sempre è presente all'interno di un antivirus e non sempre garantisce buoni risultati.

Modi per implementare la tecnologia euristica

La tecnologia euristica può essere implementata in più modi, anche operanti in contemporanea. I metodi più
utilizzati sono, in ordine crescente di efficacia:
• Analisi dei file: Ogni file a cui l'utente o il sistema fanno accesso viene analizzato per verificare che non abbia
una struttura sospetta o contenga istruzioni potenzialmente pericolose. Se impostata ad un livello troppo sensibile,
questo tipo di euristica può causare riconoscimenti errati di file "puliti" come pericolosi ("falsi positivi"). Allo
stesso modo se impostata ad un livello troppo permissivo può rivelarsi pressoché inutile. Questo approccio è
utilizzato praticamente da tutti gli antivirus moderni.
• Analisi comportamentale: Ogni processo eseguito nel computer viene monitorato e si segnalano all'utente le
azioni potenzialmente pericolose, come gli accessi al registro di sistema dei computer Windows o le
comunicazioni con altri processi. Questo approccio è utilizzato da vari antivirus e firewall.
• Sand-Box: Gli antivirus che utilizzano questa tecnica eseguono ogni processo del computer all'interno di un'area
protetta, chiamata Sand-Box, e monitorano il comportamento del programma: se non vengono effettuate azioni
pericolose il processo viene eseguito sulla macchina fisica, altrimenti il processo viene terminato e il relativo file
eliminato o messo in quarantena. Questo approccio viene utilizzato da pochi antivirus in quanto degrada molto le
prestazioni del computer ma garantisce i risultati migliori.

Il firewall: ulteriore protezione contro i virus

Per quello che si è detto si capisce che per avere un sistema sicuro l'antivirus non è affatto sufficiente, occorre una
protezione ulteriore: il firewall. Un firewall permette, se ben configurato ed usato correttamente, di bloccare i virus,
anche se non conosciuti, prima che questi entrino all'interno del proprio computer e volendo permette anche di
bloccare all'interno alcuni virus presenti nel proprio computer evitando così che essi possano infettare la rete a cui si
è collegati. Un firewall quindi può essere uno strumento aggiuntivo che impedisce ad un virus di infettare la
macchina prima che possa essere individuato dall'antivirus (con la possibile perdita del file infetto). Inoltre permette
di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi dei cracker o degli stessi virus.

Aggiornamenti automatici Live-Update

Una delle funzionalità aggiuntive dei software AntiVirus, che ultimamente sta prendendo sempre più piede, è il
modulo degli aggiornamenti automatici Live-Update. Con tale modulo il software AntiVirus si aggiornerà
automaticamente non appena sia disponibile una connessione Internet. Gli aggiornamenti possono riguardare le
firme di autenticazione dei virus e/o anche i motori di scansione e i motori euristici (funzionalità non sempre
rilasciata). Il primo software AntiVirus ad introdurre gli aggiornamenti automatici Live-Update è stato Norton
Antivirus della Symantec.
Antivirus 7

Antivirus e Sistemi Operativi

Con l'avvento di internet l'antivirus è diventato uno strumento quasi indispensabile e quasi esclusivo per i sistemi
operativi rilasciati da Microsoft, mentre gli altri sistemi risultano quasi immuni da virus; per questo motivo la
maggior parte degli antivirus è realizzata per i sistemi operativi Microsoft. Negli ultimi anni sono stati prodotti
antivirus anche per altri sistemi, di solito usati come server, per poter controllare il flusso di dati, soprattutto e-mail,
che poi finiranno sui computer desktop degli utenti che usano prodotti Microsoft.
Con altri Sistemi operativi basati Linux e Mac OS, la diffusione dei virus è molto più ostacolata soprattutto dalla
diversa politica gestionale; i programmi utenti hanno attività più strettamente specificate e soprattutto con privilegi
molto ridotti, così sono molto difficili le attivita dei virus, e sono altrettanto limitati i danni che da questi potrebbero
scaturire nell'esecuzione; risulta quindi molto difficile causare una compromissione del sistema operativo, come
invece accade spesso nei sistemi Microsoft.

Antivirus e programmi
I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser,
questo perché questi due programmi sono l'accesso diretto a due funzionalità indispensabili in internet: la posta e la
navigazione web.
Un'altra tipologia di software informatico molto colpito dai virus è quella composta dai file di dati ricavati con
Microsoft Office. Con questa suite è possibile creare all'interno dei file delle istruzioni (macro) che eseguono date
funzionalità in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer
sfruttano questa potenzialità per allegare delle macro che sono in realtà dei virus.
In generale i virus sfruttano delle vulnerabilità nei sistemi informatici, usando a volte - in modo automatico -
tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si
occupano di raccogliere le segnalazioni di vulnerabilità o attacchi, e renderle pubblicamente disponibili; tali
organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra
di risposta alle emergenze informatiche).

Client di posta
Tra i client di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi
Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o
totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, è forse la
prima forma di diffusione di alcuni tipi di malware. Outlook Express per default memorizza tutti gli indirizzi E-Mail
dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa sì che se un utente si iscrive,
per esempio, ad una mailing list può alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base
di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima
generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi, uno
da usare come destinatario e l'altro da far risultare come mittente. Il problema di base è dovuto all'utente che apre ed
esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi
software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che
permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi
senza aprirla) o appena la si apriva (nella firma è possibile inserire delle istruzioni, istruzioni usate per attivare il
virus).
La prima causa di diffusione dei virus tramite i client di posta è l'esecuzione degli allegati e qui non esiste un client
di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.
Antivirus 8

Browser
Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco di sicurezza (vulnerabilità)
sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft
l'utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il più
soggetto a questi tipi di attacchi, tanto che ultimamente è stato consigliato da più fonti di usare altri browser[1]
soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).

Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacità di inviare e ricevere file ed inoltre spesso
sono dotati di un linguaggio di scripting che è stato spesso sfruttato per diffondere virus, backdoor e dialer.
L'uso di questi programmi deve tenere in gran conto che l'utente che offre un file non corrisponde sempre
necessariamente ad una persona reale, dal momento che molti virus si diffondono automaticamente. È consigliabile
rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e
non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.

Possibile strategia per limitare al minimo i rischi di contagio

La strategia che si può suggerire può essere suddivisa nei seguenti punti:
• informarsi su cosa è un virus, un antivirus ed un firewall; consultare vari manuali reperibili anche on-line per
capire abbastanza a fondo il problema
• informarsi su come funziona il proprio sistema operativo, il proprio client di posta ed il proprio browser in caso di
"attacco" di virus, per poter capire quali sono le operazioni che permettono di limitare al minimo i rischi di
contagio
• quando si naviga in internet evitare di scaricare file eseguibili e soprattutto di eseguirli senza avere la certezza
assoluta che la fonte sia attendibile. Se l'antivirus dichiara che non ha rilevato nessun virus sul binario scaricato,
questo non vuol dire che non è contagiato, ma semplicemente che l'antivirus non ne ha rilevato nessuno: infatti
potrebbe contenere un nuovo virus o magari il vostro antivirus non è aggiornato
• quando si naviga su internet evitare di scaricare add-on ai propri programmi di navigazione se non si è più che
sicuri della fonte
• quando si naviga in internet evitare di andare su siti che soprattutto offrono gratis cose che in realtà sono a
pagamento, perché molte volte queste pagine cercano di sfruttare buchi presenti nel proprio browser per:
installarvi un virus, reperire informazioni salvate sul vostro PC (esempio la carta di pagamento se fate acquisti
on-line) o semplicemente permettere al cracker che ha costruito quel sito di prendere possesso da remoto del
vostro computer
• quando si riceve una e-mail da uno sconosciuto, soprattutto se ha un allegato, è sempre meglio eliminarla e mai
aprire l'allegato od eseguirlo; se la mail arriva da un vostro conoscente ed ha un allegato non previsto o
inaspettato magari chiedere conferma se l'ha spedito effettivamente lui
• quando si ricevono mail con file eseguibili, magari spedite da un proprio conoscente, conviene sempre evitare di
eseguirli. È meglio perdersi un filmato od un giochino divertente che vedere il proprio computer compromesso e
doverlo reinstallare o far reinstallare da zero, magari perdendo tutti i lavori in esso contenuti
• quando si spediscono e-mail evitare di includere messaggi in formato ms-office, ma spedirli in formato testo o
altro formato non contenente macro; richiedere che anche i propri conoscenti facciano lo stesso quando
spediscono delle mail a voi
• abilitare, in ms-office, la richiesta per l'esecuzione delle macro; in questo modo sarà possibile sapere se il file
contiene delle macro ed impedirne l'esecuzione.
• evitare di eseguire programmi non originali o per cui non è possibile controllarne la non compromissione (per
esempio per tutti i file è possibile associare vari codici di protezione che permettono di identificare se il pacchetto
Antivirus 9

è stato modificato da altri. Il più semplice di questi è l'MD5)

• informarsi di quali sono i prodotti che nella storia recente hanno mostrato maggiori falle e permesso un più
semplice contagio da parte degli ultimi virus e se possibile sostituirli all'interno del proprio elaboratore con
programmi simili, ma che risultano più sicuri
• controllare costantemente gli aggiornamenti di sicurezza per tutti i prodotti che si affacciano direttamente alla rete
(sistema operativo, browser, client di posta, client irc, ...)
• mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza.

Elenco di programmi antivirus

Compagnie produttrici di prodotti antivirus

• AVAST Software - avast!
• AVG - AVG AntiVirus
• Avira - Avira Antivirus
• aVtomic
• BullGuard - BullGuard Antivirus
• ClamAV
• Comodo - Comodo Antivirus
• Computer Associates (CA)
• Emsisoft Anti-Malware
• Eset - NOD32
• Frisk Software
• F-Secure
• G Data Software AG
• GeCAD
• Grisoft - AVG Anti-Virus
• Hauri
• H+BEDV
• Kaspersky
• McAfee
• Microsoft - Microsoft Security Essentials
• Mks
• Norman
• Panda Software - Panda (antivirus)
• PC Tools
• Quick Heal
• SafeNet - eSafe, Aladdin Knowledge Systems
• SOFTWIN - BitDefender
• SOIM Srl - aVtomic AntiVirus
• Sophos
• Symantec - Norton Antivirus
• TG Soft - VirIT eXplorer
• Trend Micro
• Vipre
• VirusBlokAda - VBA32 ANTI-VIRUS
• ZoneAlarm - ZoneAlarm AntiVirus
Antivirus 10

Organizzazioni che forniscono test

Queste organizzazioni pubblicano test comparativi tra i più diffusi e conosciuti software antivirus.
Alcune consentono la scansione di virus e programmi correlati. Esse hanno diversi livelli che indicano la protezione
che il software installato fornisce al sistema.
• AV-Comparatives [2]
• Virus.gr [3]
• AV-Test GmbH [4]
• ICSA Labs [5]
• Virus Bulletin [6]

Note
[1] Francia e Germania sconsigliano Internet Explorer (http:/ / www. zeusnews. com/ index. php3?ar=stampa& cod=11672)
[2] http:/ / www. av-comparatives. org/
[3] http:/ / virus. gr/ portal/ en/
[4] http:/ / av-test. org/
[5] http:/ / www. icsalabs. com/ icsa/ icsahome. php
[6] http:/ / www. virusbtn. com/ index

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Antivirus
software

Collegamenti esterni
• centro di coordinazione CERT di Carnegie Mellon (http://www.cert.org/other_sources/viruses.html)
• eicar - Istituto Europeo per la ricerca degli Antivirus per Computer (http://www.eicar.org)
Application-level gateway 11

Application-level gateway
Un Application-level gateway o ALG è una componente di sicurezza dei firewall in una rete di computer. Permette
ai filtri NAT personalizzati di essere aggiunti al gateway per fornire l'indirizzo e la porta di traduzione per certi
protocolli del livello applicazione come FTP, BitTorrent, SIP, RTSP, trasferimento file e applicazioni IM.

Architettura di reti sicure

Per architettura di rete sicura si intende la struttura pianificata di un determinato sistema informatico che abbia la
sicurezza in primo piano.
Quando si costruiscono sistemi informatici è possibile conferire una certa importanza all'architettura generale e
pianificarne la sicurezza come uno dei costrutti fondamentali. Allo stesso modo la struttura di una rete può avere un
aspetto significativo sulla sua sicurezza. Dopo la costruzione di un'architettura di rete ci si occupa anche di
controllarne l'operato e il funzionamento, così da monitorare le attività di ogni funzione.
Esistono diverse tipologie di controllo nelle architetture: segmentazione, ridondanza, singoli punti di errore.

Segmentazione
La segmentazione è un controllo di protezione potente nei sistemi operativi, che può limitare i danni potenziali in
una rete; essa riduce il numero di minacce e limita la quantità di danni permessa da una singola vulnerabilità. La
segmentazione consiste nel segmentare le parti fondamentali di una rete, così da evitare compromissioni o
malfunzionamenti. Una struttura sicura utilizza più segmenti. Oltre che all'utilizzo di più segmenti vi si può
aggiungere l'utilizzo di server separati riducendo il danno potenziale dovuto alla compromissione di qualsiasi sistema
secondario. L'accesso separato è un modo di dividere la rete in segmenti.

Ridondanza
Un altro controllo architetturale fondamentale è la ridondanza, che permette di eseguire su più nodi una funzione. La
struttura ideale deve presentare due server e utilizzare la cosiddetta modalità failover. In questa modalità i server
comunicano con gli altri periodicamente determinando se sono ancora attivi o se uno dei server ha problemi, in tal
caso gli altri si occupano dell'elaborazione al suo posto. Così facendo le prestazioni vengono ridotte alla metà in
presenza di malfunzionamento, ma l'elaborazione continua ad essere svolta.

Singoli punti di errore

Per assicurarsi che l'archittettura faccia tollerare al sistema malfunzionamenti in modo accettabile (per esempio
rallentando l'elaborazione senza interromperla, oppure recuperando e riavviando le transazioni incomplete) si adotta
la modalità di cercare i singoli punti di errore, ovvero occorre chiedersi se esiste un singolo punto della rete, che in
caso di errore, potrebbe negare l'accesso a tutta la rete o a una parte significativa di essa.

Crittografia
La crittografia è lo strumento più importante per un esperto di sicurezza delle reti, serve a fornire privacy, autenticità,
integrità e accesso limitato ai dati. Nelle applicazioni di reti, la crittografia può essere applicata sia tra due host
(crittografia di collegamento) sia tra due applicazioni (crittografia end-to-end). Per qualsiasi forma di crittografia le
chiavi devono essere consegnate al mittente e al destinatario in modo sicuro.
Architettura di reti sicure 12

Crittografia end-to-end
Questo tipo di crittografia garantisce la sicurezza da una capo della trasmissione all'altro. Può essere applicata da un
dispositivo hardware tra l'utente e l'host o da software in esecuzione sul computer host. La crittografia precede
l'elaborazione di trasmissione e instradamento dello strato e affronta potenziali difetti negli strati inferiori. Nel caso
in cui uno strato inferiore dovesse fallire nel mantenimento della sicurezza e dovesse rendere noti i dati ricevuti, la
riservatezza di questi non sarebbe comunque in pericolo. Quando si utilizza la crittografia end-to-end i messaggi
inviati attraverso diversi host sono protetti, i dati contenuti nel messaggio sono crittografati e allo stesso modo lo è
anche il messaggio mentre è in transito. Di conseguenza anche quando un messaggio deve passare attraverso nodi
potenzialmente insicuri, esso è comunque protetto dalla divulgazione durante il suo transito.

Voci correlate
• Crittografia
• Crittografia di collegamento
• Host
• Server
• Sistema operativo
• Sicurezza informatica
• Privacy
• Internet

Collegamenti esterni
• architettura di rete [1]

Note
[1] http:/ / nem01. altervista. org/ source/ Il_modello_ISO_OSI. html/
L'arte dell'inganno 13

L'arte dell'inganno
L'arte dell'inganno

Titolo originale The Art of Deception

Autore Kevin Mitnick

1ª ed. originale 2002

Genere Saggio

Sottogenere Sicurezza informatica

L'arte dell'inganno è un libro sull'ingegneria sociale scritto da Kevin David Mitnick insieme a William Simon nel
2001, pubblicato nel 2002 col titolo originale The art of deception e uscito in Italia nel 2003. Tratta in modo
approfondito e meticoloso dei differenti modi per ottenere informazioni e chiavi di accesso ai sistemi informativi.
L'inganno in sé, è rappresentato dal social engineering utilizzato dai protagonisti delle storie raccolte nel libro. In
pratica evidenzia la facilità con cui molte persone, nonostante siano consapevoli dei rischi e dell'importanza di
password e dati sensibili, sono disposti a svelarle. Spesso le vittime arrivano a credere che rivelare una password via
telefono, ad una persona sconosciuta che dice di essere un tecnico che fa manutenzione informatica, o un collega in
difficoltà, non solo sia innocuo ma anzi credono di aver dato una mano ad un lavoratore come loro.
A differenza di ciò che si potrebbe aspettare, il libro non è un manuale su come ingannare un sistema informatico,
ma al contrario offre molti aspetti riflessivi che spingeranno il lettore a capire il vero valore dei propri dati sensibili.
Tutto questo grazie anche ad analisi complete su ogni singolo attacco, con relativi consigli su come non cadere in
trappole simili.
Infine osserva da vicino il fenomeno dell'ingegneria sociale, mostrando alla gente cosa può fare una qualsiasi
persona anche senza un livello elevato di conoscenze informatiche.
La scelta di non trattare l'hacking solo dal punto di vista tecnologico, è stata una scelta forse dettata dalla
consapevolezza dell'uscita del seguito The Art of Intrusion - The Real Stories Behind the Exploits of Hackers,
Intruders & Deceivers, che invece inquadra questo aspetto più tecnologico e meno "psicologico". In italia il libro è
uscito nel 2005 con il titolo L'arte dell'intrusione.
L'arte dell'intrusione 14

L'arte dell'intrusione
L'arte dell'intrusione

Titolo originale The Art of Intrusion

Autore Kevin Mitnick

1ª ed. originale 2005

Genere Saggio

Sottogenere Sicurezza informatica

L'arte dell'intrusione è un libro su diversi casi di hacking scritto da Kevin David Mitnick insieme a William Simon,
pubblicato nel 2005 col titolo originale The art of intrusion e uscito in Italia nel maggio del 2006.
Mitnick esamina dieci casi di hacking realmente accaduti, intervistandone gli autori. Assicurò a tutti loro l'anonimato
assoluto, salvo quelli già condannati dalle autorità.
Per ogni caso Mitnick analizza il lato tenico e quello sociale, descrivendone anche le modalità d'attacco. Inoltre lo
commenta e spiega le contromisure per difendersi da attacchi del genere, oltre a fornire gli sviluppi recenti della
vicenda se necessario.

ASLR
La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) è una misura di
protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l'indirizzo delle funzioni di
libreria e delle più importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice
malevolo su un computer è costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare,
provocando una serie di crash del programma vettore (infettato o apertamente malevolo).
Normalmente, se durante l'esecuzione di codice si accede a una struttura dati con l'indirizzo sbagliato si ottengono
dati errati, e se si chiama una funzione con l'indirizzo errato si provoca una eccezione, che porta alla terminazione
del programma da parte del sistema operativo; un programma malevolo sfrutterà però l'eccezione generata
(legittimamente: non è possibile né consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di
quale tentativo è fallito, raccogliendo così sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima
o poi con precisione l'indirizzo di memoria delle risorse che gli servono. Questa attività di raccolta di informazioni
genera però una serie ripetuta di crash del programma in questione, che è quindi ben visibile all'utente o ai
programmi antivirus.

Efficacia
Questa tecnica è tanto più efficace quanto più l'indirizzo delle librerie, dello stack, dello heap e delle varie strutture
dati di sistema è variabile; in genere però è possibile variare tali indirizzi solo entro un certo spazio, o perché devono
essere allineate all'inizio di una pagina di memoria, o perché devono risiedere in una particolare zona della memoria.
Quindi è più efficace su sistemi a 64 bit, che hanno uno spazio di indirizzamento più vasto, e lo è meno sui sistemi a
32 bit. È presente in Windows Vista, Windows 7, Mac OS X 10.5 Leopard (in modo non completo), Mac OS X 10.6
Snow Leopard, Mac OS X 10.7 Lion, iOS 4.3 e in alcune distribuzioni di Linux, oltre che in OpenBSD. Tale tecnica
consiste nel caricare in memoria programmi e librerie a indirizzi casuali; in questo modo l'attaccante è obbligato a
indovinare dove potrebbe essere la funzione che egli ha deciso di attaccare. Un attacco effettuato usando una
previsione errata generalmente manda in crash l'applicazione oggetto dell'attacco stesso, trasformando così un
ASLR 15

attacco che mirava a eseguire codice potenzialmente maligno sulla macchina bersaglio in un semplice attacco di tipo
denial-of-service . L' ASLR è ovviamente molto più efficace sulle macchine a 64 bit che hanno uno spazio degli
indirizzi molto più grande delle macchine a 32 bit. Le macchine a 32 bit rendono disponibili solo 16 bit da
modificare casualmente.

Collegamenti esterni
• (EN)PaX documentation on ASLR [1]
• (EN)ASLR for Windows Vista beta 2 [2]
• (EN)ASLR for Windows 2000/XP/2003 (WehnTrust) [3]
• (EN)Bypassing PaX ASLR protection [4]
• (EN)On the effectiveness of address space layout randomization [5]
• (EN)Microsoft Finds (Random) Way to Secure Vista [6]
• (EN)Windows Vista Randomization Gets OEM Thumbs Up [7]

Note
[1] http:/ / pax. grsecurity. net/ docs/ aslr. txt
[2] http:/ / blogs. msdn. com/ michael_howard/ archive/ 2006/ 05/ 26/ 608315. aspx
[3] http:/ / www. wehnus. com
[4] http:/ / www. phrack. org/ archives/ 59/ p59-0x09. txt
[5] http:/ / portal. acm. org/ citation. cfm?id=1030124& dl=ACM& coll=& CFID=15151515& CFTOKEN=6184618
[6] http:/ / www. eweek. com/ article2/ 0,1895,1969505,00. asp
[7] http:/ / www. eweek. com/ article2/ 0,1895,2071746,00. asp

Audit
Un audit è una valutazione o controllo di dati o procedure, spesso ricorrente nei bilanci aziendali (audit contabili).
Il concetto di audit può essere applicato a molte altre attività, come per esempio in sanità: audit clinico

Gestione aziendale
Le audit sono delle attività atte a misurare la conformità di determinati processi, strutture o procedure a determinate
caratteristiche richieste e a verificarne l'applicazione. esistono principalmente tre tipi di audit:
• audit interno;
• audit esterno di seconda parte;
• audit esterno di terza parte;
i primi, gli audit interni, sono delle verifiche effettuate direttamente dai soggetti interni all'azienda. i secondi, gli
audit di seconda parte, sono delle verifiche eseguite da società partner della società richiedente l'audit (ad esempio un
audit richiesto da un'azienda ad un suo fornitore).
I terzi, gli audit di terza parte, a differenza dei secondi, che comunque sono eseguiti da soggetti esterni all'azienda,
vengono invece condotti da organizzazioni specializzate in questo genere di controlli che, oltretutto, al termine di
questa rilasciano un apposito certificato attestante il livello di qualità.
Le tipologie di valutazione comunemente usate sono generalmente le seguenti:
• audit di conformità;
• audit di conformità ed efficacia;
• valutazione della qualità dell'organizzazione;
Audit 16

In sicurezza informatica
Nell'ambito della sicurezza informatica, l'audit è una valutazione tecnica manuale o sistematica misurabile di un
sistema o un'applicazione. La valutazione manuale prevede domande allo staff, esecuzione delle analisi di
vulnerabilità, revisione e controllo degli accessi al sistema operativo, e analisi dell'accesso fisico a sistemi. Le
valutazioni automatiche o CAAT, includono rapporti audit generati dal sistema o uso di software per monitorare e
riportare cambiamenti a file e impostazioni del sistema. I sistemi possono includere pc, server, mainframe, rete di
router, switch. Le applicazioni possono includere servizi Web e basi di dati.

Collegamenti esterni
Audit Civico [1]

Note
[1] http:/ / www. cittadinanzattiva. it/ progetti-salute/ audit-civico. html

Autenticazione
Nel campo della sicurezza informatica, si definisce autenticazione (in greco: αυθεντικός, da 'authentes'='autore') il
processo tramite il quale un sistema informatico, un computer, un software o un utente, verifica la corretta, o almeno
presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione ed
usufruire dei relativi servizi associati.

Identificazione dell'utente
Durante una connessione/comunicazione in Internet o l'accesso ad alcuni servizi messi a disposizione dal Web è
importante per l'utente definire in modo univoco la propria identità, essere riconosciuto e per questo ottenere
l'accesso ai propri servizi. Allo stesso modo è fondamentale anche conoscere l'identità di chi si trova dall'altra parte
della "linea" della comunicazione ed essere certi che l'interlocutore con il quale si stanno scambiando delle
informazioni sia veramente chi dice di essere e non un impostore.

Login
Il problema dell'autorizzazione è spesso identificato con quello dell'autenticazione: i protocolli per la sicurezza
standard, ad esempio, si basano su questo presupposto. Comunque, vi sono casi in cui questi due problemi vengono
risolti con strategie differenti.
Un esempio di tutti i giorni è la comune procedura di autenticazione che conosciamo come login, presente ad
esempio in forum, accesso a servizi di home banking e e-commerce, reti Wi-Fi, telefoni cellulari ecc... Un sistema di
elaborazione, progettato per essere usato soltanto da utenti autorizzati, deve essere in grado di rilevare ed escludere i
soggetti non autorizzati. L'accesso ad esso, dunque, viene garantito solo dopo aver eseguito con successo una
procedura di autenticazione, di solito attraverso una username e/o una password personale.
Autenticazione 17

Limiti tecnologici
Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer,
software e utenti.
Dunque, essendo la soluzione "totalmente sicura" irraggiungibile, si può soltanto cercare di sottoporre l'autenticando
a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. Sicuramente è estremamente
importante che l'identità virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la
persona che fruisce del servizio sia veramente chi afferma di essere, per i servizi più critici, come quelli che
prevedono transazioni finanziarie o comunicazione di dati personali.
Il processo di autenticazione avviene diverse volte al giorno, senza magari accorgersene: un timbro di voce al
telefono, un volto, bastano per farci riconoscere un conoscente e concedergli l'attenzione.

Chiave hardware
Un contenitore di login/password è la chiave hardware.
Questi è un oggetto che contiene una memoria interna dove è possibile memorizzare password, codici, firme digitali.
La sicurezza del contenitore si basa sull'affidabilità del proprietario, in quanto è logico che se quest'ultimo lascia
incustodita la propria chiave, la sicurezza può essere compromessa. Un esempio di chiave hardware sono le smart
card. Alcuni esempi comuni di processi d'autenticazione coinvolti in un controllo d'accesso sono i seguenti:
• prelievo di denaro da uno sportello Bancomat;
• controllo remoto di un computer tramite Internet ad esempio tramite protocollo SSH;
• servizi bancari online.

Metodologie di autenticazione
I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a:
• qualcosa che è (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri
identificatori biometrici)
• qualcosa che ha (es. tesserino identificativo)
• qualcosa che conosce (es. password, parola chiave o numero di identificazione personale (PIN))
Spesso, al posto del singolo metodo,
viene usata una combinazione di
metodi, i.e. un tesserino identificativo
e un PIN che ne aumenta la sicurezza.
Questa prende il nome di Strong
authentication o autenticazione a due
fattori.

Impronte digitali
Le impronte digitali, in passato, erano Visualizzazione di una procedura di autenticazione basata su protocollo SSH da parte di
considerate il più autorevole metodo di un utente su un sistema FreeBSD)
autenticazione, ma alcuni recenti casi
giudiziari, nei tribunali degli Stati Uniti e di altri paesi, hanno sollevato grossi dubbi sull'affidabilità del suddetto
metodo. È stato teorizzato l'uso di vari altri metodi biometrici (i.e. scansione della retina), ma per quasi tutti è stata
dimostrata una possibile ambiguità di risultati.
Autenticazione 18

Metodi crittografici
Nel contesto dell'ICT, sono stati sviluppati dei metodi crittografici (vedi firma digitale) i quali, per ora, non sono
raggirabili se (e solo se) la chiave originaria, utilizzata per cifrare l'informazione, non è stata compromessa. Questi
ottimi metodi sono, almeno per ora, considerati inattaccabili, ma non c'è, però, la certezza che essi rimangano
"sicuri" per sempre. Imprevisti sviluppi matematici futuri potrebbero rendere vulnerabile l'intera generazione
moderna di algoritmi di cifratura, mettendo in seria discussione tutto ciò che è stato autenticato in passato. In
particolare, un contratto digitalmente firmato non avrebbe più alcun valore nel caso in cui il sistema crittografico di
base fosse stato 'bucato'. La scelta dei diversi metodi di autenticazione è condizionata dai diversi fattori tra cui
l'usabilità, l'importanza delle informazione da proteggere ed il costo del sistema. Spesso si assiste anche ad una
mutua autenticazione in cui ciascuna parte in causa deve autenticarsi all'altra.

Voci correlate
• Autorizzazione (informatica)
• Biometria
• Crittografia
• Crittografia a chiave pubblica
• Identità digitale
• Identity management
• Kerberos
• Login
• Password
• RADIUS
• Secure shell
• S/KEY
• Strong authentication
• Username
Backup 19

Backup
In informatica con il termine Backup, copia di sicurezza o copia di riserva si indica la conservazione di materiale
atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro
o server.

Descrizione
L'attività di backup essere un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni,
furti, ecc., ci si assicura che esista una copia dei dati.
Pertanto se si dispone di un apposito software dedicato o incluso nel proprio sistema operativo, l'esecuzione del
backup è quasi sempre impostata in maniera automatica e svolta normalmente con una periodicità stabilita (per
esempio una volta al giorno o alla settimana), e con altre particolarità avanzate se rese disponibili dal software
utilizzato.
La maggior parte dei sistemi operativi attuali per personal computer
integra un qualche programma di backup da configurare, ma solo i
server appositamente equipaggiati contengono normalmente un
servizio nativo automatico.
Nelle aziende il tipo di backup e la relativa periodicità sono
solitamente regolati da una apposita procedura aziendale soggetta a
verifica periodica e ad altre procedure che comportano un intervento
manuale. Il responsabile della sicurezza è tenuto ad annotare i controlli
periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il
backup normalmente devono essere di tipo e marca approvati nella
procedura ed è necessario che siano periodicamente verificati e Laptop bruciato

sostituiti. Devono inoltre essere conservati in accordo con le politiche

di sicurezza aziendale, per esempio, ma non solo, per questioni legate alla privacy.

È naturalmente buona norma eseguire periodiche operazioni di backup anche nei personal computer di uso privato,
che di solito vengono eseguite dall'utilizzatore del computer stesso che copierà i dati importanti su supporti ottici o
magnetici (CD-R, CD riscrivibili, DVD-R, DVD riscrivibili, Digital Audio Tape, cartucce a nastro). Gli hard disk
portatili con collegamento esterno USB e le chiavette usb (stick-usb) hanno preso il posto dei floppy disk che sono
ormai in disuso per la scarsa affidabilità e la limitata capacità.[1] [2] .
È possibile anche eseguire il backup in modo continuo usando servizi come il backup online o i backup appliance
che sono degli strumenti che permettono questo tipo di operatività attraverso gli agent, che sono dei software che si
occupano di individuare, attraverso criteri, i file nuovi da archiviare e immediatamente ne eseguono la copia di
sicurezza.
Backup 20

Anche il palmare e lo Smartphone sono diventati importanti strumenti

per i lavoratori perché contengono dati fondamentali come la rubrica
telefonica e il calendario degli appuntamenti, è pertanto diventata
buona norma estendere il backup anche a questi strumenti.
Diversi nuovi servizi su internet permettono infine di eseguire il
backup degli account e dei dati degli utenti di social network.

Funzionalità programmi di backup

Alcune delle principali funzionalità che un programma di backup deve Hard Drive di rete compatto
fornire, sono:

• Copia immagine di un disco rigido;

• Copia selettiva di directory e singoli file;
• Criteri di selezione per la ricerca dei contenuti salvati e per la scelta di quelli che devono essere oggetto di backup
(per data, tipo di file, autore della modifica);
• Compressione dei contenuti per ridurre la memoria richiesta per la copia;
• Sicurezza: protezione dei dati copiati attraverso password e crittografia.
La progressiva discesa del costo delle memorie informatiche, in base alla legge di Moore, pone in secondo piano
l'esigenza di ridurre lo spazio richiesto dai backup, comprimendo i dati; i produttori di sistemi oggi infatti si
concentrano su metodi per la riduzione del numero di elementi da copiare e per la riduzione del traffico di dati
necessario a trasferire i dati da preservare, in modo da aumentare la frequenza delle copie.
Per le aziende una caratteristica importante del backup è che questa attività non vada a sovrapporsi con l'operatività
quotidiana, caricando i sistemi informatici e rallentando i tempi di risposta agli utenti. Per questo motivo vari sistemi
di backup vengono usati la notte, quando normalmente gli utenti non lavorano.
Per aumentare la velocità del backup, solitamente vengono applicati uno o più delle seguenti pratiche:
Backup differenziale
il backup differenziale è basato su un algoritmo che confronta i dati di un file da copiare con quello già
copiato, registrando soltanto le differenze quando ce ne sono.
Il backup differenziale è utile, in particolare, per file di grandi dimensioni e che necessitano di un backup completo e
quotidiano, come i database aziendali.
Compressione
la compressione è ottenuta tramite algoritmi di compressione dei dati (come quelli usati dai programmi più
famosi come Winzip, WinRar, WinAce) prima che vengano registrati sul supporto di backup, oppure
attraverso la deduplicazione.
Deduplicazione
è ottenuta tramite algoritmi di deduplicazione (che significa eliminazione dei duplicati) che possono agire a
livello di singolo file o di blocco, inteso come insieme di file. La deduplicazione può essere eseguita prima,
durante o dopo la copia di backup, in contemporanera o in differita rispetto alla normale operatività dei sistemi
informatici.
La deduplicazione è utile, in particolare, per i gruppi di file o le cartelle di file che necessitano di un backup
completo e quotidiano.
La conservazione dei supporti di backup in posizioni fisicamente distinte e separate dai sistemi in uso è strettamente
necessaria, per evitare che in caso di furto, incendio, alluvione o altro evento catastrofico, le copie vadano perse
insieme agli originali.
Backup 21

Il ripristino dei dati copiati con l'operazione di backup è normalmente detto restore.
Le operazioni connesse con il recupero dei dati dal backup in caso di guasto o cancellazione di una certa importanza
sono abitualmente soggette ad autorizzazione specifica del responsabile della sicurezza.
L'amministratore di sistema o gli utenti che hanno diritti di accesso analoghi, provvedono al ripristino dei file
richiesti.

Glossario di termini legati al backup

Backup a caldo (o Hot backup)
backup effettuato mentre il programma che usa il file da copiare è attivo. I dati possono quindi risultare
modificati mentre il backup è in corso.
Disk image
metodo di backup di un intero disco o filesystem in un'unica immagine. Questo metodo è utile per ricreare
copie esatte di un disco, esempio per effettuare una installazione aziendale su tanti computer
contemporaneamente.
Backup completo (o Full backup)
un backup di tutti i file del sistema. A differenza della disk image, un full backup non include le tavole di
allocazione, le partizioni ed i settori di boot.
Backup Differenziale
backup cumulativo di tutti i cambiamenti effettuati a partire dall'ultimo backup completo (o full backup). Il
vantaggio è il minor tempo necessario rispetto ad un backup completo. Lo svantaggio è che i dati da salvare
aumentano per ogni giorno trascorso dall'ultimo backup.
Backup Incrementale
backup che contiene tutti i file cambiati dall'ultimo backup (completo e incrementale). Il backup incrementale
è più rapido di quello differenziale ma richiede tempi di restore più lunghi poiché è necessario partire
dall'ultimo backup completo e poi aggiungere in sequenza tutti i backup incrementali.
Backup Remoto
è un servizio di salvataggio dati che esegue copie di backup, attraverso la linea internet, verso appositi server
collegati al web. Nella maggioranza dei casi si usa tramite un software apposito.
Data recovery o data salvage
tentativo di recupero dei dati necessario quando i normali metodi sono impossibili. Per esempio un hard-disk
rotto potrebbe ancora contenere dati. L'operazione di data recovery viene effettuata da specialisti con strumenti
speciali in ambienti controllati: il disco rotto viene aperto in una stanza senza polveri, viene riparato per
quanto possibile e la maggior parte dei dati viene così spesso recuperata.
Disaster recovery
il processo di recupero delle funzionalità e dei dati dopo un evento disastroso. Uno degli scopi principali del
backup è di costituire una base per il disaster recovery. Per ottenere un processo realmente efficace è
necessario pianificare e effettuare dei test di disaster recovery prima che sorga l'effettiva necessità.
Finestra di backup
Periodo in cui un sistema è disponibile per il backup. Le procedure di backup possono avere effetti di
rallentamento sui sistemi e sulla rete; alcune operazioni richiedono che l'uso primario del sistema sia sospeso.
Questi effetti possono essere mitigati concordando una finestra di backup con il proprietario del sistema.
Politica di Backup
Backup 22

insieme di regole a procedure per assicurare che venga eseguito un backup adeguato alle necessità
dell'organizzazione aziendale. Una politica di backup definisce il tipo (es. full o incrementale) di backup, la
frequenza (generalmente giornaliera), e include le regole per verificare la rispondenza del processo di restore.
Restore time
tempo richiesto per effettuare il restore di un certo set di dati.
Retention time
tempo in cui un certo set di dati rimane disponibile per il restore. Il tempo di retention viene generalmente
misurato in giorni. In alcuni casi viene misurata una 'retention' sulla base del numero di copie dei dati di
backup, indipendentemente dal tempo a cui esse si riferiscono.
Schema di rotazione del backup
per effettuare un backup giornaliero vengono di solito fatti ruotare gli stessi media (es. i nastri). Lo schema di
rotazione stabilisce appunto il metodo di rotazione e di ritenzione (data retention) dei dati. Vengono utilizzati
diversi schemi quali: Incrementale; Nonno, padre e figlio; la torre di Hanoi, ecc.
Software per il backup
programmi applicativi per effettuare le attività legate al backup dei dati (es. copie di backup e operazioni di
restore).
Tape library
un sistema che contiene dei nastri per il backup, un lettore di barcode per identificare i nastri e un automatismo
per movimentare i nastri all'interno della library. Una tape library può contenere degli enormi ammontari di
dati.
Virtual Tape Library
un sistema che ha le stesse funzionalità della tape library, ma che effettua il backup in modo diverso. Si
utilizza una Virtual Tape Library per effettuare una copia temporanea dei dati in attesa di effettuare un backup
sul nastro o in un'altra locazione.

Voci correlate
• Nastro magnetico
• Restore

Note
[1] Gianni Rusconi. «Il floppy va in pensione» (http:/ / www. ilsole24ore. com/ art/ SoleOnLine4/ Editrice/ IlSole24Ore/ 2010/ 04/ 27/
Tecnologia e Business/ 18_B. shtml?uuid=25a12abc-51c0-11df-92be-7a8b1f1c5244& DocRulesView=Libero). Il Sole 24 Ore, 27 04 2010.
URL consultato in data 27-04-2010.
[2] Giacomo Dotta. «Il Floppy non è morto, anche se non sta troppo bene» (http:/ / blog. webnews. it/ 04/ 05/ 2010/
il-floppy-non-e-morto-anche-se-non-sta-troppo-bene/ ). Webnews blog, 04 05 2010. URL consultato in data 05-05-2010.
BitLocker Drive Encryption 23

BitLocker Drive Encryption

La BitLocker Drive Encryption è una funzionalità di protezione dei dati integrata nel sistema operativo Microsoft
Windows Vista che permette di crittografare l'intera partizione del sistema operativo. BitLocker è incluso nelle
edizioni Enterprise ed Ultimate di Vista. Per impostazione di default viene usato l'algoritmo di crittografia AES nella
modalità CBC con una chiave di 128 bit.

Descrizione
BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la
cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile:
• Modo operativo trasparente: questa modalità sfrutta le capacità dell'hardware TPM 1.2 per garantire una
esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per
la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM che
viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di
BitLocker sfruttano la endorsement key.
• Modo autenticazione utente: questa modalità richiede che l'utente inserisca una chiave di autenticazione
nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN
inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria.
La terza modalità non richiede un chip TPM:
• Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter
avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta
supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard
disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di sistema" con una dimensione
minima di 1.5GB, e un "volume di avvio" che contiene Windows Vista. Attenzione: il volume di sistema dove è
installato BitLocker non è crittografato, quindi non deve essere usato per conservare informazioni riservate.
Diversamente dalle versioni precedenti di Windows, il comando da prompt diskpart di Vista dà la possibilità di
creare e modificare la dimensione di un volume NTFS in modo da poter creare un volume di sistema per BitLocker.
Sulle versioni client di Windows Vista, solo il volume del sistema operativo può essere crittografato con BitLocker.
L'Encrypted File System (EFS) continua ad essere la soluzione raccomandata per la crittografia dei dati in tempo
reale sulle partizioni NTFS. L'EFS è fortemente raccomandato in supporto a BitLocker perché la sua protezione
termina quando il kernel del sistema operativo viene caricato. Questi due sistemi possono essere visti come sistemi
di protezione contro diversi tipi di attacco.
Al WinHEC 2006, Microsoft mostrò che "Longhorn" (ora Vista) Server conteneva il supporto per BitLocker in
aggiunta alla protezione del volume del sistema operativo.
In ambienti dotati di dominio BitLocker supporta l'incapsulamento delle chiavi in Active Directory, così come si
interfaccia WMI per l'amministrazione remota di BitLocker.
Un esempio di come usare l'interfaccia WMI è lo script manage-bde.wsf (installato da Vista in
%Windir%\System32), che può essere usato per impostare e gestire BitLocker da riga di comando. Secondo
Microsoft, BitLocker non contiene backdoor; non c'è modo per le forze dell'ordine di scavalcare la protezione sui
dati. Questa è stata una delle principali preoccupazioni fra gli utenti avanzati da quando è stato annunciato il
supporto della crittografia in Vista.
È da notare che, contrariamente al nome ufficiale, "Crittografia unità BitLocker" crittografa il volume ad un livello
logico. Un volume potrebbe non essere un intero drive, oppure potrebbe essere formato da più drive. Utilizzando gli
strumenti da riga di comando, BitLocker può essere usato per crittografare anche altri volumi e non solo il volume di
BitLocker Drive Encryption 24

avvio; questi volumi però non possono essere crittografati mediante la GUI. Si presume che nelle versioni future di
Windows (come Vista Server) si potranno cifrare volumi addizionali usando la GUI. Quando viene abilitato il
TPM/BitLocker viene garantita l'integrità delle procedure di avvio, in modo da prevenire eventuali attacchi esterni.

Critiche
Quando viene eseguito il backup di un volume crittografato con BitLocker, il backup generato non è crittografato;
l'utility di backup di Windows Vista informa l'utente di ciò prima dell'esecuzione del backup. Se l'utente decide di
continuare, il backup risultante non è criptato e compromette la riservatezza dei dati dell'utente. Se l'utente decide di
non eseguire il backup, un malfunzionamento hardware del drive crittografato porterebbe alla perdita permanente dei
dati.
Interrogativi sulla possibilità che questa tecnologia contenga delle backdoor che permetterebbero alle forze
dell'ordine di accedere ai dati sono stati respinti dalla Microsoft, ma questa tecnologia supporta una "chiave di
recupero" (recovery key) che potrebbe garantire l'accesso senza il controllo dell'utente qualora cadesse nelle mani
sbagliate[1] .

Note
[1] (EN) BitLocker™ Drive Encryption and Disk Sanitation (http:/ / www. microsoft. com/ technet/ community/ columns/ sectip/ st1006. mspx)
in TechNet. Microsoft. URL consultato il 22 gennaio 2008.

Voci correlate
• FreeOTFE
• Encrypting File System
• TrueCrypt
• FileVault - Mac OS X
Capability 25

Capability
Con il termine capability si intende in informatica un meccanismo di protezione delle risorse orientato agli oggetti
complementare alle ACL.
I sistemi che utilizzano le capability associano a ciascun processo una lista di capability (o C-list), che descrive per
l'appunto a quali oggetti (per esempio file) il processo può accedere. Una C-list può essere formata da dei nodi,
ciascuno dei quali rappresenta i permessi su un determinato oggetto puntato.

Implementazione
Ci sono diverse metodologie per implementare le capability:
• In hardware: ad ogni parola in memoria viene aggiunto uno speciale tag che indica se la parola contiene una
capability. Solo il sistema operativo possiede i requisiti per poter modificare questi tag.
• In spazio kernel: il sistema operativo ordina a ciascun processo che tenta di accedere ad un determinato oggetto di
verificarne dapprima i permessi consultando una C-list.
• In spazio utente: le C-list sono memorizzate in spazio-utente, ma per questo motivo devono venire crittografate
per impedire contraffazioni da parte degli utenti.

CAPTCHA
Con l'acronimo inglese CAPTCHA si denota nell'ambito
dell'informatica un test fatto di una o più domande e risposte per
determinare se l'utente sia un umano (e non un computer o, più
precisamente, un bot). L'acronimo deriva dall'inglese "completely
automated public Turing test to tell computers and humans apart"
Un captcha di "6138B" ottenuto utilizzando uno
(Test di Turing pubblico e completamente automatico per distinguere sfondo confuso, scritto con font diversi, di colori
computer e umani). Il termine è stato coniato, nella terminologia vari e non allineati
inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper
della Università Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il
termine inglese viene utilizzato anche nella terminologia informatica italiana.

Un test CAPTCHA tipicamente utilizzato è quello in cui si richiede all'utente di scrivere quali siano le lettere o
numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo.
Dal momento che il test viene gestito da un computer, mentre il test originale di Turing viene gestito da un umano, a
volte si descrive il test CAPTCHA come un test di Turing inverso; questa è però una definizione fuorviante, perché
potrebbe indicare anche un test di Turing in cui entrambi i partecipanti tentano di provare che non sono umani.

Origini
I CAPTCHA sono stati sviluppati per la prima volta nel 1997 dal settore ricerca e sviluppo di AltaVista capitanato da
Andrei Broder, per impedire ai bot di aggiungere URL al loro motore di ricerca. Broder e colleghi cercavano di
creare immagini resistenti agli attacchi degli OCR e così consultarono il manuale degli scanner della Brother e
utilizzarono al contrario le indicazioni sulle situazioni da evitare, per ricreare una pessima situazione: caratteri storti,
con font diversi, sfondi non omogenei eccetera. Broder sostenne che l'introduzione di tale tecnologia avesse ridotto
lo spam di oltre il 95%.
CAPTCHA 26

In modo indipendente dal team di AltaVista, Luis von Ahn e Manuel Blum realizzarono e diffusero nel 2000 l'idea
del test CAPTCHA, intendendo con ciò qualunque tipo di programma che fosse in grado di distinguere tra persone e
computer. Essi inventarono vari tipi di test, compresi i primi a ricevere un'ampia diffusione grazie all'uso da parte di
Yahoo!.

Applicazioni
I CAPTCHA sono utilizzati per impedire che i bot utilizzino determinati servizi, come i forum, la registrazione
presso siti, la scrittura di commenti e in generale tutto ciò che potrebbe essere usato per creare spam o per violare la
sicurezza con operazioni di hacking come il brute force. Questo tipo di test è stato utilizzato anche per contrastare lo
spam generato da bot, obbligando il mittente di un messaggio e-mail non conosciuto dal destinatario a superare un
test CAPTCHA prima di consentire la consegna del messaggio.

Caratteristiche
Per definizione i test CAPTCHA sono completamente automatici e non richiedono di norma interventi umani per la
somministrazione o la manutenzione, indubbi vantaggi in termini di costi e affidabilità.
Gli algoritmi utilizzati per realizzare i test vengono spesso divulgati al pubblico, anche se in molti casi sono protetti
da brevetto. Tale politica di trasparenza è tesa a dimostrare il fatto che la sicurezza del metodo non risiede nella
conoscenza di un algoritmo segreto (che potrebbe essere ricavata con tecniche di reverse engineering o in modo
fraudolento); al contrario, per 'rompere' l'algoritmo è necessario risolvere un problema classificato come 'hard' nel
campo dell'intelligenza artificiale.
Non è obbligatorio ricorrere a tecniche visive: qualunque problema di intelligenza artificiale che abbia lo stesso
grado di complessità, ad esempio il riconoscimento vocale, è adatto a fare da base per un test di questo tipo. Alcune
implementazioni consentono all'utente di scegliere in alternativa un test basato su tecniche auditive, anche se tale
approccio ha subito uno sviluppo più lento e non è detto che possieda lo stesso grado di efficacia di quello visivo.
Inoltre, è possibile ricorrere ad altri tipi di verifiche che richiedano un'attività di comprensione testuale, quali la
risposta a una domanda o a un quiz logico, il seguire delle specifiche istruzioni per creare una password ecc. Anche
in questo caso i dati sulla resistenza di tali tecniche alle contromisure sono scarsi.
Una promettente tecnica che si sta sviluppando negli ultimi anni impiega dei test basati sul riconoscimento di una
faccia all'interno di un'immagine familiare. Per questo tipo di CAPTCHA si parla di RTT based on faces recognition.
In letteratura allo stato attuale sono stati implementati soltanto due metodi basati su questo tipo di CAPTCHA:
l'ARTiFACIAL[1] e un CAPTCHA basato sul riconoscimento facciale.[2] [3]

Accessibilità
L'uso di test CAPTCHA basati sulla lettura di testi o altre attività legate alla percezione visiva impedisce o limita
fortemente l'accesso alle risorse protette agli utenti con problemi di vista e, poiché tali test sono progettati
specificamente per non essere leggibili da strumenti automatici, i normali ausili tecnologici usati dagli utenti ciechi o
ipovedenti non sono in grado di interpretarli; ma anche gli utenti daltonici possono non essere in grado di superare il
test. L'uso dei test CAPTCHA, generalmente legato alle fasi iniziali di accesso o registrazione ai siti e talvolta
ripetuto per ogni accesso, può costituire una discriminazione nei confronti di tali utenti disabili tale per cui in alcuni
ordinamenti esso costituisce una violazione delle norme di legge.
Nuove generazioni di CAPTCHA, create per resistere ai più sofisticati programmi di riconoscimento di testi, possono
essere molto difficili o impossibili da risolvere per molti utenti, anche nel pieno possesso della propria capacità
visiva.
Il W3C ha redatto un rapporto in cui vengono evidenziati alcuni dei problemi di accessibilità legati all'uso di tali
tecniche.[4]
CAPTCHA 27

Sistemi di protezione per gli utenti

Negli ultimi anni la complessità dei CAPTCHA è cresciuta esponenzialmente, e la frustrazione degli utenti già al
limite sta raggiungendo l'esasperazione più totale. Ultimamente infatti gli utenti dichiarano di rinunciare a postare un
proprio giudizio quando questo comporta la compilazione di un CAPTCHA. Inoltre, il mondo si sta spostando
sempre più verso un posting in mobilità, dove la compilazione di un CAPTCHA è quanto meno imbarazzante. Per
evitare questo fenomeno aziende startup stanno mettendo a punto sistemi per evitare agli utenti la sgradevole
sensazione di dover compilare un CAPTCHA spesso inatteso e improbabile. Questo inoltre va a vantaggio
dell'accessibilità.

Contromisure
Dopo l'uso massiccio di CAPTCHA, sono state scoperte alcune contromisure che permettono agli spammer di
superare i test.
Greg Mori e Jitendra Malik hanno presentato nel 2003 uno studio[5] che illustra come aggirare uno dei sistemi più
diffusi per realizzare test CAPTCHA, EZ-Gimpy; tale approccio si è rivelato efficace nel 92% dei casi. Nei confronti
del sistema Gimpy, più sofisticato ma meno diffuso, l'efficacia del metodo scende al 33%. Al momento non è però
noto se tale algoritmo sia stato implementato al di fuori del contesto della ricerca.
Sono stati creati anche alcuni programmi per cercare una soluzione ripetutamente e altri per riconoscere i caratteri
scritti, utilizzando tecniche apposite e non quelle standard degli OCR. Progetti come PWNtcha[6] hanno fatto grandi
passi in avanti, contribuendo alla generale migrazione verso CAPTCHA sempre più difficili.
Un altro metodo per superare un captcha è sfruttare sessioni in cui il test è già stato superato, salvando i test per poi
creare un archivio di soluzioni.
Ma il metodo più efficace è quello di utilizzare un essere umano per risolvere il CAPTCHA: è infatti possibile
affidare a persone pagate il compito di risolvere i CAPTCHA. Il già citato documento del W3C[4] afferma che un
operatore può facilmente risolvere centinaia di test CAPTCHA in un'ora.
Questa possibile soluzione necessiterebbe di un investimento economico che non sempre è giustificato, ma è stato
scoperto un metodo più a buon mercato per ottenere gli stessi risultati: lo spammer utilizza a tal fine un sito Internet
con un servizio a cui gli utenti umani chiedono l'accesso, che può essere un forum ma anche una collezione di
immagini pornografiche. Così, quando un utente chiede di accedere, gli viene proposto un CAPTCHA ottenuto dal
sito esterno che lo spammer vuole attaccare: il test viene quindi risolto dall'utente, che ottiene in cambio una
remunerazione che per lo spammer ha un costo trascurabile, mentre il sistema "ricicla" la soluzione del test per
superare la barriera del sito bersaglio.

reCaptcha
I test CAPTCHA hanno avuto degli utilizzi secondari non legati unicamente all'eliminazione dello spam: il più noto
riguarda il riconoscimenti di testi contenuti in libri antichi e si chiama reCaptcha. Molte biblioteche stanno
provvedendo a convertire in digitale le loro collezioni di antichi testi (anche manoscritti); questa conversione viene
ottenuta tramite la digitalizzazione delle pagine e la loro successiva analisi tramite un programma OCR, che analizza
le immagini delle pagine ed estrae il testo in esse contenuto. I programmi OCR però interpretano con difficoltà le
lettere sbiadite e le pagine ingiallite dei testi antichi e quando non sono in grado di riconoscere con certezza un testo
necessitano di un intervento umano, che rallenta il processo e innalza il costo della digitalizzazione.
Ricercatori della Carnegie Mellon University hanno deciso di utilizzare i sistemi CAPTCHA per interpretare le
parole dubbie individuate dai programmi OCR. Quando due sistemi OCR identificano in modo diverso una parola,
questa viene associata a una parola nota e inviata a un utente che deve superare un test CAPTCHA per accedere a un
servizio. Si presuppone che se un utente riesce ad individuare correttamente la parola nota, allora individuerà con
elevata probabilità anche la parola ignota. Quando tre utenti danno la stessa risposta, il sistema archivia la parola
CAPTCHA 28

come corretta. Questo sistema ha permesso di convertire 440 milioni di parole con un'accuratezza del 99%. Ad
agosto 2008, questo sistema convertiva 4 milioni di parole al giorno.[7] Il progetto in seguito è diventato una startup
company che nel settembre del 2009 è stata acquisita da Google, il quale ha avviato una procedura di scansione di
decine di milioni di libri immagazzinati in centinaia di librerie sparse per il pianeta e intende sfruttare il progetto
reCaptcha per correggere gli errori derivati dalla scansione OCR dei testi.[8] ReCaptcha può essere assimilato alla
categoria dei giochi con uno scopo (GWAP).

Curiosità
Uno dei fenomeni di Internet nati su 4chan riguarda proprio il CAPTCHA. Esso si riferisce ad un codice in cui si
leggeva "Inglip Summoned": ne è scaturita la finta leggenda che un dio oscuro, tale Inglip, sia ritornato sulla terra
per trascinarla nell'oscurità. Sono presenti inoltre diversi video su YouTube in cui Inglip darebbe ordini ai suoi
adepti, sempre tramite degli stravaganti e spesso incomprensibili codici CAPTCHA.[9]

Voci correlate
• Gioco con uno scopo

Note
[1] http:/ / research. microsoft. com/ en-us/ um/ people/ yongrui/ ps/ mmsj04hip. pdf
[2] http:/ / www. fileguru. com/ apps/ face_recognition_captcha
[3] http:/ / ieeexplore. ieee. org/ iel5/ 10670/ 33674/ 01602255. pdf
[4] Matt May. (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests (http:/ / www. w3. org/ TR/ turingtest/ ) in W3C Working Group Note.
23 novembre 2005. URL consultato il 12 luglio 2011.
[5] Greg Mori; Jitendra Malik. (EN) Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA (http:/ / www. cs. sfu. ca/ ~mori/
research/ papers/ mori_cvpr03. pdf) (PDF 408kB). URL consultato il 12 luglio 2011.
[6] PWNtcha – Caca Labs (http:/ / sam. zoy. org/ pwntcha/ )
[7] I testi antichi hanno un futuro "Li salverà un metodo antispam" (http:/ / www. repubblica. it/ 2007/ 10/ sezioni/ scienza_e_tecnologia/
libri-web/ testi-antichi/ testi-antichi. html?ref=hpspr1). Repubblica.it, 19 agosto 2008. URL consultato il 19 agosto 2008.
[8] Google acquista reCaptcha (http:/ / www. macitynet. it/ macity/ aA39806/ google_acquista_recaptcha. shtml). MaCityNet.it,
16-09-2009. URL consultato il 16-09-2009.
[9] Inglipedia (http:/ / inglipnomicon. wikia. com/ wiki/ Inglipnomicon_Wiki). 16-09-2009. URL consultato il 05-06-2011.

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Captcha

Collegamenti esterni
• (EN) The Captcha Project (http://www.captcha.net)
• (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests: Problems and Alternatives (http://www.w3.org/
TR/turingtest/) (raccomandazione del W3C)
• (EN) Storia del test captcha (http://www2.parc.com/istl/projects/captcha/history.htm) (Xerox PARC)
• (EN) Il brevetto USA 6.195.698 (http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&
p=1&u=/netahtml/PTO/search-bool.html&r=1&f=G&l=50&co1=AND&d=PTXT&s1=6195698.PN.&
OS=PN/6195698&RS=PN/6195698) (nota: il termine captcha non era ancora stato inventato all'epoca)
• Distinguere l'uomo dalla macchina in modo accessibile (http://diegolamonica.info/tutorials/?id=7)
Carta d'identità elettronica italiana 29

Carta d'identità elettronica italiana

La carta d'identità elettronica (CIE) è il documento di identificazione destinato a sostituire la carta d'identità
cartacea sul territorio italiano. A decorrere dal 1º gennaio 2006, la carta d'identità su supporto cartaceo è sostituita,
all'atto della richiesta del primo rilascio o del rinnovo del documento, dalla carta d'identità elettronica (articolo
7-vicies ter del decreto-legge 31 gennaio 2005, n. 7, convertito della Legge 31 marzo 2005 n. 43).
Alla fine del 2009 sono state emesse circa 1,8 milioni di CIE da circa 180 Comuni.

Caratteristiche
Ai sensi del DM 19 luglio 2000 e successive modificazioni (in ultimo il DM 8/11/2007 n. 229) il “Ministero
dell’Interno mette a disposizione delle Questure, dei Comuni, degli Uffici Consolari e dell’Istituto Poligrafico e
Zecca dello Stato l'infrastruttura organizzativa, informatica e di rete del C.N.S.D. e cura la realizzazione, la gestione
e la manutenzione dei servizi di sicurezza e di emissione, nonché rende disponibili ai Comuni, agli Uffici Consolari e
ai centri di allestimento:
• il software della porta applicativa di accesso al Backbone, ai fini dell'utilizzazione dei servizi del C.N.S.D. da
parte degli Enti emettitori;
• il software di supporto all'uso in rete del documento, ai cittadini, ai Comuni e alle amministrazioni ed enti
interessati;
• il servizio di convalida I.N.A., attraverso backbone del C.N.S.D., direttamente dall'I.N.A.;
• il servizio di validazione dei certificati digitali CIE, realizzato sullo standard OCSP (RFC 2560) per i sistemi che
erogano servizi tramite il documento;
• i software di sicurezza e di emissione, finalizzati a garantire l'integrità, l'accessibilità e la riservatezza delle
informazioni nelle fasi di compilazione, allestimento, stampa, rilascio, aggiornamento, rinnovo e verifica dei
documenti ai Comuni e ai CAPA nonché finalizzati a garantire l'integrità e la sicurezza delle comunicazioni
telematiche tra C.N.S.D., Comuni e centri di allestimento.
Il Ministero dell’Interno C.N.S.D. fornisce ai Comuni che acquisiscono in autonomia postazioni di emissione
conformi alle specifiche tecniche pubblicate sul sito del Ministero stesso il necessario software di sicurezza ed
emissione, nonché i relativi aggiornamenti.“. Il software di sicurezza ed emissione, e i relativi aggiornamenti
vengono assicurati dall’Università degli Studi di Roma di Tor Vergata nell’ambito dell’accordo istituzionale con il
Ministero dell’Interno.
Di materiale plastico e formato tipo "bancomat" o tesserino del codice fiscale, il supporto della carta d'identità
elettronica è prodotto dall'Istituto Poligrafico e Zecca dello Stato, che provvede anche alla sua inizializzazione,
procedura che rende la carta equivalente a un documento in bianco. A tale procedura segue la formazione, che è la
fase in cui il CNSD del Ministero dell’Interno e il Comune interagiscono, utilizzando il software di sicurezza ed
emissione, per scrivere sulla carta e nel microprocessore i dati identificativi del titolare. Per conoscere l'identità della
persona non sarà necessario introdurre la carta in un lettore: le generalità e la fototessera del titolare saranno
stampate sulla carta e saranno quindi leggibili chiaramente. Il supporto fisico deve essere conforme alle norme
ISO/IEC 7816 (International Organization for Standardization).
Carta d'identità elettronica italiana 30

La carta d'identità elettronica contiene i seguenti campi:

1. Comune di rilascio del documento;
2. Cognome del titolare;
3. Nome del titolare;
4. Luogo di nascita del titolare
5. Data di nascita del titolare;
6. Ora di nascita del titolare;
7. Sesso del titolare; Carta d'identità elettronica Italiana - fronte.
8. Estremi dell'atto di nascita;
9. Statura;
10. Comune di residenza;
11. Indirizzo;
12. Data di emissione;
13. Data di scadenza;
14. Cittadinanza;
15. Codice fiscale del titolare;
16. Firma del titolare;
17. Validità per l'espatrio o eventuale annotazione in caso di non Carta d'identità elettronica Italiana - retro.
validità.
Sulla CIE sono inoltre presenti:
• Dizione della Repubblica Italiana e stemma;
• Numero assegnato al documento;
• Fotografia del titolare;
• Ologramma di sicurezza;
• Banda ottica a lettura laser
• microprocessore, contenente delle chiavi crittografiche che permettono al titolare della carta di identificarsi in
maniera sicura presso sistemi automatici. L'utilizzo delle chiavi è vincolato alla conoscenza di un codice numerico
(PIN) consegnato al titolare all'atto del rilascio. L'utilizzo del microprocessore consente di evitare che le chiavi
private dell'utente possano essere estratte dalla carta, rendendo più sicuro il loro utilizzo, e in generale garantisce
una migliore protezione dei dati presenti. Nel microprocessore oltre ai dati sopra indicati possono anche essere
facoltativamente memorizzati i Modelli delle impronte digitali del dito indice di ogni mano.
Il microprocessore è predisposto per contenere anche dati e servizi aggiuntivi, in particolare un servizio di firma
digitale. Nella memoria del microprocessore per l'uso della CIE, come strumento di accesso ai servizi in rete,
risiederanno presso il CNSD la lista dei certificati CIE revocati e i sistemi di convalida anagrafica dell'INA anche per
l'uso della CIE, come strumento di accesso ai servizi in rete.
In base al Codice dell'Amministrazione Digitale, il microprocessore della carta d'identità elettronica potrà contenere,
a richiesta dell'interessato, ove si tratti di dati sensibili:
1. L'indicazione del gruppo sanguigno;
2. Le opzioni di carattere sanitario previste dalla legge;
3. I dati biometrici previsti dalla legge, con esclusione, in ogni caso, del DNA;
4. Tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino,
anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza;
5. Le procedure informatiche e le informazioni occorrenti per la firma elettronica.
La carta d'identità elettronica e la Carta nazionale dei servizi sono gli unici strumenti di autenticazione previsti dal
Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via
transitoria sono ammesse anche altre modalità, meno sicure, come quelle basate sulla coppia nome utente e
Carta d'identità elettronica italiana 31

password.

Distribuzione
Nonostante la distribuzione della CIE non sia stata ancora portata a regime in tutto il territorio nazionale, numerosi
comuni, di propria iniziativa e a proprie spese, si sono aggiunti agli iniziali comuni-campione che ricevettero nel
2004 le apparecchiature necessarie al suo rilascio. Al 31 dicembre 2009 risultano emesse circa 1.800.000 CIE.
Successivamente al DM 229 del 8/11/2007 del Ministero dell'Interno sono inoltre stati realizzati numerosi esempi di
Centri di allestimento della CIE in forma associata. Questo permette ai piccoli comuni di associarsi ad un comune
più grande cui demandare la fase di stampa della CIE, la più onerosa in termini organizzativi ed economici. In tal
modo, mantenendo l'emissione della CIE a vista presso gli sportelli comunali, i comuni più piccoli possono
semplicemente acquisire i dati del cittadino e trasmetterli in via telematica al comune più grande dotato di centro di
stampa. Una volta stampata la CIE questa viene inizializzata e consegnata al cittadino dal proprio comune.

Note

Voci correlate
• Carta d'identità
• Carta d'identità italiana
• Tessera sanitaria
• Carta nazionale dei servizi

Collegamenti esterni
• CNSD - Ministero dell'interno, Direzione Centrale per i Servizi Demografici (http://www.servizidemografici.
interno.it)
CCleaner 32

CCleaner
CCleaner

CCleaner 3 su Windows XP
Sviluppatore Piriform Ltd.

Ultima versione 3.14.1616 (21 dicembre 2011)

S.O. Microsoft Windows

Genere Utility

Licenza Freeware
(Licenza chiusa)

Sito web [1]

CCleaner.com

CCleaner è un software freeware di ottimizzazione delle prestazioni, protezione della privacy e pulizia dei registri di
sistema e altre tracce d'uso per varie versioni del sistema operativo Microsoft Windows. È sviluppato da Piriform
Ltd., ed è un software molto noto e diffuso, che ha ottenuto anche vari riconoscimenti.[2]
Combina uno strumento di pulizia del sistema per eliminare i file temporanei e quelli inutilizzati ad uno strumento di
pulizia e riordino del registro di sistema.
Il programma dispone inoltre di diverse utility tra cui:
• è possibile disinstallare e rinominare i programmi installati nel sistema;
• la gestione dei programmi che vengono eseguiti all'avvio;
• la gestione di tutti i punti di ripristino del sistema e la distruzione sicura di contenuti sui drive;
• un potente strumento per risolvere problemi riscontrati con estensioni, riferimenti e collegamenti mancanti;
• una sezione chiamata Registro dove possono essere trovati e riparati problemi che vengono rilevati nell'integrità
registro del sistema.
Il programma consente di creare un backup del registro di sistema prima di procedere all'eliminazione.
Supporta tutte le versioni di Windows, dalla 2000 in poi.[3]
Al 25 agosto 2010, il programma ha avuto più di 500 milioni di download[4] ed è tradotto in molte lingue, in
continuo aumento.[5]
CCleaner 33

Voci correlate
• Utilità (informatica)

Note
[1] http:/ / www. piriform. com/ ccleaner
[2] (EN) CCleaner - Reviews (http:/ / www. piriform. com/ ccleaner/ reviews). URL consultato il 27 maggio 2011.
[3] (EN) What operating systems does CCleaner support? (http:/ / www. piriform. com/ ccleaner/ faq/ installing/
what-operating-systems-does-ccleaner-support). URL consultato il 7 ottobre 2010.
[4] (EN) CCleaner Download Milestone (http:/ / www. piriform. com/ blog/ 2010/ 8/ 25/ ccleaner-download-milestone) in Piriform Blog. 25
agosto 2010. URL consultato il 24 ottobre 2011.
[5] (EN) Changing the language CCleaner uses (http:/ / www. piriform. com/ docs/ ccleaner/ ccleaner-settings/
changing-the-language-ccleaner-uses). URL consultato il 24 ottobre 2011.

Collegamenti esterni
• (EN) Sito web di CCleaner (http://www.piriform.com/ccleaner)

Centro nazionale anticrimine informatico per la

protezione delle infrastrutture critiche
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche

Descrizione generale

Attiva ufficialmente dal 2005

Nazione  Italia

Servizio Polizia di Stato

Tipo unità specializzata del Servizio Polizia Postale e delle Comunicazioni

Ruolo Protezione delle infrastrutture critiche da reati informatici

Sede Roma

Soprannome CNAIPIC

Sito internet [1]

PS.it CNAIPIC

Comandanti

Comandante corrente V.Q.A. dott. Tommaso PALUMBO

Voci di unità militari presenti su Wikipedia

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC) è l'unità
specializzata interna al Servizio di polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei
crimini informatici diretti ai danni delle infrastrutture critiche nazionali.
Anche se di fatto già operante dal 2005 come unità specializzata nel settore, costituita in seno al Servizio polizia
postale e delle comunicazioni, il CNAIPIC è stato istituito formalmente con decreto del capo della Polizia il 7
agosto del 2008, in ottemperanza al decreto del ministro dell'interno del 9 gennaio 2008.
La sede è stata inaugurata il 23 giugno 2009 a Roma in via Tuscolana 1548, presso il Polo Tuscolano del
Dipartimento della pubblica sicurezza.
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche 34

L'attacco di Anonymous
Nel luglio del 2011 i server centrali del CNAIPIC sono stati violati dai gruppi hacker di NKWT, Anonymous,
LulzSec e Antisec. Sono stati prelevati importanti documenti e relazioni per un totale di 8Gb di dati che tuttora si
trovano liberamente in internet. Queste azioni sono state rivendicate come protesta contro l'arresto di italiani presunti
aderenti ai movimenti hacker, ma non si escludono motivazioni da inserirsi in un quadro più ampio.

Voci correlate
• Polizia Postale
• Nucleo speciale frodi telematiche
• Defense Information Systems Agency
• Sicurezza informatica
• Hacker
• Cracker
• Sniffing
• Spoofing
• Phishing
• Security Operation Center

Collegamenti esterni
• Decreto 9 gennaio 2008 del ministro dell'interno [2]

Note
[1] http:/ / poliziadistato. it/ articolo/
18494-CNAIPIC_Centro_Nazionale_Anticrimine_Informatico_per_la_Protezione_delle_Infrastrutture_Critiche
[2] http:/ / archivio. cnipa. gov. it/ HTML/ RN_ICT_cron/ si_20080109%20Decreto%20Ministero%20interno. rtf
Certificate authority 35

Certificate authority
In crittografia, una Certificate Authority o Certification Authority (CA), letteralmente Autorità Certificativa, è un
ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite
procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in
materia.
Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa
pubblica all'interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane
segreta e associata al titolare (chiave privata). Una coppia di chiavi può essere attribuita ad un solo titolare. L'autorità
dispone di un certificato con il quale sono firmati tutti i certificati emessi agli utenti, e ovviamente deve essere
installata su di una macchina sicura.

Introduzione
Le Certification Authority sono caratteristiche di una infrastruttura a chiave pubblica (PKI), così organizzata:
• una policy di sicurezza che fissa i principi generali;
• un certificate practise statement (CPS), ossia il documento in cui è illustrata la procedura per l’emissione,
registrazione, sospensione e revoca del certificato;
• un sistema di certification authority (CA);
• un sistema di registration authority (RA), ovvero il sistema di registrazione e autenticazione degli utenti che
domandano il certificato;
• un certificate server.
Possono essere certificate persone fisiche, organizzazioni, server, applicazioni, ogni CA precisa nel proprio CPS chi
sono le entità finali che essa è disposta a certificare e per quali scopi di utilizzo (certificati di firma e cifratura dei
messaggi di posta elettronica, certificati di autenticazione dei server di rete, ecc.).

CA root
Una infrastruttura PKI è strutturata gerarchicamente da più CA al cui vertice si trova una CA root che certifica le
sub-CA. Il primo passo per costruire una infrastruttura PKI è creare la CA radice dell'albero, ossia la CA root. Se la
CA di root è la radice dell'albero chi le firma il certifcato? La risposta è molto semplice: la CA si auto firma il suo
certificato. In pratica vengono create le chiavi pubblica e privata, crea la richiesta di rilascio di un certificato e la
firma con la sua chiave privata. Da qui si evince la necessità della buona reputazione di una CA: in pratica non c'è
nessuna autorità garante dal punto di vista architetturale sopra la CA di root; è necessario quindi passare a forme di
garanzia giuridiche

Un esempio pratico
Al contrario della cifratura simmetrica che utilizza un’unica chiave per cifrare e decifrare, la cifratura asimmetrica, o
a chiave pubblica si avvale di due chiavi, una chiave pubblica e una chiave privata, una per cifrare e l’altra per
decifrare, legate entrambe da una funzione matematica. Le CA sono la soluzione per il problema dell'associazione
fra una chiave pubblica e la persona che possiede la relativa chiave privata. Chiariamo il concetto con un esempio:
Alice e Bob vogliono scambiarsi messaggi firmati e crittografati; a tale scopo entrambi creano la loro coppia di
chiavi e le pubblicano su un keyserver. Quindi Alice scrive un messaggio per Bob, lo firma con la propria chiave
privata e lo cripta con la chiave pubblica di Bob, quindi il messaggio viene inviato. In ricezione Bob decripta il
messaggio con la propria chiave privata e verifica la firma con la chiave pubblica intestata ad Alice. Bob a questo
punto sa due cose:
Certificate authority 36

• il messaggio era diretto a lui perché è riuscito a decifrarlo con la propria chiave privata
• il messaggio è stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la
firma.
Nel contempo Bob non ha alcuna garanzia che la chiave sia realmente di proprietà di Alice. Continuando l'esempio,
supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di
Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire
l'inganno. Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la
corrispondenza fra chiave e proprietario. Quando un utente richiede un certificato, la CA verifica la sua identità,
quindi crea un Documento digitale firmato con la chiave privata della CA e pubblicato. Nell'esempio precedente
supponiamo che Alice e Bob si facciano firmare le loro chiavi da una CA che entrambi ritengono attendibile. In
questo caso l'attacco di Mallory non è più possibile in quanto non è in grado di riprodurre la firma della CA.

Procedura di certificazione
Alice genera la sua coppia di chiavi. Raggiunge l’ufficio registrazione (Registration Authority) della CA, si identifica
e fornisce la sua chiave pubblica perché sia certificata. La RA approva la richiesta di certificazione dopo opportune
verifiche, dopodiché chiede alla CA di generare un certificato per Alice. La CA firma il certificato generato per Alice
con il proprio certificato. Alice riceve per e-mail il proprio certificato firmato dalla CA ed il certificato root della
CA. Ogni volta che firmerà un documento, Alice allegherà il proprio certificato digitale oppure il numero seriale
dello stesso. Il certificato di Alice è pubblicato dalla CA sul proprio certificate server.
Le CA sono delle organizzazioni molto importanti nel panorama attuale del Web; in genere tutti i siti che si
occupano di e-commerce o di transazioni on-line, perlomeno all'atto dell'autenticazione dell'utente trasferiscono la
comunicazione dal protocollo HTTP al protocollo HTTPS; all'atto della negoziazione il client richiede il certificato
del server e quindi viene instaurata la connessione protetta. Quando un browser (ma anche un client di posta, ecc...)
riceve un certificato, lo valida. Nel processo di validazione verifica che tutto l'albero delle CA collegate al certificato
sia fidato. Se tutte le CA coinvolte nel rilascio del certificato in esame sono fidate, il certificato è ritenuto valido
altrimenti viene chiesto all'utente cosa fare, ossia se accettarlo o meno. Il problema di fidarsi o meno del certificato e
quindi dell'entità che lo ha presentato viene passato all'utente. Per cui il problema della fiducia rimane a completo
carico dell'utente. È automatico, quindi, che i siti o le infrastrutture utilizzino certificati rilasciati da CA note per la
loro affidabilità. Alcuni siti possono optare per un'autocertificazione solo per impedire che terzi attraverso analisi del
protocollo ip possano leggere i dati scambiati tra il sito e l'utente.

Compiti di una Certification Authority

Descriviamo ora a grandi linee i compiti di una CA standard. Il procedimento illustrato è una linea guida che può
variare caso per caso:
• identificazione certa di chi richiede la certificazione della chiave pubblica;
• rilascio e pubblicazione del certificato (firmato con la propria chiave privata);
• manutenzione del registro delle chiavi pubbliche;
• revoca o sospensione dei certificati in caso di istanza dell'interessato o in caso di abusi, falsificazioni, ecc. e nel
contempo aggiornamento della lista pubblica dei certificati sospesi o revocati (certificate revocation list);
• risposta (per via telematica) alle domande di trasmissione dei certificati.
• si occupa periodicamente di pubblicare due liste sul Certificate Server:
1. Certificate Revocation List (CRL)
2. Certificate Suspension List (CSL)
Certificate authority 37

Vigilanza
Le Certification Authority sono sottoposte ad una rigida regolamentazione e supervisione da parte dello Stato. Il
governo italiano è stato il primo a livello europeo, e tra i primi a livello mondiale a darsi una regolamentazione
normativa al riguardo, definendo le regole tecniche e logistiche per realizzare una infrastruttura che potesse rilasciare
certificati digitali che avessero, ai sensi di legge, la stessa validità di una firma autografa. I certificati devono essere
rilasciati da CA iscritte nell'Elenco Pubblico dei Certificatori [1], diffuso dal Centro Nazionale per l’Informatica nella
Pubblica Amministrazione (CNIPA). Tale organismo opera presso la Presidenza del Consiglio per l’attuazione delle
politiche del Ministro per le riforme e le innovazioni nella PA, unifica in sé due organismi preesistenti, tra cui
l’Autorità per l’Informatica nella Pubblica Amministrazione. Il CNIPA, ai sensi del Codice dell'amministrazione
digitale, vigila sull’attività dei certificatori qualificati. Dal 2006 pubblica un bollettino con l’obiettivo di informare
sull’attività di vigilanza svolta dal Cnipa in quest’ambito. L’attività di vigilanza è fondamentale per l’intero impianto
della firma digitale, in quanto garantisce il mantenimento del possesso dei requisiti tecnici, organizzativi e societari
che i certificatori qualificati devono possedere, ai sensi della normativa vigente.

Il quadro normativo
La Direttiva europea 1999/93/CE [2], recepita dal Decreto Legislativo 23 gennaio 2002, n. 10 [3] prescrive che
Ciascuno Stato membro provvede affinché venga istituito un sistema appropriato che consenta la supervisione dei
prestatori di servizi di certificazione stabiliti nel loro territorio e rilascia al pubblico certificati qualificati. Tale
organismo è stato identificato dall’articolo 31 del Codice dell'amministrazione digitale [4] nel Centro Nazionale per
l’Informatica nella Pubblica Amministrazione. Il CNIPA deve quindi ottemperare a diverse previsioni normative
derivanti dal conferimento delle funzioni di vigilanza e controllo sull'attività dei certificatori qualificati, oltre che a
quelli derivanti dall’attività di accreditamento volontario. Per chiarezza di informazione si ricorda che i certificatori
qualificati sono i soggetti che intendono emettere certificati qualificati secondo la Direttiva europea 1999/93/CE,
soggetti che si distinguono in certificatori accreditati e notificati. La differenza sostanziale fra le due tipologie è che
i primi si sottopongono ad apposita istruttoria preventiva volta a verificare il possesso in capo agli stessi dei requisiti
richiesti dalle norme in materia. Recependo la Direttiva europea citata precedentemente, il CNIPA è stato designato,
anche a livello comunitario, a operare come l’organismo nazionale di accreditamento e di vigilanza sulle attività
svolte dai certificatori accreditati. A parte il rispetto degli obblighi normativi, la vigilanza su tali soggetti è
ovviamente fondamentale per l’intero impianto della firma digitale nel nostro Paese. Difatti, la robustezza degli
algoritmi utilizzati, la sicurezza dei dispositivi sicuri per la generazione della firma (smart card), i meccanismi
crittografici utilizzati, non servirebbero a garantire nulla se il soggetto che certifica la corrispondenza fra una chiave
pubblica ed i dati anagrafici del titolare della stessa, ad esempio, non agisse con serietà e competenza, garantendo
quindi i richiesti livelli di affidabilità, qualità e sicurezza. Da notare che legislazione in materia non prevede alcuna
forma di sanzione nel caso di inadempienza da parte dei certificatori. Le norme vigenti in altri Stati membri dell’UE,
consentono di intervenire con gradualità commisurata alla gravità dell’inadempienza rilevata. Ad esempio vi sono
sanzioni pecuniarie che vanno da poche centinaia di euro, fino a interventi limite che vedono il divieto di proseguire
l’attività. In Italia, non essendo prevista alcuna gradualità di intervento, si può solo vietare al soggetto inadempiente
di proseguire l’attività di certificazione. Tale sanzione, i cui effetti difficilmente reversibili sono di una gravità
estrema, non è mai stata applicata in quanto non commisurata alle inadempienze fino ad oggi rilevate.
Certificate authority 38

Collegamenti esterni
• Elenco delle autorità di certificazione da parte di paesi classificati [5]
• Centro Nazionale per l'Informatica nella Pubblica Amministrazione [6]

Note
[1] http:/ / www. cnipa. gov. it/ site/ it-IT/ Attivit%c3%a0/ Certificatori_accreditati/ Elenco_certificatori_di_firma_digitale/
[2] http:/ / eur-lex. europa. eu/ LexUriServ/ site/ it/ oj/ 2000/ l_013/ l_01320000119it00120020. pdf
[3] http:/ / www. camera. it/ parlam/ leggi/ deleghe/ testi/ 02010dl. htm
[4] http:/ / www. parlamento. it/ leggi/ deleghe/ 05082dl. htm
[5] http:/ / www. tractis. com/ countries
[6] http:/ / www. cnipa. gov. it

Certificate revocation list

I certificate revocation list (CRL) sono delle liste di certificati digitali revocati perché non sono più validi a causa
di molteplici ragioni. Tra cui:
• compromissione della chiave primaria,
• dimissioni,
• cambio dei dati personali.
Le CRL aderiscono al formato internazionale ITU-T X.509 secondo quanto descritto dallo standard PKIX
“Certificate and CRL Profile”
Un operatore del punto di validazione locale (LVPO) emette una Certificate Revocation Request (CRR, Richiesta di
revoca del certificato) per un dato certificato, la relativa certificate authority (CA) si occupera di emettere la nuova
CRL.
Certificato digitale 39

Certificato digitale
Un certificato digitale è un documento
elettronico che attesta, con una firma
digitale, l'associazione tra una chiave
pubblica e l'identità di un soggetto (una
persona, una società, un computer, etc).

Scopo
Lo scopo del certificato digitale è quello di
garantire che una chiave pubblica sia
associata alla vera identità del soggetto che
la rivendica come propria.
In un sistema a crittografia asimmetrica ciò
può essere molto importante: infatti, ogni Diagramma: come viene realizzato un certifcato digitale
messaggio crittografato con una data chiave
pubblica può essere decrittato solo da chi possiede la relativa chiave privata; per cui, se siamo sicuri che la chiave
pubblica appartiene a "Mario Rossi" allora siamo anche sicuri che solo "Mario Rossi" potrà leggere i messaggi
crittati con quella chiave pubblica. Inoltre vale anche il viceversa: se possiamo decriptare un messaggio con quella
chiave pubblica allora siamo sicuri che quel messaggio è stato criptato da "Mario Rossi" (anche se ciò non implica
che quel messaggio è stato inviato da "Mario Rossi").

Nello schema tipico di un'infrastruttura a chiave pubblica (PKI), la firma apposta sarà quella di una autorità di
certificazione (CA). Nella rete di fiducia ("web of trust"), invece, la firma è quella o dello stesso utente
(un'auto-certificazione) oppure di altri utenti ("endorsements"). In entrambi i casi, la firma certifica che la chiave
pubblica appartiene al soggetto descritto dalle informazioni presenti sul certificato ( nome, cognome, indirizzo
abitazione, indirizzo IP, etc.)

Principio e utilizzo
I certificati sono utili per la crittografia a chiave pubblica quando usata su larga scala. Infatti, scambiare la chiave
pubblica in modo sicuro tra gli utenti diventa impraticabile, se non impossibile, quando il numero di utenti comincia
a crescere. I certificati digitali sono una soluzione per superare questa difficoltà.
In principio se Mario Rossi voleva inviare/ricevere un messaggio segreto, doveva solo divulgare la sua chiave
pubblica. Ogni persona che la possedeva poteva inviargli e/o ricevere da lui messaggi sicuri; tuttavia qualsiasi
individuo poteva divulgare una differente chiave pubblica ( di cui conosceva la relativa chiave privata) e dichiarare
che era la chiave pubblica di Mario Rossi. Per ovviare a questo problema, Mario Rossi inserisce la sua chiave
pubblica in un certificato firmato da una terza parte fidata ("trusted third party"): tutti quelli che riconoscono questa
terza parte devono semplicemente controllarne la firma per decidere se la chiave pubblica appartiene veramente a
Mario Rossi.
In una PKI, la terza parte fidata sarà un'autorità di certificazione. Nel web of trust, invece, la terza parte può essere
un utente qualsiasi e sarà compito di chi vuole comunicare con Mario Rossi decidere se questa terza parte è
abbastanza fidata.
Certificato digitale 40

Validità e liste di revoca

Un certificato solitamente ha un intervallo temporale di validità, al di fuori del quale deve essere considerato non
valido. Un certificato può essere revocato se si scopre che la relativa chiave privata è stata compromessa, oppure se
la relazione specificata nello stesso (cioè la relazione tra un soggetto ed una chiave pubblica) è incorretta o è
cambiata; questo potrebbe succedere se, per esempio, una persona cambia lavoro oppure indirizzo. Ciò significa che
un utente oltre a controllare che il certificato sia fidato (verificare che sia firmato da una CA riconosciuta) e non sia
scaduto dovrebbe controllare anche che non sia stato revocato. Questo può essere fatto attraverso la lista dei
certificati revocati (CRL). Una funzione chiave della PKI è proprio quella di tenere aggiornata la CRL. Un altro
modo per verificare la validità di un certificato è quello di interrogare la CA attraverso un protocollo specifico come,
per esempio, Online Certificate Status Protocol (OCSP).

Contenuto di un certificato
Un certificato tipicamente include:
• una chiave pubblica;
• dei dati identificativi, che possono riferirsi ad una persona, un computer o un'organizzazione;
• un periodo di validità;
• l'URL della lista dei certificati revocati (CRL);
Il tutto è firmato da una terza parte fidata.

Standard di certificati
Lo standard più comune per i certificati è ITU-T X.509. X.509 è stato adattato ad Internet dal gruppo di lavoro PKIX
dell'IETF (IETF PKIX Working Group).

Certificati e sicurezza dei siti web

L'uso più comune dei certificati digitali è per l'accesso ai siti web via HTTPS, ossia HTTP su protocollo sicuro SSL.
Attraverso i certificati possiamo accertarci che il server a cui ci si è connessi è autentico, ovvero è effettivamente
quello che dichiara di essere. Il protocollo SSL prevede che, alla connessione, il server fornisca il proprio certificato
digitale; se il certificato digitale è firmato da un'autorità di certificazione da noi riconosciuta allora possiamo
utilizzare la chiave pubblica presente nello stesso per avviare una comunicazione sicura.

Voci correlate
• Firma digitale
• OpenPGP
• Transport Layer Security
Checksum 41

Checksum
Checksum, tradotto letteralmente significa somma di controllo. È una sequenza di bit che viene utilizzata per
verificare l'integrità di un dato o di un messaggio che può subire alterazioni.
Il tipo più semplice di checksum consiste nel sommare in trasmissione tutti i bit del messaggio e di memorizzare il
valore risultante nel frame inviato. Per controllare l'integrità del messaggio sarà sufficiente effettuare in ricezione la
stessa operazione di somma e confrontarla con il checksum memorizzato nel frame. Se i due valori coincidono, i dati
possono essere considerati integri.
Questa semplice forma di checksum non è molto accurata in quanto non permette di rilevare certe tipologie di errore
come:
• il riordinamento dei bit del messaggio
• l'inserimento di bit con valore 0
• la presenza di diversi errori che sommati tra loro danno 0
In questi casi, quando cioè ci sono due o più serie di bit che hanno lo stesso checksum, si parla di collisioni.
Ovviamente, minore è la probabilità di collisioni, migliore è la qualità dell'algoritmo di controllo e quindi la
sicurezza nella verifica dell'integrità.
Altre comuni varianti di questo semplice checksum sono ottenute usando al posto della somma l'operazione di XOR
come nel Longitudinal redundancy check (LRC) o sommando i bit a gruppi di 2 o 4 come nell'Internet checksum
(RFC-1071). Queste varianti mantengono la stessa semplicità di calcolo ma manifestano anche gli stessi difetti.
Con il tempo sono nati diversi metodi di controllo più sofisticati, come il checksum di Fletcher, l'Adler-32 il Cyclic
redundancy check (CRC), in cui il risultato non dipende solo dal valore dei bit, ma anche dalla loro posizione. Il
prezzo della maggiore affidabilità viene pagato nelle risorse necessarie al calcolo del checksum.
Questi metodi sono utili per la verifica di corruzioni accidentali (errori di trasferimento, o di memorizzazione,
perdita di dati), ma non sono sicuri contro gli attacchi di malintenzionati, in quanto le loro strutture matematiche non
sono particolarmente complesse da aggirare. Per questo tipo di attacchi vengono utilizzati algoritmi di hash
crittografati, come l'MD5, lo SHA-1 (in cui però sono state trovate o sembra possibile trovare collisioni), o lo
SHA-256, per il momento incorruttibile.
I checksum vengono usati spesso su internet per poter garantire che i dati scaricati siano corretti e per garantirne
l'autenticità. Per esempio nel download di software, il distributore del programma pubblica il checksum (in genere
MD5 o SHA-1), che nello specifico viene chiamato digest, che viene controllato dall'utente per verificare l'integrità
dei dati.

Voci correlate
• Hash
• Bit di parità
• Codice di Hamming
• Formula di Luhn
• Check digit
chroot 42

chroot
chroot, contrazione di change root, è un metodo usato per isolare i limiti operativi di una applicazione, ma non è
stato concepito come metodo di sicurezza sebbene alcuni sistemi, come freebsd, lo usano con alcune accortezze
come tale. Il nome deriva dal termine informatico root che indica la directory principale del sistema operativo in cui
sono contenute tutte le altre directory.
Normalmente un software può accedere a tutti i dischi e le risorse del sistema operativo, compatibilmente con i
permessi; l'operazione di chroot consiste nell'eseguire il programma bloccato dentro una sottodirectory,
permettendogli di accedere solo alle risorse di cui ha strettamente bisogno. La sottodirectory in questione viene
anch'essa denominata chroot e deve contenere una copia (di solito un hard link) di tutti i file di sistema richiesti dal
software. Nel caso di sistemi Unix è necessaria anche un copia dei device file a cui il programma deve accedere.
Normalmente se un cracker riesce a prendere il controllo di una applicazione, avrà tutti i privilegi associati
all'applicazione e potrebbe essere in grado di compromettere la sicurezza dell'intero sistema, ad esempio installando
un rootkit. Al contrario se il programma compromesso si trova in un chroot dovrà prima uscire dal perimetro; solo
dopo potrà apportare danni al sistema.
Normalmente le funzioni necessarie a mettere in pratica il chroot sono implementate direttamente nel kernel del
sistema operativo.

Collegamenti esterni
• HowTo: Chroot con Debian e debootstrap [1]

Note
[1] http:/ / www. oscene. net/ site/ sysadmin/ virtual-sever/ howto-chroot-con-debian-e-debootstrap
Clickjacking 43

Clickjacking
Il clickjacking ("rapimento del clic") è una tecnica informatica fraudolenta. Durante una normale navigazione web,
l'utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene
reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilità sfrutta JavaScript o Iframe.
La tecnica è stata rilevata per la prima volta nel Settembre 2008 da Robert Hansen e Jeremiah Grossman.

Funzionamento
Su Javascript, il clic su un elemento di una pagina HTML viene gestito dalla funzione event handler: è sufficiente
programmare tale funzione con parametri differenti (ossia un clic su un elemento differente da quello realmente
cliccato) ed è così possibile il reindirizzamento del clic.
Altra tecnica, più pericolosa, è quella di inserire un Iframe nella pagina HTML, in maniera tale da "catturare" il clic
attraverso il frame nascosto.

Voci correlate
• Hijacking

Fonti
[1]
Alessandro Bottoni Clickjacking, tutti i browser vulnerabili , Punto-Informatico.it, 29-09-2008 (consultato in data
05-02-2008)

Collegamenti esterni
• (EN) Robert Hansen e Jeremiah Grossman, Clickjacking [2], sectheory.com, 09-12-2008 (consultato in data 05-02-2008)
• (EN) Marco Balduzzi, New Insights into Clickjacking [3], Owasp Appsec Research 2010, 23-06-2010
• (EN) Marcus Niemietz, UI Redressing: Attacks and Countermeasures Revisited [4], Ruhr University Bochum
(Germany)
• Difendersi dal clickjacking [5], (link per annullare la propria involontaria iscrizione). 26-08-2010

Note
[1] http:/ / punto-informatico. it/ 2419482/ PI/ Commenti/ clickjacking-tutti-browser-vulnerabili. aspx
[2] http:/ / www. sectheory. com/ clickjacking. htm
[3] http:/ / www. slideshare. net/ embyte/ new-insights-into-clickjacking
[4] http:/ / ui-redressing. mniemietz. de/
[5] http:/ / www. tuourl. com/ unlike. html
Confidenzialità 44

Confidenzialità
Nella sicurezza informatica per Confidenzialità si intende la protezione dei dati e delle informazioni scambiate tra
un mittente e uno o più destinatari nei confronti di terze parti.
Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato: assume
anzi particolare interesse il problema di assicurare la confidenzialità quando il sistema di comunicazione utilizzato è
intrinsecamente insicuro (come ad esempio la rete internet).

Descrizione
In un sistema che garantisce la confidenzialità, una terza parte che entri in possesso delle informazioni scambiate tra
mittente e destinatario, non è in grado di ricavarne alcun contenuto informativo intelligibile.
Per assicurarla si ricorre a meccanismi di cifratura e all'occultamento della comunicazione. I meccanismi di cifratura
garantiscono la confidenzialità per il tempo necessario a decriptare il messaggio. Per questo motivo occorre stabilire
per quanto tempo il messaggio deve restare confidenziale. Non esistono meccanismi di protezione sicuri in assoluto.
Un altro meccanismo che serve ad aumentare la confidenzialità è l'autenticazione di accesso al sistema in quanto
potenzialmente in grado di scartare accessi di soggetti non autorizzati ovvero autenticati.

Voci correlate
• Segreto professionale

Contactless smartcard
La contactless smartcard (CSC), o smartcard senza contatti, è una smart card che fa uso di tecnologie RFID per
interagire con dispositivi che su di essa sono in grado di leggere e scrivere dati.

Ambiti di applicazione
Le contactless smartcard sono molto usate nei sistemi di bigliettazione elettronica in uso in diversi ambiti del
trasporto pubblico locale.

Tipologie
Tra le tipologie più diffuse di contactless smartcard rientrano quelle che utilizzano la tecnologia Mifare o la
tecnologia Calypso. In Asia è molto diffusa la tecnologia FeliCa.
Contactless smartcard 45

Sicurezza
La sicurezza è generalmente garantita tramite l'utilizzo di una chiave crittografica contenuta nella smart card, che
deve corrispondere a quella contenuta nel validatore e fisicamente memorizzata all'interno di un Modulo SAM.

Voci correlate
• Smart card
• Sistema di bigliettazione elettronica
• ISO 14443
• RFID
• Modulo SAM

Data mining e sicurezza

I primi passi
Nel data mining e sicurezza il problema dell'aggregazione dei dati è un tema di continua discussione ed evoluzione
nella società digitale: la difesa di una privacy personale entra in conflitto con algoritmi e programmi di estrazione da
database, spesso usati in maniera non trasparente. In numerosi paesi industrializzati e con un alto livello di
informatizzazione, il tema è stato dato in pasto ai legali che hanno disegnato norme e precetti in difesa del cittadino,
per proteggerlo da violazioni della personalità nel cuore dei propri dati sensibili, sanzionando pesantemente i non
rispettosi di tali provvedimenti e creando un'idea di sicurezza digitale.

Lavorare in miniere... virtuali

Le banche dati sono in continuo ampliamento ed implementazione: estrarre dati da là dentro diventa sempre più un
lavoro che accomuna l'esperienza del minatore nella ricerca di diamanti con il vissuto del cesellatore, che opera con
piccoli tocchi mirati in un'opera realizzata di fino.
Tutte queste operazioni, in campo informatico, vengono svolte da sequenze di algoritmi che setacciano basi di dati
online alla ricerca di risultati che soddisfino i criteri richiesti da chi ha lanciato la domanda. Reti neurali, clustering
ed alberi decisionali sono esempio dell'intricato sviluppo alla ricerca di criteri efficaci per il data mining.
Perché mille e una ricerca?
La storia della scienza va spesso a braccetto con quella economica: la creazione del data mining con i suoi canoni di
ricerca non ne fa eccezione. È un metodo per massimizzare il profitto e dare alle imprese maggiori possibilità di utili.
Primariamente nel marketing, il data mining viene effettuato per:
• studiare la ramificazione della clientela;
• individuare gruppi di compratori interessati;
• proporre nuove tipologie d'acquisto di prodotti terzi;
• rinnovare la fidelizzazione con clienti stanchi;
• personalizzare l'offerta per ogni cliente;
• studiare novità -data mining tecnologico- estraendo da basi dati di sviluppatori o di laboratori;
• controllare l'efficacia della vendita e del pagamento con la rilevazione automatica delle frodi.
L' imbuto
Ogni data mining viene progettato con cura: deve rispondere a domande specifiche -concordate volta per volta-, deve
essere efficace, deve rappresentare giustamente e soddisfare la domanda fatta a monte. Per riuscire in tutto ciò e
districarsi in mille universi di dati, si usa una progettazione ad imbuto, via via più selettiva. Per teorizzare lo schema,
Data mining e sicurezza 46

ecco un esempio di prassi nell'estrazione dati:

1. definire le fonti di partenza a seconda delle domande e degli ambienti in cui lavorare;
2. estrarre e raccogliere un buon numero di dati anche a bassa pertinenza;
3. fare la prima scrematura con la pulizia dei dati, con la crescita del livello di pertinenza e di coerenza;
4. far scattare il data mining con la scelta dell'algoritmo più efficace nella situazione, con l'individuazione degli
obiettivi permanenti ed elaborare un feedback sul modello iniziale;
5. interpretare i dati estratti secondo il modello e valutare coerenza, pertinenza e affinità, valutandone l'efficacia;
6. rappresentare le estrazioni in formati fruibili da chi ha richiesto l'investigazione.

Data mining buono e data mining cattivo

Nel mondo reale convivono bene e male: anche sulla piazza virtuale ci sono un mondo pulito e ben avviato ed un
altro oscuro, quasi fosse la sua nemesi. In questi casi, il data mining buono aiuta le aziende a crescere, serve negli
ospedali per creare diagnostiche accurate, rivela malfattori in tutte le nazioni della terra. Ma il data mining può
essere usato per scopi meno nobili: intrusioni nelle raccolte dati portano a migliaia di lettere a carattere spam, se non
alla violazione del principio di privacy personale. L'aggregazione dati onesta porta al buon progresso e alla crescita
di benessere a livello di cittadino e di imprese, quella maligna colpisce ogni giorno milioni di utenti illusi da
pubblicità di ogni genere, legate agli acquisti su web o solo a semplici consultazioni di siti; nella peggiore delle
ipotesi, i dati personali sensibili vengono depredati -o peggio venduti- ad aziende interessate, con il preciso intento di
incrementare il fatturato. Per scongiurare un così pericoloso rischio, è necessaria una

Nuova politica di sicurezza

La Sicurezza informatica consiste in una raccolta di procedure, atte a rendere e a garantire il rispetto delle Quattro I:
1. Identità autentica: ogni utente deve avere un'identità firmata e garantita con gli adeguati metodi di
autenticazione: sicurezza sia per la semplice navigazione web sia per stipulare contratti online;
2. In-link perpetuo: è la disponibilità dei dati, nessun tipo di inconveniente tecnico deve interferire con le basi di
dati. Tutto deve essere scongiurato con le giuste misure preventive, dal blackout elettrico all'hackeraggio
indiscriminato.
3. Integrità: i dati non devono essere manipolati o trasformati per nessun motivo senza l'autorizzazione di chi li ha
generati. La base di dati deve conservare il tutto senza degenerazioni di sorta.
4. Io, non voi!: la riservatezza dei dati in qualunque frangente deve essere un punto fondamentale. Senza le
necessarie autorizzazioni sono vietate intercettazione, lettura, pubblicazione di ogni tipo di dato. Il rispetto della
privacy e la sicurezza dei dati sensibili passa assolutamente per questo punto.

Il mare magnum dell'aggregazione dei dati

La società informatizzata e la globalizzazione del business spinge le imprese a colonizzare zone mai scoperte prima:
ed ecco l'approccio al web. Le aziende mettono online un'enorme quantità di dati e di informazioni, un grande e
prezioso tesoro da proteggere in ogni caso. Seguire il percorso evolutivo-biologico di un cliente rappresenta ormai un
obbligo per tutti: a questo punto è aperta la caccia alle informazioni con l'aggregazione dei dati. È possibile, tramite
il tracciato di una carta di credito, risalire ai gusti ed alle preferenze di ogni singolo individuo. Un data mining
sufficientemente mirato rende possibile la consultazione di diversi database, fino al profiling completo del potenziale
o reale cliente. Uno strumento molto efficace, tanto da essere impiegato in maniera sempre più diffusa e raffinata,
tanto da scatenare polemiche e dubbi sulla legittimità e sicurezza di questi sistemi.
Data mining e sicurezza 47

Sicurezza sicuramente
Due sono i metodi per avere un buon margine di protezione nell'affidare i propri dati sensibili alle basi di dati: la
tutela è tecnica e legislativa
Tecnica
Il controllo delle intrusioni
Una serie di azioni che mette in crisi la sicurezza e l'integrità di un sistema prende il nome di intrusione: la principale
contromisura è la prevenzione. Utile nei casi informatici la protezione degli accessi tramite chiavi crittografate in
prima linea di difesa, per poi utilizzare sistemi software e hardware in sinergia tra loro, i cosiddetti Intrusion
Detection System (IDS) utilizzati per scoprire e identificare accessi non autorizzati a computer in reti aziendali.
Legislativa
Salvaguardare la privacy
In tutte le imprese confluiscono quotidianamente fiumi di dati, divisi in
• Dati sensibili inerenti a persone fisiche;
• Dati strategici che sono importanti per la crescita economica aziendale;
• Dati non importanti: tutti gli altri dati non necessariamente vincolati ad un profitto o a un profiling anagrafico.
Le leggi sulla privacy a livello nazionale ed europeo puntano ad un trattamento riservato dei dati, per cui le imprese
che trattano dati sensibili devono proteggere le loro banche tramite la predisposizione, di un documento sul
programma della sicurezza con le misure minime di sicurezza adottate e la descrizione accurata delle misure
tecniche, informatiche, logistiche per prevenire i rischi a seconda delle regolamentazioni dettate dalla legge. Sono
previste aspre sanzioni per i non adeguati a tale richiesta: la legge fa distinzione nel trattamento dei dati con
apparecchi elettronici e trattamento senza apparecchi elettronici ma lascia poco spazio al rischio e alla diffusione
indiscriminata dei dati sensibili.

Un interrogativo pressante
Il futuro è sempre pieno di interrogativi e di speranze: il data mining non ne è esente, dal momento che, visti i buoni
risultati nella caccia alle frodi, le migliori intelligenze si stanno applicando per creare automi ed algoritmi che isolino
i potenziali terroristi a seconda delle loro spese, delle loro e-mail e conversazioni telefoniche. Si tratta di
un'applicazione pilota, di un test che rivela la crescente brama di sicurezza che nel post 11settembre sta flagellando
tutto il mondo. Ecco la domanda sociologica più in voga: sicurezza alta e bassa privacy o grande libertà e bassa
sicurezza? Certamente il controllo postmoderno sarà sempre più argomento di discussione comune, e l'aggregazione
dei dati una delle materie più spinose, in quanto la digitalizzazione del cittadino non ha ancora trovato una sua forma
sufficientemente rappresentativa e sicura. Le basi di dati sono ancora territorio di conquista, mentre numerose leggi
ed interventi sulla sicurezza ed integrità dei dati stanno sorgendo in difesa della nuova società digitale che sta
muovendo i suoi primi e certi passi.

Voci correlate
• Data mining
• Sicurezza informatica
• Legge sulla privacy
Demilitarized zone 48

Demilitarized zone
Una DMZ (demilitarized zone) è un segmento isolato
di LAN (una "sottorete") raggiungibile sia da reti
interne sia esterne che permette, però, connessioni
esclusivamente verso l'esterno: gli host attestati sulla
DMZ non possono connettersi alla rete aziendale
interna.

Tale configurazione viene normalmente utilizzata per

permettere ai server posizionati sulla DMZ di fornire
servizi all'esterno senza compromettere la sicurezza
della rete aziendale interna nel caso una di tali
Diagramma di una rete che utilizza una DMZ creata utilizzando un
macchine sia sottoposta ad un attacco informatico: per firewall a tre connessioni (three-legged firewall).
chi si connette dall'esterno dell'organizzazione la DMZ
è infatti una sorta di "strada senza uscita" o "vicolo cieco".

Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere
raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e
server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.
Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall.
Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata
"port forwarding" o "port mapping"[1] , implementata sul sistema che agisce da firewall.
Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila
ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante
all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila
ISO/OSI).
Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy
comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso),
provenienti da una rete esterna (tipicamente internet).

Note
[1] In generale in questi casi si applica la tipologia di NAT che coinvolge la translazione dell'indirizzo IP pubblico e porta di destinazione, che
vengono sostituiti, da parte dell'apparato translatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale.
Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port
mapping'. Nelle implementazione di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure
nella catena POSTROUTING con regola di SNAT

Voci correlate
• Firewall
• Sicurezza informatica
Dependability 49

Dependability
La Dependability è una caratteristica dei sistemi e consiste nella loro capacità di mostrarsi "affidabili" nei confronti
degli utilizzatori, tale caratteristica porta gli utilizzatori a potersi "fidare" del sistema stesso e a poterlo quindi
utilizzare senza particolari preoccupazioni. La dependability è una caratteristica molto importante ed è da valutare
durante la fase di progettazione dei sistemi. Per quanto riguarda l'informatica, alcuni casi in cui la dependability
diventa una caratteristica fondamentale sono: i database contenenti dati sensibili, le applicazioni una cui bassa
dependability comporterebbe bassi introiti (es. portali web che offrono servizi a pagamento), le applicazioni critiche
una cui bassa dependability comporterebbe danni a cose o persone (sistemi di controllo delle centrali nucleari) ecc.
La dependability è comunque un attributo generico derivato dalla sintesi dei seguenti attributi di sistema:
• Affidabilità (Reliability): capacità del sistema di funzionare ininterrottamente senza guasti.
• Manutenibilità (Maintainability): tendenza del sistema a poter essere riparato;
• Disponibilità (Availability): capacità del sistema di continuare a funzionare correttamente anche in presenza di
guasti. (è correlata con affidabilità e manutentibilità).
• Performanza (Performability): capacità del sistema di offrire i servizi nei tempi prefissati;
• Incolumità (Safety): Capacità di non arrecare danni a cose, persone ed ambiente.
• Sicurezza (Security) capacità del sistema di fornire confidenzialità (impedire la fuga di informazioni riservate
permettendo accessi solo ad utenti autorizzati) ed integrità (accesso e modifica ai dati da parte degli utenti
esclusivamente nelle modalità previste).
Le minacce che possono violare la dependability di un sistema sono classificate in:
• Guasti
• Errori
• Disastri: minacce non intenzionali mosse a svantaggio del sistema. (es. Alluvioni, terremoti...)
• Attacchi: minacce intenzionali mosse a svantaggio del sistema. (es. Intrusioni informatiche, vandalismo...)
Le tecniche utilizzate per tentare di ovviare a tali minacce possono essere:
• Fault Prevention
• Fault Tolerance
• Fault Removal
• Fault Forecasting
• ...

Voci correlate
• Fault-tolerance
• Ilities
• Metodi formali
• Affidabilità

Testi di carattere interdisciplinare

• S.B. Blanchard, Design and Manage to Life Cycle Cost, Forest Grove, Weber System, 1978.
• S.B. Blanchard, Logistics Engineering and Management, 4a ed., Englewood Cliffs, New Jersey, Prentice-Hall,
Inc., 1992.
• S.B. Blanchard, Maintainability: A Key to Effective Serviceability and Maintenance Management, New York,
John Wiley & Sons Inc., 1995.
Dependability 50

• E. Cescon; M. Sartor, La Failure Mode and Effect Analysis (FMEA) , Milano, Il Sole 24 ore, 2010. ISBN
9788863451306
• R. Denney, Succeeding with Use Cases: Working Smart to Deliver Quality , Addison-Wesley Professional
Publishing, 2005.
• C.E. Ebeling, An Introduction to Reliability and Maintainability Engineering , Boston, McGraw-Hill Companies,
Inc., 1997.
• K.C. Kapur; L.R. Lamberson, Reliability in Engineering Design , New York, John Wiley & Sons, 1977.
• L. Leemis, Reliability: Probabilistic Models and Statistical Methods , Prentice-Hall, 1995. ISBN 0-13-720517-1
• P. D. T. O'Connor, Practical Reliability Engineering , 4a ed., New York, John Wiley & Sons, 2002.
• J.D. Patton, Maintanability and Maintenance Management , North Carolina, Instrument Society of America,
Research Triangle Park, 1998.

Testi specifici per il campo dell'edilizia

• AA. VV., La qualità edilizia nel tempo , Milano, Hoepli, 2003.
• Bruno Daniotti, La durabilità in edilizia , Milano, Cusl, 2003.
• Vittorio Manfron, Qualità e affidabilità in edilizia , Milano, Franco Angeli, 1995.
• UNI, UNI 11156-1, Valutazione della durabilità dei componenti edilizi. Terminologia e definizione dei parametri
di valutazione, 2006
• UNI, UNI 11156-2, Valutazione della durabilità dei componenti edilizi. Metodo per la propensione
all’affidabilità, 2006
• UNI, UNI 11156-3, Valutazione della durabilità dei componenti edilizi. Metodo per la valutazione della durata
(vita utile), 2006

Collegamenti esterni
1. IFIP WG10.4 on Dependable Computing e Fault Tolerance (in inglese) [1] -
2. A. Avizienis, J.-C. Laprie e Brian Randell: Concetti fondamentali sulla Dependability (in inglese) [2]Aprile 2001.
3. Algirdas Avizienis, Jean-Claude Laprie, Brian Randell: La Dependability e le sue minacce: una tassonomia (in
inglese) [3] — questo documento estende e perfeziona la versione del documento precedente ed è un eccellente
punto di partenza per lo studio della dependability. Consigliata la lettura di questo documento e successivamente
del seguente tutorial:
4. Wilfredo Torres-Pomales: Tutorial sul Software Fault Tolerance [4] — una guida molto buona, da leggere dopo
aver letto il documento precedente.

Note
[1] http:/ / www. dependability. org/
[2] http:/ / www. cert. org/ research/ isw/ isw2000/ papers/ 56. pdf
[3] http:/ / rodin. cs. ncl. ac. uk/ Publications/ avizienis. pdf
[4] http:/ / hdl. handle. net/ 2002/ 12633
Digital Signature Algorithm 51

Digital Signature Algorithm

Digital Signature Algorithm (DSA) è uno standard FIPS per la firma digitale proposto dal National Institute of
Standards and Technology (NIST) nell'agosto del 1991 per essere impiegato nel Digital Signature Standard (DSS),
le sue specifiche sono contenute nel documento FIPS 186[1] , viene definitivamente adottato nel 1993. In seguito è
stato riveduto ulteriormente nel 1996 con FIPS 186-1 [2] e nel 2000 con FIPS 186-2 [3] .
Negli Stati Uniti l'algoritmo DSA è coperto da brevetto[4] attribuito a David W. Kravitz, un ex-ricercatore della
NSA; il NIST ha reso questo brevetto disponibile liberamente per qualsiasi uso[5] .

Descrizione dell'algoritmo
Di seguito vengono descritti i passi fondamentali per l'impiego di DSA, che fa uso di un sistema crittografico a
chiave pubblica simile ad ElGamal

Generazione delle chiavi

[6]
• Si scelga un numero primo di -bit .
• Si scelga un numero primo p lungo L bit, tale che per un qualche numero intero z, con 512≤L≤1024
e divisibile per 64 (nell'ultima revisione dello standard si specifica che L deve corrispondere a 1024).
• Si scelga h tale che e
• Si generi un numero casuale tale che
• Calcolare
La chiave pubblica è y, la chiave privata è x.
I parametri (p, q, g) sono pubblici e possono essere condivisi da diversi utenti.
Esistono algoritmi efficienti per il calcolo dell'esponenziazioni modulari e .

Calcolo della firma

• Si generi un numero casuale k tale che
• Calcolare
• Calcolare dove H(m)[6] è una funzione di hash SHA-d applicata al
messaggio m
• Nel caso in cui o bisogna ricalcolare la firma
• La firma è (r,s)
L'algoritmo esteso di Euclide può essere usato l'inverso modulare .

Verifica della firma

• Rifiutare firme se non sono soddisfate le condizioni e
• Calcolare
• Calcolare
• Calcolare
• Calcolare
• La firma è verificata se
Digital Signature Algorithm 52

Dimostrazione
L'algoritmo è corretto nel senso che il destinatario verificherà sempre le firme valide.
Da per il piccolo teorema di Fermat. Dato che e
q è primo segue che g è di ordine q.
Il firmatario calcola:
quindi

visto che g è di ordine q

La correttezza di DSA è provata da: .

Sicurezza
Come molti sistemi di crittografia a chiave pubblica, la sicurezza di DSA si basa sull'intrattabilità di un problema
matematico, in questo caso per l'inesistenza di un algoritmo efficiente per il calcolo del logaritmo discreto.
Particolare attenzione va posta al calcolo della quantità k: deve essere generata casualmente in modo che non sia
possibile risalirvi, in quel caso sarebbe possibile risalire facilmente ad x (la chiave privata) a partire dalla firma.

Note
[1] (EN) FIPS 186 (http:/ / www. itl. nist. gov/ fipspubs/ fip186. htmFips)
[2] (EN)(PDF) FIPS 186-1 (http:/ / www. mozilla. org/ projects/ security/ pki/ nss/ fips1861. pdf)
[3] (EN)(PDF) FIPS 186-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips186-2/ fips186-2-change1. pdf)
[4] U.S. Patent 5,231,668 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=5,231,668)
[5] Claus P. Schnorr sostiene che un suo brevetto antecedente ( U.S. Patent 4,995,082 (http:/ / patft. uspto. gov/ netacgi/
nph-Parser?patentnumber=4,995,082)) include DSA, questa affermazione è oggetto di disputa.
[6] In origine e , ma con la terza revisione dello standard (FIPS 186-3), chiamato comunemente
DSA2 si potrà fare uso delle funzioni di hash SHA-224/256/384/512, con q di dimensione 224, 256, 384, e 512 bit, e L pari a 2048, 3072,
7680, and 15360 rispettivamente.

Voci correlate
• Firma digitale
• Crittografia asimmetrica
• RSA

Collegamenti esterni
• (EN) FIPS-186 (http://www.itl.nist.gov/fipspubs/fip186.htm), le specifiche originali di DSA.
• (EN) FIPS-186, change notice No.1 (http://www.itl.nist.gov/fipspubs/186chg-1.htm), il primo aggiornamento
alle specifiche.
• (EN) FIPS-186-1 (http://www.mozilla.org/projects/security/pki/nss/fips1861.pdf), prima revisione dello
standard.
• (EN) FIPS-186-2 (http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf), seconda revisione
dello standard.
Direct Anonymous Attestation 53

Direct Anonymous Attestation

La Direct Anonymous Attestation (letteralmente in italiano Attestazione Diretta ed Anonima) è un protocollo
crittografico che permette l'autenticazione remota di un computer che rispetta le specifiche del Trusted Computing
Group, preservando l'anonimato dell'utente. Il protocollo è stato adattato dal TCG dalla versione 1.2 delle specifiche
del Trusted Platform Module[1] in risposta alle critiche che i precedenti protocolli usati per l'attestazione remota
avevano suscitato.

Funzionamento
Il protocollo DAA prevede che, per un'autenticazione corretta, siano necessari tre dispositivi e due differenti fasi. I
dispositivi sono un elaboratore dotato di Trusted Platform Module, l'abilitatore DAA e il verificatore DAA.
L'abilitatore, nella prima fase, deve verificare che l'elaboratore dotato di TPM non sia stato compromesso;
completato questo compito, fornisce le credenziali DAA a tale elaboratore, che userà tali credenziali durante la fase
di firma. Usando una prova zero-knowledge il verificatore può controllare la bontà delle credenziali senza dover
venire a conoscenza dell'identità del possessore delle credenziali. Il DAA fornisce inoltre delle funzionalità di revoca
dell'anonimato: precedentemente alla fase di firma, si può scegliere una terza parte che successivamente, in caso di
compromissione del TPM ,sarà in grado di identificare il TPM.[2] Anche se si sceglie di non usufruire della
possibilità di revoca dell'anomimato, usando il protocollo DAA si è comunque in grado di identificare i TPM
compromessi o inaffidabili e conseguentemente di rifiutare le loro richieste di credenziali.[3]

Tutela della privacy

Il protocollo prevede diversi livelli di privacy. Le interazioni tra i soggetti coinvolti sono sempre anonime, ma
l'utente e il verificatore potrebbero accordarsi affinché tutte le interazioni tra di loro siano raggruppabili in un unico
insieme. Ciò permette la creazione di un profilo utente e/o il rifiuto da parte del verificatore di soddisfare le richieste
di credenziali da parte di un computer che ne ha inviate troppe.

Voci correlate
• Trusted Computing
• Trusted Platform Module

Note
[1] (EN) TPM Specification (https:/ / www. trustedcomputinggroup. org/ specs/ TPM)
[2] (EN) Trusted Computing Group Software Stack Specification (TSS) 1.2 FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1.
2_FAQ/ )
[3] (EN) Direct Anonymous Attestation (DAA): Ensuring privacy with corrupt administrators (ftp:/ / ftp. cs. bham. ac. uk/ pub/ authors/ M. D.
Ryan/ 07-esas. pdf)

Collegamenti esterni
• (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation. In Proceedings of 11th ACM
Conference on Computer and Communications Security, ACM Press, 2004. ( PDF (http://www.zurich.ibm.
com/~jca/papers/brcach04.pdf))
• (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation . ( (http://eprint.iacr.org/2004/205.
pdf))
• (EN) Interdomain User Authentication and Privacy (http://www.ma.rhul.ac.uk/techreports/2005/
RHUL-MA-2005-13.pdf) by Andreas Pashalidis - section 6 provides a useful introduction to DAA
Direct Anonymous Attestation 54

• (EN) IBM idemix (identity mixer) (http://www.zurich.ibm.com/security/idemix/) an 'anonymous credential

system' under development by IBM
• (EN) Heiko Stamer - Implementing Direct Anonymous Attestation for the TPM Emulator Project (http://www.
theory.informatik.uni-kassel.de/~stamer/KryptoTag_Bochum.pdf)

Disaster prevention
Per disaster prevention si intende l’insieme di misure atte a prevenire un disastro informatico che potrebbe
compromettere l’erogazione di servizi business o ingenti perdite di dati, con il conseguente rischio del fallimento
dell’impresa. Le aziende e le organizzazioni convogliano le proprie risorse IT in costosissimi piani di ripristino
(disaster recovery) sottovalutando la strategica importanza di una corretta prevenzione. Un’efficace prevenzione e
l'adozione di procedure operative adeguate infatti consentirebbe un risparmio sia in termini economici che di risorse
umane.
Secondo un autorevole studio pubblicato sulla rivista Computer World, il 36% di disastri avviene a causa di errori
hardware e/o software, il 26% per cali di tensione o interruzioni di corrente e il 23% per cause naturali.
Un efficace disaster prevention infatti prevede:
1. Monitoraggio di temperatura, fumi ed allagamento all'interno delle sale CED
2. Monitoraggio dei parametri di prevenzione hardware failure per ogni server
3. Monitoraggio dei paramaetri di prevenzione software failure per ogni server
4. Monitoraggio dell'assorbimento elettrico di ogni singolo server e degli UPS
5. Procedura di spegnimento corretto, sicuro e graduale degli apparati (shutdown sequenziale)

Disaster recovery
Per Disaster Recovery (brevemente DR) si intende l'insieme di misure tecnologiche e organizzative atte a
ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business a fronte di gravi emergenze.
Si stima che la maggior parte delle grandi imprese spendano fra il 2% ed il 4% del proprio budget IT nella
pianificazione della gestione dei disaster recovery, allo scopo di evitare perdite maggiori nel caso che l'attività non
possa continuare a seguito della perdita di dati ed infrastrutture IT. Delle imprese che hanno subito disastri con
pesanti perdite di dati, circa il 43% non ha più ripreso l'attività, il 51% ha chiuso entro due anni e solo il 6% è
riuscita a sopravvivere nel lungo termine. I disastri informatici con ingenti perdite di dati nella maggioranza dei casi
provocano quindi il fallimento dell'impresa o dell'organizzazione, ragion per cui investire in opportune strategie di
recupero diventa una scelta quasi obbligata.

Descrizione
Il Disaster Recovery Plan (DRP) (in italiano, Piano di disaster recovery) è il documento che esplicita tali misure.
Esso fa parte del più ampio Business Continuity Plan (BCP).
Affinché una organizzazione possa rispondere in maniera efficiente ad una situazione di emergenza, devono essere
analizzati:
• I possibili livelli di disastro
• La criticità dei sistemi/applicazioni.
Per una corretta applicazione del piano, i sistemi devono essere classificati secondo le seguenti definizioni:
• Critici
Disaster recovery 55

Le relative funzioni non possono essere eseguite senza essere sostituite da strumenti (mezzi) di caratteristiche
identiche. Le applicazioni critiche non possono essere sostituite con metodi manuali. La tolleranza in caso di
interruzione è molto bassa, di conseguenza il costo di una interruzione è molto alto.
• Vitali
Le relative funzioni possono essere svolte manualmente, ma solo per un breve periodo di tempo. Vi è una maggiore
tolleranza all'interruzione rispetto a quella prevista per i sistemi critici, conseguentemente il costo di una interruzione
è inferiore, anche perché queste funzioni possono essere riattivate entro un breve intervallo di tempo (generalmente
entro cinque giorni).
• Delicati
Queste funzioni possono essere svolte manualmente, a costi tollerabili, per un lungo periodo di tempo. Benché
queste funzioni possano essere eseguite manualmente, il loro svolgimento risulta comunque difficoltoso e richiede
l'impiego di un numero di persone superiore a quello normalmente previsto in condizioni normali.
• Non-critici
Le relative funzioni possono rimanere interrotte per un lungo periodo di tempo, con un modesto, o nullo, costo per
l'azienda, e si richiede un limitato (o nullo) sforzo di ripartenza quando il sistema viene ripristinato.
Le procedure applicative, il software di sistema ed i file che sono stati classificati e documentati come critici, devono
essere ripristinati prioritariamente. Applicazioni, software e file classificati come critici hanno una tolleranza molto
bassa alle interruzioni. La criticità di applicazioni, software di sistema e dati, deve essere valutata in funzione del
periodo dell'anno in cui il disastro può accadere.
Un piano d'emergenza deve prevedere il ripristino di tutte le funzioni aziendali e non solo il servizio ICT centrale.
Per la definizione del DRP devono essere valutate le strategie di ripristino più opportune su: siti alternativi, metodi di
back up, sostituzione degli equipaggiamenti e ruoli e responsabilità dei team. La prolungata indisponibilità del
servizio elaborativo derivante in particolare situazione di disastro, e quindi dei servizi primari, rende necessario
l'utilizzo di una strategia di ripristino in sito alternativo.

Tecniche di Disaster Recovery

Allo stato attuale, la tecnologia offre la possibilità di realizzare varie soluzioni di continuità e Disaster Recovery,
fino alla garanzia di fatto di un’erogazione continua dei servizi IT, necessaria per i sistemi (es. finanziari o di
monitoraggio) definiti mission critical.
In pratica i sistemi e i dati considerati importanti vengono ridondati in un "sito secondario" o "sito di Disaster
Recovery" per far sì che, in caso di disastro (terremoto, inondazione, attacco terroristico, ecc...) tale da rendere
inutilizzabili i sistemi informativi del sito primario, sia possibile attivare le attività sul sito secondario al più presto e
con la minima perdita di dati possibile.
Chiaramente quanto più stringenti saranno i livelli di continuità tanto più alti saranno i costi di implementazione
della soluzione.
In particolare, i livelli di servizio sono usualmente definiti dai due parametri Recovery Time Objective (RTO) e
Recovery Point Objective (RPO).
Disaster recovery 56

Replica sincrona
La replica sincrona garantisce la specularità dei dati presenti sui due siti poiché considera ultimata una transazione
solo se i dati sono stati scritti sia sulla postazione locale che su quella remota. In caso di evento disastroso sulla sede
principale, le operazioni sul sito di Disaster Recovery possono essere riavviate molto rapidamente (basso RTO e
RPO praticamente nullo).
La replica sincrona è limitata dalla incapacità dell'applicazione di gestire l'impatto del ritardo di propagazione
(vincolo fisico quindi, e non tecnologico) sulle prestazioni. In funzione della sensibilità dell'applicazione e della
tecnologia di comunicazione tra i due siti, l'efficacia della copia sincrona inizia a diminuire a una distanza variabile
tra i 35 km e i 100 km.

Replica asincrona
Per far fronte al limite di distanza tra i due siti imposto da tecniche sincrone, si ricorre spesso alla tecnica di copia
asincrona. In questo caso il sito che si occuperà della replica può trovarsi anche a distanze notevoli (> 100 km). In
questo modo è possibile affrontare anche disastri con ripercussioni su larga scala (come ad esempio forti scosse
sismiche) che altrimenti potrebbero coinvolgere entrambi i siti (se questi si trovano nelle vicinanze).
Un ulteriore vantaggio della copia asincrona è la possibilità di essere implementata via software non dovendo
necessariamente ricorrere a sofisticate e costose tecnologie di storage.

Tecnica mista
Per garantire la disponibilità dei servizi anche in caso di disastro esteso e al tempo stesso ridurre al minimo la perdita
di dati vitali si può ricorrere ad una soluzione di tipo misto: effettuare una copia sincrona su un sito intermedio
relativamente vicino al primario (distanza< 100 km) e una copia asincrona su un sito a grande distanza.

Voci correlate
• Backup
• Storage Area Network
• Sicurezza informatica
• Business continuity
• Disaster prevention
Dll injection 57

Dll injection
La dll injection, utillizzata da diversi malware, fa parte di un gruppo di tecniche più ampio chiamato code injection
(iniezione di codice).

Principi generali di funzionamento

La dll injection si basa nel scrivere il codice che si vuole far eseguire a un altro processo in una libreria dinamica (dll
su Microsoft Windows). Quindi si avvia un programma che carica questa dll nel processo esterno (ovviamente con
privilegi superiori rispetto al nostro processo) e il sistema operativo vede il codice come se fosse eseguito dal
processo esterno e non dal nostro processo

Principi approfonditi di funzionamento (con esempio pratico)

Analizziamo in dettaglio il funzionamento di un programma che inietta una dll in un altro processo. Un esempio
renderà di più facile comprensione l'algoritmo
"hack.exe" deve fare eseguire il suo codice all'interno del processo "msnmsgr.exe". Per semplificare assumeremo che
"hack.exe" conosca già il PID (process identifier, usato per identificare univocamente un processo in esecuzione nel
sistema) di "msnmsgr.exe".
-Viene creata la dll "fnc.dll" e, all'interno della DllMain, viene inserito il codice da far eseguire ad "msnmsgr.exe".
-A questo punto "hack.exe" chiama OpenProcess() con il PID di "msnmsgr.exe" che permette appunto di creare un
handle a un processo attivo.
-"hack.exe" chiama la funzione VirtualAllocEx() per allocare all'interno del processo "msnmsgr.exe" uno spazio di
memoria
-"hack.exe" chiama la funzione WriteProcessMemory() per scrivere all'interno dello spazio di memoria appena
allocata la stringa "func.dll\0"
-"hack.exe" chiama CreateRemoteThread() per creare un nuovo thread nel processo "msnmsgr.exe". Questo nuovo
thread chiama la funzione LoadLibraryA() e per unico argomento un puntatore alla stringa allocata all'interno dello
stack di "msnmsgr.exe" contenente il path alla nostra dll
-Windows crea il nuovo thread e chiama LoadLibraryA() nello "spazio del thread". LoadLibraryA viene chiamato
nel nuovo thread quindi non può fare riferimento allo stack del nostro processo. Ecco perché abbiamo bisogno di
allocare la stringa contenente il path alla dll nella memoria nel processo "vittima". A sua volta LoadLibraryA chiama
la DllMain di "func.dll" contenente il codice da eseguire nello spazio di "msnmsgr.exe"

Difesa
La miglior difesa consiste nell'installare un HIPS che intercetti le dll injection.
Documento programmatico sulla sicurezza 58

Documento programmatico sulla sicurezza

L'adozione di un documento programmatico sulla sicurezza (DPS) è un obbligo previsto dal DL 196/2003
normativa sulla protezione dei dati personali, che sostituisce e abroga la legge 675/96; l'obbligo esiste per tutte le
aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti
elettronici. Il documento, a partire dal 31/03/2006 (ultima proroga concessa per mettersi definitivamente in regola)
va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinché si attesti la corretta adozione delle
previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche determinati obblighi di
legge, se previsti (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio).
I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di
sicurezza e sono:
1. l'elenco dei trattamenti di dati personali;
2. la distribuzione dei compiti e delle responsabilità nell'ambito delle strutture preposte al trattamento dei dati;
3. l'analisi dei rischi che incombono sui dati;
4. le misure da adottare per garantire l'integrità e la disponibilità dei dati, nonché la protezione delle aree e dei
locali, rilevanti ai fini della loro custodia e accessibilità;
5. la descrizione dei criteri e delle modalità per il ripristino della disponibilità dei dati in seguito a distruzione o
danneggiamento di cui al successivo punto 23;
6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono
sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati
personali più rilevanti in rapporto alle relative attività, delle responsabilità che ne derivano e delle modalità per
aggiornarsi sulle misure minime adottate dal titolare. La formazione è programmata già al momento dell'ingresso
in servizio, nonché in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti,
rilevanti rispetto al trattamento di dati personali;
7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di
trattamenti di dati personali affidati, in conformità al codice, all'esterno della struttura del titolare;
8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei
criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Collegamenti esterni
• Garante per la protezione dei dati [1]

Note
[1] http:/ / www. garanteprivacy. it/ garante/ navig/ jsp/ index. jsp?folderpath=Fac-simile+ e+ adempimenti%2FDocumento+ programmatico+
sulla+ sicurezza
Extensible Authentication Protocol 59

Extensible Authentication Protocol

Extensible Authentication Protocol (EAP) è un protocollo di autenticazione utilizzato spesso sugli access point e
nelle connessioni PPP. L'utilizzo di EAP all'interno di una rete wireless, ad esempio, prevede che non sia l'access
point ad autenticare il client: esso redirige la richiesta di autenticazione avanzata dal client ad uno specifico server,
configurato per questo scopo come un RADIUS.
Definito nella Request for Comments (RFC) 2284 e aggiornato nella RFC 3748 e nella RFC 4017, è uno standard
altamente flessibile che può essere implementato in numerose differenti modalità; 802.1x ha ereditato tale flessibilità
per raggiungere svariati obiettivi di sicurezza.
802.1x racchiude un range di metodi di autenticazione EAP, inclusi MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM
e AKA. Ciascuno di questi metodi EAP ha vantaggi e svantaggi a seconda dell'ambiente.

Metodi di autenticazione

EAP-MD5
MD5 è l'equivalente del CHAP in cui un algoritmo hash a senso unico è utilizzato in combinazione con un segreto
condiviso e una richiesta di identificazione per verificare che il richiedente è a conoscenza del segreto condiviso.
MD5 è considerato un metodo di autenticazione di livello base e generalmente non appropriato in caso sia necessario
un alto livello di sicurezza per la protezione di beni di grande valore.
Questo accade per diverse ragioni. Come ogni metodo che utilizza richieste random e un algoritmo hash, è
vulnerabile agli attacchi basati su dizionario. Se un attaccante riesce ad ottenere la richiesta e la risposta hash, è in
seguito possibile eseguire un programma off-line con lo stesso algoritmo del richiedente, inserendo parole contenute
in un dizionario fino a quando la risposta hash coincide con quella del richiedente. A questo punto l'attaccante
conoscerà la password del richiedente e potrà sottrarne l'identità per ottenere l'accesso alla rete. Questo procedimento
risulta ancora più semplice nelle wireless LAN, dove la richiesta e la risposta "viaggiano" nell'aria. Questo è il
motivo per cui è importante scegliere password che non siano parole di senso compiuto. In aggiunta, EAP-MD5
offre soltanto l'autenticazione lato client (ovvero, il client viene autenticato alla rete). Altri metodi EAP offrono
mutua autenticazione per cui il client è autenticato alla rete e la rete è autenticata al client.

EAP-TLS
Il Transport Layer Security (TLS) offre un processo di autenticazione particolarmente sicuro, che sostituisce le
semplici password con certificati lato client e lato server tramite l'utilizzo della infrastruttura a chiave pubblica
(Public Key Infrastructure o PKI). Un certificato è un record di informazioni relative ad un'entità (ad esempio una
persona, un'azienda, ecc.) verificato tramite un algoritmo matematico asimmetrico. È supportata la mutua
autenticazione, e le chiavi di sessione dinamiche. TLS è una buona scelta quando si richiede un elevato livello di
autenticazione e sicurezza ed è presente una infrastruttura a chiave pubblica. Comunque, l'utilizzo di una PKI, in cui
ciascun client ha il suo proprio certificato, è oneroso se comparato ai sistemi basati su password. Tale onere deriva
dagli strumenti software richiesti affinché il sistema sia efficace.

EAP-TTLS
Tunnelled Transport Layer Security (TTLS) è un'estensione del TLS ed è stato sviluppato per superare la necessità,
generata dal TLS, di certificati lato client (sono invece richiesti certificati lato server). Così come l'altro dei due
metodi attualmente disponibili di autenticazione tramite tunnel (l'altro è il PEAP), TTLS è un metodo a due passaggi.
Nel primo, un algoritmo asimmetrico basato sulle chiavi del server è utilizzato per verificare l'identità del server e
per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dell'identità del client
utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per l'attuale negoziazione
Extensible Authentication Protocol 60

dell'autenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel può essere un tipo di EAP
(spesso MD5) o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione
simmetrica del TTLS è utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il
tunnel collassa.

EAP-LEAP
Lightweight Extensible Authentication Protocol sviluppato dalla Cisco, deriva da EAP. LEAP si basa su un
protocollo di autenticazione chiamato "reciproco consenso" che sta a dire in poche parole che sia il client sia l'access
point a cui il client richiede la connessione devono autenticarsi prima di avere accesso all'interno della rete. In questo
modo si previene l'accesso non autorizzato di access point estranei alla rete.

Altri
• PEAP
• EAP-FAST
• EAP-SIM
• EAP-AKA
• EAP-SecurID
• EAP-SRP

Tabella comparativa

Metodo Chiave Mutua UserID e Metodi di attacco Commenti

dinamica autenticazione password

MD5 No No Sì • Attacco basato su • Facile da implementare

dizionario • Supportato su molti server
• Man in the middle • Insicuro
• Dirottamento di sessione • Richiede database con testo in chiaro

TLS Sì Sì No Offre un'elevata sicurezza • Richiede certificati del client

• Innalza i costi di manutenzione
• Autenticazione a due fattori con smart-card

SRP Sì Sì Sì Attacco basato su dizionario • Assenza di certificati

• Attacco su dizionario per le credenziali
• Diritti di proprietà intellettuale

LEAP Sì Sì Sì Attacco basato su dizionario • Soluzione proprietaria

• Gli access point devono supportarlo

SIM Sì Sì No Vulnerabile allo spoofing • Infrastruttura basata sul roaming GSM

• Autenticazione a due fattori

AKA Sì Sì No Elevata sicurezza per • Infrastruttura basata sul roaming GSM

ambienti cellulari • Autenticazione a due fattori

No No No • Man-in-the-middle • Richiede autenticazione sotto tunnel

SecurID • Dirottamento di sessione • Autenticazione a due fattori

TTLS Sì Sì No Elevata sicurezza • Creazione di un tunnel TLS (SSL) sicuro

• Supporta i tradizionali metodi di
autenticazione: PAP, CHAP, MS-CHAP,
MS-CHAP V2
• L'identità dell'utente è protetta (crittata)
Extensible Authentication Protocol 61

PEAP Sì Sì Sì Media sicurezza • Simile all'EAP-TTLS

• Creazione di un tunnel TLS] (SSL) sicuro
• L'identità dell'utente è protetta (crittata)
• Attacco su dizionario per le credenziali

Voci correlate
IEEE 802.1x

Collegamenti esterni
• (EN) RFC 3748 EAP [1]

Note
[1] http:/ / tools. ietf. org/ html/ rfc3748#page-35

False acceptance rate

Il False acceptance rate (FAR), a volte chiamato False Match Rate (FMR), è un indice utilizzato in un sistema di
riconoscimento biometrico per la valutazione delle prestazioni degli algoritmi di riconoscimento.
Il FAR indica le false accettazioni all'interno del sistema biometrico. Esempio: tipicamente i sistemi biometrici sono
utilizzati per permettere l'accesso ad aree riservate solo a persone autorizzate. Supponiamo ci siano due persone X e
Y: Y ha l'accesso al sistema mentre X non ha alcuna autorizzazione. Si ottine una falsa accettazione quando X al
momento della verifica viene riconosciuto come Y (o qualunque altra persona con autorizzazione) concedendogli il
permesso di accedere alle aree riservate anche se non ne ha diritto. Si possono facilmente immaginare quali possano
essere le conseguenze di una falsa accettazione in un sistema con un alto livello di sicurezza, ad esempio una base
militare, o una centrale nucleare.
In sistemi in cui il livello di sicurezza è alto l'esistenza di falsi positivi è un problema grave; per questi sistemi si
parla di ZeroFAR, ovvero FAR=0 e quindi non devono esistere falsi positivi.
FileVault 62

FileVault
FileVault è una tecnologia presente nel sistema operativo Mac OS X 10.4 Tiger e successivi che provvede a cifrare e
decifrare in tempo reale la directory home dell'utente in modo totalmente trasparente. L'algoritmo di cifratura
utilizzato è l'AES a 128 bit che garantisce un'elevata sicurezza contro qualsiasi tipo di attacco informatico
attualmente conosciuto. Questa tecnologia è molto utile nel caso si utilizzi un computer portatile. Anche se l'utente
dovesse perdere la macchina o un soggetto terzo dovesse rubare la macchina le informazioni non sarebbero
accessibili senza la password. Una directory non protetta da FileVault è facilmente accessibile anche senza
password, basta avere un CD con cui avviare la macchina e poi tutte le informazioni risultano disponibili. Il
principale vantaggio di FileVault rispetto ad altri programmi di cifratura e che è una tecnologia completamente
integrata nel sistema e quindi il suo utilizzo è sicuro e molto semplice. Si può impostare una Master Password per la
macchina così che nel caso uno degli utenti dovesse dimenticarsi la password utilizzando la Master Password si
possano recuperare le informazioni.

Voci correlate
• BitLocker Drive Encryption

Collegamenti esterni
• Pagina ufficiale [1]

Note
[1] http:/ / www. apple. com/ sg/ macosx/ features/ filevault/
Filtro bayesiano 63

Filtro bayesiano
Un filtro bayesiano (dal nome del noto matematico Bayes vissuto nel XVIII secolo) è una forma di filtraggio dello
spam che si basa sull'analisi del contenuto delle email. Questa tecnica è complementare (e di grande efficacia) ai
sistemi di blocco basati su indirizzo IP, le cosiddette blacklist.
Il filtro bayesiano applica all'analisi delle email un teorema, espresso per l'appunto da Bayes, secondo il quale ogni
evento cui è attribuita una probabilità è valutabile in base all'analisi degli eventi già verificatisi. Nel caso dell'analisi
antispam, se in un numero n delle mail analizzate in precedenza l'utente ha marcato come spam quelle che
contenevano la parola "sesso", il filtro ne dedurrà che la presenza di quella parola innalza la probabilità che le mail
seguenti contenenti quella parola siano a loro volta spam.
In questo modo, il sistema è in grado di adattarsi in maniera dinamica e veloce alle nuove tipologie di spam.
Gran parte dei software di analisi delle email antispam, ormai, adotta questo genere di tecnologia.

Client di posta elettronica con filtro bayesiano

• Mozilla Thunderbird
• Evolution

Voci correlate
• SpamAssassin
• Teorema di Bayes
• Filtro di Kalman

Fingerprint
La fingerprint (impronta digitale) in informatica è una sequenza alfanumerica o stringa di bit di lunghezza prefissata
che identifica un certo file con le caratteristiche intrinseche stesse del file.
Il riconoscimento e l'autenticità del file vengono garantite confrontando l'"impronta" del file con una base di dati in
cui precedentemente era stata già memorizzata; se il confronto ha esito positivo allora il file è autentico.

Uso
Viene utilizzato per garantire l'autenticità e la sicurezza dei file e anche per identificare rapidamente file distribuiti in
rete tramite sistemi di file-sharing.
Il sistema fingerprint viene utilizzato anche per i più moderni notebook e consente attraverso l'impronta digitale di
proteggere sia il computer che determinati file. Questo in alcuni portatili è stato addirittura implementato con un
software in grado di collegare ad una data impronta digitale un collegamento ad un sito internet.
Fingerprint 64

Calcolo della fingerprint

La fingerprint si ottiene tipicamente mediante funzioni hash. Poiché con tale metodo esiste sempre una piccolissima
possibilità che si verifichino duplicati, cioè che più file abbiano lo stesso hash, si generano fingerprint di grosse
dimensioni in modo da ridurre al minimo tale eventualità.

Voci correlate
• Internet
• File system
• Peer-to-peer
• Watermarking

Firma digitale
In informatica la firma digitale rappresenta un sistema di autenticazione di documenti digitali tale da garantire il
cosiddetto non ripudio e al contempo l'integrità del documento stesso. E' basata sulla tecnologia della crittografia a
chiave pubblica (o PKI).
La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua una specie di firma
elettronica avanzata che può essere apposta ai documenti informatici alla stessa stregua di come la firma autografa
viene apposta ai documenti tradizionali.

Definizione
La firma digitale di un documento informatico si propone di soddisfare tre esigenze:
• che il destinatario possa verificare l'identità del mittente (autenticità);
• che il mittente non possa disconoscere un documento da lui firmato (non ripudio);
• che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro (integrità).
Un tipico schema di firma digitale consiste di tre algoritmi:
1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK, SK): PK (Public Key,
chiave pubblica) è la chiave pubblica di verifica della firma mentre SK (Secret Key) è la chiave privata posseduta
dal firmatario, utilizzata per firmare il documento.
2. un algoritmo di firma S che, presi in input un messaggio m e una chiave privata SK produce una firma σ.
3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una firma σ, accetta o
rifiuta la firma.

Sistemi per la creazione e la verifica di firme digitali

Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche della crittografia asimmetrica.
Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non
sia in possesso di una "chiave" (intesa secondo la definizione crittologica) per interpretarli. Nei sistemi crittografici a
chiave pubblica, detti anche a chiave asimmetrica, ogni utente ha una coppia di chiavi: una chiave privata, da non
svelare a nessuno, con cui può decifrare i messaggi che gli vengono inviati e firmare i messaggi che invia, e una
chiave pubblica, che altri utenti utilizzano per cifrare i messaggi da inviargli e per decifrare la sua firma e stabilirne
quindi l'autenticità.
Perché il sistema risulti sicuro, è necessario che solo l'utente stesso e nessun altro abbia accesso alla chiave privata.
Il modo più semplice per ottenere questo è far sì che l'unica copia della chiave sia "in mano" all'utente (il quale deve
Firma digitale 65

impedirne l'accesso a terzi); tuttavia, esistono soluzioni alternative (come nel caso della firma digitale remota).
Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la
sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave pubblica associata e viceversa. Lo
scenario in cui un mittente vuole spedire un messaggio a un destinatario in modalità sicura è il seguente: il mittente
utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio
cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il
messaggio "in chiaro".
Grazie alla proprietà delle due chiavi, inversa rispetto a quella appena descritta, un sistema di crittografia
asimmetrica di questo tipo è adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente è
la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente
vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione hash (pubblica)
ricava l'impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole
(128, 160 o più bit) che contiene una sorta di codice di controllo relativo al documento stesso, dopodiché utilizza la
propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma. La funzione hash è
fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta,
inoltre, è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere nuovamente il testo
originario ovvero essa è non invertibile. La firma prodotta dipende dall'impronta digitale del documento e, quindi,
dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento
insieme alla chiave pubblica.
Chiunque può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con la chiave
pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si
ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità
del documento sono garantite.
La firma digitale assicura inoltre il non ripudio: il firmatario di un documento pervenuto nelle mani di un terzo che
ne verifica con successo la validità della firma, non potrà negare di averlo scritto. Detta in altre parole significa che
l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in
presenza di testimoni.
Le operazioni di firma e di verifica possono essere demandate a un apposito programma rilasciato dall'ente
certificatore oppure al proprio provider di posta elettronica, che, con una semplice configurazione, le effettuerà
automaticamente.

Schema di firme
I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di verifica.
L'algoritmo di firma
crea una firma elettronica che dipende dal contenuto del documento a cui deve essere allegata, oltre che dalla
chiave dell'utente. Una coppia (documento, firma) rappresenta un documento firmato, ovvero un documento a
cui è stata allegata una firma.
L'algoritmo di verifica
può essere utilizzato da chiunque per stabilire l'autenticità della firma digitale di un documento.
L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una stringa funzione del
documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica usando la chiave privata del mittente. Il
risultato di tale codifica è la firma digitale del documento. La firma viene allegata al documento che ora risulta
firmato digitalmente. Il documento firmato digitalmente è in chiaro ma possiede la firma del mittente e può essere
spedito in modo che esso possa essere letto da chiunque ma non alterato poiché la firma digitale ne garantisce
l'integrità. Il ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma digitale
Firma digitale 66

con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e confronta le due stringhe hash,
verificando in questo modo l'identità del mittente e l'integrità e autenticità del documento.
Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un insieme finito di
possibili chiavi;
se ∀ k ∈ K ∃ un algoritmo di firma sigk:D→F, ∃ un corrispondente algoritmo di verifica verk:D×F→{vero, falso}
tale che ∀ d ∈ D, ∀ f ∈ F: verk(d,f) = { vero se f = sigk(d) ; falso se f ≠ sigk(d) }
allora (D, F, K, sigk, verk) costituisce uno schema di firme.
Dato un d ∈ D solo il firmatario deve essere in grado di calcolare f ∈ F tale che verk(d,f) = vero.
Uno schema di firme è detto incondizionatamente sicuro se non esiste un modo per la falsificazione di una firma f ∈
F. Segue che non esistono schemi di firme incondizionatamente sicuri poiché un malintenzionato potrebbe testare
tutte le possibili firme y ∈ F di un documento d ∈ D di un utente, usando l'algoritmo pubblico verk fino a quando non
trova la giusta firma. Naturalmente questo tipo di attacco alla sicurezza dello schema di firme risulta essere
enormemente oneroso computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi più raffinati e
i processori più potenti, poiché si fa in modo che la cardinalità dell'insieme di possibili firme sia enormemente
elevata.

Differenze tra firma digitale e firma convenzionale

Firma autografa Firma digitale

Creazione manuale mediante algoritmo di creazione

Apposizione sul documento: la firma è parte integrante del come allegato: il documento firmato è costituito dalla coppia
documento (documento, firma)

Verifica confronto con una firma autenticata: metodo mediante algoritmo di verifica pubblicamente noto: metodo sicuro
insicuro

Documento copia distinguibile indistinguibile

Validità temporale illimitata limitata

Automazione dei non possibile possibile

processi

Vulnerabilità

Vulnerabilità del processo di firma

La vulnerabilità più nota è strettamente correlata al fatto che una smart card è un calcolatore elettronico limitato,
poiché manca dei dispositivi di I/O. Dovendola quindi interfacciare a un PC risulterà non completamente sicuro il
processo di generazione della firma digitale, in dipendenza della potenziale insicurezza del PC utilizzato per generare
l'impronta del documento da firmare. Il rischio concreto è che alla fine il PC possa ottenere dalla smart card una
firma su un documento arbitrariamente scelto, diverso da quello visualizzato sullo schermo e effettivamente scelto
dall'utente. Chiaramente l'utente potrebbe non essere consapevole dell'esistenza di un siffatto documento, per cui tale
problema può essere considerato molto grave. Secondo il parere di Rivest esiste una contraddizione intrinseca tra
possedere un dispositivo sicuro e usare una “interfaccia utente ragionevolmente personalizzabile” che supporti il
download delle applicazioni. In altri termini, si potrebbe pensare a un’applicazione molto sicura per la firma digitale
che sia eseguibile su computer stand-alone (portatili), tali da non permettere l'esecuzione di altri programmi. In caso
contrario, il processo di firma digitale rimane intrinsecamente insicuro, poiché i PC non possono rappresentare
piattaforme sicure. Secondo Rivest la firma digitale non dovrebbe essere considerata come una prova non
ripudiabile, ma semplicemente come un'evidenza plausibile. Così per gli utenti dovrebbero esistere casi ben definiti
Firma digitale 67

in cui poter ripudiare la firma. Il problema, ben noto in letteratura, è complesso e non ammette una soluzione
completa fintanto che il PC è parte del processo di generazione della firma. Recentemente sono state proposte
soluzioni euristiche che permettono di mitigarne le conseguenze.

Documenti contenenti macro-istruzioni o codice eseguibile

Un'altra ben nota vulnerabilità è derivante dalla possibilità per i documenti di incorporare macro-istruzioni o codice
eseguibile (si pensi per esempio alle macro dei documenti Word, oppure al codice Javascript dei documenti PDF). Il
problema è che un documento contenente istruzioni non è statico, nel senso che la visualizzazione (la presentazione)
del suo contenuto potrebbe dipendere da tali istruzioni. Per esempio, si consideri il caso di un contratto che include
un valore che dipende dalla data di sistema, in modo tale che, dopo una certa data, il valore visualizzato sia
modificato. La firma digitale dovrebbe essere in grado di evitare la modifica di ciò che un documento mostra
all'utente, allo scopo di garantire l'integrità dell'informazione, non solo in termini tecnici, ma anche dal punto di vista
degli effetti (legali) prodotti dai bit che compongono i documenti digitali. Nell’esempio precedente, chiaramente i bit
del contratto digitale non variano, ma il loro effetto, in termini di contenuto rappresentato, sì. Sfortunatamente, la
firma digitale non è in grado di rilevare il comportamento dinamico del documento, tantomeno i suoi
(pericolosamente dinamici) effetti legali, in quanto è ottenuta a partire dai bit che compongono il documento
mediante l'applicazione di una funzione di hash crittografico prima, e l'esecuzione di un algoritmo di crittografia
asimmetrica (tipicamente RSA) poi. Questa vulnerabilità è ben nota e il modo per contrastarla è banalmente quello di
forzare l'utente a verificare la presenza di macro nel documento prima della firma, quindi assumendo che egli sia in
grado di svolgere tale compito. Esistono anche alcuni lavori scientifici in letteratura che definiscono approcci
sistematici per contrastare tale vulnerabilità. Un'ulteriore metodo suggerito è quello di restringere i formati permessi
per i documenti a quelli che non supportano l'inclusione di istruzioni, come il testo (es. ASCII), PDF/A, le immagini.
Altri possibili attacchi, documentati in letteratura, riguardano l'uso dei font e altre tecniche legate alla visualizzazione
non statica del contenuto del documento (es, inclusione di oggetti esterni, attacchi basati sulla versione del browser
per documenti HTML, testo nascosto attraverso il colore dei font, etc.).
La vigente normativa italiana, comunque, esclude espressamente la validità della firma per le sopraddette tipologie di
documenti: l'art. 3, comma 3 del DPCM 30 marzo 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009) recita
infatti "Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica qualificata, non
produce gli effetti di cui all'art. 21, comma 2, del codice, se contiene macroistruzioni o codici eseguibili, tali da
attivare funzionalità che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" .

Vulnerabilità connesse all'ambiguità della codifica del documento

Il 21 giugno 2008 viene divulgato un articolo in cui si descrive la scoperta fatta dal gruppo del Professor Francesco
Buccafurri, ordinario alla facoltà di Ingegneria di Reggio Calabria, di una nuova vulnerabilità [1] che affligge la firma
digitale. Ciò che viene provato non è la vulnerabilità degli algoritmi di firma o dei dispositivi: si tratta di un attacco
mai prima documentato che consente di firmare documenti con contenuto ambiguo e che sfrutta tecniche fino a
quella data non note, agendo su formati ritenuti esenti da tale comportamento "dinamico". Dal punto di vista degli
effetti, tale vulnerabilità è assimilabile a quella già nota determinata dalla presenza di istruzioni nei documenti.
Tuttavia la tecnica con la quale opera è significativamente diversa. La vulnerabilità sfrutta la caratteristica di quei
Sistemi Operativi di identificare il tipo di file, e quindi il software da utilizzare per renderne intelligibile il
contenuto, attraverso l'estensione (infatti il comportamento "dinamico" del documento viene attivato dalla modifica
della sua estensione), risultando quindi applicabile solo in tali Sistemi Operativi. In linea di principio la vulnerabilità
potrebbe essere facilmente risolta includendo negli “authenticated attributes” della busta PKCS#7 il mime-type del
file soggetto a firma, di modo da eliminare l'ambiguità sul software da utilizzare per visualizzare il documento e
neutralizzare l'attacco. Tuttavia una soluzione del genere comporterebbe l'adeguamento dei software di verifica della
firma attualmente in uso, quindi non è di facile attuazione pratica.
Firma digitale 68

Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novità della fattispecie, ma è
presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM 30 marzo del 2009 (nuove regole
tecniche in vigore dal 6 dicembre 2009), e che quindi i documenti con tale ambiguità non producano gli effetti
probatori previsti dall'art. 21 del Codice dell'amministrazione digitale.

Valore giuridico della firma digitale in Italia

Nell'ordinamento giuridico italiano il termine firma digitale sta a indicare un tipo di firma elettronica qualificata,
basato sulla crittografia asimmetrica, alla quale si attribuisce una particolare efficacia probatoria, tale da potersi
equiparare, sul piano sostanziale, alla firma autografa.
Oggi, la legge che disciplina la firma elettronica è il "Codice dell'amministrazione digitale" (Decreto Legislativo 7
marzo 2005, n. 82) che ha subito nel corso del tempo varie modifiche (da ultimo a opera del d.lgs. 30 dicembre 2010,
n. 235).
Attualmente la legge italiana prevede 3 tipi di firma elettronica:
1. firma elettronica (chiamata anche firma elettronica "semplice"): l'insieme dei dati in forma elettronica, allegati
oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione
informatica.
2. firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento
informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca
al firmatario, creati con mezzi sui quali il firmatario può conservare un controllo esclusivo, collegati ai dati ai
quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente
modificati.
3. firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato
qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma.
La firma digitale è quindi solo un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi
crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al
destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e
l'integrità di un documento informatico o di un insieme di documenti informatici.
Rispetto alla firma elettronica "semplice" la firma elettronica avanzata ha in più la garanzia della connessione
univoca al firmatario, la creazione con un mezzo sul quale il firmatario può conservare un controllo esclusivo e la
possibilità di far rilevare se i dati a cui la firma si riferisce siano stati successivamente modificati.
La firma elettronica qualificata a questo punto è stata nuovamente definita partendo dalla firma elettronica avanzata
con in più l'uso di un certificato qualificato e di un dispositivo sicuro per la sua creazione.
Sotto il profilo probatorio è stata ribadita la potenziale idoneità del documento informatico, anche non sottoscritto, a
integrare la forma scritta: "L'idoneita' del documento informatico a soddisfare il requisito della forma scritta e il suo
valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualita',
sicurezza, integrita' e immodificabilita', fermo restando quanto disposto dall'articolo 21".
L'efficacia automatica di scrittura privata e la presunzione semplice che il dispositivo di firma sia riconducibile al
titolare, in precedenza appannaggio della sola firma elettronica qualificata, sono attribuite anche alla firma
elettronica avanzata: "Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale,
formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilita'
dell'autore, l'integrita' e l'immodificabilita' del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile.
L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria".
Contrariamente al passato è stata però riservata alla sola firma elettronica qualificata la possibilità di sottoscrizione
dei seguenti atti: contratti che, in relazione a beni immobili, ne trasferiscano la proprietà, costituiscano, modifichino
o trasferiscano l'usufrutto, il diritto di superficie, il diritto del concedente o dell'enfiteuta, la comunione su tali diritti,
Firma digitale 69

le servitù prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, contratti di
affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni;
contratti di società o di assicurazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali
immobiliari per un tempo eccedente i nove anni o per un tempo determinato; gli atti che costituiscono rendite
perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato; gli atti di divisione di beni immobili e di altri
diritti reali immobiliari; le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra.
Il nuovo comma 2 bis dell'art. 21 infatti prevede che "Salvo quanto previsto dall'articolo 25, le scritture private di cui
all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono
sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale."
Di conseguenza possono essere sottoscritti con firma elettronica non qualificata (semplice o avanzata) che possa dare
al documento su cui è apposta l'efficacia di scrittura privata unicamente, oltre gli atti non formali, solo gli altri atti
indicati dalla legge per cui sia prevista la forma scritta ad substantiam (n. 13 dell'art. 1350 c.c.). Tra questi ci sono i
contratti bancari e di intermediazione mobiliare.
La titolarità della firma digitale è garantita dai "certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti
con particolari requisiti di onorabilità, che potevano essere accreditati presso il Centro Nazionale per l'Informatica
nella Pubblica Amministrazione (CNIPA), ora confluito in DigitPA (in tal caso vengono chiamati certificatori
accreditati), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario
di un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma elettronica vi è
quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività
bancaria (2.000.000€, come una S.p.A). I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto
grosse società (per esempio, un certificatore è la società Postecom (Poste Italiane)).
L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica,
inserita nel certificato) è a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale
per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale.
È fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perché sia
certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.

Voci correlate
• Firma elettronica autografa
• Firma digitale remota
• Fattura elettronica
• Blind signature
• Firma elettronica
• Timbro digitale
• Codice dell'amministrazione digitale
• SMIME
Firma digitale 70

Collegamenti esterni
• Firma Digitale - Ifin Sistemi [2]
• Progetto OpenSignature [3]
• Codice dell'Amministrazione Digitale - Il testo vigente [4]
• Legge 23 gennaio 2002, n. 10 [5], Firma digitale

Note
[1] http:/ / www. unirc. it/ firma
[2] http:/ / www. ifin. it/ conservazione-documenti/ certificazione-strumenti/ firma-digitale/
[3] http:/ / opensignature. sourceforge. net/ english. php
[4] http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente
[5] http:/ / www. normattiva. it/ uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=

Firma elettronica
Una firma elettronica è definita[1] come "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": è quindi la forma
più debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di
integrità del dato firmato.
Una firma elettronica qualificata è definita[1] come "la firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un
dispositivo sicuro per la creazione della firma": è quindi una forma di firma sicura, che esaudisce le richieste della
Direttiva Europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di
un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified
electronic signature" definita da ETSI
In ultimo, ma più importante di tutte, almeno nell'ordinamento italiano, c'è la firma digitale definita sempre nel
CAD[1] come "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a
chiave pubblica.
Nell'ordinamento italiano, la firma digitale è un sistema di sottoscrizione di documenti informatici, che garantisce
autenticità e integrità del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato
qualificato.
Un certificato per la firma elettronica può essere rilasciata da Certification Authority senza formalità; è previsto
invece un processo obbligatorio di accreditamento da parte di una autorità pubblica preposta (per l'Italia è il DigitPA
(già CNIPA)), per qualificare una Certification Authority a emettere certificati qualificati.
Firma elettronica 71

Differenza tra firma digitale e firma elettronica

Firma elettronica Firma qualificata/digitale

Creazione mediante algoritmo di creazione non specificato sì

Ripudiabilità in sede di giudizio non riconoscimento querela di falso

Documento copia indistinguibile dall'originale sì sì

Opponibiltà in sede di giudizio (durante un processo) no sì

Emessa da una Certification Authority qualificata no sì

Differenza con la firma autografa

Un qualsiasi atto scritto di tipo tradizionale fa prova in giudizio fino al disconoscimento della firma. Per una firma
autenticata, cioè apposta in presenza di un notaio, non è possibile il disconoscimento ma solo la querela di falso.
Viceversa, nel caso delle firme elettroniche si deve distinguere tra "firma elettronica", "firma elettronica qualificata"
e "firma digitale" (cfr. art. 1 del Codice dell'Amministrazione digitale):
1.Per firma elettronica la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica.
2.La firma elettronica qualificata è definita come la firma elettronica basata su una procedura che permetta di
identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la
cui titolarità è certificata da un certificato qualificato. È inoltre richiesto l'uso del dispositivo di firma sicuro, capace
cioè di proteggere efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado di
rilevare qualsiasi alterazione del documento avvenuta dopo l'apposizione della firma stessa. Qualunque tecnologia
che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata".
3.La firma digitale, è considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata
sulla tecnologia della crittografia a chiavi asimmetriche. All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando
all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a
querela di falso se colui contro il quale la scrittura è prodotta ne riconosce la sottoscrizione, ovvero se questa è
legalmente considerata come riconosciuta, equiparando così il documento informatico sottoscritto con firma digitale
alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con
firma autenticata).
Tuttavia secondo un orientamento vi sarebbe una significativa differenza tra firma autografa e firma digitale rispetto
alla procedura di disconoscimento. Nel primo caso infatti sarebbe sufficiente che il convenuto avvii una formale
istanza di disconoscimento senza doversi assumere alcun onere probatorio. Con riguardo al secondo caso (firma
digitale), si nota che l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia la prova contraria. Vi sarebbe quindi un'inversione dell'onere della
prova dall'attore verso il convenuto.
Un altro orientamento, peraltro, ha posto in evidenza che la presunzione della riconducibilità della firma al titolare
del dispositivo di firma si deve formare "ai sensi dell'art. 21, comma 2" (art. 20, comma 2, del D.Lgs. 82/2005),
secondo il quale "il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica
qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume
riconducibile al titolare, salvo che questi dia prova contraria". Se ne ricava che, come nel caso della scrittura
tradizionale, anche la scrittura elettronica munita di firma digitale farebbe piena prova della provenienza delle
dichiarazioni solo se la firma digitale che vi è apposta è riconosciuta da colui contro il quale è prodotta in giudizio.
Altrimenti, colui che la produce deve fare istanza di verificazione, da sostenere con qualsiasi mezzo di prova utile
(art. 216 c.p.c.). In tale prospettiva, solo nel corso del giudizio di verificazione colui che vuol fare valere la scrittura
Firma elettronica 72

può provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare,
fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto
del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del
dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art.
21, comma 2, cit. in ordine alla riconducibilità di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine
all'imputazione della firma apposta a quel soggetto.

Caratteristiche
Per collocare nel tempo la firma di un documento non basta, però, la sola firma. In questo viene in aiuto un'altra
entità che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella
autografa cartacea. L'entità è la Stamping Authority che interviene nella creazione dell'hash del documento da
firmare.
Per ogni altra caratteristica ulteriore rimando alla firma digitale in quanto, per le rimanenti tematiche, è del tutto
analoga.

Voci correlate
• Fattura elettronica
• Blind signature
• Firma digitale
• Certification Authority
• CNIPA

Note
[1] Codice dell'amministrazione digitale (http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente#Art. 1. ) : vedi Definizioni

Collegamenti esterni
• CNIPA Centro Nazionale dell'informatica per le pubbliche amministrazioni (http://www.cnipa.gov.it/site/
it-IT/)
• legge 10/2002 (http://www.parlamento.it/leggi/deleghe/02010dl.htm)
• Legge 23 gennaio 2002, n. 10 (http://www.normattiva.it/uri-res/
N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=), Firma elettronica
Gestione della continuità operativa 73

Gestione della continuità operativa

Per gestione della continuità operativa o continuità aziendale (business continuity) si intende la capacità
dell'azienda di continuare ad esercitare il proprio business a fronte di eventi avversi che possono colpirla.[1] La
pianificazione della continuità operativa e di servizio si chiama business continuity plan (BCP) (in italiano "piano di
continuità del business") e viene comunemente considerata come un processo globale che identifica i pericoli
potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di aumentare la resilienza e la
capacità di risposta in maniera da salvaguardare gli interessi degli stakeholders, le attività produttive, l'immagine,
riducendo i rischi e le conseguenze sul piano gestionale, amministrativo, legale.

Descrizione
Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare
economicamente i danni e di pianificare la ripresa delle attività aziendali. Il Disaster Recovery Plan, che è mirato ai
servizi informatici, è quindi un sottoinsieme del business continuity plan.
Il business continuity plan contiene informazioni riguardo alle azioni da intraprendere in caso di incidente, chi è
coinvolto nell'attività e come deve essere contattato. Il piano riflette la posizione dell'organizzazione e degli
stakeholders.
Gli aspetti da considerare sono:
• l'uso di ausili alla pianificazione, tool di sviluppo e manutenzione dei piani;
• descrizione delle attività per le figure coinvolte;
• i piani di azione e le checklist da utilizzare;
• quali informazioni e quale documentazione di supporto deve essere utilizzata.
Occorre riporre attenzione nella terminologia; termini come "incidente" o "disastro" devono essere chiari e condivisi.
In particolare, occorre distinguere tra una "interruzione di servizio" ed un "disastro"; nel secondo caso deve essere
definita la procedura di "escalation" da applicare quando il disastro è avvenuto ed è stato dichiarato. Occorre definire
quindi un glossario condiviso e documentato.
Tra i rischi da considerare vi sono quelli legati all'informazione e alla sua gestione. Nell'ambito del Rischio
informatico il piano di Business Continuity fa parte del Piano di contingenza. La business continuity viene
pianificata secondo il Ciclo di Deming.

Note
[1] IMQ, Certificazione Sistemi di Gestione per la Continuità Operativa Norma BS 25999-2 (http:/ / www. imq. it/ export/ sites/ default/ it/ doc/
pubblicazioni_informative/ IMQ_BROCH_BCM_Ottavo__. pdf).

Voci correlate
• Risk management
• Piano di contingenza
• Disaster recovery
• Business continuity plan
GnuTLS 74

GnuTLS
GnuTLS

Sviluppatore Free Software Foundation

Ultima versione 3.0.3 (18 settembre 2011)

S.O. Multipiattaforma

Genere Libreria di sicurezza

Licenza GNU Lesser General Public

License
(Licenza libera)

Sito web http:/ / www. gnutls. org/

GnuTLS (GNU Transport Layer Security Library) è un'implementazione libera dei protocolli SSL e TLS. Il suo
scopo è di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la
rete.

Funzionalità
GnuTLS ha le seguenti funzionalità:
• Protocolli SSL 3.0, TLS 1.0, TLS 1.1 e, in sviluppo, il protocollo TLS 1.2
• Secure remote password protocol (SRP) per l'autenticazione TLS
• Pre-Shared Key (PSK) per l'autenticazione TLS
• Meccanismo di estensione TLS
• Compressione TLS
• Gestione dei certificati X.509 e OpenPGP

Licenza e motivazioni
GnuTLS è rilasciato tramite la licenza GNU Lesser General Public License; alcune parti sono rilasciate sotto la GNU
General Public License.
GnuTLS venne inizialmente creato per consentire alle applicazioni del Progetto GNU di usare un protocollo sicuro
come TLS. Benché esistesse già OpenSSL, quest'ultima libreria ha una licenza che non è compatibile con la GPL[1] ,
per cui i software sotto GPL non avrebbero potuto usare la libreria OpenSSL senza inserire nella licenza una speciale
eccezione.
GnuTLS è usato in software come GNOME, CenterIM, Exim, Mutt, Slrn, Lynx, CUPS e gnoMint.[2]
GnuTLS 75

Note
[1] (EN) The OpenSSL Licence and The GPL (http:/ / www. gnome. org/ ~markmc/ openssl-and-the-gpl. html)
[2] (EN) The GNU Transport Layer Security Library (http:/ / www. gnu. org/ software/ gnutls/ programs. html)

Voci correlate
• OpenSSL
• Network Security Services
• Transport Layer Security

Collegamenti esterni
• (EN) Pagine del progetto GnuTLS (http://www.gnu.org/software/gnutls/)
• (EN) Manuale GnuTLS (http://www.gnu.org/software/gnutls/manual/)
• (EN) Intervista del 2003 allo sviluppatore di GNU TLS Nikos Mavroyanopoulos (http://www.network-theory.
co.uk/articles/mavroyanopoulus.html)

Greylisting
Greylisting o graylisting è un metodo per difendere gli utenti dallo spam via e-mail. Un mail server che utilizza la
tecnica di greylisting rifiuterà temporaneamente tutte le e-mail da un mittente che non conosce. Se l'e-mail è
legittima, il mail server del mittente ritenterà l'invio, e questa volta l'operazione verrà accettata. Se l'e-mail viene
inviata da uno spammer, probabilmente non si avrà un ulteriore tentativo poiché il mail server dello spammer avendo
a disposizione migliaia di indirizzi email, passerebbe oltre non occupandosi degli errori.

Come funziona
Tipicamente un server che utilizza la tecnica di graylisting genera una tripletta di dati per ogni messaggio email in
arrivo:
• l'indirizzo ip dell'host mittente
• l' indirizzo e-mail del mittente
• l'indirizzo e-mail del destinatario
che viene poi controllata con le triplette registrate nel database. Se questa tripletta non è ancora stata registrata (la
registrazione può durare per un tempo variabile), l'e-mail viene messa in "lista grigia" per un piccolo periodo di
tempo (configurabile a piacere), e viene rifiutata con un codice di errore SMTP 4xx. Questo codice corrisponde a un
errore temporaneo perciò un server legittimo ritenterà l'invio dell'e-mail.
Greylisting è efficace poiché la maggior parte degli strumenti utilizzati dagli spammer non ritentano l'invio della
mail, per cui il messaggio non verrà mai recapitato al destinatario. Se lo spammer dovesse ritentare l'invio della mail,
esistono comunque software che possono riconoscere lo spam analizzando il contenuto del messaggio.

Vantaggi
Il vantaggio maggiore è che l'utente finale non deve configurare nulla. Dal punto di vista di un amministratore invece
il vantaggio è doppio. Greylisting infatti ha bisogno di una configurazione minima dati da occasionali modifiche alla
lista bianca (cioè alla lista degli utenti che possono inviare e-mail senza essere processati dal sistema). Il secondo
maggior vantaggio è che il messaggio di errore SMTP 4xx non determina l'occupazione di ulteriori risorse. La
maggior parte dei software di riconoscimento dello spam occupano spesso molta memoria e gravano sulla cpu in
modo evidente. Bloccando lo spam prima che venga esaminato si possono risparmiare queste risorse.
Greylisting 76

Svantaggi
Come altri software di controllo spam, lo svantaggio maggiore è che viene meno l'istantaneità dei messaggi email.

Collegamenti esterni
• Sito ufficiale [1]

Note
[1] http:/ / www. greylisting. org/

Hardening
In informatica, hardening indica il processo di messa in sicurezza di un sistema attraverso la riduzione della sua
superficie di attacco. Un sistema ha una superficie di attacco tante più funzionalità offre; come principio un sistema
con una singola funzione è più sicuro di un sistema con molte funzioni. La riduzione dei veicoli di attacco disponibili
tipicamente include la rimozione di software non necessario, di username non necessari e la disabilitazione o
rimozione di servizi non necessari.
Ci sono vari metodi per fare l'hardening di sistemi unix e linux. Questi possono coinvolgere, tra le altre misure,
l'applicazione di patch al kernel come Exec Shield o PaX; la chiusura di porte in servizi di rete, la configurazione di
sistemi IDS, firewall e intrusion prevention system. Ci sono anche script di hardening e tool come Bastille linux[1] ,
JASS[2] per Solaris e Apache/PHP hardener[3] , che possono, per esempio, disattivare funzionalità non necessarie nei
file di configurazione e applicare misure protettive di varia natura.

Note
[1] (EN)http:/ / bastille-linux. sourceforge. net/
[2] (EN)http:/ / www. sun. com/ software/ security/ jass/
[3] (EN)http:/ / www. syhunt. com/
Hash 77

Hash
Hash è un termine della lingua inglese
(to hash sminuzzare, pasticciare) che
designa originariamente una polpettina
fatta di avanzi di carne e verdure; per
estensione indica un composto
eterogeneo cui viene data una forma
incerta: "To make a hash of something"
vuol dire infatti creare confusione, o
fare una cosa piuttosto male.

In informatica
Nel linguaggio matematico e
informatico, la funzione hash è una
Risultato dei primi quattro byte della funzione hash SHA-1.
funzione non iniettiva che mappa una
stringa di lunghezza arbitraria in una
stringa di lunghezza predefinita. Esistono numerosi algoritmi che realizzano funzioni hash con particolari proprietà
che dipendono dall'applicazione.

Nelle applicazioni crittografiche si chiede, per esempio, che la funzione hash abbia le seguenti proprietà:
• resistenza alla preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un
hash uguale a un dato hash;
• resistenza alla seconda preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che
dia un hash uguale a quello di una data stringa;
• resistenza alle collisioni: sia computazionalmente intrattabile la ricerca di una coppia di stringhe in input che
diano lo stesso hash.
Nelle applicazioni di basi di dati la funzione hash è usata per realizzare una particolare struttura dati chiamata hash
table. In questa applicazione non occorrono proprietà crittografiche e generalmente l'unica proprietà richiesta è che
non ci siano hash più probabili di altri.

Algoritmo di hash
L'algoritmo di hash elabora qualunque mole di bit (in informatica si dice che elabora dati "grezzi"). Si tratta di una
famiglia di algoritmi che soddisfa questi requisiti:
1. L'algoritmo restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi dimensione
(può essere un file ma anche una stringa). L'output è detto digest.
2. La stringa di output è univoca per ogni documento e ne è un identificatore. Perciò, l'algoritmo è utilizzabile per la
firma digitale.
3. L'algoritmo non è invertibile, ossia non è possibile ricostruire il documento originale a partire dalla stringa che
viene restituita in output ovvero è una funzione unidirezionale.
Hash 78

Hash e collisioni
Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita
maggiore dell'hash, sono più degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno
più testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualità di una funzione di
hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione. Per
sconsigliare l'utilizzo di algoritmi di hashing in passato considerati sicuri è stato infatti sufficiente che un singolo
gruppo di ricercatori riuscisse a generare una collisione. Questo è quello che è avvenuto ad esempio per gli algoritmi
SNEFRU, MD2, MD4 ed MD5.
Un hash crittograficamente sicuro non dovrebbe permettere di risalire, in un tempo confrontabile con l'utilizzo
dell'hash stesso, ad un testo che possa generarlo. Le funzioni hash ritenute più resistenti richiedono attualmente un
tempo di calcolo per la ricerca di una collisione superiore alla durata dell'universo (immaginando di impiegare tutte
le capacità computazionali ora disponibili).

Applicazioni

Hash e crittografia
La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati. Il valore più comunemente adottato è di
128 bit, che offre una buona affidabilità in uno spazio relativamente ridotto. Tuttavia va registrata la possibilità d'uso
di hash di dimensione maggiore (SHA, ad esempio, può anche fornire stringhe di 224, 256, 384 e 512 bit) e minore
(che però va fortemente sconsigliato).
Le funzioni hash svolgono un ruolo essenziale nella crittografia: sono utili per verificare l'integrità di un messaggio,
poiché l'esecuzione dell'algoritmo su un testo anche minimamente modificato fornisce un message digest
completamente differente rispetto a quello calcolato sul testo originale, rivelando la tentata modifica.
Le funzioni di hash possono essere anche utilizzate per la creazione di firme digitali, in quanto permettono la rapida
creazione della firma anche per file di grosse dimensioni, senza richiedere calcoli lunghi e complessi: è infatti
computazionalmente più conveniente eseguire con rapidità un hashing del testo da firmare, e poi autenticare solo
quello, evitando così l'esecuzione dei complessi algoritmi di crittografia asimmetrica su moli di dati molto grandi.
La firma digitale è definita come il digest di un documento crittografato con chiave privata (e non con quella
pubblica, come avviene di solito). La firma digitale è l'unico caso in cui l'uso delle chiavi è invertito: la chiave
pubblica serve a decrittare la firma e trovare poi il digest iniziale attraverso l'hash, mentre quella privata serve a
crittografare una stringa anziché ad aprirla.
Un ulteriore uso delle funzioni di hash si ha nella derivazione di chiavi da password o passphrase: a partire da un
valore arbitrario in ingresso (una stringa o un array di larghe dimensioni) si deriva in modo crittograficamente sicuro
(ovvero non è possibile abbreviare il calcolo con una qualche scorciatoia) una chiave di dimensioni adatte alla
cifratura. È appena il caso di dire, tuttavia, che a meno di prendere debite contromisure (come l'uso di un salt
crittografico), l'utilità di questa procedura è esclusivamente pratica: infatti la sicurezza della chiave derivata è
equivalente a quella della stringa di ingresso ai fini di un attacco a dizionario. Di contro, è certamente più comodo
per un essere umano ricordare una stringa piuttosto che una lunga sequenza numerica.
Hash 79

Sicurezza delle funzioni hash

Nel contesto delle funzioni hash, ci si riferisce a diversi concetti di sicurezza: Sicurezza debole: dato un messaggio
M, è computazionalmente "difficile" trovare un secondo messaggio M' tale che h(M)=h(M'). Sicurezza forte: è
computazionalmente difficile trovare una coppia di messaggi M,M' tali che h(M)=h(M').
Questi due concetti di sicurezza vengono distinti anche per via degli effetti che essi possono produrre nel caso in cui
ne siano privi: per quanto riguarda ad esempio la possibilità di effettuare una firma digitale, un algoritmo che non
garantisca la sicurezza forte, ma quella debole, sarebbe comunque utile dal momento che il messaggio M non può
essere "controllato" e bisognerebbe quindi trovare un secondo messaggio M' con uguale funzione di hash, il che
sarebbe appunto computazionalmente difficile.

Hash e basi di dati

È possibile utilizzare le funzioni di hash per creare una hash table: struttura dati molto efficiente per immagazzinare
generici dati associati ad una chiave. Questo genere di struttura dati viene spesso utilizzata nei Database per generare
gli indici dato che permette di realizzare funzioni di ricerca che individuano gli elementi in un tempo costante,
indipendente (almeno in teoria) dal numero di elementi presenti nell'indice.

Rivelazione degli errori

L'uso delle funzioni hash per trovare errori nelle trasmissioni è molto comune. La funzione hash viene calcolata a
partire dai dati dal trasmettitore e il suo valore è inviato insieme ai dati. Il ricevitore calcola di nuovo la funzione
hash, e se i valori hash non corrispondono, significa che è avvenuto un errore durante la trasmissione. Questo metodo
è un tipo di controllo ridondante.

Informatica forense
Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell'ambito dell'informatica forense per
validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie forensi. La recente
legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali
modifiche successive all'acquisizione: tramite i codici hash è possibile in ogni momento verificare che quanto
repertato sia rimasto immutato nel tempo. Se i codici hash corrispondono, entrambe le parti in un procedimento
giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi una uniformità di
analisi e in genere di risultati. I risultati dei codici hash vengono ormai calcolati di default dalla maggioranza dei
software per acquisizione forense e allegati alle copie forensi salvate.

Hash uniforme semplice

Si definisce hash uniforme semplice quel tipo Hash in cui l'estrazione degli elementi in U è casuale, e la funzione
hash

h: U -> {m}

estrae la chiave m_i con probabilità

In tali condizioni la ricerca della chiave avrà complessità costante O(1).

Elenco di hash e documenti correlati

• MD2[1]
• MD4[2]
• MD5[3] [4] [5]
• MDC-2[6]
Hash 80

• SHA-1[7] [8] [9]

• SHA-2 (256, 384, 512)[10]
• RIPEMD-160[11]
• PANAMA[12]
• TIGER[13]
• CRC32[14]
[15]
ADLER32[16]
• HMAC[17] [18] [19] [20] [21] [22] [23] [24] [25] [26]

Note
[1] RFC1319 (http:/ / www. faqs. org/ rfcs/ rfc1319. html) - The MD2 Message-Digest Algorithm
[2] RFC1320 (http:/ / www. faqs. org/ rfcs/ rfc1320. html) - The MD4 Message-Digest Algorithm
[3] RFC1321 (http:/ / www. faqs. org/ rfcs/ rfc1321. html) - The MD5 Message-Digest Algorithm
[4] RFC1810 (http:/ / www. faqs. org/ rfcs/ rfc1810. html) - Report on MD5 Performance
[5] RFC1828 (http:/ / www. faqs. org/ rfcs/ rfc1828. html) - IP Authentication using Keyed MD5
[6] en:MDC-2 - Modification Detection Code
[7] FIPS PUB 180-1 - SECURE HASH STANDARD
[8] RFC3174 (http:/ / www. faqs. org/ rfcs/ rfc3174. html) - US Secure Hash Algorithm 1 (SHA1)
[9] RFC1852 (http:/ / www. faqs. org/ rfcs/ rfc1852. html) - IP Authentication using Keyed
[10] DFIPS PUB 180-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips180-2/ fips180-2withchangenotice. pdf) - SECURE HASH STANDARD
[11] The RIPEMD-160 Home Page
[12] Fast Hashing and Stream Encryption with PANAMA, by J.Daemen, C.Clapp (http:/ / standard. pictel. com/ ftp/ research/ security/ panama.
pdf)
[13] Tiger: A Fast New Hash Function The Tiger Home Page (http:/ / www. cs. technion. ac. il/ ~biham/ Reports/ Tiger/ )
[14] (attenzione: non è corretto considerare CRC32 un algoritmo di hash crittografico)
[15] RFC1952 (http:/ / www. faqs. org/ rfcs/ rfc1952. html) - GZIP file format specification version 4.3
[16] RFC1950 (http:/ / www. faqs. org/ rfcs/ rfc1950. html) - ZLIB Compressed Data Format Specification version 3.3
[17] (attenzione: HMAC non è propriamente una funzione di hash, poiché per eseguirlo è necessario non solo il testo in chiaro, ma anche una
chiave. Gli algoritmi di hash richiedono un unico parametro di ingresso)
[18] FIPS PUB 198 (http:/ / csrc. nist. gov/ publications/ fips/ fips198/ fips-198a. pdf) - The Keyed-Hash Message Authentication Code (HMAC)
[19] RFC2104 (http:/ / www. faqs. org/ rfcs/ rfc2104. html) - HMAC: Keyed-Hashing for Message Authentication
[20] RFC2202 (http:/ / www. faqs. org/ rfcs/ rfc2202. html) - Test Cases for HMAC-MD5 and HMAC-SHA-1
[21] RFC2286 (http:/ / www. faqs. org/ rfcs/ rfc2286. html) - Test Cases for HMAC-RIPEMD160 and HMAC-RIPEMD128
[22] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention
[23] RFC2403 (http:/ / www. faqs. org/ rfcs/ rfc2403. html) - The Use of HMAC-MD5-96 within ESP and AH
[24] RFC2404 (http:/ / www. faqs. org/ rfcs/ rfc2404. html) - The Use of HMAC-SHA-1-96 within ESP and AH
[25] RFC2857 (http:/ / www. faqs. org/ rfcs/ rfc2857. html) - The Use of HMAC-RIPEMD-160-96 within ESP and AH
[26] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention

Voci correlate
• Hash table
• Firma digitale
• Crittografia
• Autenticazione

Collegamenti esterni
• (EN) Definizione inglese del termine (http://www.dictionary.cambridge.org/define.asp?key=35933&
dict=CALD)
• (EN) Hash'em all! (http://www.hashemall.com), per calcolare online l'hash di stringhe e file
• Hash Generatore (http://www.sinfocol.org/herramientas/hashes.php) Altro Online Hash Generatore, ha
alcune funzioni di hash come md2,md4,md5,sha1,snefru,tiger,haval, ripemd, whirlpool e tra gli altri. Circa 118
Hash 81

differenti algoritmi
• Funzioni hash con PHP (http://segnalazionit.org/2008/10/funzioni-hash-con-php)
• Programma gratuito per calcolo e verifica hash (http://ocr.altervista.org/wordpress/
impronta-calcolare-lhash-di-un-file/)
• Checksums calculator (http://www.sinf.gr/it/hashcalc.html) Applicazione gratuita per il calcolo e verifica di
funzioni hash per Windows, Linux e Mac OS X.

Hengzhi chip
L'Hengzhi chip è un microcontrollore che può memorizzare informazioni di sicurezza crittografate, progettato dal
governo della Repubblica Popolare Cinese e assemblato in Cina.
Le sue funzionalità dovrebbero essere simili a quelle offerte dal Trusted Platform Module ma, a differenza di questo,
non è costruito seguendo le specifiche date dal Trusted Computing Group. Lenovo attualmente vende PC "sicuri"
equipaggiati col chip di sicurezza Hengzhi[1] .
Il chip potrebbe essere uno sviluppo dell'IBM ESS (Embedded security subsystem ) chip, che era sostanzialmente
una smartcard a chiave pubblica collocata direttamente sul bus di gestione sistema della scheda madre. Ad gennaio
2008, nessuna specifica pubblica del chip è disponibile. Questa mancanza di documentazione ha sollevato perplessità
sulle intenzioni del governo di Pechino e sugli usi che potrebbero essere fatti del Hengzhi chip.

Voci correlate
• Trusted Computing
• Trusted Platform Module

Note
[1] (EN) Lenovo releases China's first security chip (http:/ / english. people. com. cn/ 200504/ 12/ eng20050412_180617. html)

Collegamenti esterni
• China Implements new Encryption Laws (http://www.twobirds.com/english/publications/articles/
china_implements_encryption_law.cfm?RenderForPrint=1)
• Does China Own Your Box (http://www.mutantfrog.com/2006/03/08/does-china-own-your-box)
Honeypot 82

Honeypot
In informatica, un honeypot (letteralmente: "barattolo del miele") è un sistema o componente hardware o software
usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un
computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realtà è ben
isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato.
Il valore primario di un honeypot è l'informazione che esso dà sulla natura e la frequenza di eventuali attacchi subiti
dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna
attività; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevole in corso.
Gli honeypot possono portare dei rischi ad una rete, e devono essere maneggiati con cura. Se non sono ben protetti,
un attacker potrebbe usarli per entrare in altri sistemi.

Etimologia
Il termine "honeypot" (barattolo di miele) è spesso collegato al personaggio per bambini Winnie the Pooh, un orso di
pezza che spesso si trova nei guai a causa della sua golosità nei confronti del miele.
Un'ulteriore spiegazione del termine è un riferimento al nome, inglese, sarcastico per la costruzione circondante un
gabinetto in un appezzamento di terra, o per altri metodi di raccolta letame in luoghi senza impianto idraulico
interno. Honey è quindi un termine ironico per tale rifiuto, contenuto in un honeypot finché non è portato all'area di
smaltimento da un camion addetto. In questo uso, gli attackers sono paragonabili alle mosche, attirate dall'odore
dell'acqua di scolo.

Tipi di honeypot
Gli honeypot a bassa interazione sono solitamente programmi che emulano sistemi operativi e servizi. Questi
honeypot sono più semplici da installare e più sicuri, ma riescono a catturare poche informazioni. Gli honeypot ad
alta interazione invece non emulano nulla: sono veri computer, applicazioni o servizi. Questi honeypot sono molto
più complessi e comportano maggiori rischi, ma riescono a catturare maggiori informazioni.
Un esempio di honeypot a bassa interazione è Honeyd [1]. Uno ad alta interazione è Honeynet [2].
Possono essere honeypot anche altre cose, come veri siti web o chatroom, il cui scopo è di fermare utenti con intenti
criminali.

Spam Honeypot
Gli spammer sono conosciuti per l'abuso di risorse vulnerabili come server di posta e proxy liberi. Alcuni
amministratori di reti hanno creato degli honeypot che si fingono risorse abusabili per scoprire le attività degli
spammer.
Tra gli Open relay honeypot c'è smtpot.py [3], scritto in Python. Bubblegum Proxypot [4] è un honeypot-proxy libero
(o proxypot).
Un indirizzo email che non è usato se non per ricevere spam può essere considerato un honeypot per spam.
Teoricamente, un tale indirizzo potrebbe essere usato per ricevere spam, che potrebbe essere confrontato con lo spam
ricevuto da veri indirizzi email. In questo modo si potrebbe più facilmente rimuovere lo spam dalla casella di posta
degli indirizzi veri.
Honeypot 83

Collegamenti esterni
• Sicurezza delle reti: gli Honeypots [5]
• Honeypots, Intrusion Detection, and Incident Handling Resources [6] in inglese
• "Know Your Enemy: Everything you need to know about honeypots" [7] in inglese

Note
[1] http:/ / www. honeyd. org
[2] http:/ / www. honeynet. org
[3] http:/ / llama. whoi. edu/ smtpot. py
[4] http:/ / www. proxypot. org/
[5] http:/ / bicocca. net/ web/ index. php?name=UpDownload& req=getit& lid=94
[6] http:/ / www. honeypots. net/
[7] http:/ / www. newsforge. com/ article. pl?sid=04/ 09/ 24/ 1734245

Host-based intrusion detection system

Un Host based intrusion detection system (HIDS) è una tipologia di intrusion detection system specializzato
nell'analisi e nel monitoraggio del computer. Una variante del network intrusion detection system, uno strumento
indirizzato verso l'analisi del traffico di rete.

Obiettivo
Un HIDS controlla dinamicamente alcune o tutte le componenti che formano l'host (il computer). Come i NIDS
provvedono ad analizzare il traffico di rete gli HIDS provvedono ad analizzare i programmi in esecuzione e il loro
utilizzo delle risorse. Questi programmi segnalerebbero per esempio se senza nessun motivo apparente il word
processor si dovesse attivare e dovesse modificare il database delle password di sistema.
Gli HIDS sorvegliano lo stato del sistema, la memorizzazione delle informazioni e l'accesso alle risorse condivise e
alle unità di memorizzazione. Un HIDS è un componente che sorveglia il funzionamento del sistema operativo
verificando che le policy di sicurezza non siano aggirate o scavalcate.

Controllo del funzionamento dinamico

La maggior parte delle persone ha familiarità con questo genere di programmi grazie agli antivirus. Gli antivirus
controllano costantemente lo stato del sistema alla ricerca di potenziali infezioni. Lo stesso fanno i programmi HIDS
solo che questi non si limitano a virus, trojan e worm ma controllano il funzionamento anche di programmi comuni.
Comunque le linee di demarcazione tra i vari programmi sono molto sottili e quindi spesso le funzionalità delle due
tipologie di programmi si sovrappongono.

Controllo dello stato

Il principio di funzionamento degli HIDS è basato sulla considerazione che se l'attaccante (cracker) riesce a forzare il
sistema deve lasciare traccia del suo passaggio anche perché probabilmente l'attaccante installerà nel computer uno o
più programmi deputati alla raccolta di informazioni o alla gestione remota della macchina.
L'installazione e l'attivazione di questi programmi modificano lo stato interno della macchina e un buon HIDS
dovrebbe essere in grado di rilevare un'intrusione. Usualmente gli HIDS vengono utilizzati in congiunzione con i
NIDS in modo che i programmi si completino a vicenda per un controllo totale della macchina e delle sue
comunicazioni.
Host-based intrusion detection system 84

Ironicamente la prima cosa che gli attaccanti fanno usualmente è quella di installare un programma di controllo
remoto in modo da impedire a un altro cracker di accedere al sistema.

Tecniche
In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file
system ma non sempre. Non vi è motivo infatti perché un HIDS non debba periodicamente controllare alcune aree di
memoria alla ricerca di violazioni. Anche la tabella delle system-call è un componente che può essere controllato
proficuamente dato che molti virus tendono ad alterarla.
Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica,
ecc) e effettua un calcolo del checksum con algoritmi tipo hash MD5 o simili. Questi dati vengono memorizzati nel
database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che è possibile
modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilità che ciò avvenga non
è così ridotta come si pensava all'inizio.

Funzionamento
Durante l'installazione e ad ogni modifica autorizzata degli elementi questi vengono analizzati e il loro checksum
viene calcolato e memorizzato nel database. Questa è una fase che va controllata con attenzione per impedire che
degli elementi corrotti possano essere marcati come validi.
Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che
sono elementi che anche un aggressore avrebbe interesse a modificare. Un controllo approfondito di troppi elementi
però rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli
basati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di grosse dimensioni può
rendere l'analisi molto lenta. Un'analisi di un numero eccessivo di elementi può generare un elevato numero di falsi
positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere le sue usuali operazioni.
Una volta che il sistema è installato, i checksum sono stati calcolati e è stato impostato un intervallo ragionevole tra
le varie analisi dell'HIDS, il sistema è pronto. Le segnalazioni possono essere inviate all'utente tramite file di log,
email, finestre a video o altro.

Protezione dell'HIDS
Un HIDS utilizzerà normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli
oggetti e per rendere queste violazioni difficili. Infatti se un attaccante è stato in grado di introdursi nel sistema nulla
gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano
di disabilitare i programmi antivirus.
Oltre ad adottare protezioni crittografiche un amministratore può utilizzare protezioni aggiuntive come memorizzare
il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada
aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare.
Si potrebbe anche affermare che i Trusted Platform Module siano un tipo di HIDS. Sebbene gli scopi siano diversi
entrambi i moduli provvedono ad identificare eventuali modifiche a componenti del computer. Dal punto di vista
progettuale questi moduli sono l'ultima difesa contro le modifiche non autorizzate ed essendo integrati nell'hardware
del computer se non nella CPU stessa sono estremamente difficili da aggirare.
Host-based intrusion detection system 85

Voci correlate
• Intrusion detection system
• Network Intrusion Detection System
• Trusted Computing Group
• Trusted Platform Module

Collegamenti esterni
• (EN) md5deep, un HIDS Open Source [1]
• (EN) Aide, un HIDS Open Source [2]
• (EN) Samhain, un HIDS Open Source [3]
• (EN) Snort è il NIDS Open Source [4]
• (EN) OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003 [5]

Note
[1] http:/ / md5deep. sourceforge. net/
[2] http:/ / sourceforge. net/ projects/ aide
[3] http:/ / la-samhna. de/ samhain/
[4] http:/ / www. snort. org
[5] http:/ / www. openhids. com

Identity management
Con Identity Management (IM) si intendono i sistemi integrati di tecnologie, criteri e procedure in grado di
consentire alle organizzazioni di facilitare - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e
dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.

Voci correlate
• Autenticazione
Identità digitale 86

Identità digitale
L'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare
utilizzatore del suddetto. È l'identità che un utente della rete determina attraverso website e social network.

Caratteristiche dell'identità digitale

La rappresentazione dell’identità digitale deve essere tanto più completa quanto è complessa la transazione in cui è
coinvolta. Infatti il grado di affidabilità e le quantità di informazioni richiesti possono variare in modo molto
significativo a seconda del tipo di transazione.
Un’identità digitale è articolata in due parti:
• Chi uno è (identità)
• Le credenziali che ognuno possiede (gli attributi di tale identità)
Le credenziali possono essere numericamente e qualitativamente molto variegate e hanno differenti utilizzi.
L’identità digitale completa è abbastanza complessa e ha implicazioni sia legali che tecniche. Comunque, l’identità
digitale più semplice consiste in un ID (o username) e una parola di identificazione segreta (o password). In questo
caso lo username è l’identità, mentre la password è chiamata credenziale di autenticazione. Ma l’identità digitale può
essere complessa come una vera e propria identità umana.

Autenticazione
Nelle transazioni quando viene provato che l’identità digitale presentata sia effettivamente quella di chi o di cosa dice
di essere, si parla di processo di autenticazione.
L’autenticazione ad un solo fattore (quella con username e password vista prima) non è molto sicura perché la
password potrebbe essere indovinata da qualcuno che non è il vero utente. Quella multi-fattore può essere più sicura,
ad esempio quella con una chiave fisica di sicurezza, o tessera magnetica, smart card ("qualcosa che possiedi") e una
password, ("qualcosa che sai"). Se si aggiungono informazioni biometriche (iride, impronta digitale, impronta
vocale, riconoscimento del volto, ecc.) abbiamo anche fattori di autenticazione che rispondono a "qualcosa che sei".
Queste informazioni sono di norma protette da un sistema di autenticazione.
La Carta d'identità elettronica italiana e la Carta nazionale dei servizi sono l'unico strumento di autenticazione
previsto dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche
Amministrazioni. In via transitoria, fino al 31/12/2007, sono ammesse anche altre modalità, meno sicure, come
quelle basate sulla coppia nome utente e password.

Autorizzazione/controllo di accesso
È il livello successivo dopo che le identità digitali sono state autenticate. Spesso la concessione dell’autorizzazione
coinvolge l’utilizzo dell’intera identità digitale in una transazione, come ad esempio il logon di un utente ad un sito.
In altri casi il controllo di accesso può abilitare o restringere l’accesso ad informazioni private o consentire l’accesso
a servizi o prodotti a pagamento.

Riservatezza (o "confidenzialità")
È la capacità del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o
trasmettendo (n° carta di credito, conto corrente, ecc). Questo livello di sicurezza è raggiungibile con la crittografia,
ma è l’identità digitale che ha in sé le credenziali necessarie per fare ciò.
Identità digitale 87

Integrità dei dati

Per essere sicuri che nessuno intercetti i dati che si stanno scambiando, può essere importante sapere che nessuno li
ha alterati durante la trasmissione. Cioè essere sicuri che il documento che si riceve è lo stesso del documento
inoltrato dall'altra identità digitale e non è stato alterato o danneggiato. Questo è realizzato con la firma digitale e
speciali tecniche di crittografia a chiave pubblica e privata. La tecnologia che permette l’utilizzo di tale crittografia e
del certificato digitale, emessi da una autorità di certificazione riconosciuta secondo standard internazionali, è
conosciuta come public key infrastructure (PKI).

Prova della fonte

Se le identità digitali possiedono le credenziali della firma digitale, è possibile effettuare specifiche transazioni in cui
i dati inviati con la firma digitale sono codificati in un modo che dimostra che i dati sono effettivamente stati inviati.
La prova della fonte è strettamente correlata all’integrità dei dati sopra illustrata e anch’essa utilizza le tecniche di
crittografia di PKI, ma per uno scopo differente. Dimostra che una specifica identità digitale ha firmato e trasmesso
specifici dati.

Non-ripudio
Sempre grazie alla PKI è possibile fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta
ricezione di dati in rete. Assume due modalità:
• non ripudio della sorgente: prova chi è il mittente dei dati in una transazione
• non ripudio della destinazione: prova che i dati sono arrivati ad uno specifico destinatario
Generalmente il servizio di non ripudio è richiesto in quelle transazioni in cui bisogna avere garanzie di avvenuta
spedizione/ricezione di flussi telematici.

Reputazione
La reputazone digitale è l’insieme delle valutazioni (negative o positive) che si reperiscono dall’analisi sistematica,
grazie all’utilizzo di strumenti informatici delle opinioni che gli utenti della rete si scambiano attraverso i canali di
comunicazione messi a disposizione del web 2.0. Poiché le tecniche della firma digitale permettono che identità
digitali effettuino transazioni in cui entrambe le identità sono attendibilmente conosciute e possono trasportare dati
che non possono essere alterati, senza che ciò sia palesato, diventa possibile per un'identità digitale costruirsi
progressivamente una reputazione dalle relative interazioni con altre identità digitali. Ciò permette che interazioni
molto complesse fra le identità digitali possano diventare l’imitazione di ogni transazione che, come esseri umani,
abbiamo individualmente o in gruppo.

Il futuro
Il concetto dell'identità digitale si evolverà per includere la possibilità di esprimere tutte le varie interazioni umane in
cui venga coinvolta l’identità personale. Tale evoluzione sarà guidata da fattori economici, politici e sociali.
L'identità digitale fornirà nuovi strumenti, ma non cambierà gli aspetti fondamentali di ciò che è l'identità. Piuttosto
l'identità digitale restituirà la facilità di uso e l’attendibilità delle transazioni basate sull’identità che esistevano
quando le interazioni erano faccia a faccia con persone che già si conoscevano (o entrambi erano conosciute da terzi)
e nel contempo tutelerà la sicurezza e la responsabilità nelle transazioni.
Identità digitale 88

Collegamenti esterni
• [1] Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA)
• [2] Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it

Voci correlate
• Biometria
• Carta d'identità elettronica
• Social Network Poisoning

Note
[1] http:/ / www. cnipa. gov. it/
[2] http:/ / www. interlex. it/ Testi/ dlg05_82. htm

Integrità dei dati

Con il termine integrità dei dati si intende, nell'ambito della sicurezza informatica e delle telecomunicazioni, la
protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali oppure effettuate da
una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed
informazioni.
I dati e le informazioni possono essere sia scambiati tra un mittente ed uno o più destinatari, sia memorizzati e/o
archiviati su un generico supporto. L'integrità dei dati garantisce la qualità del supporto che li contiene (ad es. CD,
DVD...) o di un software, ad esempio un database.
Insito nel concetto di integrità vi è la possibilità di verificare con assoluta certezza se un dato o una informazione
siano rimasti integri, ossia inalterati nel loro contenuto, durante la loro trasmissione e/o la loro memorizzazione. In
un sistema che garantisce l'integrità, l'azione di una terza parte di modifica del contenuto delle informazioni
scambiate tra mittente e destinatario, viene quindi rilevata.
Maggiore sarà l'integrità dei dati e consequenzialmente maggiore sarà la possibilità di esatta lettura/scrittura degli
stessi e quindi di prevenzione degli errori.
Internet Security Policy 89

Internet Security Policy

Internet Security Policy è l'acronimo usato per descrivere le attuali politiche atte a favorire la sicurezza del sistema
internet. Con politiche si intende l'insieme di accorgimenti procedurali, siano essi inseriti in un quadro legislativo o
consuetudinale, che hanno lo scopo di permettere il sicuro utilizzo, in questo caso, della rete. Tra le politiche
intraprese dalla comunità cybernetica, grande importanza rivestono i cosiddetti Standard di sicurezza informatica,
che sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la
quantità e la pericolosità delle minacce alla sicurezza informatica. L'obbiettivo principale della sicurezza è quello di
garantire, riducendo i rischi, un adeguato grado di protezione dei beni o dati, che possono essere password, database
o altro, mediante l'attuazione di un progetto di sicurezza globale che tenga conto di tutti gli aspetti del problema fino
a giungere ad un livello di protezione sia organizzativo sia informatico che possa essere monitorato nel tempo.

Accesso a Internet
La prima cosa che bisogna in qualche modo proteggere è l'accesso ad internet. Gli strumenti che sarebbe obbligo
possedere sono un Firewall e un Antivirus. Se per antivirus s'intende un programma che monitorizzi l'attacco di
possibili, appunto, virus, con Firewall intendiamo una specie di filtro che non permette a dati non riconosciuti come
"genuini" (quindi che non abbiano una sorta di certificazione o garanzia del loro contenuto) di entrare nel nostro
sistema. A tal proposito ogni volta che accediamo ad un sito, che contenga magari dei controlli dinamici (come
possono essere degli script in JavaScript, PHP,...) o vogliamo scaricare un determinato tipo di file, è opportuno che
facciamo attenzione noi stessi sull'attendibilità del sito o file che vogliamo visualizzare. Di regola un buon sito
dovrebbe esporre i propri certificati di sicurezza (pensare ai loghini che certificano il "pagamento sicuro" nei siti
dove è possibile acquistare on-line), mentre i file o script dovrebbero essere anche loro certificati. Se, per esempio,
uno script non certificato cerca di interagire col nostro sistema, solitamente il firewall ci avvisa del suo possibile
scopo maligno: sta naturalmente a noi assumere il rischio di continuare ad utilizzare tale script.

E-mail
Anche nell'uso dell'e-mail bisogna prestare attenzione. La nostra posta potrebbe infatti essere osservata da terze parti,
o ancora potremmo ricevere il cosiddetto spam, o virus. Anche in questo caso esistono modi di proteggere, o almeno
certificare, la nostra posta. La crittografia è stato il primo passo atto a tale scopo, un altro passo è invece la firma
digitale, che garantisce al destinatario che il mittente del messaggio sia autentico. Anche qui esistono poi programmi
o funzioni, spesso incluse nei client di posta più usati, che monitorano l'invio di spam, riconoscendolo attraverso
speciali algoritmi. Ancora un buon antivirus può riconoscere il tentativo di un virus di nascondersi dietro una e-mail.
Una buona politica, o meglio dire consuetudine, sarebbe quella di non inviare (e non aprire se non si è certi della
provenienza del messaggio) e-mail in formato HTML, e di esplicitare se la missiva contiene un allegato. Ci sono poi
altre accortezze, come non utilizzare lo stesso nome dell'e-mail uguale a quello usato per il login, riguarda ogni tanto
le vecchie mail ricevute ed inviate e cancellare le superflue, eccetera.

Incident Report
Ogni volta che il nostro computer o la nostra connessione va in crash durante una sessione in internet sarebbe
opportuno denunciare il fatto attraverso dei report, spesso automatici e inclusi nei principali browser ma anche nei
client di posta, in modo che il produttore del programma possa osservare e cercare di correggere il problema che
potrebbe riguardare non solo un bug interno del programma ma anche una mancata difesa nei confronti di un attacco
informatico o di uno script maligno.
Internet Security Policy 90

Software Copyright
Un altro buon utilizzo di internet è quello di utilizzare solo software per il quale si ha la licenza. Spesso infatti, nei
software pirata, che si possono liberamente scaricare da internet, possono nascondersi minacce informatiche, o
ancora, nel tentativo di "crackare" il programma, possono essere state disabilitate delle funzioni di sicurezza del
programma.

Dati personali
Sempre più spesso, quando accediamo ad un sito, o ad un forum o altro, ci viene richiesta una registrazione. Questo è
senza dubbio positivo, ma bisogna fare attenzione ad alcuni aspetti: prima cosa non divulgare (ovviamente) i nostri
dati di accesso per la rete, quindi di non salvare nei moduli del browser i nostri parametri, accertandoci di cancellare
i cookie, le password salvate e i moduli di ricerca una volta che chiudiamo la nostra sessione; quest ultimo dovrebbe
essere fatto sempre con molto riguardo ogni qualvolta che utilizziamo un computer che non sia il nostro personale.
Altro aspetto in cui fare attenzione e poi la registrazione vera e propria, nella maggior parte dei siti non serve
praticamente mai dare altri dati che non siano il nostro username e la password per accedervi. Diffidate quindi di
dare ulteriori informazioni come indirizzo, recapito telefonico, eccetera, a meno che non si è sicuri dello scopo del
sito in questione. Anche l'e-mail non sarebbe obbligatorio chiederla, richiesta nella maggior parte dei siti; infatti ogni
volta che lasciamo la nostra mail per la registrazione essa viene spesso usata per essere inserita in archivi di altre
aziende con lo scopo di inviarci materiale pubblicitario e altro, contribuendo così al fenomeno dello spam.

Voci correlate
• Standard di sicurezza informatica
• Metodologia Octave
Intrusion Countermeasures Electronics 91

Intrusion Countermeasures Electronics

Intrusion Countermeasures Electronics (Contromisure elettroniche anti-intrusione) o semplicemente ICE è un
termine usato nella letteratura cyberpunk per indicare un programma di sicurezza che protegge dati digitali da
violazioni da parte di hacker. Il termine è stato reso popolare da William Gibson nel suo romanzo Neuromante, e
secondo il New Hacker's Dictionary, coniato originariamente da Tom Maddox. Nello cyberspazio virtuale questi
costrutti sono spesso rappresentati come muri di ghiaccio, pietra o metallo. Quelli chiamati "black ICE" sono in
grado di uccidere l'intruso e sono rappresentati come killer.
Gli hackers tendono ad usare gli ICE come acronimo inverso per "Insidious Cortical Electrocution".
I firewall e programmi simili cadono in questa classificazione, anche se il concetto di ICE non trova rappresentazioni
nel mondo reale. Questo è dovuto al fatto che usare il termine "elettroniche" per descrivere un prodotto software è un
termine improprio. Tuttavia è ancora utilizzato nella fantascienza, come nel videogioco Deus Ex.
Il termine ICE è stato inoltre utilizzato da sviluppatori software per prodotti come Black Ice.

Voci correlate
• Cyberpunk 2020
• Neuromante di William Gibson
• Firewall

Intrusion detection system

Nella sicurezza informatica l'Intrusion Detection System o IDS è un dispositivo software o hardware (o a volte la
combinazione di entrambi, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per
identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte
da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici.

Generalità
Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi
includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso
l'invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei
privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e
worm.
Un IDS è composto da quattro componenti. Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai
computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati
prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si
appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della
sicurezza. Esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle
metodologie utilizzate per individuare violazioni della sicurezza. Il più semplice IDS è un dispositivo che integra
tutte le componenti in un solo apparato.
Un IDS consiste quindi in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a
livello di rete, di trasporto o di applicazione.
Due sono le categorie base: sistemi basati sulle firme (signature) e sistemi basati sulle anomalie (anomaly). La
tecnica basata sulle firme è in qualche modo analoga a quella per il rilevamento dei virus, che permette di bloccare
Intrusion detection system 92

file infetti e si tratta della tecnica più utilizzata. I sistemi basati sul rilevamento delle anomalie utilizzano un insieme
di regole che permettono di distinguere ciò che è "normale" da ciò che è "anormale".
È importante sapere che un IDS non può bloccare o filtrare i pacchetti in ingresso ed in uscita, né tanto meno può
modificarli. Un IDS può essere paragonato ad un antifurto ed un firewall ad una porta blindata. L'IDS non cerca di
bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino.
Le attività e i campi di applicazione di un Intrusion Detection System sono vari, al punto che spesso vengono gestiti
da diversi software, che nel loro insieme provvedono ad accorgersi dei tentativi di attacco o scansione di un sistema,
prevedere meccanismi di notifica e reazione secondo eventi anche proattivi in grado di bloccare sul nascere le
comunicazioni con IP da cui arrivano pacchetti ostili.
I meccanismi di individuazione di attività sospette sono diversi, ma generalmente si concentrano su:
• verifica dei log di sistema o di specifici programmi per individuare attività anomale;
• controllo dell'integrità dei file locali (modifiche sospette possono essere sintomo di una avvenuta irruzione);
• monitoring dei pacchetti destinati all'host, sia per reagire a pattern di attacco noti che per accorgersi di un port
scan remoto, generalmente prologo di un tentativo di intrusione.

Individuazioni delle violazioni e individuazioni delle anomalie

Le tecniche di rilevamento intrusione possono essere divise in misuse detection, che usano pattern di attacchi ben
conosciuti o di punti deboli del sistema per identificare le intrusioni, ed in anomaly detection, che cercano di
determinare una possibile deviazione dai pattern stabiliti di utilizzazione normale del sistema. Un misuse detection
system, conosciuto anche come signature based intrusion detection system, identifica le intrusioni ricercando pattern
nel traffico di rete o nei dati generati dalle applicazioni.
Questi sistemi codificano e confrontano una serie di segni caratteristici (signature action) delle varie tipologie di
scenari di intrusione conosciute. Queste caratteristiche possono essere, ad esempio, i cambi di proprietà di un file,
determinate stringhe di caratteri inviate ad un server e così via. I principali svantaggi di tali sistemi sono che i pattern
di intrusione conosciuti richiedono normalmente di essere inseriti manualmente nel sistema, ma il loro svantaggio è
soprattutto di non essere in grado di rilevare qualsiasi futura (quindi sconosciuta) tipologia di intrusione se essa non è
presente nel sistema. Il grande beneficio che invece hanno è quello di generare un numero relativamente basso di
falsi positivi e di essere adeguatamente affidabili e veloci.
Per ovviare al problema delle mutazioni sono nati gli anomaly based intrusion detection system, che analizzano il
funzionamento del sistema alla ricerca di anomalie. Questi sistemi fanno uso di profili (pattern) dell'utilizzo normale
del sistema ricavati da misure statistiche ed euristiche sulle caratteristiche dello stesso, per esempio, la cpu utilizzata
e le attività di i/o di un particolare utente o programma. Le anomalie vengono analizzate e il sistema cerca di definire
se sono pericolose per l'integrità del sistema. Spesso questi sistemi sono basati su tecnologie derivate dall'intelligenza
artificiale in modo da poter imparare dai propri errori a da non risegnalare anomalie già identificate come non
maligne.
Questi sistemi hanno una serie di regole che definiscono lo stato normale del sistema. Queste regole definiscono
caratteristiche come il carico di rete, il tipo di protocolli di rete utilizzati, i servizi attivi, il tipo di pacchetti e altro.
Tali regole vengono utilizzate per identificare le anomalie che vengono passate all'analizzatore che ne stabilisce la
pericolosità. Le maggiori problematiche legate a tali sistemi sono principalmente legate alla selezione delle
caratteristiche del sistema da adottare, queste possono variare enormemente a seconda dei vari ambienti di calcolo;
inoltre alcune intrusioni possono essere soltanto rilevate studiando le relazioni che intercorrono tra gli eventi perché
l'evento singolo potrebbe rientrare correttamente nei profili.
Intrusion detection system 93

Analisi della rete o degli Host

Gli IDS si possono suddividere anche a seconda di cosa analizzano: esistono gli IDS che analizzano le reti locali,
quelli che analizzano gli Host e gli IDS ibridi che analizzano la rete e gli Host.
• Un Network Intrusion Detection System (o Nids) analizza il traffico di rete per identificare intrusioni,
permettendo quindi di monitorare non solo un singolo host ma una rete completa. Si tratta di un sistema che legge
(in gergo 'sniffa') il traffico che passa su un segmento di rete dov'è attestato, cercando tracce di attacchi. Il suo
funzionamento è regolato in base a due principi: il signature matching con cui l'ids cattura il traffico e lo
confronta con un database di firme di attacchi (database costantemente aggiornato dal produttore dell'ids) e il
network analysis che entra in funzione quando il signature matching fallisce e che è in grado di rilevare anomalie
nei flussi di traffico e quindi di rilevare anche quegli attacchi che non sono ancora stati scoperti come tali. Un
esempio di Network Intrusion Detection System è Snort, uno degli IDS più conosciuti.
• Un Host based intrusion detection system consiste in un agente che analizza l'Host alla ricerca di intrusioni. Le
intrusioni vengono rilevate analizzando i file di log del sistema, le system call, le modifiche al file system del
computer (modifiche nel file delle password, nel database degli utenti e della gestione dei privilegi, ecc ), e altre
componenti del computer. Un esempio di questa tipologia è Aide.
• Un Hybrid Intrusion Detection System combina i due approcci. Le informazioni recuperate dagli agenti in
esecuzioni negli Host vengono integrate con le informazioni prelevate dalla rete locale. Un esempio di IDS ibrido
è Prelude.

Sistemi passivi e sistemi attivi

Gli IDS si suddividono in due ulteriori categorie, gli IDS passivi e degli IDS attivi. I primi IDS quando rilevano una
violazione della sicurezza informatica provvedono a notificarla all'operatore tramite la console ed eventualmente gli
inviano una email. Gli IDS attivi oltre a notificare all'operatore una violazione della sicurezza provvedono a prendere
delle opportune contromisure per eliminare o comunque isolare la violazione informatica.
Nei sistemi attivi l'eliminazione della violazione si ottiene usualmente riprogrammando la lista di controllo degli
accessi del firewall in modo da impedire l'accesso agli indirizzi responsabili dell'attacco. Questa tipologia di IDS va
accuratamente programmata dato che una falsa identificazione potrebbe bloccare un utente autorizzato.
Il firewall non è in grado di bloccare violazioni della sicurezza che avvengono dall'interno della rete locale. A questo
scopo sono stati sviluppati gli Intrusion prevention system. Questi componenti contengono delle liste programmate
dall'IDS che vengono utilizzate per decidere se un programma deve essere mandato in esecuzione o no. Questi
componenti impediscono a worms o virus di diffondersi nei vari computer dato che il componente ne impedisce
l'attivazione.

IDS basati su regole

Sono sistemi che sfruttano database, librerie e firme di attacco (o signature) per rilevare le intrusioni. Quando il
traffico di rete oppure un'attività di rete corrisponde a una regola ben nota all'ids, questi segnala il tentativo di
intrusione. Il limite principale è che l'affidabilità di tale strumento dipende interamente dalla tempestività con cui il
database degli attacchi viene aggiornato.
Gli IDS basati sulle regole funzionano in due modalità: una preventiva e una reattiva e sono due modalità che
cambiano la tempistica di azione e la possibilità di interazione.
Il primo approccio, di tipo reattivo, permette di completare alla perfezione la procedura di logging: il sistema avverte
che si è verificato un attacco, anche se è trascorso qualche minuto dall'evento, provvedendo a notificarlo all'operatore
tramite la console o inviando una e-mail. Diversamente l'approccio preventivo risponde in tempo reale all'attacco in
corso consentendo di rintracciare la sua origine. Oltre ad avvisare all'amministratore la violazione, è in grado di
Intrusion detection system 94

prendere delle contromisure per eliminare, o comunque isolare, la violazione.

Questi due metodi hanno il grande problema di generare falsi positivi (attività anomale che non sono intrusive, ma
che vengono segnalate come tali) e falsi negativi (tutte le attività che sono anomale e che non vengono rilevate e
segnalate). L'uso di un solo metodo non può offrire una totale sicurezza; la situazione più grave si presenta nel caso
dei falsi negativi, poiché può compromettere gravemente la sicurezza del sistema, ma anche un'eccessiva presenza di
falsi positivi può portare a un'impossibilità di utilizzo del computer per un eccesso di avvisi di intrusione infondati.

IDS applicativi
L'application security è diversa dalla sicurezza di rete e degli host. Le applicazioni possono cambiare, ma
l'obbiettivo di chi attacca è sempre lo stesso: accedere a un database. La maggior parte degli IDS applicativi hanno
tre componenti: il primo è un sensore network-based o basato su host: un sensore di rete è collegato alla porta di
analisi di uno switch, configurata per analizzare tutto il traffico di un database. Un sensore host è invece installato
direttamente sul server applicativo. I sensori raccolgono le transazioni in SQL, le interpretano e determinano se il
traffico esaminato deve generare un allarme. Se è così l'allarme viene passato al secondo componente strutturale: il
console server. Questo server memorizza gli eventi registrati dai sensori ed è il nodo centrale per le operazioni legate
alla loro gestione, come la definizione della policy e gli aggiornamenti. Il terzo ed ultimo componente è un semplice
web server dal quale gli amministratori possono modificare le configurazioni dell'IDS, monitorare gli eventi in
tempo reale e produrre report.

Elenco di alcuni dei programmi più noti per le attività di Intrusion Detection
• Log Analyzers: sono programmi che monitorano le entry nei file di log di sistema e possono essere configurati per
eseguire date operazioni in presenza di determinate righe di log. È importante che agiscano in tempo reale, dal
momento che dopo una intrusione una delle prime occupazioni di un cracker è quella di cancellare le tracce
eventualmente lasciate sui vari log.
• File Integrity Checkers: aiutano ad individuare manipolazioni e generalmente registrano cambiamenti nella data
di creazione o modifica di un file, alterazioni dei permessi, degli attributi o del contenuto di file di configurazione,
binari di comandi più o meno comuni, testi di log ecc.
• Port Scans Detectors: sono sistemi per individuare e, quindi, sapere prima ancora di subire l'attacco quali IP
remoti stanno raccogliendo informazioni sui propri sistemi.
• Nids: un buon Nids è un ottimo strumento per avere un'idea dei vari pacchetti che arrivano ad una rete pubblica e,
se ben configurato, può indubbiamente troncare sul nascere molti tentativi di intrusione.

Voci correlate
• Firewall

Collegamenti esterni
• (EN) Prelude Hybrid IDS [1]
• (EN) Snort Network IDS [4]
• (EN) Aide Advanced Intrusion Detection Environment IDS [2]
• (EN) ISS RealSecure Network IDS [2]
• (EN) ISS Proventia Intrusion Prevention [3]
• (EN) Cisco Intrusion detection [4]
• (EN) Demarc Sentarus Multilayered IDS/IPS [5]
• (EN) Enterasys Dragon Intrusion Defense [6]
Intrusion detection system 95

Note
[1] http:/ / www. prelude-ids. org
[2] http:/ / www. iss. net/ products_services/ enterprise_protection/ rsnetwork/ sensor. php
[3] http:/ / www. iss. net/ products_services/ enterprise_protection/ proventia/ g_series. php
[4] http:/ / www. cisco. com/ warp/ public/ cc/ pd/ sqsw/ sqidsz/ index. shtml
[5] http:/ / www. demarc. com/ products/ sentarus/
[6] http:/ / www. enterasys. com/ products/ ids/

Intrusion prevention system

Gli Intrusion prevention system sono dei componenti sviluppati per incrementare la sicurezza informatica. Sono
stati sviluppati per impedire ad un programma non autorizzato di entrare in esecuzione. La tecnologia "Intrusion
prevention" spesso viene considerata come un'estensione della tecnologia intrusion detection (IDS) sebbene sia più
simile ad una lista di controllo degli accessi di un firewall.
Intrusion prevention system venne inventato da One Secure. Venne in seguito acquistato da NetScreen Technologies
che venne a sua volta acquisita da Juniper Networks nel 2004. Gli Intrusion prevention system come già detto sono
basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che un firewall
lavora su porte e indirizzi IP mentre questa tecnologia lavora su programmi e utenti.
Intrusion prevention system evita l'attivazione di programmi potenzialmente malevoli. Questi sistemi hanno un
numero molto basso di falsi positivi e possono essere utilizzati in congiunzione con gli IDS per evitare la
propagazione di virus o worm.

Voci correlate
• Firewall
IS auditing 96

IS auditing
L’IS Auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e
documentato, condotto da personale esperto, che i sistemi informativi di un’azienda o organizzazione siano conformi
a quanto previsto da norme, regolamenti o politiche interne.

Storia
In inglese con audit si intende "un esame, formale e ufficiale, e una verifica di libri contabili da parte di un
qualificato verificatore"; il termine deriva dal latino "auditus" in quanto originariamente i dati contabili venivano letti
ad alta voce”. L’auditing o Revisione contabile consiste nella attestazione da parte di una terza parte indipendente
della correttezza delle registrazioni contabili (la cosiddetta "certificazione" del bilancio); l’ IS auditing (o EDP
auditing) è la parte dell’auditing che si rivolge ai sistemi informativi con uno duplice scopo:
• verificare che i dati elaborati dai sistemi informativi siano corretti e completi;
• assicurare che i sistemi stessi siano affidabili e sicuri..

ISACA
ISACA è l’associazione internazionale degli IS Auditor. La definizione ufficiale di ISACA di IS auditing è: "l'audit
dei sistemi informatici consiste nella revisione e la valutazione di tutti gli aspetti (o di uno degli aspetti) dei sistemi
di elaborazione automatica delle informazioni".

Processo di Audit
Il processo di IS auditing deve essere sistematico e documentato; generalmente si compone dei seguenti passi:
• Analisi dei rischi
• Definizione degli obiettivi
• Pianificazione
• Raccolta evidenze
• Conclusioni e raccomandazioni
• Rapporto di Audit

Standard, direttive, procedure

Uno degli obiettivi di ISACA consiste nel promuovere standard di audit SI. Alla data (ottobre 2006) il corpus delle
linee guide è articolato in: Standard Direttive (guideline) Procedure

Standard
Gli Standard definiscono i requisiti obbligatori di audit e di reporting.

Direttive
Le Direttive regolano l'applicazione degli standard di audit.

Procedure
Le Procedure presentano esempi delle strategie applicabili dal revisore SI nel corso dell'audit.
IS auditing 97

Voci correlate
• Architettura telematica

Collegamenti esterni
• (EN) Informations Systems Audit and Control Association [1]
• (EN) le pagine dell'esame CISA sul sito di ISACA [2]

Note
[1] http:/ / www. isaca. org
[2] http:/ / www. isaca. org/ cisaexam

ISO/IEC 27001
Lo Standard ISO/IEC 27001:2005 è una norma internazionale che definisce i requisiti per impostare e gestire un
Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security
Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Caratteristiche
La Norma è stata creata e pubblicata nell'ottobre 2005 a fini certificativi, in modo da costituire un sistema completo
per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la
norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava
la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il
nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall'ISO come ISO 17799 (Information
Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte,
lo standard vero e proprio, è stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO
17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie
27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni.
La norma ISO 27002:2007 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti
della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo
di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza
delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è
certificabile in quanto è una semplice raccolta di raccomandazioni.
Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle
informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la
sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono
in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le
informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i
requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una
corretta gestione dei dati sensibili dell'azienda.
La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e
assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.
L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO
9001:2000 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza,
identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello
ISO/IEC 27001 98

PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive,
sorveglianza, nell'ottica del miglioramento continuo.
La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle
Informazioni (ISMS). L’ obiettivo principale e quello di stabilire un sistema per la gestione del rischio e la
protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche in
quanto prescinde da uno specifico settore di business o dall'organizzazione dell'azienda. Però bisogna tener presente
che l'adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un
ufficio specifico che in genere coincide con l’ufficio Organizzazione e Qualità. “Essa specifica i requisiti per
impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato
all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione. Dettaglia inoltre i requisiti per i
controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema
è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”
Lo standard ISO 27001:2005 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i
requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo
ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede: 
Pianificazione e Progettazione;  Implementazione;  Monitoraggio;  Mantenimento e il miglioramento. similmente
a quanto previsto dai sistemi per la gestione della qualità, però nella fase di progettazione richiede lo svolgimento di
un risk assessment schematizzabile in: • Identificazione dei rischi • Analisi e valutazione • Selezione degli obiettivi
di controllo e attività di controllo per la gestione dei rischi • Assunzione del rischio residuo da parte del management
• Definizione dello Statement of Applicability L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli
implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente
alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia
documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto dell’ISMS. Come per il
sistema qualità l’organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori
qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la
norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall'impresa, con personale proprio
o esterno, purché in entrambi i casi dotato delle necessarie competenze.

Controlli
Di fondamentale importanza è l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui,
l'organizzazione che intende applicare la norma, deve attenersi.
Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse
umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli
accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle
informazioni).
La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo.
L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio
un'organizzazione che non attua al suo interno 'commercio elettronico' può dichiarare non applicabili i controlli 1-2-3
del A.10.9 che si riferiscono appunto all'e-commerce.
ISO/IEC 27001 99

Privacy-Safety
La conformità alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva
l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta
dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere
garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".
La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati
personali, sensibili, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s'interessa anche dei dati di business
dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.
Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle
normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1
che parla appunto della legislazione applicabile.
Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio un
impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che
contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non è
conseguentemente corretto per le esigenze che esprime la norma ISO 27001, che si preoccupa anche della
'correttezza' dei 'dati' contenuti nei server e nei client.

Voci correlate
• Sicurezza informatica
• Standard di sicurezza informatica
• ISO
• Lista di standard ISO
• Standardizzazione
• Ente Nazionale Italiano di Unificazione
• Comitato Europeo di Normazione (CEN)

Collegamenti esterni
• Sito istituzionale dell'ISO [1]
• (EN) ISO 27001 Indice [2]
• Database aziende certificate in Italia [3]

Note
[1] http:/ / www. iso. org/
[2] http:/ / www. 27000. org
[3] http:/ / www. accredia. it/ accredia_companymask. jsp?ID_LINK=266& area=7& ORG_SEARCH_MASK_SETTORE_ACCR=&
ORG_SEARCH_MASK_ORG=& COMPANY_SEARCH_MASK_NORMA=ISO+ 27001%3A2005&
COMPANY_CERTIFICATE_NAME=& COMPANY_CERTIFICATE_DATE_FROM=& COMPANY_CERTIFICATE_DATE_TO=&
COMPANY_COMPANY_NAME=& COMPANY_APPL_CERT=& ORG_SEARCH_MASK_STATO=&
COMPANY_SEARCH_MASK_REGIONE=& COMPANY_SEARCH_MASK_PROVINCIA=&
COMPANY_SEARCH_MASK_CITTA=& submit=cerca
IT Baseline Protection Manual 100

IT Baseline Protection Manual

Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco
IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica
tedesca permette di dare attuazione ad una pianificazione della sicurezza IT in modo semplice ed economico.

Approccio
Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare
loro una probabilità di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene
assegnato un valore che tiene conto della probabilità della realizzazione di determinate minacce e del valore del bene
minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale.
L'approccio adottatto nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure
raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del
rischio. Le debolezze/criticità nella sicurezza che devono essere eliminate attraverso l'adozione delle misure
raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i
requisiti di sicurezza sono significativamente più alti può essere necessario effettuare una analisi ulteriore, pesando il
costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI.
Tuttavia è generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure
appropriate ritagliate sul caso specifico e più stringenti. Le misure di sicurezza elencate nel manuale sono misure
standard, cioè misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie
per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di
protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che è ragionevole adottare
nelle aree di competenza.

Procedimento
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio
residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il
sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei
dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli
contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme
di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad
esempio: server, sistemi operativi, stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio
rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del
manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo
di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e
beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
IT Baseline Protection Manual 101

Certificazione
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato
BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza
informatica e le misure suggerite sono compatibili con lo standard ISO 27001:2005 per cui è ottenibile la
certificazione ISO.

Voci correlate
• Valutazione del rischio
• Gestione del rischio
• Valutazione dell'esposizione
• Standard di sicurezza informatica

Jingjing e Chacha
Jingjing e Chacha (paronomasia della parola cinese 警察 pinyin
jǐngchá, ovvero polizia) sono due cartoni animati, mascotte della
Divisione di sorveglianza Internet dell'ufficio di pubblica sicurezza
di Shenzhen.
Apparsi per la prima volta sul China Youth Daily, organo di
stampa della Lega della gioventù comunista e ripreso il 5 gennaio
2006 dal quotidiano Shanghai Daily[3] , sono usati tra gli altri
scopi per informare gli internauti cinesi su cosa è o non è
consentito consultare o pubblicare su Internet in Cina in violazione
della legge.

Note
Jingjing, ufficiale uomo della polizia Internet cinese. Il
[1] http:/ / 66110. qzone. qq. com [1]
suo sito personale può essere visitato qui .
[2] http:/ / 777110. qzone. qq. com
[3] China Internet Information Center (http:/ / www. china. org. cn/ english/
government/ 154200. htm)

Voci correlate
• Censura su Internet
• Censura di Internet nella Repubblica Popolare Cinese
• Internet nella Repubblica Popolare Cinese
• Crimine informatico
• Big mama
• Google China
• Operazione Aurora

Chacha, ufficiale donna della polizia internet cinese. Il

[2]
suo sito personale può essere visitato qui .
Jingjing e Chacha 102

Collegamenti esterni
• (ZH) Sito ufficiale (http://szgabm.qq.com/cgi-bin/wj/jump.cgi)
• (EN) Image of Internet police: JingJing and Chacha online (http://chinadigitaltimes.net/2006/01/
image-of-internet-police-jingjing-and-chacha-online-hong-yan-oºae¥™aaioºa/)

Key server
Nell'ambito della sicurezza informatica, un key server è un sistema che si occupa di fornire, attraverso appositi
programmi, chiavi crittografiche agli utenti che le richiedono.
Le chiavi fornite quasi sempre fanno parte di un certificato digitale, solitamente in un formato standard (per esempio
X.509 o PKCS), che contiene oltre alla chiave anche informazioni sul proprietario della chiave e sulla sua identità.
La chiave che viene restituita dal key server è la parte pubblica della chiave, da utilizzare con algoritmi di crittografia
asimmetrica.
I key server più importanti e maggiormente accessibili, sparsi in tutto il mondo, sono quelli che contengono le chiavi
PGP (e GPG) e le distribuiscono agli utenti di tali sistemi crittografici. Questi server quasi sempre sono mantenuti da
singoli individui e forniscono un servizio "pubblico", aiutando la costruzione della rete di fiducia, il sistema su cui si
basa la garanzia dell'identità in PGP.
Esistono anche molti sistemi di infrastruttura a chiave pubblica proprietari che mantengono key server privati per i
loro utenti.

Collegamenti esterni
• MIT PGP Key Server [1]
• PGP GLobal Directory [2]

Note
[1] http:/ / pgp. mit. edu/
[2] http:/ / keyserver. pgp. com
Lista di controllo degli accessi 103

Lista di controllo degli accessi

Una lista di controllo degli accessi, spesso chiamata col nome inglese di Access control list (ACL), è un
meccanismo generalmente usato in informatica per esprimere regole complesse.
Tra le sue applicazioni principali, la configurazione di Firewall e dei diritti di accesso a file e directory.
Una ACL è una lista ordinata di regole che dice quali utenti o processi di sistema possono accedere a degli oggetti, e
quali operazioni sono possibili su particolari oggetti. Facendo l'esempio di una rete, ci si troverebbe a dover decidere
se far passare o meno un pacchetto o se permettere o meno ad un certo utente l'accesso ad un file.
Ciascuna regola, detta Access Control Entry (ACE), esprime una o più proprietà dell'oggetto da valutare (ad
esempio, l'indirizzo sorgente di un pacchetto IP), e se queste proprietà sono verificate indica quale decisione
prendere (ad esempio, far passare il pacchetto oppure rifiutarlo).
La valutazione inizia dalla prima regola e continua fino a quando le condizioni di una regola non sono verificate.
Se le condizioni sono verificate, la valutazione finisce e viene applicata la decisione presa. Altrimenti, la valutazione
prosegue alla regola successiva.
Se nessuna regola viene soddisfatta, viene applicata una decisione di default, chiamata policy dell'ACL.

Uso negli apparati di rete

Ad esempio, una semplice ACL per un firewall espressa in pseudo-linguaggio suonerebbe più o meno così:
POLICY = SCARTA il pacchetto

se <indirizzo IP sorgente> == 192.168.0.5 allora SCARTA il pacchetto

se <porta TCP destinazione> == 500 AND <indirizzo IP destinazione> == 192.168.4.1
allora ACCETTA il pacchetto
se <indirizzo IP destinazione> appartiene alla rete 10.0.5.0/24 allora SCARTA il pacchetto
se <protocollo> != TCP allora SCARTA il pacchetto

Ciascun apparato avrà poi una particolare sintassi per configurare una ACL.
• Su un router realizzato con GNU/Linux, il nostro esempio suonerà più o meno così:

iptables --policy FORWARD DROP

iptables -A FORWARD --source 192.168.0.5 -j DROP

iptables -A FORWARD -p tcp -m tcp --destination-port 500 --destination 192.168.4.1
-j ACCEPT
iptables -A FORWARD --source 10.0.5.0/24 -j DROP
iptables -A FORWARD --protocol ! TCP -j DROP

• Su un router Cisco, sarà:

access-list 100 deny ip host 192.168.0.5 any

access-list 100 permit tcp any gt 500 host 192.168.4.1
access-list 100 deny ip any 10.0.5.0 0.0.0.255
access-list 100 permit tcp any any
access-list 100 deny ip any any regola implicita
Lista di controllo degli accessi 104

Uso nei sistemi operativi

Le ACL sono utilizzate anche per la determinazione dei permessi riguardanti file e cartelle memorizzati sui dischi.
Alcuni dei sistemi operativi che ne fanno uso sono Microsoft Windows, OpenVMS, Linux e Mac OS X. In
quest'ultimo sono state introdotte nella versione 10.4 (Tiger) e rese attive per default nella versione 10.5 (Leopard) e
sono gestibili via interfaccia grafica con il Finder e da riga di comando tramite chmod.

Voci correlate
• Cacls
• SACL

Collegamenti esterni
• Cosa sono le ACL [1]
• Cisco: maggior sicurezza alla vostra rete con ACLs per bogus e blackholes [2]
• Tutorial di base sulle ACL standard e estese di Cisco [3]

Note
[1] http:/ / www. areanetworking. it/ index_docs. php?title=Cosa_sono_le_ACL
[2] http:/ / www. areanetworking. it/ index_docs. php?title=Cisco:_maggior_sicurezza_alla_vostra_rete_con_ACLs_per_bogus_e_blackholes
[3] http:/ / www. valent-blog. eu/ access-control-list. html

Login
Login è il termine inglese più esatto per indicare la
procedura di accesso ad un sistema o un'applicazione
informatica.
Proviene dalla contrazione di log in, entrata nel log, il
registro cronologico degli eventi tipico di qualsiasi
sistema informativo.
Altri termini corrispondenti sono: logon, log on,
signon, sign on, sign in.

Il login, noto anche come procedura di

autenticazione, è uno dei pilastri fondamentali della
sicurezza e della riservatezza nelle applicazioni
informatiche.
Una classica schermata di ingresso (logon) ad un sistema Linux
dotato di interfaccia utente grafica (nello specifico KDE)

Componenti di sistema interessati

La procedura si basa sull'esistenza, all'interno del sistema, di:
• un elenco di utenti;
• la parola chiave di accesso, abitualmente denominata password, per ogni utente;
• i permessi di accesso. Un elenco di funzioni che l'utente può eseguire. Può non esistere, ma può essere anche
molto complesso;
• la classificazione dell'utente in base ai permessi di accesso, e/o al ruolo che svolge all'interno del sistema;
• procedure riservate agli amministratori di sistema per gestire queste informazioni;
Login 105

• registro degli eventi (log), su cui viene segnata la cronologia degli accessi.
A questo insieme di informazioni, che possiamo considerare minime, possono essere aggiunti dati anagrafici,
preferenze di lavoro, ecc. Il tutto è usualmente denominato account utente.

Procedura di accesso
• Procedura base, con interfaccia testuale
1. Il sistema richiede il nome utente (in inglese
username o userid)
2. Colui che desidera entrare digita il proprio nome
utente
3. Il sistema verifica che tale nome utente sia
compreso tra quelli previsti. In caso positivo
richiede la parola chiave abbinata; in caso
negativo risponde con un messaggio di errore e Una schermata di login remoto su macchina FreeBSD effettuata
rifiuta l'accesso. tramite PuTTY)

4. L'utente, già riconosciuto digita la parola chiave

(o password)
5. Il sistema verifica che tale parola chiave corrisponda a quella memorizzata al suo interno: in caso positivo
concede l'accesso, segnalando la possibilità di ricevere altri comandi, in caso negativo risponde con un
messaggio di errore e rifiuta l'accesso.
• Procedure più sicura, sempre con interfaccia testuale
1.
Il sistema richiede il nome utente (detto username o userid)
2.
Colui che desidera entrare digita il proprio nome utente
3.
Il sistema chiede la password o parola d'ordine dell'utente
4.
L'utente digita la password
5.
Se uno dei due dati forniti è sbagliato, il sistema segnala l'errore ma non segnala invece se esso sia presente nel
nome utente o nella password, in modo da rendere difficoltoso indovinare il nome utente e la password.
• Procedura con interfaccia grafica
• Esegue le stesse funzioni, ma raccoglie in un unico passaggio la richiesta di nome utente e password, ad
esempio con il tipico form delle applicazioni web. In caso positivo il sistema risponde generalmente con un
menù generale o pagina di benvenuto all'interno del sistema o dell'applicazione, o del sito web. Anche in
modalità grafica sono previste procedure semplificate e meno protette. Ad esempio, il nome utente può essere
scelto da una lista oppure il sistema propone automaticamente il nome di un utente predefinito.
In molti casi, per motivi di sicurezza / riservatezza, la parola chiave residente nel sistema è crittografata; anche quella
digitata dall'utente che richiede l'accesso viene crittografata se il login avviene da remoto.
Quando viene digitata, la password non appare sullo schermo: al suo posto appaiono dei pallini neri, degli asterischi
o altri simboli. A volte non appare niente, per non rivelare la lunghezza della password. Allo stesso scopo, talvolta il
numero di simboli viene modificato dal sistema.
Login 106

Bibliografia
L'elenco sottostante è composto da soli testi su UNIX, in quanto ambiente nato come multiutente e con molte
informazioni pubbliche.
1. Brian W. Kernighan, Rob Pike: "The UNIX Programming Environment", 1984, Prentice-Hall. ISBN
0-13-937681-X.
2. S. R. Bourne: "The UNIX System", 1983, Addison-Wesley. ISBN 0-201-13791-7.
3. Maurice J. Bach: "The Design of the UNIX Operating System", 1986, Prentice-Hall. ISBN 0-13-201757-1.
(Traduzione italiana "UNIX: architettura di sistema", 1988, Jackson).
4. Henry McGilton, Rachel Morgan: "Introducing the UNIX System", 1983, McGraw-Hill. (Traduzione italiana "Il
sistema operativo UNIX", 1986, McGraw-Hill Libri Italia, ISBN 88-386-0603-X). (Versione Berkeley).
5. S. G. Kochan, P. H. Wood: "UNIX Shell Programming", 1985, Hayden.
6. Stephen Prata: "Advanced UNIX: A programmer's Guide", The Waite Group, 1985, Howard W. Sams &
Company (Macmillan). ISBN 0-672-22403-8.
7. Bill Courington: "The UNIX System: a Sun Technical Report", 1985, Sun Microsystems Inc.
8. "System V Interface Definition: Issue 2" 1986, AT&T (3 volumi). ISBN 0-932764-10-X.
9. Rebecca Thomas, Lawrence R. Rogers, Jean L. Yates: "Advanced Programmer's Guide to UNIX System V",
1986, McGraw-Hill. ISBN 0-07-881211-9.

Voci correlate
• Account
• Autenticazione
• Crittografia
• Log
• Logout
• Nome utente
• Password
• Sicurezza informatica

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Login
Metodo Gutmann 107

Metodo Gutmann
Il Metodo Gutmann è un algoritmo proposto da Peter Gutmann da utilizzarsi per cancellare totalmente i contenuti
di una sezione di un disco per computer (come ad esempio un file o un settore) per motivi di sicurezza.

Metodo
La funzione di cancellazione nella maggior parte dei sistemi operativi segnala semplicemente che lo spazio occupato
dal file è disponibile per il riutilizzo, senza eliminarne effettivamente i contenuti (ad esempio eliminando il puntatore
al file). A questo punto il contenuto del file può essere recuperato facilmente da molte applicazioni per il recupero
dei dati. Tuttavia, una volta che lo spazio viene sovrascritto con altri dati, non esistono modi noti semplici per
recuperare i dati precedenti. Non è possibile recuperare dati con il solo utilizzo di software, siccome la periferica
restituisce i propri contenuti solo attraverso la propria normale interfaccia di comunicazione.
Gutmann afferma che i servizi di sicurezza hanno strumenti avanzati, tra cui microscopi elettronici i quali, uniti a
strumenti di analisi delle immagini, possono rilevare lo stato precedente dei bit nell'area interessata della periferica
(ad esempio un disco fisso).
L'algoritmo prevede la scrittura sul disco di una serie di schemi di bit, pensati per attaccare uno degli schemi di
codifica per supporti magnetici esistente. La scelta degli schemi parte dal presupposto che l'utente non conosca
l'algoritmo di codifica dei dati utilizzato dal disco, e quindi contiene schemi progettati specificamente per tutte le
codifiche conosciute. Un utente che conosca il metodo di codifica può selezionare solo gli schemi pensati
espressamente per il proprio disco.
Una sessione di sovrascrittura è costituita da un preambolo di quattro schemi di scrittura casuali, seguiti dagli schemi
5-31 eseguiti in ordine casuale, e si conclude con altri quattro schemi casuali.
Ciascuno degli schemi 5-31 è stato progettato tenendo conto di uno specifico schema di codifica per supporti
magnetici, che viene attaccato dallo schema. Il risultato finale è un rimescolamento dei dati sul disco sufficiente a
fare sì che anche la scansione fisica più approfondita difficilmente sarà in grado di recuperare qualunque dato utile.
La serie degli schemi è la seguente:

Metodo di sovrascrittura di Gutmann

Numero del passo Dati scritti Schema di codifica attaccato

In notazione binaria In notazione esadecimale

1 (Casuale) (Casuale)

2 (Casuale) (Casuale)

3 (Casuale) (Casuale)

4 (Casuale) (Casuale)

5 01010101 01010101 01010101 55 55 55 (1,7) RLL MFM

6 10101010 10101010 10101010 AA AA AA (1,7) RLL MFM

7 10010010 01001001 00100100 92 49 24 (2,7) RLL MFM

8 01001001 00100100 10010010 49 24 92 (2,7) RLL MFM

9 00100100 10010010 01001001 24 92 49 (2,7) RLL MFM

10 00000000 00000000 00000000 00 00 00 (1,7) RLL (2,7) RLL

11 00010001 00010001 00010001 11 11 11 (1,7) RLL

12 00100010 00100010 00100010 22 22 22 (1,7) RLL

Metodo Gutmann 108

13 00110011 00110011 00110011 33 33 33 (1,7) RLL (2,7) RLL

14 01000100 01000100 01000100 44 44 44 (1,7) RLL

15 01010101 01010101 01010101 55 55 55 (1,7) RLL MFM

16 01100110 01100110 01100110 66 66 66 (1,7) RLL (2,7) RLL

17 01110111 01110111 01110111 77 77 77 (1,7) RLL

18 10001000 10001000 10001000 88 88 88 (1,7) RLL

19 10011001 10011001 10011001 99 99 99 (1,7) RLL (2,7) RLL

20 10101010 10101010 10101010 AA AA AA (1,7) RLL MFM

21 10111011 10111011 10111011 BB BB BB (1,7) RLL

22 11001100 11001100 11001100 CC CC CC (1,7) RLL (2,7) RLL

23 11011101 11011101 11011101 DD DD DD (1,7) RLL

24 11101110 11101110 11101110 EE EE EE (1,7) RLL

25 11111111 11111111 11111111 FF FF FF (1,7) RLL (2,7) RLL

26 10010010 01001001 00100100 92 49 24 (2,7) RLL MFM

27 01001001 00100100 10010010 49 24 92 (2,7) RLL MFM

28 00100100 10010010 01001001 24 92 49 (2,7) RLL MFM

29 01101101 10110110 11011011 6D B6 DB (2,7) RLL

30 10110110 11011011 01101101 B6 DB 6D (2,7) RLL

31 11011011 01101101 10110110 DB 6D B6 (2,7) RLL

32 (Casuale) (Casuale)

33 (Casuale) (Casuale)

34 (Casuale) (Casuale)

35 (Casuale) (Casuale)

Critiche
Gutmann ha ricevuto critiche per avere asserito che i servizi di sicurezza nazionali riescono con ogni probabilità a
leggere dati sovrascritti.[1] Non è stato provato in alcun modo che questo sia possibile, e non esistono prove
pubbliche che i servizi di sicurezza governativi e non, siano in grado di recuperare file i cui settori sono stati
sovrascritti.
Le aziende specializzate nel recupero dei dati da periferiche danneggiate non sono in grado di recuperare file
completamente sovrascritti. Queste aziende si specializzano nel recupero di informazioni da dispositivi che sono stati
danneggiati da incendi, acqua, o altri danni simili. Nessuna azienda di recupero dati afferma di essere in grado di
ricostruire dati completamente sovrascritti.
Lo stesso Gutmann ha risposto ad alcune di queste critiche e ha criticato nell'epilogo del suo lavoro originale come ci
siano stati abusi del suo algoritmo. Citando tale epilogo:
Metodo Gutmann 109

« Nel periodo seguente la pubblicazione di questo lavoro, alcuni hanno trattato l'algoritmo di sovrascrittura a 35 passi più
come una incarnazione voodoo per scacciare gli spiriti maligni che come una analisi tecnica dei metodi di codifica dei
dischi. Come risultato, suggeriscono di utilizzare il rito voodoo ai dischi PRML ed EPRML anche se non avrà alcun effetto
al di fuori di una sovrascrittura casuale dei dati. In realtà, utilizzare l'intero algoritmo a 35 passi è insensato per qualunque
disco, siccome questo attacca un insieme di scenari che includono tutti i tipi di codifica (utilizzati normalmente), che copre
qualunque tecnica utilizzata da oltre 30 anni a questa parte.
Se state utilizzando un disco che utilizza la tecnologia di codifica X, è necessario eseguire solo i passi specifici per X, e non
c'è mai alcun bisogno di eseguire tutti i 35 passi. Per qualunque disco PRML/EPRML moderno, alcuni passi di scrittura
casuale è il meglio che si possa fare. Come la ricerca dice chiaramente, "una bella sovrascrittura con dati casuali otterrà i
risultati che ci si aspetta. Questa affermazione era vera nel 1996, ed è tuttora vera »

Implementazioni software
• CCleaner - Software Freeware che nelle ultime versione esegue la cancellazione dei file indesiderati tramite il
metodo Gutmann solo su richiesta.
• Eraser - Software Open-source gratuito che utilizza il metodo Gutmann
• Utility Disco - Software fornito con Mac OS X che cancella i contenuti di un disco utilizzando l'algoritmo di
Gutmann.
• Tune Up Utilities [2] (versione 2007 e seguenti) utilizza tra gli altri anche l'algoritmo di Gutmann per
l'eliminazione sicura dei file.
• DBAN [3] - Un altro software open-source di cancellazione che supporta tutti i dischi fissi esistenti. Supporta, fra
gli altri, anche l'algoritmo di Gutmann.
• Advanced SystemCare - software che permette di utilizzare oltre al metodo Gutmann, la sovrascrittura dei files da
cancellare con lo 0 e in alternativa l'eliminazione con lo standard DoD 5220.22-M.

Collegamenti esterni
• La ricerca originale di Gutmann: "Secure Deletion of Data from Magnetic and Solid-State Memory" [4]
• Can Intelligence Agencies Read Overwritten Data? [5], una critica alle asserzioni di Guttman.

Note
[1] Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. (http:/ / www. nber. org/ sys-admin/ overwritten-data-gutmann.
html)
[2] http:/ / www. tune-up. com/ products/ tuneup-utilities/
[3] http:/ / www. dban. org/ download/
[4] http:/ / www. cs. auckland. ac. nz/ ~pgut001/ pubs/ secure_del. html
[5] http:/ / www. nber. org/ sys-admin/ overwritten-data-guttman. html
Metodologia Octave 110

Metodologia Octave
La metodologia Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation) è una delle principali
metodologie di analisi del rischio utilizzate attualmente.
Oggigiorno proteggere i sistemi informatici ed essere in grado di conoscere i principali pericoli che essi corrono è
senza dubbio diventata una priorità. Le politiche di sicurezza (Security Policy) adottate a tal fine rappresentano
l'insieme di regole e procedure che hanno come finalità la sicurezza di un sistema. Per un sistema informatico le
security policy indirizzano infatti tutte quelle procedure finalizzate alla protezione dei dati, alla corretta gestione del
flusso informativo per il personale autorizzato, alla restrizione di accessi al sistema dall'esterno. Octave è un sistema
di strategie basate sul rischio e di tecniche di pianificazione per la Sicurezza Interna Aziendale, realizzato dal CERT
(Computer Emergency Response Team). È particolarmente indicato per tutte le aziende che desiderano conoscere
fino in fondo quali siano i propri bisogni di sicurezza.

Le sue caratteristiche
Octave possiede alcune caratteristiche che lo rendono affidabile e allo stesso tempo utilizzabile con profitto dalla
maggior parte delle aziende:
• Auto-Regolato:
è frutto della collaborazione tra manager esperti nel ramo degli affari e informatici della stessa azienda. Il gruppo,
inoltre, sfrutta la conoscenza e l’esperienza di molti impiegati per definire lo stato della sicurezza, i rischi per i beni
principali dell’azienda, e per pianificare quindi le dovute strategie;
• Flessibile:
può essere adattato alle esigenze di numerose aziende diverse;
• Diverso dalle tipiche Metodologie Concentrate sulla Tecnologia:
si focalizza sul rischio organizzativo e strategico e su argomenti di interesse pratico.

Le fasi di Octave
Octave agisce attraverso tre fasi:

Fase 1
• Tracciare profili delle minacce rivolte ai beni:
In questa fase, che riguarda l’azienda nella sua totalità, ci si propone di identificare gli "Asset" (le risorse, i beni)
principali dell’azienda, le minacce a queste risorse e in che misura esse vadano protette. Si cerca anche di
comprendere quali strategie di protezione l’azienda stia mettendo in atto al momento in cui quest’analisi viene
compiuta, e quali siano i punti deboli di tali strategie.
Metodologia Octave 111

Fase 2
• Identificare i punti Deboli delle Infrastrutture Informatiche:
Questa fase si configura come un esame delle Principali Componenti Operative dei Sistemi Informatici, per
evidenziarne eventuali pericolose Debolezze.

Fase 3
• Sviluppare Piani e Strategie di Protezione:
In questa ultima fase vengono analizzati i Rischi. Le informazioni raccolte nelle due precedenti fasi sono analizzate
per identificare quali siano gli effettivi Rischi per l’azienda, e per valutare l’impatto che tali rischi potrebbero avere
sulla “mission” dell’azienda. Inoltre, vengono sviluppate delle Strategie di Protezione e dei Piani di
Ammortizzamento nei confronti dei rischi più elevati.

Voci correlate
• Internet Security Policy

Collegamenti esterni
• (EN)CERT [1]

Note
[1] http:/ / www. cert. org/ octave/

Microsoft Strider
Microsoft Strider Search Defender è un software creato da Microsoft, per arginare il fenomeno del Comment
Spamming, ovvero la forma di spam che consiste nell'inserire link a pagine pubblicitarie in blog, newsgroup, etc.

Funzionamento di Strider
Per rendere i propri link maggiormente appetibili, gli spammer creano delle "doorway pages" su siti web conosciuti:
quando un utente clicca su uno di questi indirizzi, il browser rimanda alle pagine pubblicitarie. Stinger effettua una
precisa verifica degli indirizzi che sono presenti nelle pagine web di pubblico accesso.

Le analisi effettuate da Strider

L'analisi degli URL effettuata da Strider è impostata su due livelli
1. Si analizzano, tramite Spam Hunter, tutti i link a cui puntano i vari url e si redige una prima lista di indirizzi.
2. A questa prima fase di verifica segue una seconda, portata avanti dal modulo "Strider Url Tracer", in cui si
ripuliscono dai falsi positivi i risultati ottenuti precedentemente.
Il risultato finale è una lista dei siti degli spammer.
Questa lista servirà da punto di partenza per evitare che quegli indirizzi vengano indicizzati dai motori di ricerca,
evitando la diffusione dello spam e scoraggiando gli spammer dalla loro attività di riempire gli spazi virtuali di
pubblicità.
Modello Bell-LaPadula 112

Modello Bell-LaPadula
Il Modello di riservatezza di Bell-La Padula (BLP) è stato definito tra il 1973 e il 1976 da David Elliott Bell e Len
LaPadula. Inizialmente, è stato sviluppato per soddisfare le esigenze del Dipartimento della Difesa Americano
(Department of Defense - DOD), relative all'accesso alle informazioni, mentre, successivamente, è stato
principalmente rivolto alla riservatezza delle stesse. Rappresenta, comunque, uno dei più importanti modelli di
sicurezza applicabili ai sistemi operativi e alle basi di dati.

Caratteristiche
Il modello Bell-LaPadula si concentra su riservatezza di dati e accesso a informazioni classificate, in contrasto con
il Modello d'integrità BIBA che descrive regole per la protezione di integrità dei dati. In questo modello formale, le
entità in un sistema informativo sono divise in soggetti e oggetti.
• Ai soggetti sono assegnati i clearance levels;
• Agli oggetti sono assegnati i sensitivity levels.
I clearance levels come i sentitivity levels sono chiamati access classes. Una classe di accesso (access class)
consiste di due componenti:
1. security level: è un elemento basato sull'ordinazione, è costituito da una classificazione (classification) gerarchica
( TopSecret > Secret > Confidential > Unclassified );
2. category set: è un insieme di categorie dipendenti dall'applicazione in cui i dati sono usati; non è gerarchico,
indica il settore di appartenenza. (ES: posta elettronica, prodotti commerciali, centrali atomiche ecc.).
Ogni soggetto può inoltre accedere ai vari oggetti secondo modi di accesso (access modes) detti:
• Read: per la sola lettura;
• Append: per l'aggiunta (senza lettura);
• Execute: l'esecuzione (per i programmi);
• Write: la lettura-scrittura.

Stato Sicuro
Il concetto di uno Stato Sicuro è definito ed è provato dal fatto che ogni transizione preserva la sua sicurezza
spostandosi da stato sicuro ad un altro stato sicuro.
Il passaggio da uno stato a un altro stato è definito da funzioni di transizione. Uno stato di sistema è definito sicuro
se tutti i modi di accesso dei subjects and objects sono conformi alla politica di sicurezza.
Per determinare se un modo di accesso specifico è permesso, la clearance è paragonato alla classificazione
dell'object (più precisamente: la combinazione di classificazione e l'insieme di compartimenti compongono il livello
di sicurezza) per determinare se il soggetto è autorizzato a quello specifico modo di accesso.
Lo schema di accesso/classificazione è espresso in termini di un reticolo. Ogni operazione richiesta è controllata da
un reference monitor, e la sua esecuzione è concessa se, e solo se, lo stato risultante in cui si verrebbe a trovare il
sistema sia sicuro, ovvero soddisfi tutte le proprietà del modello.
Il modello definisce due regole obbligatorie del controllo accessi (MAC) e una regola discrezionale di controllo
accessi (DAC) con tre proprietà sulla sicurezza:
1. Il Simple Security Property (SS-property): dichiara che è possibile che un soggetto possa accedere ad un oggetto
solo se il suo livello di sicurezza è maggiore od uguale a quella dell'oggetto; (quindi: no read up);
2. Il Star-Property (S-property): dichiara che un soggetto può accedere all'oggetto solo per operazioni di append se
ha un livello inferiore (rispetto all'oggetto), per operazioni di write se ha un livello uguale e per operazioni di read
se ha un attuale livello di sicurezza superiore a quello dell'oggetto; (quindi no write-down);
Modello Bell-LaPadula 113

3. Il Discretionary Security Property (DS-property): utilizza una matrice di accesso per specificare il controllo
accessi discrezionale; cioè ogni soggetto può esercitare solo gli accessi per cui ha la necessaria autorizzazione.
Queste regole insieme servono ad evitare che le informazioni possano propagarsi senza controllo da parte del
proprietario, e sono lo strumento per impedire che il sistema possa essere espugnato da un trojan horse (Cavallo di
Troia: virus nascosto in un programma che penetra tramite il programma in un computer).
Il trasferimento di informazioni da un paragrafo high-sensitivity a un documento lower-sensitivity può avvenire nel
modello Bell-LaPadula per mezzo del concetto di soggetti di fiducia. Subjects di fiducia non sono limitati dalla
proprietà.
A Subjects di fiducia deve essere mostrato e testato affinché possa essere dichiarato affidabile in merito alla politica
di sicurezza.
Con Bell-LaPadula, gli utenti possono creare contenuto solo sopra il loro personale livello di sicurezza (i ricercatori
Secret possono creare file Secret o Top-Secret ma non possono creare file Public): nessun write-down.
Al contrario, gli utenti possono esaminare contenuto solo sotto il loro personale livello di sicurezza (i ricercatori
Secret possono esaminare file Public o Secret, ma non possono esaminare file Top-Secret): nessun read-up.

Transizioni di stato
Attraverso specifiche operazioni lo stato del sistema può subire delle transizioni. Le transizioni di stato consentite
all'interno del modello di Bell-LaPadula sono:
• Create object: attiva un oggetto inattivo rendendolo accessibile;
• Delete object: disattiva un oggetto attivo. È l'operazione inversa alla precedente;
• Get access: quando un soggetto guadagna l'accesso ad un oggetto;
• Release access: quando il soggetto termina l'accesso bisogna. È l'operazione inversa alla precedente;
• Give access: permette che i diritti di accesso ad un oggetto possano essere propagati da un soggetto ad un altro.
L'operazione viene eseguita solo se rispetta le politiche di sicurezza;
• Rescind access: revoca un accesso precedentemente garantito con l'operazione precedente. Affinché questa
operazione possa essere eseguita, il soggetto richiedente deve avere il permesso di scrittura sul genitore
dell'oggetto interessato;
• Change subject security level: cambia l'attuale livello di sicurezza. Il nuovo livello deve essere inferiore della
clearance attribuita inizialmente al soggetto;
• Change object security level: ha l'effetto di attribuire un nuovo valore alla funzione 'f' dell'oggetto inattivo; tale
livello può solo essere aumentato, e non deve mai superare la clearance del soggetto richiedente il cambiamento.

Di che cosa non parla il Modello BLP

Il modello Bell-LaPadula ha esplicitamente definito il suo ambito. Non ha trattato quanto segue radicalmente:
• Canali coperti;
• Reti di sistemi. Il lavoro successivo di creazione di modelli ha indirizzato questo argomento;
• Politiche fuori dalla sicurezza multilivello.

Voci correlate
• Modello Biba
• Modello Clark-Wilson
• Modello Brewer e Nash
Modello Bell-LaPadula 114

Collegamenti esterni
AIPSI [1]

Note
[1] http:/ / aipsi. org/

Modello Biba
Il modello di integrita Biba venne sviluppato nel 1977 da K.J. Biba del M.I.T., per aggirare le debolezze del modello
di protezione per sistemi operativi di computer denominato modello di riservatezza di Bell-LaPadula quale non
prevedeva la possibilità di eliminazione implicita degli oggetti di sicurezza scritti da loro.
Il modello di Biba comprendeva tre politiche, di cui una era il doppio matematico del modello Bell-LaPadula, ed il
sistema consiste in una serie di soggetti, oggetti e livelli di integrità. In generale, preservare l'integrità aveva tre
obbiettivi:
• Prevenire la modifica dei dati da oggetti non autorizzati;
• Prevenire modifiche non autorizzate ai dati da oggetti autorizzati;
• Mantenere la consistenza interna ed esterna (es.: dati che rispecchino il mondo reale).
Il modello Biba implementa le protezioni definendo una serie ordinata di livelli di integrità per i soggetti e gli
oggetti, rispettando la regola del: leggere sopra e scrivere sotto:
• Questo significa che un soggetto che si trova al livello di integrità X può leggere solo oggetti allo stesso livello o
superiore (assioma di integrità semplice);
• Similarmente, un soggetto al livello di integrità X può scrivere solo oggetti allo stesso livello o di livello più basso
(assioma di integrità "*");
• Un soggetto al livello di integrità X può chiamare solo un altro soggetto che si trovi allo stesso livello di integrità
o più basso.

Voci correlate
• Modello Bell-LaPadula
• Modello Clark-Wilson
• Modello Brewer e Nash
Modello Brewer e Nash 115

Modello Brewer e Nash

Il modello di Brewer e Nash (chiamato anche Chinese Wall Model) è un modello che implementa le cosiddette
policy ibride e che garantisce quindi sia la confidenzialità, sia l'autenticazione e l'integrità. È nato nel 1989 dagli
studiosi Brewer e Nash e si basa sul concetto di conflitto di interesse.

Necessità di una politica

Supponiamo di avere un soggetto S che come lavoro, svolge l'attività di consulente. Se questi lavora presso due
banche concorrenti, sorge subito un conflitto di interesse, in quanto il soggetto viene a conoscere tutte e due le
strategie delle banche, il che va contro gli interessi di una o dell'altra banca.
Lo stesso soggetto però può lavorare in un'altra ditta di tutt'altro campo d'azione, come ad esempio un supermercato.

Organizzazione del modello

• Oggetti, identificati mediante O. Questi rappresentano dati, informazioni di una qualche società od
organizzazione;
• Company Dataset, brevemente CD. Un CD contiene oggetti inerenti ad una singola entità, come ad esempio una
banca, un supermercato, ecc;
• Conflict of Interest class, ossia COI. Una COI contiene i CD delle varie entità che fanno parte di quella
particolare classe di conflitto di interesse. Ad esempio, in una COI ci sono tutte le banche, in un'altra tutti i
supermercati, e così via.

Regolamentazione del modello

Esistono due condizioni da rispettare: una per la lettura e una per la scrittura.

Lettura
Un soggetto S può leggere un oggetto O se:
• l'oggetto O è in un CD di cui il soggetto ha già letto qualcosa, oppure
• l'oggetto O appartiene ad una COI di cui il soggetto non ha letto ancora niente, oppure
• l'oggetto O appartiene alla stessa COI di un altro CD ma è di tipo pubblico.
In parole povere il soggetto S può leggere tutti gli oggetti O appartenenti a COI diverse.

Scrittura
Un soggetto S può scrivere un oggetto O se:
• l'oggetto O, appartenente ad un determinato CD, può essere anche letto;
• il soggetto S non ha mai letto altri O di altri CD nello stesso COI.
In parole povere il soggetto S, una volta che scrive in un CD, non può più leggere O di altri CD nello stesso COI;
allo stesso modo, nel momento in cui legge oggetti O appartenenti a diversi COI, non può più scrivere nei COI letti.
Modello Brewer e Nash 116

Voci correlate
• Modello Bell-LaPadula
• Modello Biba
• Modello Clark-Wilson

Modello Clark-Wilson
Il modello Clark-Wilson venne sviluppato nel 1987 da due studiosi: David D. Clark e David R. Wilson. Questo
modello rappresenta un'alternativa al Modello Biba dell'integrità.

Scenario
L'integrità del modello è definita tramite un insieme di vincoli, e questo è in uno stato consistente se il modello
soddisfa i vincoli. Clark-Wilson identifica due meccanismi principali per rafforzare l'integrità e il controllo degli
accessi:

Transazioni
Le transazioni ben formate preservano l'integrità di dati e prevengono che utenti li manipolino arbitrariamente. Una
transazione di questo tipo è costituita da una serie di operazioni che muovono il sistema da uno stato consistente ad
un altro stato consistente.
In questo ambito le transazioni sono una serie di operazioni che consentono di far passare da uno stato consistente ad
uno consistente, anche se questa non è andata a buon fine, in quanto deve essere presente un meccanismo di rollback.

Separazione dei compiti

La separazione dei compiti è necessaria al fine di evitare frodi interne al sistema. Un'operazione, se è completata da
una singola persona, questa è più suscettibile di frodi. Assegnare più mansioni di un'operazione a diversi individui,
limita il problema suddetto, in quanto, per portare a termine l'attacco, tutte le persone devono essere d'accordo. Se
almeno una persona compie il proprio lavoro correttamente, l'attacco non va a termine.

Il modello
Alla base del sistema abbiamo quattro entità di base:
• CDI: entità o dati soggetti a vincoli d'integrità (constrained data item);
• UDI: entità o dati non soggetti a vincoli d'integrità (unconstrained data item);
• IVP: procedure che controllano i vincoli d'integrità (integrity verification procedures);
• TP: procedure di trasformazione che portano il sistema da uno stato valido ad un altro stato valido
(transformation procedures).
Modello Clark-Wilson 117

Le regole
In questo contesto vengono indicate regole di certificazione (Certification rules) e regole di rinforzo (Enforcement
rules):
• CR1: Se un IVP è eseguito, deve assicurarsi che tutti i CDI siano in uno stato valido.
• CR2: Una TP deve trasformare un insieme di CDI da uno stato valido ad uno stato valido.
• ER1: Il sistema deve garantire che solo le TP certificate ad operare su determinati CDI svolgano operazioni su di
essi.
• ER2: Il sistema deve associare ad ogni TP il CDI su cui può lavorare e l'utente per conto del quale può lavorare su
tale CDI.
• CR3: Le relazioni di permesso devono essere basate sulla separazione dei compiti.
• ER3: Il sistema deve autenticare ogni utente che vuole utilizzare una TP.
• CR4: Tutte le TP devono scrivere in appositi CDI di solo accodamento, tutte le operazioni sufficienti a ricostruire
le operazioni svolte.
• CR5: Ogni TP che prende in input un UDI può eseguire solo trasformazioni valide, oppure nessuna
trasformazione.
• ER4: Solo chi certifica un TP può cambiare la liste delle entità associata a tale TP.

Voci correlate
• Modello Bell-LaPadula
• Modello Biba
• Modello Brewer e Nash

MS-CHAP
In informatica l' MS-CHAP (acronimo di Microsoft Challenge-Handshake Authentication Protocol) è un protocollo
di autenticazione.
MS-CHAP è un protocollo sviluppato da Microsoft deriva direttamente dal CHAP ed è stato modificato per integrare
la funzionalità di autenticazione basate sulla cifratura, tra Pc in reti windows.
MS-CHAP eredita dal CHAP il meccanismo di challenge-response per autenticare attraverso una password il client
verso il server. Il server di autenticazione diversamente dal CHAP non ha necessità di memorizzare la password
neanche in formato cifrato, e gli algoritmi utilizzati per il processo di cifratura e per quello di hashing sono
rispettivamente il DES (Data Encryption Standard) e l'MD4 (Message Digest 4).
Microsoft, in questo [1] articolo, ha dichiarato obsoleto questo protocollo, escludendolo di fatto dai protocolli
presenti in Windows Vista, sostituendolo con la nuova versione dello stesso.
MS-CHAP 118

Voci correlate
• MS-CHAPv2

Collegamenti esterni.
• RFC 1994 "PPP Challenge Handshake Authentication Protocol".
• RFC 2433 "Microsoft PPP CHAP Extensions"
• RFC 1320 "MD4 Message Digest Algorithm".

Note
[1] http:/ / support. microsoft. com/ kb/ 926170/ en-us

MS-CHAPv2
MS-CHAP versione 2 deriva dal protocollo MS-CHAP. In MS-CHAPV2 il processo di autenticazione è reciproco,
il client e il server si presentano e il server deve dimostrare al client che è in grado di accedere al database dove è
contenuta la password dell'utente che sta tentando la connessione.
In linea di massima i passi compiuti dal processo di autenticazione sono:
1. Il client contatta il server e stabilisce una sessione.
2. Il server di autenticazione invia al client un messaggio composto da:
1. un identificatore della sessione(IdS)
2. una stringa pseudocasuale (A).
3. Il client riceve il messaggio dal server e invia una risposta composta da:
1. Username
2. Una stringa fittizia(B).
3. La stringa pseudocasuale(A), l’identificativo di sessione (IdS), la password utente tutto cifrato.
4. Il server riceve il messaggio dal client lo verifica e invia la relativa risposta composta da:
1. L’esito del tentativo di connessione.
2. La stringa fittizia(B) e la password utente tutto cifrato.
5. Il client riceve la risposta e se è avvenuta l’autenticazione utilizza la sessione altrimenti interrompe la
connessione.
Rispetto al MS-CHAP l’MS-CHAP v2 è più sicuro, questo perché:
1. Ogni volta che l'utente si collega è generata una chiave per crittografare i dati basata sia sulla password utente sia
su una stringa casuale. Nella versione v1 essendo la chiave generata solo a partire dalla password la chiave di
crittografia è sempre la stessa.
2. I dati inviati e quelli trasmessi sono cifrati con chiavi generate separatamente e non come nella versione v1 dove
la chiave era sempre la stessa.

Collegamenti esterni
• RFC 2759 "Microsoft PPP CHAP Extensions, Version 2"
Negazione plausibile 119

Negazione plausibile
Negazione plausibile, tradotto dall'inglese plausible deniability, è il termine usato per indicare un'azione o un dato
non riconducibile al proprio autore.
Viene usata in due contesti: nel contesto politico e nel contesto di sicurezza informatica.

Negazione plausibile (politica)

Nel contesto politico la negazione plausibile è una strategia utilizzata affinché un'azione decisa da un elemento
venga realizzata senza che questa sia riconducibile a lui. Nonostante all'esterno possa apparire palese il legame tra
l'elemento mandante e l'azione, il fatto che non si sia colpevoli fino a prova contraria garantisce che, fintanto sarà
plausibile negare i legami con l'azione, l'elemento rimarrà scagionato.
Normalmente viene utilizzata per azioni che porterebbero discredito all'elemento mandate.

Negazione plausibile (sicurezza informatica)

Meglio nota come crittografia negabile o crittografia ripudiabile è l'uso di sistemi crittografici che consentono ad un
utente, qualora gli venga estorta la password di un archivio cifrato, di negare l'esistenza dell'archivio stesso.
Solitamente questa tecnologia viene confusa con la steganografia il quale obiettivo è tenere nascosta l'esistenza del
dato.
La crittografia negabile viene utilizzata in due ambiti, negazione d'esistenza e ripudiabilità di creazione.

Negazione d'esistenza
Per proteggere gli utilizzatori di filesystem cifrati da attacchi basati sulla tortura, il software FreeOTFE crea volumi
cifrati in due modalità: utilizzando un file dedicato all'interno del filesystem o utilizzando dello spazio non
inizializzato all'interno di un disco.
La prima modalità è analoga ad altri sistemi di filesystem cifrati: loop-aes, dm-crypt, filevault. L'utente decide di
creare un disco cifrato di una certa dimensione, questa dimensione viene allocata in un file su filesystem. Il file è
cifrato, e il software di cifratura decifra il file come se fosse un disco fisico. in questo modo l'utente puo' accedere al
filesystem solo quando il software viene sbloccato da password.
La seconda modalità non utilizza un file allocato, ma dello spazio non allocato sul disco. Questo causa che ad
un'analisi dei settori non utilizzati, risulti una porzione di dati cifrati, facendo quindi intuire all'analista la presenza di
un disco cifrato nascosto.
Quando un disco cifrato viene inizializzato, gli spazi non utilizzati vengono riempiti di dati random, così un utente
può creare un disco cifrato sul proprio filesystem utilizzando un file allocato, mettere dei dati, e nello spazio non
utilizzato creare un disco nascosto. In questo modo un'analisi dei settori non utilizzati all'interno del disco cifrato non
darà alcun risultato differente da quello aspettato, perché le proprietà statistiche di un file cifrato e di dati random
sono pari.
L'utente gode di negazione plausibile nei confronti di chi, una volta chiesta la password (e consegnatagli dall'utente)
necessaria per accedere al primo filesystem, non potrà dire con certezza che altri dati sono cifrati nei settori nascosti.
I dati inseriti nel primo filesystem saranno acceduti.
Negazione plausibile 120

Ripudiabilità di creazione
Questo tipo di protezione è stato implementato da OTR (Off The Records) riferito alla terminologia giornalistica.
OTR è un protocollo di cifratura per Instant Messaging, una volta scambiata la chiave tra i due utenti, che possono
autenticarsi reciprocamente, i dati non sono più firmati digitalmente. In questo modo si può comunicare con
riservatezza, e nel caso l'attaccante dovesse decifrare il contenuto dei messaggi, l'autore potrebbe sostenere di non
essere stato lui a produrli, ma un terzo in possesso della chiave.

Netcraft
Netcraft è una società di monitoraggio della rete internet con sede a Bath in Inghilterra.
Netcraft fornisce analisi sui server web e il mercato dell'hosting, inclusi la rilevazione di web server e sistemi
operativi, e il loro servizio in alcuni casi consiste nel monitorare l'uptime. Offre anche verifiche di sicurezza e
pubblica novità sullo stato di varie reti che compongono internet. Queste statistiche sono ampiamente considerate e
ritenute rilevanti dalla stampa internet. La società è famosa per la sua barra gratuita anti-phishing per Firefox e
Internet Explorer. Uno studio commissionato da Microsoft concluse che la barra di Netcraft è tra i più efficaci
strumenti per combattere il phishing su Internet.

Collegamenti esterni
• Sito di Netcraft [1]
• La barra di Netcraft per Firefox o Internet Explorer per Windows 2000/XP [2]

Note
[1] http:/ / www. netcraft. com
[2] http:/ / toolbar. netcraft. com/
Network intrusion detection system 121

Network intrusion detection system

I NIDS, Network Intrusion Detection System, sono degli strumenti informatici, software o hardware, dediti ad
analizzare il traffico di uno o più segmenti di una LAN al fine di individuare anomalie nei flussi o probabili
intrusioni informatiche.
I più comuni NIDS sono composti da una o più sonde dislocate sulla rete, che comunicano con un server
centralizzato, che in genere si appoggia ad un Database. Fra le attività anomale che possono presentarsi e venire
rilevate da un NIDS vi sono: accessi non autorizzati, propagazione di software malevolo, acquisizione abusiva di
privilegi appartenenti a soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio (DoS).

Funzionamento
Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in:
• Pattern Matching: l'abilità del NIDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli
prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto è IPv4, TCP,
la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme".
• Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e
algoritmi matematici che si rifanno alle RFC e ai loro standard. Se uno o più flussi non rispettano gli standard,
il sistema segnala l'errore con il consueto allarme.
Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticità, ad esempio Low, Medium,
High; spesso si presentano dei falsi positivi, ovvero eventi che in realtà non costituiscono un pericolo per i sistemi
informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. In genere i sensori di rete
che comunicano con il server centralizzato del NIDS effettuano un monitoring full-duplex passivo della rete,
posizionati dietro un network tap, brutalmente definibile come un 'rubinetto' che regola il traffico e che si preoccupa
di far rimanere la sonda invisibile sulla rete. Affinché i sensori lavorino correttamente devono essere sottoposti ad un
continuo aggiornamento delle signatures per contrastare le vulnerabilità più recenti.
I moderni NIDS lavorano sempre con dei Firewall, a tal scopo stanno prendendo sempre più piede nel settore
commerciale gli IPS, intrusion prevention system, che oltre a fornire il controllo sui flussi, procedono ulteriormente
bloccando quelli non autorizzati.

Pro e Contro
In un sistema informatico che implementa valide politiche di sicurezza, un buon sistema di incident response e che
adotta firewall, antivirus e tutte le più moderne misure di sicurezza, i NIDS giocano un ruolo fondamentale, in
quanto:
• analizzano il payload dei pacchetti identificando il traffico anomalo;
• danno informazioni sulle scansioni che la rete ha ricevuto;
• permettono di ricevere allarmi real-time;
• evidenziano eventuali errori nella configurazione del sistema;
• evidenziano eventuali vulnerabilità della rete;
• permettono di monitorare il comportamento degli utenti interni alla rete;
• segnalano se qualche altra misura di sicurezza, come il firewall o l’antivirus, non ha funzionato correttamente;
• rilevano eventuali attacchi provenienti dalla rete interna verso la rete esterna;
• rilevano la presenza di eventuali worm che cercano di inviare informazioni all’esterno della rete;
• effettuano il monitoraggio delle risorse condivise utilizzate;
• permettono di capire quali misure preventive adottare al fine di evitare eventuali attacchi futuri;
• sono difficili da rilevare in quanto agiscono passivamente.
Network intrusion detection system 122

Le ampie funzionalità descritte hanno portato alcuni amministratori di rete a pensare che i NIDS siano in grado di
segnalare e risolvere qualsiasi problema di sicurezza. Paradossalmente, pensare che i NIDS garantiscano totale
sicurezza date le loro enormi potenzialità, può risultare controproducente in quanto ciò genererebbe un falso senso di
sicurezza. Non esiste, infatti, né totale sicurezza, né un unico prodotto che permetta di essere totalmente sicuri.
Anche se i NIDS sono sicuramente necessari a garantire un buon livello di sicurezza del sistema, da soli non
sarebbero sufficienti in quanto:
• non sostituiscono l’esistente staff di sicurezza in quanto necessitano di costante monitoraggio;
• non individuano attacchi che sfruttano vulnerabilità non ancora rese pubbliche detti 0-day;
• agiscono passivamente, ovvero non bloccano il traffico dannoso anche se possono essere configurati per
interagire con un firewall;
• quando c’è una grande quantità di traffico da processare, è possibile che vengano persi dei pacchetti, con
conseguente fallimento nella rilevazione di un attacco;
• non possono analizzare informazioni criptate;
• identificano un tentativo d’attacco ma non rilevano se questo è riuscito;
• presentano problemi nel gestire attacchi che utilizzano pacchetti frammentati;
• incrementando il numero delle firme, può essere ridotta l’efficenza del NIDS;
• richiedono notevoli risorse in termini di spazio per l’archiviazione dei log;
• non sostituiscono gli altri meccanismi di protezione.
Da quanto detto, emerge che i NIDS sono necessari ad aumentare il controllo sull’attività dei sistemi ma non sono
sufficienti a garantire la continuità del servizio in quanto agiscono passivamente.

NIDS vs Firewall
Sia i firewall che i NIDS collaborano al fine di prevenire accessi abusivi ad una rete. Entrambi sono fondamentali ma
nessuno è sufficiente a garantire da solo un elevato livello di sicurezza. A parte queste analogie, ci sono delle
sostanziali differenze tecniche che li caratterizzano. I firewall hanno funzione di filtraggio dei pacchetti allo scopo di
bloccare il traffico non conforme alle loro politiche. I pacchetti vengono filtrati in base all’indirizzo IP sorgente o di
destinazione e alle corrispettive porte. Difficilmente i log memorizzati riguardano il traffico permesso, in quanto
ritenuto affidabile. Se alcuni dei pacchetti dannosi riuscissero a superare il firewall a causa di una configurazione
non corretta dello stesso, o di una qualsiasi vulnerabilità sfruttata, non solo sarebbe possibile portare a termine un
attacco con successo ma, soprattutto, non verrebbe memorizzata alcuna informazione in merito. Per ovviare a questo
problema, entrano in gioco i NIDS, i quali analizzano il contenuto di tali pacchetti e segnalano con un allarme ogni
attività anomala individuata, indipendentemente dal successo o dall’insuccesso della stessa. Inoltre nel caso in cui un
attacco provenisse dall’interno della rete, il firewall non avrebbe utilità alcuna. Esso infatti, pur essendo capace di
filtrare il traffico verso e dalla rete esterna, non ha alcun potere sul traffico interno alla rete. Altra debolezza dei
firewall è dovuta al fatto che talvolta gli utenti per ingenuità o impazienza si collegano a Internet creando
connessioni non autorizzate tramite modem. Questo comportamento mette a rischio l’intera rete perché il traffico
generato, anche in questo caso, non sarà filtrato dal firewall. I NIDS, pertanto, pur monitorando il traffico interno
alla rete, non eliminano i firewall.
Network intrusion detection system 123

Tecniche di Analisi dei Pacchetti

Impostando la scheda di rete del NIDS in modalità promiscua, è possibile ascoltare in maniera passiva tutto il
traffico passante sul segmento di rete, senza interferire sullo stesso. L'analisi dei pacchetti può essere effettuata
mediante tre tecnologie: la pattern matching analysis, la stateful pattern matching analysis e la protocol analysis.
La Pattern Matching Analysis si occupa di analizzare i contenuti dei pacchetti alla ricerca di sequenze di bit
prefissate. Questo è un approccio semplice da implementare ma, allo stesso tempo, abbastanza rigido e pesante dal
punto di vista computazionale in quanto ogni pacchetto deve essere confrontato con centinaia di firme di intrusion
detection. Ogni firma è associata a un attacco specifico e istruisce l'IDS sul tipo di pacchetto da considerare anomalo.
Ciascuna firma assume una struttura composta da sei componenti <protocollo>, <ip_src>, <porta_src>, <ip_dst>,
<porta_dst> e <payload_con_exploit> che vengono confrontati con i pacchetti in ingresso e in uscita nel seguente
modo: SE il protocollo utilizzato è <protocollo>, l'indirizzo IP sorgente è <ip_src>, la porta associata all'indirizzo IP
sorgente è <porta_src>, l'indirizzo IP di destinazione è <ip_dst>, la porta associata all'indirizzo IP di destinazione è
<porta_dst> e il payload contenuto nel pacchetto è <payload_con_exploit>, ALLORA genera un allarme. In base a
quanto descritto fino ad ora, un allarme viene generato quando si verifica il pattern matching tra un pacchetto e una
regola. Questo significa che sarebbe sufficiente dividere la stringa dell'exploit contenuta nel payload in due frame
TCP, per non far rilevare l'attacco. Per risolvere questo problema, è stato introdotta la Stateful Pattern Matching
Analysis che è un criterio più sofisticato di analisi che effettua gli stessi controlli della Pattern Matching Analysis
tenendo però conto dello stream TCP dei dati. Questo comporta maggiore carico computazionale in quanto capita
spesso che ci siano sessioni TCP aperte da monitorare per un lungo periodo.
La Protocol Analysis invece, genera un allarme per ogni violazione delle specifiche tecniche di un protocollo. Si
supponga, per esempio, che un client intenda aprire una connessione TCP con un server, a tal fine invia un pacchetto
SYN e si aspetta di ricevere o un pacchetto SYN/ACK o un RST/ACK. Qualsiasi altro pacchetto ricevuto viene
considerato una violazione e genera un allarme. Questa tecnica minimizza, qualora il protocollo sia ben definito, il
numero di falsi positivi generati se traffico lecito viene riconosciuto come anomalo, tuttavia, non è raro trovare delle
RFC ambigue che lasciano spazio agli sviluppatori di implementare il protocollo a propria discrezione.

Allarmi falsi positivi e falsi negativi

I NIDS lavorano con grandi quantità di dati e per funzionare necessitano di almeno un algoritmo di generazione
degli allarmi. Alcuni amministratori scelgono di ritenere anomalo tutto il traffico considerato non affidabile (politica
chiusa), altri invece scelgono di ritenere affidabile tutto il traffico non considerato anomalo (politica aperta). Nella
prima ipotesi il carico computazionale del NIDS sarà rilevante e verrà generato un alto numero di falsi allarmi detti
falsi positivi che possono essere dovuti a:
• pacchetti generati da alcuni dispositivi di rete non riconosciuti dal NIDS;
• violazioni di protocolli non dovute ad attacchi ma ad implementazioni ambigue;
• circostanze normali ritenute pericolose dal NIDS, come per esempio la visualizzazione di una pagina web
contenente il codice sorgente di un exploit.
Nella seconda ipotesi il numero di allarmi sarà notevolmente minore, ma si corre il rischio di non identificare il
traffico anomalo che non trova alcuna corrispondenza con le regole impostate, generando falsi negativi che sono più
difficili da rilevare e possono essere dovuti a:
• configurazioni non appropriate della rete;
• quantità di traffico elevata a tal punto da non essere supportata dal NIDS;
• traffico cifrato;
• firme errate o troppo generiche;
• attacchi 0-day dei quali non è stata ancora rilasciata la corrispettiva firma.
Network intrusion detection system 124

Il numero di falsi negativi può essere limitato solo con una costante manutenzione del NIDS e con un frequente
aggiornamento delle firme. Per trovare il giusto equilibrio tra falsi positivi e falsi negativi, è opportuno analizzare
approfonditamente la topologia della rete ed eliminare la causa che genera falsi allarmi. Procedere eliminando
radicalmente la regola corrispondente ad un attacco, potrebbe essere una scelta troppo ingenua e superficiale che
talvolta può comportare il rischio di non rilevare attacchi reali.

Risposta dei NIDS

Gli IDS generalmente non intervengono sul traffico, ma si limitano a rispondere passivamente segnalando le
anomalie tramite messaggi di testo, email, o telefonate. La modalità di segnalazione dell’allarme spesso dipende
dalla gravità dello stesso. Alcuni IDS, possono anche essere programmati per rispondere attivamente agli attacchi più
seri, adottando una delle seguenti contromisure:
• inviando un pacchetto RST all’attaccante simulando che esso provenga dal sistema attaccato al fine di far credere
che la vittima non sia raggiungibile;
• interagendo con un firewall di rete per bloccare temporaneamente o permanentemente le connessioni con la
vittima;
• monitorando l’intero scambio di pacchetti;
• eseguendo un nslookup, un portscan o un traceroute verso il sistema attaccante per reperire maggiori
informazioni.
Tuttavia, configurando l’IDS per rispondere attivamente ad attacchi, in caso di falsi positivi si rischierebbe il blocco
delle connessioni che normalmente dovrebbero essere consentite causando un DoS.

Posizionamento
Una delle attività maggiormente critiche nella configurazione e messa in opera di un IDS è il suo posizionamento
all’interno della rete da monitorare. In base alla topologia della rete, possono presentarsi diversi casi. Quando in un
segmento di rete gli host sono collegati da un hub, l’implementazione di un NIDS è relativamente semplice perché
l’hub è una componente di rete che si occupa di replicare ogni singolo pacchetto su tutte le porte. In questo modo è
sufficiente collegare il NIDS a una porta qualsiasi dell’hub per poter leggere tutto il traffico passante.
In presenza di uno switch, invece, la situazione è diversa e l’implementazione dei NIDS è maggiormente complicata.
Gli switch, infatti, lavorano ad un livello superiore della pila ISO/OSI rispetto agli hub e quando devono inviare un
pacchetto, lo inviano solo verso la relativa porta di destinazione. Una soluzione per poter leggere tutto il traffico del
segmento di rete è il port mirroring che consiste nel monitorare una o più porte dello switch, copiandone il traffico su
un’altra porta detta mirror port. Tale porta dovrà necessariamente avere una capacità di banda possibilmente pari alla
somma della capacità di banda di tutte le porte monitorate. Solo in questo modo il traffico potrà essere gestito in
modo opportuno.
Come detto, la scelta del posizionamento degli IDS è un’attività molto delicata che deve tener conto delle esigenze
della rete e delle risorse di cui si dispone.
Un’altra variabile da considerare nel posizionamento di un IDS è la sua collocazione rispetto ad un firewall.
Posizionando l’Intrusion Detection System all’esterno del firewall, si identificheranno tutte le attività anomale
incluse quelle che non avranno accesso alla rete in quanto bloccate dal firewall. Un IDS disposto in questo modo
sarà più esposto agli attacchi provenienti dall’esterno perché privo di protezione. Le risorse richieste sono ingenti in
quanto la quantità di traffico analizzato e di log memorizzati sarà rilevante. Una soluzione più economica consiste
nel posizionare l’IDS all’interno del firewall per monitorare solo il traffico che accede alla rete. In tal modo saranno
generati meno allarmi e ci saranno meno log da analizzare.
Se invece, l’obiettivo dell’IDS è la protezione dei server, una valida alternativa è installare il sistema di intrusion
detection nella Demilitarized Zone (DMZ). Tuttavia, gli altri segmenti di rete rimarrebbero privi di monitoraggio.
Network intrusion detection system 125

Pertanto, nel caso in cui le risorse a disposizione siano elevate, la soluzione più robusta consiste nell’installare un
IDS per ogni segmento di rete. Questo permette di tenere sotto controllo l’intera rete, di configurare ciascun Intrusion
Detection System in maniera diversa in base alle esigenze del singolo segmento e di evitare eventuali sovraccarichi
dei sistemi. Inoltre, se un IDS dovesse venire meno per una qualsiasi ragione (come ad esempio errori
hardware/software o attacchi di vario tipo), gli altri segmenti di rete continuerebbero ad essere monitorati.

Log Analysis
L’analisi dei log è di fondamentale importanza nel processo di intrusion detection sia nel caso ci siano stati dei
tentativi di intrusione, che nel caso si sia verificato un incidente informatico. I log memorizzano record contenenti
informazioni sul timestamp, sul protocollo utilizzato, sull’indirizzo IP sorgente e di destinazione e sulle porte
utilizzate da qualsiasi attività anomala monitorata. Possono anche essere contenuti dati aggiuntivi come una
descrizione testuale dell’evento o il numero della regola che ha generato l’allarme. Quando vengono generati log
causati da eventi di una certa entità, è opportuno memorizzare anche il payload del pacchetto che ha generato
l’allarme per avere maggiori dettagli sull’evento. Facciamo un esempio considerando una richiesta DNS. In
corrispondenza di questo evento, verrà generato un log dove sarà riportato che il potenziale attaccante con indirizzo
IP 100.200.100.200 ha inviato un pacchetto UDP al destinatario 90.80.70.60, sulla porta 53. Ciò non sarà sufficiente
a capire se la richiesta DNS è stata dannosa o meno. La situazione sarebbe differente nel caso in cui si potesse
analizzare anche il payload del pacchetto.
Uno dei problemi maggiori nell’analisi dei log è l’eterogeneità intrinseca degli stessi, in quanto variano a seconda del
firewall, del router o dell’IDS utilizzato. Non esistono tool che sincronizzano cronologicamente i log prodotti da
sistemi differenti. Può talvolta capitare che la time zone differisca da sistema a sistema, rendendo ancora più
complicata l’analisi; tuttavia, per sincronizzare sistemi diversi, possono essere usati protocolli come NTP. Inoltre, di
estrema importanza è la capacità di reazione di fronte ad un’intrusione. Intervenire tempestivamente quando si
identifica un’intrusione, spesso è essenziale per evitare che l’attaccante possa alterare o eliminare i log. Gli
amministratori di rete, tuttavia, dovrebbero prestare attenzione non solo alla possibile manipolazione dei log ma
anche alle molteplici attività anomale che possono presentarsi, come quelle che si stanno per analizzare.
• Il calo delle performance della rete dovuto alla saturazione della banda, che si verifica perché spesso l’attaccante
utilizza le macchine compromesse per archiviare programmi, mp3 e film da mettere illegalmente in condivisione
con gli altri utenti della rete.
• Il traffico sospetto verso indirizzi IP sconosciuti o su protocolli non utilizzati comunemente. Se si rilevano
connessioni in uscita provenienti da un server web, questo può significare che il server sia stato compromesso.
• Se si identificano pacchetti malformati, c’è il rischio che un attaccante sia alla ricerca di vulnerabilità sulle varie
macchine del sistema o stia tentando di aggirare un firewall.
• La perdita di connettività, che potrebbe essere associata ad un attacco DoS.
• Un numero elevato di tentativi di login falliti, i quali sono comuni quando l’attaccante cerca di ottenere maggiori
privilegi di quelli realmente concessi.
• Un’attività inusuale del modem, che potrebbe indicare la probabile presenza di dialer.
• Le ‘Scansioni’ verso le macchine della rete, che sono utilizzate dall’attaccante per raccogliere informazioni sui
sistemi operativi installati, i servizi attivi, le porte aperte e la topologia della rete. Tali informazioni saranno poi
usate per effettuare un attacco.
• L’alta quantità di traffico generata in orari non di lavoro, indice di utenti non autorizzati che stanno usufruendo
della rete. Nel caso in cui nella rete attaccata fosse presente uno switch, una volta introdottosi, l’attaccante
potrebbe intercettare il traffico utilizzando due attacchi.
• L’attacco ARP-POISONING, dove vengono alterate le tabelle ARP degli host appartenenti allo stesso segmento
di rete, in modo che la macchina sul quale risiede lo sniffer veda anche il traffico generato dagli altri host.
Network intrusion detection system 126

• L’attacco DHCP-POISONING, dove l’attaccante fa in modo che un host della rete interna simuli di essere il
server DHCP e invii delle risposte ad-hoc alle DHCP-REQUEST che gli arrivano, specificando l’indirizzo IP
dell’attaccante come default gateway. In tal modo tutto il traffico, prima di arrivare all’esterno, passerà per la
macchina controllata dall’attaccante.

Aspetti Legali
Qualsiasi attività di monitoraggio della rete deve rispettare le normative in vigore nello stato in cui si trova il sistema
informatico e le politiche interne aziendali. In caso contrario esiste il rischio di essere perseguiti penalmente per
violazione della privacy degli utenti della rete e per intercettazione abusiva di comunicazione informatica. Non sarà,
inoltre, possibile utilizzare i dati raccolti per intraprendere azioni legali nei confronti di un intruso. È pertanto
opportuno:
• informare gli utenti che la loro attività di rete sarà monitorata;
• indicare lo scopo del monitoraggio;
• specificare le tipologie di traffico monitorate;
• specificare il responsabile a cui saranno inviate le segnalazioni di eventuali compromissioni.
Dal punto di vista burocratico tali accorgimenti possono essere tradotti in una lettera informativa da far firmare a
tutti gli utenti della rete per presa visione. Dal punto di vista tecnico è possibile implementare un “Message of the
Day” (MOTD) che consiste in un messaggio iniziale che informa gli utenti dell’attività di logging della rete. In caso
di incidente informatico i log rappresentano prove preziose, ed in quanto tali, devono essere ottenute in modo
conforme alla normativa vigente ed essere tali da poter illustrare dettagliatamente lo svolgimento dei fatti. È pertanto
opportuno fare in modo che la prova ottenuta sia:
• autentica ed inalterata anche in caso di spostamenti dei dispositivi che contengono la prova stessa;
• completa, in quanto non deve mostrare l’incidente dall’unica prospettiva riconducibile alle azioni compiute
dall’attaccante, ma deve valutare anche prospettive che potrebbero dare adito a contraddizioni;
• comprensibile e credibile, ovvero rappresentata in un formato leggibile da chiunque e non ad uso esclusivo degli
esperti del settore.

Scelta di un NIDS
Per concludere questa panoramica, vengono discussi gli elementi da tenere in considerazione durante la scelta di un
NIDS.
• Costo: deve, ovviamente, essere proporzionato alle risorse che si vogliono proteggere.
• Capacità del la banda supportata: è la quantità di traffico che il sensore può analizzare in un’unità di tempo. Si
misura in Mb/s o in pacchetti/s.
• Aggiornamento delle firme: i NIDS da questo punto di vista funzionano esattamente come gli antivirus. Per poter
identificare i nuovi attacchi devono avere nel loro database le firme recenti. Per questa ragione è di estrema
importanza che gli aggiornamenti vengano rilasciati in modo tempestivo e venga data la possibilità di aggiornare
il database in modo automatico. Importante è anche la possibilità di utilizzare firme personalizzate create ad-hoc
per le proprie esigenze.
• Attività di logging: è opportuno verificare la chiarezza dei log e valutare se l’output viene salvato in formato
standard o proprietario.
• Scalabilità: La possibilità di ampliare le funzionalità del NIDS in caso di esigenze future è di estrema importanza,
in partiolare andrebbe valutato il numero di sensori supportati e la possibilità di gestire il sistema in maniera
centralizzata tramite un’apposita console.
Network intrusion detection system 127

Voci correlate
• Sicurezza informatica
• Intrusion detection system (IDS)
• Host-based intrusion detection system (HIDS)

Collegamenti esterni
• (EN) Snort [4] - Popolare NIDS Open Source
• (EN) ISS RealSecure Network IDS [2]
• (EN) The RFC Archive [1]

Note
[1] http:/ / www. faqs. org/ rfcs/

Network tap
Tap è un dispositivo hardware inserito in reti informatiche che permette il monitoraggio non invasivo del flusso dati
in transito.
Il significato del nome in lingua inglese è rubinetto, e rappresenta in modo figurato lo scopo del dispositivo. Tuttavia
è anche un retro-acronimo, in quanto consiste nelle iniziali di Test Access Port.
Si presenta come una scatola con almeno tre connettori: A, B e Monitor. Il segmento di rete sottoposto a
monitoraggio viene derivato tra A e B mentre il connettore Monitor è collegato ai dispositivi di monitoraggio, spesso
attraverso una rete indipendente. Il flusso dati tra A e B è assicurato senza alcuna alterazione fisica o temporale (pass
through) e ricopiato integralmente sulla porta Monitor.
Le reti informatiche, inclusa Internet, sono collezioni di dispositivi, quali computer, router e switch che sono
interconnessi attraverso diverse tecnologie al livello 2 della pila ISO/OSI. A questo livello, un dispositivo Tap è
virtualmente invisibile.
L'uso virtuoso di questo dispositivo è in sistemi di amministrazione remota delle reti o del monitoraggio delle
intrusioni ai fini della sicurezza informatica. È pertanto importante che il livello fisico della rete sia adeguatamente
protetto (ad esempio, l'accesso ai locali di un datacenter non deve essere consentito agli estranei), ad evitare
l'inserzione indesiderata ed un uso maligno di questo dispositivo.
Lo svantaggio principale di questa soluzione sta nel costo addizionale che esso comporta, pertanto in diversi casi gli
viene preferita una soluzione software quale il packet sniffer.
Network tap 128

Voci correlate
• Packet sniffer

Collegamenti esterni
• Comcraft [1]
• Datacom Systems [2]
• Net Optics/NPC [3]
• Telena SPA [4]

Note
[1] http:/ / www. lan-wan-tap. com
[2] http:/ / www. datacomsystems. com/
[3] http:/ / www. network-taps. it/
[4] http:/ / www. telena. eu/

Next-Generation Secure Computing Base

Il sistema NGSCB (Next-Generation Secure Computing Base), precedentemente noto con il nome di Palladium e
poi trasformatosi in System Integrity Team, è un'architettura software proposta dalla Microsoft che avrebbe inserito
un Trusted Software Stack nelle versioni di Microsoft Windows successive a Windows XP, in particolar modo in
Windows Vista. L'unica funzionalità effettivamente implementata in tale sistema operativo che sfrutta le funzionalità
offerte dal Trusted Computing è BitLocker Drive Encryption, un programma per la crittazione del disco rigido.

Architettura e dettagli tecnici

Nelle attuali specifiche della Trusted Computing sono presenti due
componenti hardware: il TPM (Trusted Platform Module), che realizza
la memorizzazione in sicurezza di chiavi crittografiche e un
coprocessore crittografico sicuro, e una particolare caratteristica di
memoria nella CPU. Il sistema NGSCB avrebbe dovuto includere
inoltre due componenti software, il Nexus, un kernel di sicurezza
integrato all'interno del sistema operativo, e vari NCA (Nexus
Computing Agent), ossia moduli fidati all'interno di applicazioni che
sfruttano la NGSCB.

Applicazioni
Architettura del NGSCB
Le applicazioni progettate per NGSCB sarebbero state divise in due
parti: lo NCA, un modulo "fidato" in grado di accedere a un insieme ristretto di API, e una parte "non fidata" che
sarebbe stato in grado di accedere a tutte le API di Windows. Ciò al fine di evitare che il modulo "fidato" fosse in
grado di effettuare delle chiamate ad API che avrebbero potuto contenere delle falle di sicurezza (ossia che non siano
'fidate'); il codice fidato avrebbe dovuto usare solo API che fossero state attentamente esaminate al fine di chiudere
ogni possibile falla di sicurezza.
Next-Generation Secure Computing Base 129

Critiche
L'NGSCB ed il Trusted Computing furono criticati soprattutto in quanto considerati inefficaci nel risolvere la
maggior parte degli odierni problemi di sicurezza informatica, quali ad esempio virus informatici e trojans. Ciò
nonostante, Microsoft aveva affermato in passato che l'NGSCB è una tappa necessaria propria nella lotta ai virus[1] .
Tuttavia, in seguito Microsoft non ha più aggiunto nulla circa l'effettiva capacità dell'NGSCB di risolvere questi
problemi[2] .

Disponibilità
Quando fu annunciato, ci si aspettava che l'NGSCB facesse parte del nuovo sistema operativo Windows, Windows
Vista (precedentemente denominato Longhorn). Nel maggio 2004 fu riportato che la Microsoft aveva accantonato il
progetto NGSCB[3] . La notizia fu repentinamente smentita dalla Microsoft, che rilasciò alla stampa la dichiarazione
di star al contrario "riprendendo" il progetto.

Cambi di nome dell'iniziativa

Inizialmente l'NGSCB era stato chiamato da Microsoft "Palladium". Nella mitologia greca e romana, Palladio era
l'"immagine della tradizione su cui si basa la sicurezza della città". Il nome era associato in particolare alla statua
della dea Atena ubicata a Troia, la quale si credeva proteggesse i troiani dalle invasioni dei greci. La statua venne
rubata da Ulisse e Diomede, ma la città non cadde fino a che non venne aggredita dal cavallo di Troia.
All'inizio del 2006, la Microsoft ha di nuovo cambiato il nome del progetto NGSCB in System Integrity Team[4]
(progetto per il mantenimento dell'integrità del sistema). L'ultimo post sul sito web del progetto risaliva al 26 ottobre
2006, ma da poco si vede nuova attività sul blog del sito esattamente dal 25 febbraio 2008.

Voci correlate
• Trusted computing
• BitLocker Drive Encryption

Note
[1] (http:/ / archives. linuxfromscratch. org/ mail-archives/ lfs-chat/ 2003-August/ 016683. html)
[2] (http:/ / www. microsoft. com/ technet/ archive/ security/ news/ ngscb. mspx)
[3] (http:/ / www. crn. com/ sections/ breakingnews/ dailyarchives.
jhtml;jsessionid=STLRITJUXF2YCQSNDBCCKH0CJUMEKJVN?articleId=18841713& _requestid=350195)
[4] (EN) System Integrity Team Official Blog (http:/ / blogs. msdn. com/ si_team/ archive/ 2006/ 03/ 02/ 542577. aspx)

Collegamenti esterni
• (EN) Microsoft's NGSCB page (http://www.microsoft.com/resources/ngscb/default.mspx)
• (EN) Blog del system integrity team (http://blogs.msdn.com/si_team/default.aspx)
• Articolo di Ross Anderson sul palladium (http://www.complessita.it/tcpa/)
• Richard Stallman's Can You Trust Your Computer? (http://www.gnu.org/philosophy/can-you-trust.it.html)
• (EN)Bruce Schneier's analysis (http://www.schneier.com/crypto-gram-0208.html#1) of Palladium/TCPA
• (EN) Register story: MS security patch EULA gives Bill Gates admin privileges on your box (http://www.
theregister.co.uk/content/4/25956.html)
• (EN) The Trojan Palladium (http://homepage.mac.com/cparada/GML/Palladium.html)
• (EN) News.com story: What's in a name? Not Palladium (http://news.com.com/2100-1001-982127.
html?tag=fd_top)
Next-Generation Secure Computing Base 130

• (EN) Microsoft patents "Digital Rights Management Operating System" (http://www.oreillynet.com/cs/user/

view/wlg/956)
• (EN) Microsoft's "Digital Rights Management Operating System" patent (http://patft.uspto.gov/netacgi/
nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=/netahtml/srchnum.htm&r=1&f=G&l=50&
s1=6330670.WKU.&OS=PN/6330670&RS=PN/6330670)
• (EN) Microsoft moves to integrate Windows with BIOS (http://news.zdnet.co.uk/software/developer/
0,39020387,39116902,00.htm)
• (EN) Secure Startup: Microsoft in Your Motherboard (http://www.devhardware.com/c/a/Motherboards/
Secure-Startup-Microsoft-in-Your-Motherboard/): Article about Microsoft's plans for security and the hardware
involved

Nmap
Nmap

Sviluppatore Gordon Lyon (Fyodor)

Ultima versione 5.51 (12 febbraio 2011)

S.O. Multi-piattaforma

Genere Sicurezza Informatica

Licenza GNU General Public License

(Licenza libera)

Sito web http:/ / www. insecure. org/ nmap/

Nmap è un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning,
cioè mirato all'individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da
determinare quali servizi di rete siano disponibili.
È in grado di ipotizzare quale sistema operativo sia utilizzato dal computer bersaglio, tecnica conosciuta come
fingerprinting. Nmap è divenuto uno degli strumenti praticamente indispensabili della "cassetta degli attrezzi" di un
amministratore di sistema, ed è usato per test di penetrazione e compiti di sicurezza informatica in generale.
Come molti strumenti usati nel campo della sicurezza informatica, Nmap può essere utilizzato sia dagli
amministratori di sistema che dai cracker o script kiddies. Gli amministratori di sistema possono utilizzarlo per
verificare la presenza di possibili applicazioni server non autorizzate, così come i cracker possono usarlo per
analizzare i loro bersagli.
Nmap è spesso confuso con strumenti per la verifica di vulnerabilità come Nessus. Nmap può essere configurato per
evadere dagli IDS (Intrusion Detection System) ed interferire il meno possibile con le normali operazioni delle reti e
dei computer che vengono scanditi.
Nmap 131

Curiosità
Nel film Matrix Reloaded Trinity usa Nmap per penetrare nel sistema della centrale elettrica, tramite la forzatura dei
servizi SSH e il bug CRC32[1] (scoperto nel 2001).

Note
[1] BBC News: Matrix mixes life and hacking (http:/ / news. bbc. co. uk/ 1/ hi/ technology/ 3039329. stm)

Voci correlate
• Port scanning
• hping
• Nessus

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Nmap

Collegamenti esterni
• (EN) The Nmap Security Scanner (http://www.insecure.org/nmap/)
• Guida in Italiano per Nmap (http://www.shishii.com/dummy/index.php?id=99)

One-time password
Una One-Time Password (password usata una sola volta) è una password che è valida solo per una singola sessione
di accesso o una transazione. La OTP evita una serie di carenze associate all'uso della tradizionale password (statica).
Il più importante problema che viene risolto da OTP è che, al contrario della password statica, esso non è vulnerabile
agli attacchi con replica. Ciò significa che, se un potenziale intruso riesce ad intercettare una OTP che è stata già
utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla, in quanto non sarà
più valida. D'altra parte, una OTP non può essere memorizzata da una persona. Essa richiede quindi una tecnologia
supplementare per poter essere utilizzata.

Come sono generate e memorizzate le OTP

Gli algoritmi di generazione delle OTP in genere fanno uso di numeri casuali. Ciò è necessario perché altrimenti
sarebbe facile prevedere l'OTP futuro osservando i precedenti. Gli algoritmi OTP che sono stati realizzati sono
abbastanza diversi tra loro. I vari approcci per la generazione di OTP sono elencati di seguito.
• Algoritmi basati sulla sincronizzazione temporale tra server di autenticazione e client che fornisce la password
(le OTP sono valide solo per un breve periodo di tempo)
• Algoritmi matematici che generano una nuova password in base alla password precedente (le OTP sono, di
fatto, una catena di password legate tra loro, e devono essere utilizzate in un ordine predefinito)
• Algoritmi matematici dove la password è basata su una sfida (per esempio, un numero casuale scelto dal server
di autenticazione o dai dettagli della transazione) e/o su un contatore.
Ci sono anche diversi modi per rendere note all'utente le successive OTP da usare. Alcuni sistemi elettronici
prevedono l'uso di speciali token che l'utente porta con sé, che generano le OTP e le mostrano utilizzando un piccolo
display. Altri sistemi sono costituiti da un software che gira sul telefono cellulare dell'utente. Altri sistemi generano
le OTP sul lato server e le trasmettono all'utente su un canale fuori banda, come ad esempio un canale di
One-time password 132

messaggistica SMS. Infine, in alcuni sistemi le OTP sono stampate su carta, che l'utente è tenuto a portare con sé.

OpenID
OpenID è un meccanismo di identificazione creato da Brad Fitzpatrick di LiveJournal. Si tratta di un network
distribuito e decentralizzato, nel quale la propria identità è un URL, e può essere verificata da qualunque server
supporti il protocollo.
Su un sito che supporta OpenID, gli utenti Internet non hanno bisogno di creare ed amministrare un nuovo account
per accedervi. Al contrario essi effettuano una autenticazione col proprio provider OpenID, che fornisce la
dichiarazione di identità al sito che supporta l'OpenID.
È al momento supportato da LiveJournal e dai suoi fork (come GreatestJournal. InsaneJournal, LiveJournal e
DeadJournal), così come da Plone (versione 3.0) [1](EN), LifeWiki, SupportOffice e Schtuff.

Fondazione OpenID
La fondazione OpenID, così come la sua controparte europea OpenID Europa, è una struttura, senza scopo di lucro,
impegnata nello sviluppo della rete OpenID, fondata nel 2007[2] .

Adozione di OpenID
• America Online
• Bitbucket
• Orange
• VeriSign
• Simptropolis.com
• Six Apart
• Springnote
• WordPress.com
• Wikitravel, Ma.gnolia, ClaimID, IconBuffet, UserStyles.org, e Basecamp
• Yahoo!
• SourceForge
• Google
• Facebook
• Identi.ca
• Virgilio (portale)
• Ikariam
• Embarcadero Developer Network
OpenID 133

Voci correlate
• Identity Centric Architecture
• Light-Weight Identity
• Single sign-on
• LiveJournal
• DataPortability
• Google Friend

Note
[1] http:/ / plone. org/ products/ plone/ roadmap/ 173
[2] (EN) OpenID Foundation (http:/ / openid. net/ foundation/ ). OpenID Foundation. URL consultato il 26-06-2008.

Collegamenti esterni
• (EN) OpenID Europe Foundation (http://openideurope.eu/)
• OpenID Italia (http://www.openid.it/) - Progetto Open Source per OpenID in Italia
• Video: cos'è OpenID (http://www.ictv.it/file/vedi/355/openid/)
• (EN) Home Page di OpenID (http://www.openid.net/)
• (EN) OpenID Site Directory: una lista di siti che usano OpenID (https://www.myopenid.com/directory)
• (EN) The OpenID Directory: un'altra lista di siti che usano OpenID (http://openiddirectory.com/)

OpenSSL
OpenSSL

Sviluppatore The OpenSSL Project

Ultima versione 1.0.0e (6 settembre 2011)

S.O. Multi piattaforma

Linguaggio C

Genere Sicurezza

Licenza Licenza Apache-style

(Licenza chiusa)

Sito web http:/ / www. openssl. org

OpenSSL è un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C)
eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure
che permettono di accedere alle funzioni della libreria OpenSSL.
È disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e Mac OS X, ed anche per
Microsoft Windows. OpenSSL è originariamente basato sulle librerie SSLeay di Eric Young e Tim Hudson.
OpenSSL 134

Versioni principali
• OpenSSL 1.0.0 rilasciata il 29 marzo 2010
• OpenSSL 0.9.8 rilasciata il 5 luglio 2005 (annuncio) [1]
• OpenSSL 0.9.7 rilasciata il 31 dicembre 2002
• OpenSSL 0.9.6 rilasciata il 25 settembre 2000
• OpenSSL 0.9.5 rilasciata il 28 febbraio 2000
• OpenSSL 0.9.4 rilasciata il 9 agosto 1999
• OpenSSL 0.9.3 rilasciata il 25 maggio 1999.

Algoritmi implementati
OpenSSL supporta diversi algoritmi crittografici:
Cifrari
Blowfish, Camellia, CAST, DES, RC2, RC4, RC5, IDEA, AES
funzioni hash crittografiche
MD5, MD2, SHA, MDC-2
Crittografia a chiave pubblica
RSA, DSA, Scambio di chiavi Diffie-Hellman
Funzioni di Autenticazione dei messaggi
HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA
Certificati
X.509

Conformità allo standard FIPS

Negli Stati Uniti l' Open Source Software Institute [2], un'organizzazione senza fini di lucro formata da rappresentanti
del governo, dell'industria e del mondo accademico allo scopo di promuovere l'adozione dei programmi open source
nelle università e negli enti governativi, sta tentando di far ottenere a OpenSSL la conformità FIPS 140-2 (Federal
Information Processing Standard FIPS Publication 140-2), uno standard per la sicurezza informatica usato per
certificare i programmi crittografici.

Licenza
OpenSSL utilizza una sistema dual-license (doppia licenza), la OpenSSL License e la SSleay License. Normalmente
in un sistema a doppia licenza è possibile scegliere quale delle due licenze adottare; nel caso della OpenSSL occorre
seguire entrambe. La licenza risultante è simile a quella di Apache.
La licenza richiede che la frase "This product includes software developed by the OpenSSL Project for use in the
OpenSSL Toolkit" appaia come clausola pubblicitaria, che la rendono incompatibile con la licenza GPL. Non è ben
chiaro se la OpenSSL rientri nella eccezione della GPL riguardo alle librerie di sistema. Alcuni autori preferiscono
inserire una esplicita GPL linking exception per permettere l'utilizzo della OpenSSL nel loro software. Altri hanno
preferito sostituirla con la GnuTLS.
OpenSSL 135

Bug di sicurezza Debian

Il 13 maggio 2008 è stato scoperto un grave problema di sicurezza nel pacchetto OpenSSL di Debian GNU/Linux.
La versione implementata in Debian, Ubuntu e altre distribuzioni derivate generava infatti chiavi vulnerabili. Una
correzione risalente al settembre 2006, infatti, aveva eliminato il codice che utilizzava parti della memoria non
inizializzate per aumentare l'entropia del generatore di chiavi, utilizzando come valore variabile solo il numero del
processo. Questa modifica aveva ridotto il numero di chiavi generabili da 21024 o 22048 a solo 215, quindi ad appena
32768 valori possibili.
Questo bug è stato rapidamente corretto ma tutte le chiavi generate su sistemi Debian e derivati nel frattempo
andrebbero rigenerate.

Alternative
• GnuTLS della Free Software Foundation è una libreria analoga che svolge le stesse funzioni, ma compatibile con
la licenza GNU Lesser General Public License.

Collegamenti esterni
• (EN) Sito web OpenSSL [3]
• (EN) GnuTLS [4]
• Introduzione ed esempi (codice sorgente C) per gli algoritmi: DES, Blowfish, Idea, MD5 [5]
• Introduzione ed esempi (codice sorgente C) per l'algoritmo: RSA [6]
• (EN) Debian Security Advisory del bug nel pacchetto openssl [7]
• Guida alle connessioni tunnel con SSH (forwarding) [8]

Note
[1] http:/ / www. openssl. org/ news/ announce. html
[2] http:/ / www. oss-institute. org/
[3] http:/ / www. openssl. org/
[4] http:/ / www. gnu. org/ software/ gnutls/
[5] http:/ / ardoino. com/ 21-openssl-des-blowfish-idea-md5-implementation/
[6] http:/ / ardoino. com/ 20-openssl-rsa-implementation/
[7] http:/ / www. debian. org/ security/ 2008/ dsa-1571
[8] http:/ / www. compago. it/ index. php/ manuali/ 34-linux/ 166-connessioni-tunnel-con-ssh
OSSIM 136

OSSIM
OSSIM è uno strumento per il security monitoring (si basa, tra l'altro, su Nessus, Snort, Ntop): il nome rappresenta
l'acronimo di "Open Source Security Information Manager".

Correlazione
OSSIM è un correlatore, in un contesto in cui correlare implica la capacità di osservare tutti gli eventi in tutti i
sistemi in un posto e nella stessa disposizione, e da questa posizione di vantaggio privilegiata confrontare e valutare
le informazioni, permettendo così di migliorare la possibilità di rilevazione.
L'idea di correlazione è inoltre implicita nella visione del progetto, inteso come unione di più prodotti e con la
possibilità di integrare diverse fonti dati. Nel quadro generale di OSSIM, sono stati integrati in un unico prodotto una
serie di software sviluppati negli ultimi anni, che generano nuove possibilità quando le loro funzionalità sono
correlate.

Valutazione di rischio
Per decidere se o non realizzare un'azione si valuta il report di minaccia.
Strumenti di cui OSSIM è il correlatore:
• Nessus
• snort
• ntop
• p0f
• Pads
• Spade
• Tcptrack
• Nagios
• Osiris
• Arpwatch
Password authentication protocol 137

Password authentication protocol

Il PAP (acronimo per l'inglese Password authentication protocol), è un protocollo di rete che richiede che l'utente si
faccia riconoscere inviando, in chiaro, al server sia l'identificativo utente che la password.
L'utilizzo di questo protocollo è conveniente solo nel caso in cui la rete sia formata da due soli elaboratori in un
collegamento punto-punto. Un suo utilizzo in una rete diversa in cui hanno accesso più elaboratori
comprometterebbe inequivocabilmente la sicurezza delle trasmissioni dato che sia password che parola d'ordine
vengono trasmessi in chiaro senza cifrature.

Voci correlate
• Autenticazione
• CHAP

Penetration Test
In informatica, il penetration test è il processo operativo di valutazione della sicurezza di un sistema o di una rete
che simula l'attacco di un utente malintenzionato. L'analisi comprende più fasi ed ha come obiettivo evidenziare le
debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso
l'accesso non autorizzato. L'analisi è condotta dal punto di vista di un potenziale attaccante e consiste nello
sfruttamento delle vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente al
sistema.
Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme ad una valutazione del loro impatto
nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di migrazione e
mitigazione del sistema.
Il penetration test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei
confronti:
• delle vulnerabilità interne al sistema;
• delle vulnerabilità esterna al sistema;
• della sicurezza fisica.

Procedimenti di analisi
L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attività è chiamato penetration
tester o auditor e oggi anche con il più moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le
stesse logiche utilizzate da un hacker. Un gruppo di penetration tester è chiamato anche tiger team.
I processi di penetration test possono essere effettuati in diverse modalità. La differenza consiste sulla quantità e
qualità delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test Black Box non presuppongono
precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e
servizi dei sistemi prima di iniziare l'analisi.
Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di
schemi di rete, codice sorgente delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a
queste metodologie definibili Grey Box.
I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate
fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della
Penetration Test 138

piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo,
consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale
dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune
ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze,
o prove, che certificano l'esistenza delle problematiche stesse.
L'attività si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al
management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per
l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata
dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle
piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza
di ciò che si espone.

Certificazioni Professionali
Nell'ambito del penetration test è possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute
caratteristiche tecniche e di affidabilità degli operatori nonché quello di fornire una metodologia che renda il test di
per se replicabile, valutabile e misurabile nel tempo:
ISECOM - OSSTMM Professiona Security Tester (OPST)
International Council of E-Commerce Consultants - Certified Ethical Hacker (CEH)
Offensive Security (offensive-security.com)- Offensive Security Certified Professional (OSCP)

Piano di contingenza
Il piano di contingenza (o piano emergenziale) è un programma operativo che delinea preventivamente le azioni di
determinati soggetti od enti per il caso che si verifichi un evento dannoso o comunque pericoloso per la collettività.
Il piano, cioè, prevede in genere linee guida più o meno dettagliate su cosa ciascuno dei soggetti od enti che devono
dargli esecuzione debba fare al verificarsi dell'evento.

I piani di contingenza civili

Piani di contingenza civili sono stati elaborati in previsione di numerose possibili emergenze, ad esempio, in tempi
recenti, per il rischio che il cosiddetto Millennium bug potesse portare al caos organizzativo istituzioni ed aziende
che fondavano la loro capacità operativa sui computer. Più in generale un'organizzazione (Ente o Azienda) attenta al
sua gestione dell'informazione dovrebbe avere un #Piano_di_contingenza_informatico
[1] [2]
Altri piani sono ordinariamente redatti per fronteggiare i rischi da eventualità di tipo sanitario, sismico,
idrogeologico e simili.

I piani di contingenza militari

I piani di contingenza militari (e quelli simili redatti per esigenze di polizia) sono in genere elaborati per l'ipotesi di
eventi pericolosi per la sicurezza politico-militare dello stato. Prendono perciò in considerazione le eventualità di
insurrezione, sovversione, colpo di stato, azioni terroristiche e, ovviamente, attacchi armati da parte di potenze
straniere. Contengono istruzioni sull'impiego e sul dispiegamento delle forze, nonché l'indicazione di obiettivi
sensibili interni da presidiare o conquistare, oppure di obiettivi esterni da attaccare o espugnare. La loro redazione è
competenza di esperti di strategia militare muniti dell'opportuna legittimazione.
Le ipotesi di lavoro comprendono l'eventuale impossibilità di coordinamento strategico delle forze, sia per
impedimento o "annullamento" dei vertici, sia per mera interruzione dei canali di comunicazione, pertanto i piani
Piano di contingenza 139

emergenziali militari rispondono anche a questa esigenza.

In Italia alcuni di questi piani, ordinariamente coperti da segreto militare o segreto di stato, sono emersi in occasione
di inchieste giudiziarie; così fu ad esempio per il Piano Solo e per il piano Esigenza Triangolo. Ad un riordino e
coordinamento dei piani emergenziali provvide negli anni cinquanta l'allora capo della polizia, prefetto Angelo
Vicari.

Piano di contingenza informatico

Il piano di contingenza informatico si articola su quattro filoni di analisi:
• Impatto sul business (business impact analysis)
• Pianificazione della risposta all'incidente (incidente response plannig)
• Pianificazione del recupero del disastro (Disaster Recovery Planning)
• Pianificazione della continuità del Business (Business Continuity Planning)

Impatto sul business (business impact analysis)

Individua i processi che devono essere funzionanti per garantire il business e quali possono essere sospesi per un
certo periodo di tempo. Questo porta alla definizione di una strategia di recupero[3] .

Pianificazione della risposta all'incidente (incidente response plannig)

È un insieme dettagliato di processi e procedure che prevengono, scoprono e mitigano l'impatto di un evento che
possa compromettere le risorse e i beni correlati.
È costituito da sei fasi[4] :
1. Preparazione. Pianificazione e preparazione nell'evento di un incidente di sicurezza
2. Identificazione. Per scoprire un insieme di eventi che hanno un impatto negativo sul business e possono essere
considerati un incidente di sicurezza
3. Contenimento. Per contenere e mitigare i danni
4. Estirpazione. Per essere sicuri di avere rimosso i suoi effetti e i suoi agenti dai sistemi
5. Recupero. Per riportare il business ed i beni al loro stato normale
6. Lezioni apprese (Lessons Learned): come applicare quello che si appreso dall'accaduto al sistema
Una minaccia diviene un attacco valido e viene considerata come un incidente di sicurezza informativa se:
• è diretto verso i beni informatici
• ha una probabilità realistica di riuscire
• minaccia la riservatezza, integrità o la disponibilità delle informazioni

Pianificazione del recupero del disastro (Disaster Recovery Planning)

Vedi Disaster_recovery

Pianificazione della continuità del Business (Business Continuity Planning)

Il BCP è attivato di solito insieme al Disater recovery planning dal CEO. Esso tende a far continuare il business
anche con mezzi alternativi (altro sito, procedure manuali, outsourcing) mentre il DRP si focalizza a ripristinare il
sito principale o meglio le operazioni come di solito sono portate avanti.

Altri significati
Nella programmazione aziendale, ad esempio per la redazione di studi di fattibilità, i piani di contingenza sono le
analisi dei problemi potenzialmente ostanti al corretto raggiungimento degli obiettivi di impresa (generali o specifici)
Piano di contingenza 140

e comprendono le soluzioni operative che si prevede di voler applicare in simili eventualità.

Note
[1] Linee guida per la pianificazione di contingenza per emergenze sanitarie (http:/ / www. asl3. liguria. it/ doc/ pdf/ LG_piano_contingenza. pdf)
[2] Linee guida per la pianificazione di contingenza per la gestione di un laboratorio (http:/ / www. medicalsystems. it/ editoria/ GALA/
Gala7_1_3. pdf)
[3] Michael E. Whitman, Herbert J. Mattord, Management of Information Security, 2/E ISBN 1-4239-0130-4
[4] NIST IT Contingency Planning Guide (http:/ / csrc. nist. gov/ publications/ nistpubs/ 800-34-rev1/ sp800-34-rev1. pdf)

Voci correlate
• Business continuity plan
• Esigenza Triangolo
• Piano Solo

Port knocking
In informatica, il port knocking è un sistema per aprire delle porte su un firewall dall'esterno inviando tentativi di
connessione ad una sequenza prestabilita di porte chiuse; una volta che ciò sia stato fatto le regole del firewall
vengono aggiornate dinamicamente per consentire all'host che ha inviato la giusta sequenza di connettersi alla porta
voluta.
Questo scopo viene ottenuto principalmente impiegando un demone che controlli continuamente i log del firewall in
cerca della sequenza corretta e in tal caso ne modifichi la configurazione, ma si può usare anche uno sniffer che
esamini direttamente i pacchetti ricevuti, usando in questo caso delle porte già aperte su cui ricevere la bussata.
L'utente invece utilizzerà un piccolo programma, che può essere un semplice script netcat o un ping modificato sino
ad un generatore di hash, da lanciare prima della normale connessione alla macchina di destinazione.
Il port knocking viene frequentemente impiegato per consentire l'accesso sulla porta TCP 22, usata da SSH, in
quanto questo servizio è spesso l'obiettivo di attacchi a forza bruta in seguito a port scan. La bussata è analoga ad una
stretta di mano segreta e può consistere in qualsiasi quantità di pacchetti TCP, UDP, ICMP diretti a porte numerate
sulla macchina di destinazione. La complessità della bussata può variare da una semplice lista di porte da contattare
sequenzialmente ad uno schema temporizzato che discrimini l'indirizzo IP e impieghi tecniche crittografiche.
Molte implementazioni sono vere e proprie macchine a stati che consentono di non rivelare alcuna informazione
circa lo stato attuale, in altre parole se la parte iniziale della bussata è stata ricevuta correttamente, mentre quella
finale no, l'utente non ha nessun modo di saperlo in quanto l'unico effetto osservabile è l'eventuale apertura della
porta a cui si vuole connettere quando la sequenza inviata è corretta.

Come funziona in teoria

1. Il client non è in grado di connettersi all'applicazione in ascolto sulla porta n.
2. Il client tenta di connettersi ad un insieme predefinito di porte inviando un'opportuna sequenza di pacchetti, sa
dell'esistenza del demone che gestisce il port knocking e conosce la sua configurazione, ma non riceve alcuna
risposta in questa fase in quanto il firewall lo impedisce.
3. Un processo sul server (il demone che gestisce il port knocking) intercetta ed interpreta i tentativi di connessione,
secondo la bussata ricevuta eseguirà una certo genere di azione, come aprire la porta n al client.
4. Il client si connette alla porta n e si autentica secondo i normali metodi.
Port knocking 141

Benefici
Se un malintenzionato non conosce la corretta bussata, scoprire una sequenza anche molto semplice richiede un
attacco a forza bruta piuttosto impegnativo. Ad esempio una bussata su tre porte richiederebbe all'attaccante di
provare ogni loro possibile combinazione nell'intervallo che va da 1 a 65535 e quindi controllare se per caso si sia
aperta la porta desiderata; questo equivale approssimativamente all'invio di 655354 (18,445,618,199,572,250,625 o
18 milioni di miliardi circa) pacchetti per una singola porta, statisticamente ne sarebbero necessari 9 milioni di
miliardi. Generalmente, quando una bussata ha successo, le regole del firewall sono modificate in modo da
consentire l'accesso solo all'indirizzo IP da cui è stata generata; in questo modo diversi utenti potranno effettuare la
procedura senza che questa venga influenzata da altri e possono anche essere definite distinte bussate per ogni IP.
Questo approccio è paragonabile ad una sorta di whitelist dinamica: la porta potrà essere chiusa dall'utilizzatore,
senza l'intervento di un amministratore di sistema, con un'altra bussata, oppure sarà previsto un timeout.
Le prime implementazioni del port knocking consistevano in semplici liste di porte a cui connettersi in sequenza,
questa semplicità ha ingenerato un certo sospetto nella comunità di esperti di sicurezza informatica, soprattutto a
causa dell'inefficacia di questo approccio verso i replay attack, ma l'introduzione di primitive crittografiche (quali ad
esempio gli hash) ha consentito di superare anche questa limitazione. Ad ogni modo, anche se un malintenzionato
venisse a conoscenza della corretta bussata, il servizio sotto attacco avrebbe ancora a sua difesa i suoi usuali
meccanismi di autenticazione.
Il port knocking può essere utilizzato anche per scopi che esulano dall'apertura porte; in effetti una bussata potrebbe
fare partire una qualsiasi azione sulla macchina, ad esempio il lancio di un programma.

Voci correlate
• Firewall

Collegamenti esterni
• (EN) PORTKNOCKING - A system for stealthy authentication across closed ports. [1]
• (EN) Linux Journal: Port Knocking [2]
• (EN) A Netfilter module for port knocking. [3]
• Il portknocking: implementazione su Linux e Windows [4]
• Howto port knocking sul Linux User Group di Perugia [5]

Note
[1] http:/ / www. portknocking. org/
[2] http:/ / www. linuxjournal. com/ article/ 6811
[3] http:/ / portknocko. berlios. de/
[4] http:/ / www. areanetworking. it/ esempio-di-topologia-complessa. html
[5] http:/ / www. ptlug. org/ wiki/ Howto_port_knocking
Privoxy 142

Privoxy
Privoxy

Sviluppatore [1]
Privoxy Developers

Ultima versione 3.0.13 (14 giugno 2009)

Ultima beta 3.0.15 beta (18 ottobre 2009)

S.O. Multipiattaforma

Linguaggio C

Genere Filtering proxy

Licenza GNU GPL 2

(Licenza libera)

Sito web [2]

www.privoxy.org

Privoxy è un programma di proxy web, spesso usato in combinazione con Tor e Squid. Ha funzionalità di filtro per
la protezione della privacy, per la modifica dei dati delle pagine web, per la gestione dei cookies, per il controllo
degli accessi, e per la rimozione selettiva di contenuti come annunci, banner e pop-up. Può essere personalizzato e
può essere usato sia per sistemi stand-alone che per reti multi-utente.
Il programma è un progetto associato di Software in the Public Interest e si basa sull'Internet Junkbuster; è rilasciato
con licenza GNU General Public License. È disponibile per sistemi GNU/Linux, Windows, Mac OS X, OS/2,
AmigaOS, BeOS e la maggior parte delle varianti Unix. Quasi tutti i browser web sono in grado di usarlo.
Privoxy combinato con Tor viene utilizzato anche in tutto il mondo per aggirare la censura di Internet.

Voci correlate
• Proxy server

Collegamenti esterni
• privoxy.org [2]
• Privoxy su Sourceforge [3]

Note
[1] http:/ / www. privoxy. org/ user-manual/ copyright. html
[2] http:/ / www. privoxy. org/
[3] http:/ / sourceforge. net/ projects/ ijbswa
Procedura GIANOS 143

Procedura GIANOS
Il GIANOS (generatore indici di anomalia per operazioni sospette) è una procedura informatica di selezione delle
operazioni potenzialmente sospette diffusa nelle banche. È stata realizzata da un gruppo di lavoro interbancario
coordinato dall'ABI con il supporto di esperti legali, informatici, organizzativi e statistici. Attualmente è in uso la
versione 1.006 e presto sarà operativa la versione 1.007 completa di una extention relativa ai generatori di profili di
rischio antiriciclaggio (GIANOS 2007 GPR)

Protezione
Protezione ha diversi significati a seconda del contesto.

Informatica
Nell'informatica la protezione consiste nel prevenire, attraverso opportuni controlli a tempo di esecuzione, che
vengano eseguite operazioni illegittime sugli oggetti di un sistema.
I meccanismi di protezione vengono usati per due scopi distinti:
• come prevenzione dagli errori dovuti ai guasti, e in questo caso si parla di tolleranza ai guasti;
• come salvaguardia da condotte maliziose, per garantire principalmente la confidenzialità, l'integrità e la
disponibilità delle informazioni, e in questo caso si parla di sicurezza informatica.
Per le finalità della sicurezza informatica sono fondamentali sia le tecniche usate per la tolleranza ai guasti, sia
tecniche aggiuntive come la crittografia e l'autenticazione.

Meccanismo di protezione
Il compito di un meccanismo di protezione è quello di verificare che ogni volta che un certo soggetto (ad esempio un
modulo di elaborazione) invoca una operazione su un certo oggetto (ad esempio una struttura dati), esista in
quell'istante un diritto che gli consente tale comportamento.
Nel caso in cui il diritto esiste, l'operazione verrà eseguita, altrimenti verrà generata un'eccezione di violazione di
protezione.
In un sistema di protezione un tale meccanismo è presente a tutti i livelli di astrazione dell'architettura,
eventualmente utilizzando i meccanismi dei livelli sottostanti.

Elettrotecnica
In elettrotecnica la protezione è quel dispositivo che evita la folgorazione della persona o per la protezione dei
carichi o linee annesse. Di queste protezioni esistono molte forme e variabili a seconda del tipo di servizio e utilità.

Telecomunicazioni
Nelle reti di telecomunicazione, il termine protezione indica quei meccanismi di intervento automatico o
semi-automatico che garantiscono la continuità della trasmissione a fronte di guasti o degradi dei nodi della rete, del
mezzo trasmissivo o del segnale trasmesso.
Protezione 144

Sicurezza
Nel campo della sicurezza le misure di protezione servono a ridurre le conseguenze di un incidente (incendio,
allagamento, crollo, ecc.) nel momento in cui si verifica. A differenza delle misure di prevenzione che riducono la
probabilità di accadimento di un evento, esse non riducono le occasioni di incidente ma ne contengono
esclusivamente le conseguenze e ne limitano i danni (a persone e cose).
Nel campo della sicurezza antincendio si distinguono in:
• Misure di protezione passiva, che non richiedono l'azione dell'uomo o l'azionamento di un impianto:
• adeguate compartimentazioni e porte antincendio;
• uscite di sicurezza, vie d'esodo, scale protette e a prova di fumo;
• adeguata segnaletica di sicurezza
• Misure di protezione attiva, che richiedono l'intervento umano o l'azionamento di un impianto:
• impianti di rilevamento incendi e di allarme;
• estintori, idranti, naspo, reti sprinkler;
• luci di emergenza;
• presidi e attrezzature antincendio;
• adeguata squadra di emergenza e di pronto soccorso;

Pagine correlate
• Protezione della memoria, per quanto riguarda il meccanismo di protezione al livello di astrazione dei processi
• Affidabilità

Protezione del database

La protezione del database è l'attuazione della sicurezza informatica nel campo delle basi di dati. Il termine
“sicurezza” viene spesso sostituito dal termine autorizzazione; si parla quindi di modelli di autorizzazione, gestione
delle autorizzazioni, regole di autorizzazione. Si trattano solo misure di sicurezza logica per i dati, ossia le procedure
che assicurano che l’accesso di dati avvenga solo da parte di soggetti autorizzati secondo le modalità (lettura,
scrittura, ecc) autorizzate.

Requisiti di protezione
Per una base di dati, i requisiti di protezione rispetto agli attacchi sono:
• Protezione da accessi impropri;
• Protezione da inferenza;
• Integrità della base di dati: uso di tecniche di backup e recovery del sistema operativo e del DBMS;
• Integrità semantica: uso di vincoli semantici e di software del tipo concurrency manager del DBMS
• Accountability e auditing;
• Autenticazione degli utenti;
• Identificazione, protezione e gestione dei dati sensibili;
• Protezione multilivello, adatta per basi di dati altamente sensitive, quali quelle militari e governative, in cui i dati
sono etichettati e gli utenti identificati e autorizzati mediante clearance;
• Sconfinamento: si tratta di confinare i programmi all’esecuzione entro precisi domini di esecuzione in modo che
gli eventuali danni siano limitati a quel dominio. Si attuano per evitare il trasferimento di informazioni lungo
canali autorizzati (ad esempio, nella scrittura di variabili condivise fra moduli software), canali di memoria (sia
centrale sia di massa, ad esempio monitorando quando l’I/O sta svolgendo un programma si possono inferire
Protezione del database 145

informazioni), canali covert (si tratta di canali di flusso dati di cui i gestori, o i progettisti di sistema, sono a
conoscenza; ad esempio, flussi di dati tra zone di memoria, che si scoprono solamente mediante una tecnica
apposita detta covert channel analysis).

Controlli di sicurezza
I controlli per una base di dati, rispetto agli attacchi, sono principalmente i seguenti:
• Controlli di flusso. Si tratta di controllare le sequenze di operazioni del tipo READ X, WRITE Y che avvengono
da un oggetto X (supponiamo autorizzato) verso un oggetto Y (supponiamo non autorizzato). Infatti, il valore
contenuto in X viene copiato in Y.
• Controlli di inferenza. Con operazioni di assegnamento tipo Y = f(X), in cui l’ insieme di dati Y (supponiamo non
autorizzato) è ricavato applicando la funzione f all’insieme X (supponiamo autorizzato). Si possono allora
verificare tre tipi di inferenza: accesso diretto, dati correlati, dati mancanti.
• Controlli di accesso. Sono i tipi di controllo più diffusi per applicativi e dati e si basano sul controllo dell’identità
dei soggetti, della modalità di accesso della richiesta (ad esempio scrittura, lettura), e dell’oggetto cui il soggetto
chiede di accedere. Le modalità di accesso vengono anche dette privilegi di accesso e privilegi amministrativi, che
permettono ad alcuni soggetti speciali di concedere e revocare privilegi di accesso alle risorse. I privilegi
amministrativi vengono realizzati pressoché tutti in sistemi mediante le due operazioni GRANT e REVOKE.
I meccanismi di controllo dell’accesso sono parte del sistema operativo, del DBMS e di alcuni pacchetti add-on per
la sicurezza, quali RACF o TOP-SECRET che, aggiunti al sistema operativo, permettono un controllo dell’accesso
alle risorse più specifico. Questi controlli, se opportunamente personalizzati in un sistema, permettono di attuare
varie politiche di controllo di accessi ai dati, quali la politica mondatoria, discrezionale, di autorizzazione
cooperativa ecc.

Politiche di autorizzazione
Le principali politiche di autorizzazione per una base di dati si possono riassumere come segue.
• Privilegio minimo (need-to-know): ogni soggetto possiede i minimi privilegi sulle risorse, che gli permettono di
portare avanti le proprie mansioni organizzative.
• Privilegio massimo: in ambienti in cui la condivisione di informazioni deve essere massima, questa politica
fornisce a tutti i soggetti la massima visibilità e il massimo accesso alle risorse; è nata con i primi sistemi Unix,
sistemi rivolti allo sviluppo di applicazioni (in ambiente universitario).
• Amministrazione centralizzata: esiste un unico amministratore di sistema che ha tutti i privilegi di accesso e
amministrativi sulle risorse, e che può concedere in via temporanea, alcuni privilegi ad altri soggetti su specifiche
risorse, e successivamente revocarli.
• Amministrazione decentralizzata (ownership): ogni utente è proprietario delle proprie risorse e può concedere
temporaneamente alcuni privilegi ad altri soggetti su risorse, e successivamente revocarli.
• Autorizzazione cooperativa: è necessaria l’autorizzazione da parte di più soggetti per ottenere un privilegio di
accesso.
• Amministrazione gerarchica: esistono gerarchie di amministratori, ciascuno responsabile di una porzione della
base di dati, collegati fra loro da privilegi GRANT/REVOKE di amministrazione.
• Sistemi chiusi/aperti: in un sistema chiuso tutti i privilegi che non sono esplicitamente autorizzati sono negati,
mentre in un sistema aperto a tutti i privilegi che non sono esplicitamente negati sono autorizzati. I sistemi chiusi
forniscono un maggior grado di sicurezza e sono più adatti per basi di dati con requisiti di protezione elevati.
• Controllo di accesso discrezionale: i soggetti possiedono l’ownership degli oggetti da loro creati e possono
concedere e revocare a loro discrezione alcuni privilegi ad altri soggetti;
• Controllo di accesso obbligatorio: i soggetti non possono propagare i privilegi di accesso. I controlli sono rigidi e
basati sulla etichettatura dei dati (labeling) e sull’assegnamento di clearance.
Protezione del database 146

Protezione a basi di dati governative e commerciali

Le tecniche di protezione sono principalmente le seguenti:
• partizionamento in basi di dati monolivello (con relativi problemi di ridondanza e incongruenza dati);
• tecniche crittografiche per dati sensibili;
• integrità lock: utilizzo dei checksum (somme di controllo) che, calcolate in funzione del valore del dato, vengono
memorizzate e ricalcolate a ogni accesso al dato. Se la somma risulta cambiata, vuol dire che il dato è stato
alterato in maniera impropria (controllo di integrità);
• front end di sicurezza tra utente e DBMS;
• views, ovvero definizione da parte dell'amministratore del database (DBA) di sottoschemi (viste) della base di dati
che mostrano solo i dati accessibili.
Per tradurre le politiche in meccanismi, e per verificare la sicurezza, si usano modelli di sicurezza. Inoltre, gli aspetti
cruciali del progetto di sistemi sicuri sono:
• la scelta dell’ambiente hardware/software;
• la protezione esterna (organizzativa, fisica);
• la protezione interna (login, autenticazione, audit);
• la sicurezza offerta dal sistema operativo;
• l’affidabilità dei sistemi hardware/software;
• gli aspetti amministrativi, umani, organizzativi, economici.
Per entrambe le basi di dati, quelle classificate/pubbliche e quelle commerciali, la sicurezza si basa su controlli
organizzativi e strumenti hardware/software. Alcuni tentativi in corso consistono nell’applicare DBMS trusted e basi
di dati commerciali. Tuttavia si hanno controlli rigidi, inadeguati, costosi, e comunque non efficaci contro attacchi
quali cavalli di troia e teapdoor nel software applicativo. Per le basi governative, la principale soluzione consiste nel
realizzare architetture DBMS multilivello, quali:
• Integrità Lock (Mitre Corporation) disponibile nel prodotto Truedata;
• Kernelized architecture (SRI) in Secure Oracle;
• architettura a soggetti trusted (modello ASD-RTW) realizzata da Sybase, Rubix, Informix, Oracle, Dec.

Modelli di sicurezza
I modelli di sicurezza o più propriamente di autorizzazione per le basi di dati, servono per esprimere formalmente le
politiche di protezione di un dato sistema e verificare alcune proprietà di sicurezza che devono essere rispettate dal
sistema che si implementa. I modelli si distinguono in due categorie:
• modelli discrezionali, per sistemi con politiche di propagazione privilegi e di ownership (GRANT/REVOKE);
• modelli mandatori, per sistemi con dati altamente sensitivi. Sono caratterizzati da soggetti con clearance, oggetti
con etichettatura (label), procedure per la gestione sicura di classificazioni ed etichettature (uso di software
trusted).
Protezione del database 147

Problemi di sicurezza in basi di dati distribuite federate

L’evoluzione dei sistemi informativi e delle basi di dati verso soluzioni globali distribuite, porta a nuove disponibilità
di informazioni, ma nel contempo crea nuovi problemi di sicurezza. I problemi di sicurezza nelle federazioni di basi
di dati, ovvero in sistemi in cui varie basi di dati pre-esistenti si aggregano a costituire un insieme di dati accessibili
via rete, comprendono nuovi problemi di sicurezza, che nascono dal fatto che:
• vari dati vengono messi in condivisione, mentre altri restano di pertinenza dei siti;
• le politiche di accesso possono essere diverse per i vari siti;
• gli utenti aumentano e possono lavorare sia in locale sia in remoto, con profili diversi.
Servono inoltre nuovi schemi di autenticazione, metodi per stabilire le politiche per il controllo dell’accesso,
architetture distribuite che comprendono aspetti di sicurezza.
Si possono avere federazioni a bassa, media e ad alta autonomia. Le basi di dati federate presentano la necessità di:
• cooperazione su larga scala tra basi di dati: questo comporta problemi di autonomia e condivisione informazioni;
• conservazione dei sistemi informativi e delle basi di dati preesistenti: questo comporta problemi di eterogeneità e
di interoperabilità.

Distribuzione e sicurezza
La distribuzione dei dati può avvenire mediante partizionamento dei dati orizzontale e/o verticale, oppure mediante
replicazione dei dati. I vantaggi della distribuzione sono una maggiore disponibilità e affidabilità del sistema e
migliori tempi di accesso ai dati. Altri aspetti della distribuzione e quindi della sicurezza, sono:
• molteplicità di amministratori locali;
• eterogeneità e sicurezza.

Sicurezza nella basi di dati on-line su Web

L’infrastruttura realizzata con la rete Internet offre l’opportunità di rendere disponibili informazioni di qualsiasi
genere avendo come base l’interfaccia standard offerta dai browser. Entrando nel merito della specifica tematica
della pubblicazione del contenuto di basi di dati tramite un server Web, esistono due possibili soluzioni architetturali:
• architettura two tier, in cui il server Web accede direttamente ai dati mediante protocolli standard o protocolli
proprietari per applicazioni specifiche;
• architettura three tier, in cui un application server fa da intermediario fra le richieste di interrogazione del server
Web e l’effettivo accesso ai dati.
Protocollo AAA 148

Protocollo AAA
In telematica, e in particolare nelle reti di telecomunicazione o di computer, un protocollo AAA è un protocollo che
realizza le tre funzioni di autenticazione (authentication), controllo degli accessi (authorization) e tracciamento del
consumo delle risorse da parte degli utenti (accounting).
L'espressione protocollo AAA non si riferisce dunque a un particolare protocollo ma a una famiglia di protocolli che
offrono, anche in modi diversi, i servizi citati.

Requisiti
• (EN)RFC 2194 Review of Roaming Implementations
• (EN)RFC 2477 Criteria for Evaluating Roaming Protocols
• (EN)RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model
• (EN)RFC 2903 Generic AAA Architecture
• (EN)RFC 2904 AAA Authorization Framework
• (EN)RFC 2905 AAA Authorization Application Examples
• (EN)RFC 2906 AAA Authorization Requirements
• (EN)RFC 3169 Criteria for Evaluating Network Access Server Protocols
• (EN)RFC 3539 AAA Transport Profile

Elenco di protocolli AAA

• RADIUS
• DIAMETER
• TACACS
• TACACS+
Protocollo Kerberos 149

Protocollo Kerberos
Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di
comunicare su una rete informatica insicura provando la propria identità e cifrando i dati. Kerberos previene
l'intercettazione e i replay attack, e assicura l'integrità dei dati. I suoi progettisti mirarono soprattutto ad un modello
client-server, e fornisce una mutua autenticazione — sia l'utente che il fornitore del servizio possono verificare
l'identità dell'altro.
Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.

Storia e sviluppo
Il Massachusetts Institute of Technology (MIT) sviluppò Kerberos per proteggere i servizi di rete forniti dal Project
Athena. Il protocollo fu battezzato come il personaggio mitologico Cerbero, che nella mitologia greca era il cane a
tre teste posto a guardia dell'Ade. Ci sono diverse versioni del protocollo; le versioni dalla 1 alla 3 furono utilizzate
solo all'interno del MIT.
Steve Miller e Clifford Neuman, i principali sviluppatori di Kerberos versione 4, pubblicarono questa versione alla
fine degli anni Ottanta, anche se era stata sviluppata principalmente per il Project Athena.
La versione 5, progettata da John Kohl e Clifford Neuman, venne formalizzata nella RFC 1510 nel 1993 (resa
obsoleta dalla RFC 4120 nel 2005), con l'intenzione di risolvere i limiti e i problemi di sicurezza della versione 4.
Il MIT mette a disposizione una implementazione di Kerberos libera, sotto una licenza simile alla BSD
Le autorità degli USA classificarono Kerberos come arma e ne vietarono l'esportazione poiché utilizzava l'algoritmo
di crittazione DES (con chiavi da 56 bit). Una implementazione di Kerberos non statunitense, KTH-KRB [1]
sviluppata in Svezia, rese il sistema disponibile anche al di fuori degli Stati Uniti, prima che questi cambiassero la
propria legge sull'esportazione degli algoritmi crittografici (attorno al 2000). L'implementazione svedese del
protocollo era basata su una versione di Kerberos detta eBones. eBones era basata sulla versione MIT Bones (in
pratica una versione di Kerberos priva delle funzioni crittografiche e delle loro chiamate) ricavata da Kerberos 4
patchlevel 9. L'australiano Eric Young, autore di diverse librerie crittografiche, reinserì le chiamate alle funzioni
crittografiche utilizzando la propria libreria libdes. Questa versione limitata di Kerberos fu chiamata eBones. Una
implementazione della versione 5 di Kerberos, Heimdal [2], fu rilasciata essenzialmente dallo stesso gruppo che creò
KTH-KRB.
Windows 2000, Windows XP e Windows Server 2003 usano una variante di Kerberos come sistema predefinito di
autenticazione. Alcune aggiunte di Microsoft a Kerberos sono documentate nella RFC 3244 "Microsoft Windows
2000 Kerberos Change Password and Set Password Protocols" (trad.: "Protocolli Kerberos di impostazione
password e cambio password in Microsoft Windows 2000"). Anche Mac OS X di Apple utilizza Kerberos sia nella
versione client sia in quella server.
Nel 2005 il gruppo di lavoro su Kerberos dello IETF ha aggiornato le specifiche [3]. Recenti aggiornamenti
includono:
• "Encryption and Checksum Specifications" (trad.: "Specifiche di crittazione e calcolo checksum") (RFC 3961)
• "Advanced Encryption Standard (AES) Encryption for Kerberos 5" (trad.: "Crittazione con AES in Kerberos 5")
(RFC 3962),
• Una nuova edizione delle specifiche di Kerberos 5 "The Kerberos Network Authentication Service (V5)" (trad.:
"Servizio Kerberos per l'Autenticazione su Reti") (RFC 4120). Questa versione rende obsoleta la RFC 1510,
chiarifica alcuni aspetti del protocollo e il suo utilizzo in modo più dettagliato e chiaro,
• Una nuova edizione delle specifiche per GSS-API (RFC 4121)
Protocollo Kerberos 150

Descrizione
Kerberos si basa sul protocollo di Needham-Schroeder. Utilizza una terza parte affidabile per centralizzare la
distribuzione delle chiavi detta Key Distribution Center (KDC), che consiste di due parti separate logicamente:
l'Authentication Server (AS) e il Ticket Granting Server (TGS). Kerberos funziona utilizzando dei "biglietti" (detti
ticket) che servono per provare l'identità degli utenti.
L'AS mantiene un database delle chiavi segrete; ogni entità sulla rete — che sia un client o un server — condivide la
chiave segreta solo con l'AS. La conoscenza di questa chiave serve per provare l'identità di un'entità. Per
comunicazioni tra due entità, Kerberos genera una chiave di sessione, che può essere utilizzata dai due terminali per
comunicare.

Utilizzi
Il seguente software è in grado di usare Kerberos per l'autenticazione:
• OpenSSH (con Kerberos 5 o successivo)
• NFS (a partire dalla versione NFSv4)
• PAM (con il modulo pam_krb5)
• SOCKS (a partire da SOCKS5)

Il protocollo
Il protocollo può essere definito come segue utilizzando la notazione per protocolli di sicurezza, dove Alice (A) si
autentica presso Bob (B) usando il server S:

La sicurezza del protocollo si basa fortemente sui timestamp T e sui tempi di vita L come indicatori affidabili della
creazione recente della comunicazione per evitare replay attack (vedi logica BAN).
È importante notare come il server S qui stia sia come Authentication Service (AS) che come Ticket Granting
Service (TGS).

Operazioni di Kerberos
Quella che segue è una descrizione semplificata del protocollo. Saranno utilizzate le seguenti abbreviazioni: AS =
Authentication Server, TGS = Ticket Granting Server, SS = Service Server.
In breve: il client si autentica presso AS che gli fornisce un ticket di sessione per accedere a TGS, si autentica presso
TGS e riceve il ticket per aprire una sessione di comunicazione con SS.
In dettaglio:
Protocollo Kerberos 151

Utente: Autenticazione di base

1. Un utente inserisce username e password sul client.

Client: Autenticazione AS
1. Il client manda un messaggio non crittato all'AS richiedendo i servizi per l'utente. ("L'utente XYZ vorrebbe
richiedere dei servizi"). Né la chiave segreta né la password vengono inviate all'AS.
2. L'AS controlla se il client è nel suo database. Se lo è invia due messaggi al client:
• Messaggio A: Chiave di sessione client-TGS crittata usando la chiave segreta dell'utente.
• Messaggio B: Ticket-Granting Ticket (che include l'identificativo del client, l'indirizzo di rete, il tempo di
validità del ticket e la chiave di sessione client-TGS) crittata utilizzando la chiave segreta di TGS.
3. Quando il client riceve i messaggi A e B, decritta il messaggio A ottenendo la chiave di sessione client-TGS.
Questa chiave è utilizzata per le successive comunicazioni con TGS. (Nota: il client non può decrittare il
Messaggio B, che è stato crittato con la chiave segreta di TGS). A questo punto il client possiede i mezzi per
autenticarsi presso TGS.

Client: Autenticazione TGS

1. Quando richiede dei servizi, il client invia i seguenti due messaggi a TGS:
• Messaggio C: composto dal Ticket-Granting Ticket (mandatogli dal AS nel messaggio B) e dall'identificativo
del servizio richiesto
• Messaggio D: autenticatore (Authenticator) (che è formato da identificativo del client e timestamp), crittato
usando la chiave di sessione client—TGS.
2. Ricevendo i messaggi C e D, TGS decritta il messaggio C con la propria chiave e dal messaggio estrae la chiave
di sessione client—TGS che utilizza per decrittare il messaggio D (autenticatore). A questo punto invia i seguenti
due messaggi al client:
• Messaggio E: Ticket client-server (che include l'identificativo del client, l'indirizzo di rete del client, il periodo
di validità e la chiave di sessione client-server) crittato utilizzando la chiave segreta del server che offre il
servizio.
• Messaggio F: Chiave di sessione client-server crittato usando la chiave di sessione client-TGS.

Client: Autenticazione SS
1. Ricevendo i messaggi E e F dal TGS, il client può autenticarsi presso il SS. Il client si connette al SS e invia i
seguenti due messaggi:
• Messaggio G: Ticket client-server crittato usando la chiave segreta di SS.
• Messaggio H: un nuovo autenticatore, che include l'identificativo del client, il timestamp e è crittato usando la
chiave di sessione client-server.
2. Il server decritta il ticket usando la sua chiave segreta e invia il seguente messaggio al client per confermare la
propria identità e la volontà di fornire il servizio al client:
• Messaggio I: il timestamp trovato nell'autenticatore incrementato di uno, crittato utilizzando la chiave di
sessione client-server.
3. Il client decritta la conferma usando la chiave di sessione client-server e controlla che il timestamp sia
correttamente aggiornato. Se lo è, il client può considerare affidabile il server e iniziare a effettuare le richieste di
servizio.
4. Il server fornisce i servizi al client.
Protocollo Kerberos 152

Voci correlate
• Single sign-on
• SPNEGO
• S/Key

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Kerberos

Collegamenti esterni
• Pagina di Kerberos del MIT [4]
• FAQ di Kerberos [5]
• Tutorial Kerberos [6]
• Kerberos 5 - autenticazione utente [7]

Bibliografia
• B. Clifford Neuman e Theodore Ts'o, Kerberos: An Authentication Service for Computer Networks, IEEE
Communications, 32(9) pp33–38. Settembre 1994. [8]
• John T. Kohl, B. Clifford Neuman, e Theodore Y. T'so, The Evolution of the Kerberos Authentication System.
Distributed Open Systems, pp78–94. IEEE Computer Society Press, 1994. [9] (Formato postscript)

Note
[1] http:/ / www. pdc. kth. se/ kth-krb/
[2] http:/ / www. pdc. kth. se/ heimdal/
[3] http:/ / www. ietf. org/ html. charters/ krb-wg-charter. html
[4] http:/ / web. mit. edu/ kerberos/
[5] http:/ / www. faqs. org/ faqs/ kerberos-faq/ general/
[6] http:/ / www. zeroshell. net/ kerberos/
[7] http:/ / xoomer. alice. it/ sigma83/ kerberos5/ index. html
[8] http:/ / gost. isi. edu/ publications/ kerberos-neuman-tso. html
[9] ftp:/ / athena-dist. mit. edu/ pub/ kerberos/ doc/ krb_evol. PS
RADIUS 153

RADIUS
RADIUS (Remote Authentication Dial-In User Service) è un protocollo AAA (authentication, authorization,
accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP. RADIUS è attualmente lo standard
de-facto per l’autenticazione remota, prevalendo sia nei sistemi nuovi che in quelli già esistenti.

Dettagli sul protocollo

Un pacchetto RADIUS è così formato (secondo la RFC):

0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes...
+-+-+-+-+-+-+-+-+-+-+-+-+-

Il codice stabilisce il tipo di pacchetto RADIUS. I codici sono:

• 1 = Access-Request
• 2 = Access-Accept
• 3 = Access-Reject
• 4 = Accounting-Request
• 5 = Accounting-Response
• 11 = Access-Challenge
• 12 = Status-Server (sperimentale)
• 13 = Status-Client (sperimentale)
• 255 = riservato
L’identificatore è un ottetto che permette al client RADIUS di associare una risposta RADIUS con la relativa
richiesta. Il significato della stringa Authenticator, di 16 byte, verrà chiarito dopo. Nella sezione degli attributi,
infine, è conservato un numero arbitrario di campi.

Funzionamento
L’intero processo ha inizio quando un client crea un pacchetto RADIUS Access-Request, includendo almeno gli
attributi User-Name e User-Password, e generando il contenuto del campo identificatore. Il processo di generazione
del campo identificatore non è specificato nel protocollo RADIUS, ma è solitamente implementato come un
semplice contatore incrementato ad ogni richiesta.
Il campo authenticator contiene una Request-Authenticator, ovvero una stringa di 16 byte scelta in modo casuale.
L'intero pacchetto è trasmesso in chiaro, a parte per l’attributo User-Password, che è protetto nel modo seguente: il
client e il server condividono una chiave segreta. Tale chiave viene unita con la Request Authenticator, e l'intera
stringa viene sottoposta a una funzione hash MD5 per la creazione di un valore di 16 ottetti, sottoposto a sua volta a
RADIUS 154

un XOR con la password immessa dall’utente (e se tale password è più lunga di 16 ottetti, vi è un calcolo MD5
addizionale, utilizzando il testo cifrato anziché la Request Authenticator).
Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il client. In caso negativo, il
pacchetto viene silenziosamente ignorato. Poiché anche il server è in possesso del segreto condiviso, è possibile
utilizzare una versione modificata del processo di protezione del client per ottenere la password in chiaro. Quindi il
server consulta il database per convalidare username e password; se la password è valida, il server crea un pacchetto
Access-Accept da rimandare al client. In caso contrario, crea un pacchetto Access-Reject e lo invia al client.
Entrambi i pacchetti Access-Accept e Access-Reject utilizzano lo stesso valore identificatore del pacchetto
Access-Request del client, e hanno una Response Authenticator nel campo Authenticator. La Response
Authenticator è la funzione hash MD5 del pacchetto di risposta con l’associata Request Authenticator, concatenata
con il segreto condiviso.
Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una precedente richiesta utilizzando
il campo identificatore. Se non esiste alcuna richiesta con lo stesso identificatore, la risposta è silenziosamente
ignorata. Quindi il client verifica la Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed
infine comparando il risultato con il campo Authenticator. Se la Response Authenticator non coincide, il pacchetto è
silenziosamente ignorato.
Se il client riceve un pacchetto Access-Accept verificato, username e password sono considerati corretti, e l’utente è
autenticato. Se invece riceve un pacchetto Access-Reject verificato, username e password sono scorretti, e di
conseguenza l’utente non è autenticato.

Utilizzo di RADIUS
RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. È comunemente usato per dispositivi di
rete integrati come router, server modem, switch ecc., per svariate ragioni:
• I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con informazioni di
autenticazione distinte, poiché questo richiederebbe molta più memoria di massa di quanta ne possiedano la
maggior parte di essi.
• RADIUS facilita l’amministrazione utente centralizzata, che è importante per diverse applicazioni. Molti ISP
hanno decine di migliaia, centinaia di migliaia o anche milioni di utenti, aggiunti e cancellati di continuo durante
una giornata, e le informazioni di autenticazione cambiano costantemente. L’amministrazione centralizzata degli
utenti è un requisito operativo.
• RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione
remota offrono una protezione intermittente, inadeguata o addirittura inesistente.
• Un supporto RADIUS è quasi onnipresente. Altri protocolli di autenticazione remota non hanno un consistente
supporto da parte dei fornitori di hardware, quando invece RADIUS è uniformemente supportato. Poiché le
piattaforme sulle quali è implementato RADIUS sono spesso sistemi integrati, vi sono limitate possibilità di
supportare protocolli addizionali. Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una
compatibilità minima con client e server RADIUS preesistenti (e non modificati).
Nonostante ciò, è stato messo a punto un nuovo protocollo, DIAMETER, candidato a rimpiazzare RADIUS: utilizza
infatti TCP anziché UDP ed è di conseguenza considerato più sicuro ed affidabile.
RADIUS 155

Modalità di utilizzo di RADIUS

RADIUS è un protocollo che utilizza pacchetti UDP per trasportare informazioni di autenticazione e configurazione
tra l’autenticatore e il server RADIUS. L’autenticazione è basata su username, password e, opzionalmente, risposta a
una richiesta di riconoscimento (una sorta di “parola d’ordine”). Se l’autenticazione ha successo, il server RADIUS
invia le informazioni di configurazione al client, inclusi i valori necessari a soddisfare il servizio richiesto, come un
indirizzo IP e una maschera di sottorete per PPP o un numero di porta TCP per telnet.
Uno dei limiti del protocollo RADIUS è l’autenticazione basata esclusivamente su password: la password è
trasmessa o in forma hash (utilizzando l’algoritmo di hashing MD5), oppure sottoforma di risposta a una richiesta di
identificazione (CHAP-password). L’Extensible Authentication Protocol (EAP) rende RADIUS capace di lavorare
con una varietà di schemi di autenticazione, inclusi chiave pubblica, Kerberos e smart card.
L’access point agisce da traduttore EAP-RADIUS tra il client wireless e il RADIUS server. Esso utilizza il
protocollo EAP per comunicare con il client e il protocollo RADIUS per comunicare con il server RADIUS.
L’access point incapsula le informazioni (come lo username o la chiave pubblica) in un pacchetto RADIUS che
inoltra al server RADIUS. Quando il server rimanda una delle possibili risposte (Access-Accept/Reject/Challenge),
l’access point spacchetta il pacchetto RADIUS ed inoltra la risposta al client in un pacchetto EAP.
La RFC 2869 (RADIUS Extensions) specifica gli attributi opzionali da impostare sui pacchetti RADIUS per indicare
al server RADIUS che si sta utilizzando il protocollo EAP. Poiché il pacchetto EAP include un campo per
specificare quale metodo di autenticazione è in uso, il server RADIUS implementa l’autenticazione richiamando
un’apposita procedura.

RADIUS usato per l’autenticazione web

RADIUS offre la possibilità di eseguire l’autenticazione di utenti remoti anche per particolari siti web che richiedono
la protezione dall’accesso del pubblico generale. In particolare c’è un modulo che prevede l’integrazione con il server
web Apache, ovviando all’uso dei file.htaccess e.htpasswd con le istruzioni Allow e Deny, che rende l’accesso alle
risorse web protetto con le caratteristiche AAA viste precedentemente.
Il modulo è stato sviluppato per Apache e si chiama mod_auth_radius. In questo modo Apache diventa un client del
server RADIUS, sostituendosi al NAS nell’usuale schema di autenticazione, e dando in out-sourcing la gestione
dell’autorizzazione e dell’accounting.

Standard
Il protocollo RADIUS è definito in:
• RFC 2865 Remote Authentication Dial In User Service (RADIUS)
• RFC 2866 RADIUS Accounting
Altre RFC rilevanti sono:
• RFC 2548 Microsoft Vendor-specific RADIUS Attributes
• RFC 2607 Proxy Chaining and Policy Implementation in Roaming
• RFC 2618 RADIUS Authentication Client MIB
• RFC 2619 RADIUS Authentication Server MIB
• RFC 2620 RADIUS Accounting Client MIB
• RFC 2621 RADIUS Accounting Server MIB
• RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS
• RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
• RFC 2868 RADIUS Attributes for Tunnel Protocol Support
• RFC 2869 RADIUS Extensions
• RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices
RADIUS 156

• RFC 3162 RADIUS and IPv6

• RFC 3575 IANA Considerations for RADIUS
• RFC 3576 Dynamic Authorization Extensions to RADIUS
• RFC 3579 RADIUS Support for EAP
• RFC 3580 IEEE 802.1X RADIUS Usage Guidelines
• RFC 4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option

Collegamenti esterni
• (EN) An Analysis of the RADIUS Authentication Protocol [1]
• (EN) List of RADIUS attributes [2]
• (EN) The History of the RADIUS Server [3]

Note
[1] http:/ / www. untruth. org/ ~josh/ security/ radius/ radius-auth. html
[2] http:/ / www. freeradius. org/ rfc/ attributes. html
[3] http:/ / www. interlinknetworks. com/ resources. htm

Recovery Point Objective

Il Recovery Point Objective (RPO) è uno dei parametri usati nell'ambito delle politiche di disaster recovery per
descrivere la tolleranza ai guasti di un sistema informatico. Esso rappresenta il massimo tempo che intercorre tra la
produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la
misura della massima quantità di dati che il sistema può perdere a causa di guasto improvviso.
Al diminuire dell'RPO richiesto si rendono necessarie politiche di sicurezza sempre più stringenti e dispendiose, che
possono andare dal salvataggio dei dati su supporti ridondanti tolleranti ai guasti fino alla loro pressoché immediata
replicazione su un sistema informatico secondario d'emergenza (soluzione in grado di garantire, in linea teorica,
valori di RPO prossimi allo zero).

Voci correlate
• Recovery Time Objective (RTO)
• Disaster recovery
• Tolleranza ai guasti
Recovery Time Objective 157

Recovery Time Objective

Il Recovery Time Objective (RTO) è il tempo necessario per il pieno recupero dell'operatività di un sistema o di un
processo organizzativo in un sistema di analisi Business Critical System (ad esempio implementazioni di politiche di
Disaster Recovery nei Sistemi Informativi).
È in pratica la massima durata, prevista o tollerata, del downtime occorso.
Aspetto di primaria importanza riveste il fatto che il valore di RTO sia definito, conosciuto e verificato, tenendo
presente che se un downtime lungo danneggia la possibilità di fruire del servizio più di uno breve, il danno maggiore
deriva dall'inconsapevolezza di quanto possa essere il tempo previsto per il ripristino dei servizi danneggiati.

Ridurre l'RTO
Un'utile misura per la riduzione dell'RTO consiste nell'avere dei backup dei dati disponibili integralmente su siti
secondari qualora il sito primario risulti danneggiato.

Voci correlate
• Business continuity

Restore
Il restore nell'informatica indica l'operazione inversa del backup.
Il backup è l'operazione di salvataggio dati da un supporto di memorizzazione di massa (hard disk, nastro magnetico,
Cd Rom, etc) ad un altro supporto di memorizzazione di massa. Quando, in seguito ad errori umani o guasti
hardware, i dati presenti sul primo supporto non sono accessibili, il recupero (restore) dei dati salvati (backup)
permette di ricostruire la situazione iniziale.
Risk Assessment 158

Risk Assessment
All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si è passati dalla
figura del "computer security technologist" a quella del "professional risk manager" per cercare di definire quanto
sicurezza sia sufficiente a prevenire problemi indesiderabili.

Nozioni di base

La sicurezza delle informazioni

La sicurezza delle informazioni è sempre stata nella storia dell'uomo un importante processo. Possiamo definirla
come la ricerca di proteggere quattro aspetti chiave :
• Disponibilità : l'accessibilità motivata alle informazioni;
• Integrità : la completezza e la leggibilità delle informazioni;
• Autenticità : la validità delle informazioni;
• Riservatezza : la possibilità che solo chi è autorizzato possa leggere le informazioni.
La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate

Il problema della sicurezza

Lo scetticismo intorno alla sicurezza è sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per
combattere perdite potenziali. Inoltre, i benefici apportati dalla sicurezza non sempre sono quantificabili.

Risk Assessment e Risk Management

Durante questi processi di valutazione e gestione, i rischi vengono identificati valutando le preferenze, stimando le
conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilità che questi eventi accadano e
soppesando il valore di ogni diverso modo di agire. La stima dei rischi è una linea di condotta durante la quale
strategie diverse sono valutate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno
differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene
determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono
coinvolti: il calcolo costi-benefici, la stima della tolleranza de rischi e la quantificazione delle preferenze.

Annual Loss Expectancy (ALE)

Nel 1979 il National Bureau of Standards pubblicò il Federal Information Processing Standard (FIPS) 65, all'interno
del quale proponeva un nuovo parametro volto alla misura del rischio nei sistemi informatici : l'aspettativa di perdita
annuale.
Durante la metà degli anni '80 il National Bureau of Standards e il National Computer Security Center collaborarono
per mettere a punto modelli di sicurezza, ricavandone alla fine un framework consensuale
Risk Assessment 159

Framework
Il framework era basato su diverse fasi :
• Analisi delle minacce : si valutano potenziali minacce (azioni umane, catastrofi naturali, errori involontari) e le
risorse che si vogliono proteggere.
• Analisi della vulnerabilità : si valutano le debolezze nella sicurezza che possono favorire un attacco.
• Analisi degli scenari possibili : richiede una stima accurata delle risorse, delle preoccupazioni sulla sicurezza,
delle minacce e della vulnerabilità. Questi scenari sono utilizzati, poi, nella fase di risk-management per valutare
le conseguenze e per quantificare le dimensioni del rischio.
• Test di accettabilità : si confrontano i rischi misurati per una data risorsa con le esigenze stabilite.
• Decisioni di salvaguardia : vengono prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste.
Il processo verrà poi ripetuto con i nuovi risultati di salvaguardia, facendo risultare un n uovo misuramento del
rischio per ogni risorsa. Questi "risk-measurement", con la stima dei costi di salvaguardia, sono inoltre utilizzati per
generare le analisi di costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che
implementano questo tipo di framework sono @Risk, BDSS, CRAMM.

Fallimento di ALE
La fine del modello ALE venne decretata da tre importanti motivi :
• Il meccanismo di creazione di scenari della metodologia creava una stima dei lavori di dimensioni esagerate.
• I tecnici formularono modelli completamente deterministici a causa della loro visione "binaria" della sicurezza.
• Ale dipendeva troppo dalle informazioni che erano, e restano, scarse.

Approcci di seconda generazione

Dagli anni '80, tantissime cose sono cambiate, a partire dall'avvento universalizzato di internet. Inoltre il
risk-management è sempre più visto come un'occasione di profitto. A questo si deve soprattutto il rinnovato interesse
nei suoi confronti.

Integrated Business Risk-Management Framework

Questo approccio si sviluppa attraverso l'idea che i rischi delle tecnologie informatiche debbano essere presi in seria
considerazione quanto i rischi finanziari e debbano, perciò, essere gestiti in un modo simile. L'attenzione è
focalizzata sui rischi finanziari e piani di azione sono studiati a protezione delle informazioni. Aziende che
utilizzano questo approccio sono: Microsoft, Mitsui, Capital One Financial, Fidelty Management and Research e
BOC Gases Australia.

Metodologie Valuation-Driven
Questo approccio è utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un
piano studiato e valutati attentamente i rischi e le risorse.
Risk Assessment 160

Approccio basato sull'analisi degli scenari

Questo è l'approccio più comune e si basa sulla costruzione di diversi scenari possibili, in base ai rischi che si
corrono e alle azioni che si attuano per scongiurarli. Questi piani svolgono principalmente la funzione di illustrare in
modo chiaro le vulnerabilità della sicurezza.

Best practices
Questo tipo di approccio prevede l'instaurazione di precise regole da rispettare al fine di non dover essere costretti a
fronteggiare i rischi. Viene fatta poco lavoro di analisi.

Voci correlate
Sicurezza Informatica Piano di Contingenza

S/KEY
S/KEY è un sistema one-time password sviluppato per l'autenticazione su sistemi operativi Unix-like, in particolare
dai cosiddetti 'dumb terminal' o da computer pubblici nei quali l'utente non vuole scrivere una password a lunga
scadenza. La reale password dell'utente viene combinata in un dispositivo offline con un piccolo insieme di caratteri
e un contatore decrementale in modo da formare una password monouso. Dato che la password è utilizzabile solo per
una sessione, l'utilizzo di sniffer diventa inutile.
L'insieme di caratteri non cambia finché il contatore decrementale non raggiunge lo zero. È così possibile preparare
una lista di password single-use che l'utente può portare con se. Alternativamente, l'utente può presentare la
password, i caratteri e il valore del contatore desiderato ad un calcolatore locale per generare la password appropriata
che può quindi essere trasmessa attraverso la rete in chiaro. Questa seconda opzione è la più comune e si riduce
praticamente ad una forma di autenticazione challenge-response.
S/KEY è supportato in Linux tramite PAM, OpenBSD, NetBSD e FreeBSD. Inoltre una generica implementazione
open source permette l'utilizzo su ogni altro sistema. S/KEY è un marchio commerciale di Telcordia Technologies,
conosciuta comunemente come Bell Communications Research (Bellcore).
Ci si riferisce a S/KEY anche con il nome di 'schema di Leslie Lamport', dal nome dell'autore. È stato sviluppato da
Neil Haller, Phil Karn e John Walden nei laboratori Bellcore sul finire degli anni 80. Al momento della scadenza dei
brevetti sulla crittografia a chiave pubblica e l'ampio utilizzo di SSH e altri protocolli di crittografia che possono
rendere sicura l'intera sessione, non solo la password, S/KEY è caduto in disuso. SecurID è uno schema one-time
password simile che ancora risulta ampiamente utilizzato perché, a differenza di S/KEY, fornisce autenticazione a
due fattori, richiedendo un token fisico che difficilmente può essere riprodotto.

Generazione della password

Il server è il computer che eseguirà l'autenticazione
1. Si inizia con una chiave segreta w. Questo segreto può essere fornito sia dell'utente che generato da una
macchina. D'altro canto se il segreto viene svelato, la sicurezza di S/KEY viene compromessa.
2. H è una funzione di hash che produce una password one-time
3. H è applicata n volte a w, producendo quindi un insieme di n password one-time
4. La chiave segreta iniziale w è scartata
5. All'utente vengono fornite le n password, stampate in ordine inverso.
6. Le ultime n-1 password vengono scartate dal server. Solo la prima password, in cima alla lista dell'utente, viene
memorizzata sul server.
S/KEY 161

Autenticazione
Dopo la generazione della password, l'utente ha un foglio di carta con n password. La prima è la stessa password che
il server ha memorizzato e che non sarà utilizzata per l'autenticazione. Al suo posto verrà utilizzata la seconda:
• L'utente fornisce al server la seconda password della lista e la cancella.
• Il server tenta di calcolare H(pwd) dove pwd è la password fornita. Se H(pwd) produce la prima password (quella
che il server ha memorizzato, allora l'autenticazione è corretta. Il server memorizzerà quindi pwd come referenza
per la successiva autenticazione.
Più in generale, fornendo la password i, verrà calcolata H(i) con la password memorizzata i-1.

Sicurezza
La sicurezza di S/KEY confida sulla difficoltà di invertire la funzione di hash. Si supponga che un attaccante ottenga
una password i che è stata utilizzata per una precedente autenticazione. Tale password è inutile per le autenticazioni
successive perché ogni password può essere usata una volta soltanto. Se la password i sniffata dall'attaccante fosse
l'ultima utilizzata, si potrebbe tentare di invertire la funzione di hash in modo da ottenere la prossima password. Tale
operazione risulta estremamente difficoltosa.
S/KEY è comunque vulnerabile ad un attacco man in the middle. È anche vulnerabile a certe race conditions, come
nel caso in cui un attaccante utilizzasse uno sniffer per trovare i primi N-1 caratteri per poi utilizzare rapidamente un
bruteforce per scoprire il restante carattere. Questo tipo di vulnerabilità possono essere evitate utilizzando ssh, SSL,
SPKM o un altro metodo di trasmissione crittata.

SANS
Il SANS Institute (SysAdmin, Audit, Networking, and Security) è una organizzazione dedita a fornire educazione
informatica ed addestramento in materia di sicurezza informatica. È stata fondata nel 1989. Nella loro strutturazione
originale, le Conferenze di SANS erano simili alla maggior parte delle conferenze tecniche tradizionali: incontri per
presentazioni cartacee. Dalla metà degli anni novanta, si sarebbero evolute in un forum di istruzione su argomenti di
sicurezza e audit. La maggior parte dell'istruzione disponibile è focalizzata al raggiungimento di una delle numerose
certificazioni di sicurezza GIAC.
SANS mantiene i seguenti siti Web:
• Internet Storm Center
• GIAC Security Certification [1]
• S.C.O.R.E. (Security Consensus Operational Readiness Evaluation) [2]
I docenti SANS hanno contribuito alla redazione di molti libri sulla sicurezza:
• Hackers Beware: The Ultimate Guide to Network Security (ISBN 0735710090)
• Hiding in Plain Sight : Steganography and the Art of Covert Communication (ISBN 0471444499)
• Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers,
and Intrusion Detection Systems (ISBN 0735712328)
• Malware: Fighting Malicious Code (ISBN 0131014056)
• Network Intrusion Detection (ISBN 0735712654)
• Network Intrusion Detection: An Analyst's Handbook (ISBN 0735710082)
SANS 162

Collegamenti esterni
• SANS Institute [3]
• SANS Internet Storm Center [4]

Note
[1] http:/ / www. giac. org/
[2] http:/ / www. sans. org/ score
[3] http:/ / www. sans. org/
[4] http:/ / isc. sans. org/

Security descriptor
I security descriptor (in italiano: descrittori di sicurezza) sono strutture che forniscono informazioni di sicurezza
per gli oggetti dei sistemi operativi Windows; questi oggetti sono identificati da un nome univoco. I Security
Descriptor possono essere associati ad ogni tipo di oggetto (file, cartelle, chiavi di registro e altro) e contengono
anche informazioni sul proprietario dell'oggetto (l'utente creatore) e anche quali utenti possono avere accesso
all'oggetto e in che modo (lettura, lettura/scrittura, esecuzione...).
È possibile modificare un Security Descriptor utilizzando vari strumenti come CACLS, uno strumento a riga di
comando di Windows.

Voci correlate
• Lista di controllo degli accessi (ACL)
• Audit
• Token
• CACLS
Security Management 163

Security Management
Con Security management si indicano tutte quelle attività gestionali di individuazione, valorizzazione e analisi di
un rischio che può provocare danni patrimoniali e non (furti, frodi, divulgazione di informazioni,...) in un'azienda,
ente o raggruppamento di beni e persone. La persona che si occupa di tale lavoro normalmente viene chiamato
security manager o responsabile della sicurezza.

Tipologie
Nella normalità, essendo il termine "sicurezza" capace di racchiudere molteplici eventi gestionali, si possono
distinguere tre diverse tipologie di Security Management con il relativo responsabile:
• Sicurezza patrimoniale: il loss prevention & security manager è il responsabile aziendale per la sicurezza
patrimoniale. Si occupa di tutte le attivita di vigilanza ed investigazione per far fronte alle continue perdite di
un'azienda legata a furti, frodi o truffe.
• Sicurezza informatica: il IT Security Manager è colui che deve garantire la sicurezza dei sistemi informatici in
modo da non subire attacchi da esterni con la relativa protezione delle informazioni e dei dati aziendali o da virus.
• Sicurezza sul lavoro ed ambiente: l'RSA è colui che deve garantire la vivibilità dei posti di lavoro, individuare
eventuali pericolosità e trovarne rimedio (legge 626).

Attività
L'attività viene svolta in punti ben definiti che non vadano ad incidere negativamente sulla produzione e/o il
commercio dell'azienda; sono attività che devono essere condivise da tutte le divisioni dell'azienda. Tali punti si
possono riassumere come segue:
• Valori Aziendali: individuazione del campo di attività dell'azienda e riconoscimento dei responsabili delle varie
strutture.
• Definizione degli obiettivi:
• Obiettivi strategici: non devono intralciare le strategie e le politiche aziendali.
• Obiettivi operativi: devono essere efficaci ed efficienti sul piano attuativo delle primarie attività aziendali.
• Obiettivi di conformità: devono rispettare pienamente le leggi civili e penali dello Stato e/o i regolamenti
aziendali.
• Obiettivi di reporting: deve essere assicurata una piena distribuzione e un'attività di informazione delle
politiche da emanare.
• Identificazione del problema: identificazione dei rischi.
• Risk Assestment: analisi dei rischi individuati precedentemente e valutazione del loro impatto tenedo conto dei
rischi potenziali e dei rischi effettivi.
• Risk Response: individuazione delle attività di contenimento e/o di contrasto da svolgere per la riduzione dei
rischi analizzati.
• Control Activities: stabilire e rendere pubbliche le politiche, le attività e le procedure attuative.
• Information & Communication: attività di audit interno, divulgazione e spiegazione delle procedure emanate
facendole comprendere e sentire necessarie anche a chi le deve applicare.
• Monitoring: attività di controllo continuo nell'applicazione delle procedure.
L'attività di Security Management in generale è ancora poco utilizzata all'interno delle aziende che la considerano un
costo e non un investimento, ma il trend sta cambiando.
Security Operation Center 164

Security Operation Center

Un Security Operation Center (SOC) è un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei
Sistemi informativi dell'azienda stessa (SOC Interno) o di clienti esterni; in quest'ultimo caso il SOC è utilizzato per
l'erogazione di Managed Security Services (MSS) e l'azienda che li eroga è definita Managed Security Service
Provider (MSSP). Un SOC può anche fornire servizi di Incident Response, in questo caso svolge la funzione di
CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente
separate; alcune grandi aziende dispongono di un SOC e di un CERT separati.
Un SOC fornisce tre tipologie di servizi:
Servizi di Gestione: tutte le attività di gestione delle funzionalità di sicurezza legate all'infrastruttura IT (rete, sistemi
ed applicazioni) sono centralizzate dal SOC.
Servizi di Monitoraggio: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare
tempestivamente tentativi di intrusione, di attacco o di misuse dei sistemi.
Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (Security
assessments, vulnerability assessments, early warning, security awareness).

Possibili servizi offerti dal SOC

• Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica
• Security Device Management
• Reporting
• Security Alert
• DDos mitigation
• Security Assessment
• Assistenza Tecnica

Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica

Il servizio ha come obiettivo l’analisi proattiva h24 dei sistemi e delle tecnologie di sicurezza informatica (IDS, IPS,
firewall, etc). I sistemi anti-intrusione permettono la gestione centralizzata delle pratiche di sicurezza informatica
consentendo di identificare potenziali attacchi informatici provenienti da internet e dalla intranet. In questo modo i
potenziali attacchi possono essere analizzati e correlati dal personale che è di solito molto specializzato oltre che
qualificato; ad esempio gli analisti della sicurezza devono solo conoscere le funzioni degli strumenti di
monitoraggio, piuttosto che la complessità di ogni dispositivo di sicurezza. Questo permette una forte
specializzazione dell’intero centro di sicurezza. La scalabilità degli strumenti adoperati dal SOC è un altro fattore di
fondamentale importanza ovvero, ad esempio, non deve comportare un grosso impatto operativo aggiungere un
nuovo IDS a quelli già esistenti.
Security Operation Center 165

Security Device Management

Il Servizio di Security Device Management (SDM) si sviluppa attorno a due principali processi:
- Fault Management.
- Configuration Management.

Fault Management
Obiettivo principale del Fault Management è garantire il funzionamento continuo ed ottimale dell’infrastruttura di
sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. L’attività comprende:
- Il monitoraggio costante degli apparati di sicurezza del Cliente attraverso il SOC.
- Rilevazione e segnalazione Fault (apertura trouble ticket).
- Identificazione delle rispettive azioni di rimedio.
- Implementazione delle rispettive azioni di rimedio.
- Il ripristino delle configurazioni in caso di loro perdita a seguito di un fault.

Configuration Management
Obiettivo principale del Configuration Management è garantire il costante allineamento delle regole di firewalling
alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le
attività di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una
sorgente esterna ed una fonte interna (o viceversa) definite in base a:
- Indirizzo sorgente.
- Indirizzo di destinazione.
- Protocollo di rete.
- Protocollo di servizio.
- Logging del traffico.

Reporting
I Log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati
accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica è particolarmente
importante perché, oltre a fornire il dettaglio di eventuali tentatitivi di intrusione da parte di soggetti non autorizzati o
di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, può permettere al cliente di
intraprendere delle azioni preventive.

Security Alert
Il servizio di security alert è volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilità in
modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle
nuove vulnerabilità.

DDos mitigation
Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial
of Service" indirizzato verso un servizio critico facente parte dell’infrastruttura di rete di un cliente. Il compito del
servizio è quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure
necessarie per risolvere l’incidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo
di "pulitura" e di reinstradamento del traffico. Segue notifica del termine dell’attacco.
Security Operation Center 166

Security Assessment
Alcuni elementi di servizio che solitamente fanno parte delle attività di Security Assessment sono:
- Vulnerability Assessment.
- Penetration Test.

Vulnerability Assessment
Il vulnerability assessment è volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi.
Tale attività è svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni
assessment.

Penetration test
Il Penetration Test è volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e
degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di
evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli
impatti. Tale attività è svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate
per ogni assessment, sia tramite attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato.

Assistenza tecnica
In genere il SOC può fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a
problemi di funzionalità, violazioni di sistema, aggiornamento e configurazione di software e hardware per la
sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche può essere fornita da remoto o on-site a
seconda delle problematiche e del contratto stipulato tra le parti.

Voci correlate
• Sicurezza informatica
• Vulnerabilità
• Vulnerability Assessment and Mitigation
• Buffer overflow
• Exploit
• Tiger team
• Hacker
• Firewall
• Antivirus
• Polizia Postale e delle Comunicazioni
• Computer Security Incident Response Team (CSIRT) o CERT (Computer Emergency Response Team)
Security Operation Center 167

Collegamenti esterni
• Open Web Application Security Project (OWASP) [1]
• Unità di prevenzione e gestione degli incidenti informatici governativa (CERT-SPC) nel Sistema Pubblico di
Connettività (SPC) [2]

Note
[1] http:/ / www. owasp. org/ index. php/ Main_Page
[2] http:/ / www. cert-spc. it

Sicurezza tramite segretezza

Sicurezza tramite segretezza, traduzione dell'inglese security through obscurity, è un principio che si basa sul
controverso assunto che tenere segreto il funzionamento interno di un sistema lo renda più sicuro, dato che un
eventuale attaccante avrebbe maggiore difficoltà nella scoperta di eventuali falle del sistema stesso.
Nascondere la serratura della porta di casa è un esempio di scelta che si basa su questo principio.
È un concetto agli antipodi della filosofia alla base dell'Open Source, che sostiene invece che, grazie alla vasta
collaborazione della comunità, le falle possono venir scoperte più facilmente e altrettanto rapidamente corrette, con il
risultato di rendere intrinsecamente più sicuro il sistema.
In crittografia esiste un principio opposto (detto principio di Kerckhoffs), che afferma che il progettista di un sistema
deve presumere che l'attaccante conosca il sistema alla perfezione, con l'unica eccezione della chiave crittografica.
Un parallelo illuminante può essere quello di una normale serratura meccanica, con azionamento ben conosciuto ma
apribile solo con la chiave giusta.
Questa politica viene perseguita anche come forma di difesa della proprietà intellettuale.
Signature based intrusion detection system 168

Signature based intrusion detection system

Un Signature Based Intrusion Detection System è una tipologia di Intrusion detection system che rileva violazioni
alla sicurezza informatica attraverso un'analisi del sistema alla ricerca di segni caratteristici delle violazioni
informatiche.
Ogni violazione utilizza una o più falle della sicurezza informatica e modifica il sistema in modo caratteristico. I
sistemi basati su Signature hanno un database ove sono memorizzate tutte le violazioni conosciute con le loro firme
caratteristiche cioè le modifiche che apportano al sistema per violare la sicurezza dello stesso. Il sistema
periodicamente analizza il sistema confrontandolo con i dati contenuti nel database alla ricerca di corrispondenze.
Una volta identificata una corrispondenza, segnala all'operatore una violazione in atto.
Questi sistemi hanno un bassissimo numero di falsi positivi, quindi sono molto affidabili ma hanno il grave difetto di
non essere in grado di riconoscere violazioni applicate con nuovi stratagemmi o violazioni note alle quali sono state
apportate delle piccole varianti.

Voci correlate
• Anomaly based intrusion detection system

Single sign-on
Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) è un sistema specializzato
che permette ad un utente di autenticarsi una sola volta e di accedere a tutte le risorse informatiche alle quali è
abilitato.

Obiettivi
Gli obiettivi sono multipli:
• semplificare la gestione delle password: maggiore è il numero della password da gestire, maggiore è la possibilità
che vengano utilizzate password simili le une alle altre e facili da memorizzare, abbassando così il livello di
sicurezza;
• semplificare la gestione degli accessi ai vari servizi;
• semplificare la definizione e la gestione delle politiche di sicurezza.

Architettura
Vi sono tre approcci per la creazione di un sistema di SSO: l'approccio centralizzato, l'approccio federativo e
l'approccio cooperativo.

Approccio centralizzato
Il principio è di disporre di un database globale e centralizzato di tutti gli utenti e di centralizzare allo stesso modo la
politica della sicurezza. Questo approccio è destinato principalmente ai servizi dipendenti tutti dalla stessa entità, per
esempio all'interno di una azienda.
Single sign-on 169

Approccio federativo
Con questo approccio differenti gestori ("federati" tra loro) gestiscono dati di uno stesso utente. L'accesso ad uno dei
sistemi federati permette automaticamente l'accesso a tutti gli altri sistemi.
Un viaggiatore potrebbe essere sia passeggero di un aereo che ospite di un albergo. Se la compagnia aerea e l'albergo
usassero un approccio federativo avrebbero un accordo reciproco sull'autenticazione dell'utente. Il viaggiatore
potrebbe ad esempio autenticarsi per prenotare il volo e essere autorizzato, in forza di quella sola autenticazione, ad
effettuare la prenotazione della camera d'albergo.
Questo approccio è stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni
gestore federato mantiene il controllo della propria politica di sicurezza.

Approccio cooperativo
L'approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori
cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l'autenticazione viene effettuata dal
gestore che ha in carico l'utente per l'accesso alla rete.
Come per l'approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica
di sicurezza. L'approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono
dipendenti da una entità, come ad esempio in università, laboratori di ricerca, amministrazioni, etc.

Soluzioni per SSO

Esistono molti SSO gratuiti e commerciali, eccone una lista parziale:
1. Il JA-SIG Central Authentication Service (CAS) (http://www.jasig.org/cas) è un servizio single sign-on
libero (originariamente sviluppato dall'Università di Yale) che permette alle applicazioni web la possibilità di
rinviare tutte le autenticazioni a un server centrale o a più server di fiducia. Numerosi client sono disponibili
gratuitamente, inclusi client per Java, Microsoft .Net, PHP, Perl, Apache, uPortal, Liferay (http://www.liferay.
com) e altri.
2. A-Select è il sistema di autenticazione Olandese co-sviluppato da SURFnet (l'olandese NREN). A-Select ora è
diventata open source ed è usata dal Governo Olandese per esempio per DigiD, il loro sistema di autenticazione.
A-Select (http://www.openaselect.org/trac/openaselect/) permette allo staff e agli studenti di ottenere
l'accesso a svariati servizi web attraverso una sola autenticazione on-line. Le istituzioni possono usare A-Select
per proteggere le loro applicazioni web in maniera semplice. Possono usare differenti strumenti di autenticazione
che vanno dal username/password a metodi più sicuri come una one-time password mandata a un cellulare o a
un'autenticazione bancaria su Internet.
3. CoSign è un progetto open source, originariamente destinato a dotare l'Università del Michigan di un sicuro
sistema di autenticazione web di tipo single sign-on. CoSign permette di autenticare gli utenti sul web server e poi
fornisce un campo variabile lo users'name. Quando l'utente accede a una parte del sito che richiede
l'autenticazione, la presenza di questa variabile permette l'accesso senza doversi loggare nuovamente. CoSign è
parte del software lancio del National Science Foundation Middleware Initiative (NMI http://www.
nsf-middleware.org/default.aspx).
4. Enterprise single sign-on (E-SSO), chiamato anche legacy single sign-on, dopo una prima autenticazione
utente, intercetta i prompt del login presentati da una applicazione secondaria e li inserisce automaticamente nei
campi come un loginID o una password. Il sistema E-SSO tiene conto dell'interazione con le applicazioni che
sono incapaci di tirar fuori l'autenticazione, fatta precedentemente dall'utente, essenzialmente attraverso lo "screen
scraping".
5. Il Web single sign-on (Web-SSO), anche chiamati Web Access Management (Web-AM), lavora strettamente
con le applicazioni e le risorse che hanno accesso a un web browser. L'accesso alle risorse web è intercettato sia
Single sign-on 170

usando un web proxy server o installando un componente su ogni web server stabilito. Gli utenti non autorizzati,
che tentano di accedere a una risorsa, vengono deviati verso un servizio di autenticazione e ritornano solo dopo
aver effettuato con successo un single sign-on. I Cookies sono usati molto spesso per tracciare lo stato di
autenticazione dell'utente; l'infrastruttura Web-SSO estrae le informazioni dell'identificazione dell'utente dagli
stessi cookies, passandole in ogni risorsa web.
6. Kerberos è un meccanismo conosciuto alle applicazioni e serve per estrarre interamente le autenticazioni. Gli
utenti si registrano sul server Kerberos, il quale rilascia un "biglietto da visita", che il loro client software
presenterà ai server a cui loro tenteranno di accedere. Kerberos è disponibile per Unix, per Windows e per
piattaforme di elaborazione dati, ma richiede ampie modifiche al codice dell'applicazione client/server, perciò non
è usato da molte "legacy application".
7. Federation è un nuovo approccio, anche per applicazioni web, che usa un protocollo basato su degli standard che
permette a una applicazione di accertare una sola volta l'identità di un utente di servizi diversi, in modo tale da
evitare il bisogno di autenticazioni ridondanti. Gli standard per supportare Federation includono SAML e
WS-Federation (http://www-128.ibm.com/developerworks/library/specification/ws-fed).
8. Light-Weight Identity e Open ID, sotto la protezione di YADIS, offrono SSO ripartiti e decentralizzati, dove
l'identità è legata a una URL eseguita facilmente, che può essere verificata da qualsiasi server che usi uno dei
protocolli condivisi.
9. JOSSO o Java Open Single Sign-On è un'infrastruttura SSO open source basata su J2EE, che punta a trovare
una soluzione per piattaforme centralizzate di autenticazione dell'utente neutrale. JOSSO usa i servizi web per
accertare l'identità dell'utente, permettendo l'integrazione di applicazioni non-Java (cioè PHP, Microsoft ASP,
ecc.) al Servizio Single Sign-On usando il protocollo SOAP sopra il protocollo HTTP.
10. Shibboleth System è un pacchetto software opensource, basato su standard, per il we SSO tra organizzazioni o
all'interno di un'organizzazione (sistema sviluppato da Internet2).

Sistema di riconoscimento biometrico

Un sistema di riconoscimento biometrico è un particolare tipo di sistema informatico che ha la funzionalità e lo
scopo di identificare una persona sulla base di una o più caratteristiche biologiche e/o comportamentali (biometria),
confrontandole con i dati, precedentemente acquisiti e presenti nel database del sistema, tramite degli algoritmi e di
sensori di acquisizione dei dati in input.
In inglese è noto come AIDC= Automatic Identification and Data Capture.

Cenni Storici
Il primo metodo d'identificazione scientifico biometrico fu sviluppato nei laboratori del carcere di Parigi da
Alphonse Bertillon (23 aprile 1853 - 13 febbraio 1914). Bertillon era figlio dello statistico Louis Bertillon e fratello
del demografo - statistico Jacques. Nel 1870 venne nominato fotografo di servizio presso la prefettura di Parigi:
annotando tutte le caratteristiche fisiche dei detenuti, fonda così il primo laboratorio di polizia scientifica e
d’identificazione dei criminali, inventa l’antropologia giudiziaria chiamata appunto Sistema Bertillon o Bertillonage
un sistema di identificazione rapidamente adottato in tutta l’Europa continentale e inseguito anche a Londra. Il suo
metodo consisteva nella rilevazione delle misure fisiche dei detenuti in quanto l’ossatura umana non cambia più dopo
il ventesimo anno d’età ed ogni scheletro è diverso per ciascun individuo. Il nome del detenuto, le descrizioni e le
misure fisiche del corpo di un individuo (cranio, lunghezza degli arti, lunghezza delle dita e dei piedi, lunghezza del
naso, caratteristiche dell’orecchio) e una foto segnaletica, frontale e laterale dell'individuo a mezzo busto, venivano
annotate su una scheda detta "Osservazioni Antropometriche".
Sistema di riconoscimento biometrico 171

L’archivio cresce molto velocemente, è così possibile riconoscere un soggetto nuovamente arrestato che presentava
una falsa identità. Il problema maggiore che si evidenziò era per le misure, dovevano essere effettuate con grande
accuratezza, solo lo scopritore di questo sistema di classificazione era in grado di effettuare i rilievi con la dovuta
precisione. Bertillon organizzò corsi di formazione per numerosi esponenti di polizie europee a Londra e Parigi, ma
le misure prese da altri soggetti, pure addestrati erano imprecise e non così affidabili come quelle del francese. La
tecnica cadde gradualmente in disuso nel frattempo vi fu la scoperta dell'impronta digitale. Diversi sono i nomi legati
a questa invenzione[1] anche se i due nomi più significativi sono quello di Galton e di sir Henry, che impostarono in
modo sistematico la classificazione delle impronte digitali e che, all'inizio di questo secolo, contribuirono a dare alle
impronte digitali il valore criminologico che oggi ricoprono. In Italia questo metodo fu messo a punto da un
funzionario di polizia, Giovanni Gasti.
Un'autentica rivoluzione nell’utilizzo delle impronte digitali, soprattutto a fini criminologici, si è avuta una dozzina
di anni fa, quando la crescente potenza dei sistemi di elaborazione permise alla polizia americana di mettere a punto
il primo sistema AFIS - automatic fingerprint identification system. Solo grazie all'utilizzo di questo dispositivo
informatico, collegato ad un capiente database, l'impronta digitale ha raggiunto l’attuale importanza criminologica.

Introduzione
La biometria permette di stabilire che ogni individuo ha caratteristiche:
1. Universali = tutti devono averla;
2. Uniche = due o più individui non possono avere la stessa uguale caratteristica;
3. Permanenti = questa non varia nel tempo;
4. Collezionabili = deve essere misurata quantitativamente.

Caratteristiche
Le caratteristiche prese in considerazione dal sistema di riconoscimento biometrico possono essere:

Fisiologiche
• le impronte digitali,
• l’altezza,
• il peso,
• il colore e la dimensione dell’iride,
• la retina,
• la sagoma della mano,
• il palmo della mano,
• la vascolarizzazione,
• la forma dell’orecchio,
• la fisionomia del volto.
Sistema di riconoscimento biometrico 172

Comportamentali
Ossia azioni che normalmente l’individuo compie
• l’impronta vocale,
• la scrittura grafica,
• la firma,
• lo stile di battitura sulla tastiera,
• i movimenti del corpo.
Le caratteristiche fisiologiche di un individuo sono abbastanza stabili, soggette solo a piccole variazioni nel tempo,
le componenti comportamentali invece possono essere influenzate dalla situazione psicologica dell’individuo,
proprio per questo devono essere aggiornate spesso. Questo sistema vuole garantire l’unicità della persona, infatti
codici segreti e carte di identificazione verificano solo ciò che una persona conosce e/o possiede, come ad esempio
una password o un codice pin od il badge ma non l’identità della persona stessa. Le applicazioni biometriche possono
essere utilizzate da sole o integrate con altre tecnologie come ad esempio smart card, chiavi crittografiche, RFID e
firma digitale.

Compiti del dispositivo

I principali compiti di questo dispositivo sono
• Reference template = acquisizione mediante alcuni meccanismi (laser, scanner, telecamere, microfoni, ecc)
dell’impronta biometrica di riferimento relativa ad una caratteristica biometrica e/o comportamentale
dell’individuo.
• Fase di autenticazione = avviene mediante il confronto tra l'impronta biometrica di riferimento e la nuova
impronta, generata ogni volta in fase di verifica;
• Interfaccia operativa = è l’interazione uomo-macchina, la connessione fisica, elettrica e la possibilità di
comunicazione con il sistema.
Nella prima fase si crea l’impronta biometrica di riferimento attraverso la registrazione dell’utente, conosciuta anche
come fase di enrollment. Viene creato un template tramite l’acquisizione di una o più immagini o suoni relative
all’individuo, queste caratteristiche vengono poi elaborate grazie ad un algoritmo che varia da sistema a sistema. Il
template viene quindi memorizzato nel sistema in modo tale da essere utilizzato come confronto durante la fase di
autenticazione.

Verifica e identificazione
I sistemi biometrici possono operare in due diverse modalità: verifica e identificazione.
Il processo di verifica (1 to 1 matching, uno ad uno) si ha quando il soggetto dichiara la sua identità. Il sistema
quindi effettua un confronto tra l’immagine rilevata in tempo reale e quella corrispondente del template presente
nell’archivio.
L’identificazione (1 to many matching, verifica uno a molti) si ha quando l’immagine acquisita in tempo reale viene
confrontata con tutte le immagini presenti nel database del sistema e viene poi associata a quella con le
caratteristiche più simili.
Sistema di riconoscimento biometrico 173

Sistemi Multi-modali e Errori

Per aumentare la sicurezza del sistema di riconoscimento si possono utilizzare più tecniche biometriche grazie ai
sistemi multi modali. Questi sistemi permettono un riconoscimento più preciso e diminuiscono il failure-to-enroll
rate, ovvero il tasso di errore.
Nell’identificazione infatti possiamo trovarci di fronte a due situazioni:
1. riconoscimento positivo si hanno due possibili situazioni: la persona è vera oppure è un impostore;
2. riconoscimento negativo il sistema o ha sbagliato dando un falso allarme oppure la persona è realmente un
impostore.
Di conseguenza abbiamo due tipologie di errore:
• FRR (False Rejection Rate) è la percentuale di falsi rifiuti, utenti autorizzati ma respinti per errore, in pratica il
sistema non riesce a riconoscere le persone autorizzate.
• FAR (False Acceptance Rate) è la percentuale di false accettazioni, utenti non autorizzati ma accettati per errore,
il sistema quindi accetta le persone che non sono autorizzate.
Qualunque sistema biometrico permette di aumentare e diminuire la sensibilità, regolando il rapporto tra i falsi rifiuti
e le false accettazioni. Per comprendere meglio possiamo definire la variabile t come il grado di tolleranza del
sistema. Se questo grado è basso si ha un numero elevato di false accettazioni, con un grado alto invece si ha un
numero elevato di falsi rifiuti. Tramite le funzioni si può calcolare l’EER (Equal Error Rate)
FAR(t*) = FRR(t*) = EER t* rappresenta il punto di equilibrio del sistema attraverso il quale è possibile regolare il
rapporto FRR/FAR. Nelle applicazioni reali i valori di tolleranza si trovano al di sotto di t* per garantire un numero
ridotto di false accettazioni.

Sicurezza e Privacy
Come per molti altri sistemi informatici provvisti di database e dati sensibili di utenti, un sistema di riconoscimento
biometrico può essere soggetto ad attacchi che possono minare uno o più dei tre requisiti classici della sicurezza
informatica ovvero la confidenzialità dei dati, l'integrità dei dati e la disponibilità dei dati minando quindi anche il
funzionamento stesso del sistema di riconoscimento.

Mercati di Applicazione
I sistemi di riconoscimento biometrico vengono utilizzati in diversi tipi di mercato, sia in ambito governativo
(Militare, Sanità, Giustizia, enti e istituzioni pubbliche) e sia in quello commerciale (turismo, trasporti, banche,
assicurazioni, hi-tech, telecomunicazioni, industria), per assicurare una maggiore sicurezza ai sistemi, alle
transazioni e alla tutela dei dati. Le applicazioni maggiormente in uso sono:
• autenticazione degli accessi fisici in locali protetti,
• sicurezza nelle transazioni finanziarie,
• prevenzione delle frodi,
• proteggere e tutelare l’attività bancaria via internet,
• identificazione di soggetti,
• sicurezza negli aeroporti,
• investigazione,
• schedatura dei criminali.
Sistema di riconoscimento biometrico 174

Note
[1] Per esempio, quello di Edward Henry.

Voci correlate
• AFIS (Sistema di identificazione automatica delle impronte digitali)
• Impronte digitali
• Edward Henry

Snort
Snort

Sviluppatore The Snort Release Team

Ultima versione 2.9.05 (06 giugno 2011)

S.O. Multi-piattaforma

Genere Sicurezza Informatica

Licenza GNU General Public

License
(Licenza libera)

Sito web http:/ / www. snort. org

SNORT è un applicativo open source con funzioni di tipo IDS distribuito con la licenza GPL.

Voci correlate
• OSSIM

Altri progetti
• Wikibooks contiene testi o manuali: http://it.wikibooks.org/wiki/Snort

Collegamenti esterni
• (EN) Sito Ufficiale [4]
• (EN) Guide all'uso di Snort [1]
• (EN) Snort Virtual Machine [2]
• (IT, EN) Snortattack Snort guide, tips and tricks [3]

Note
[1] http:/ / www. snort. org/ docs/
[2] http:/ / www. internetsecurityguru. com/
[3] http:/ / www. snortattack. org/
Social Network Poisoning 175

Social Network Poisoning

Con il termine Social Network Poisoning si intende l'effetto prodotto dall'applicazione di metodiche volte a rendere
inaffidabili le conoscenze relative ad un profilo e alle relazione ad esso afferenti[1] . L'applicazione su larga scala di
attacchi di questo genere potrebbe portare al crollo delle piattaforme di Social Networking[2] inficiandone la valenza
ai fini commerciali, oltre che l'utilità in termini di conoscenza e correlazione sui dati forniti dagli utenti[3] , con un
sensibile impatto sul relativo valore economico.

Introduzione
Alla stessa maniera delle "route poisoning" (che interessano le reti di telecomunicazione), le "poisoning action" sono
condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili
artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato
conseguente è la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire
a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare
profilo.

Tassonomia
Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e
sicura dell'Identità digitale, è possibile introdurre i principali strumenti di poisoning attualmente praticabili ed
ipotizzarne di nuovi in uno scenario futuro:
Strumenti attuali
• sostituzione di identità, ovvero la possibilità di impersonare un altro utente per gli scopi più vari
dall'intelligence al social engineering[5] .
• simulazione di identità[6] , la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per
fini malevoli o semplicemente per mantenere l'anonimato.
• profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i
sistemi di intelligence, impedire attività di OSINT[7] o per altre forme di vantaggio personale.
• Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri
interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale.
Strumenti futuri:
• personae / social bots[8] , creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili)
gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalità verosimile, modificando così il
"sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations
sensate sui dati.
• black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole
modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (Search engine optimization[9] )
già in uso sui motori di ricerca.
Social Network Poisoning 176

Note
[1] Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley.
[2] Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press.
[3] Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer.
[4] David Birch (2007). "Digital Identity Management", David Birch Editor.
[5] Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley.
[6] Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress.
[7] Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag.
[8] Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications.
[9] Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in
Practice)", O'Reilly Media.

Bibliografia
• Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker più famoso del mondo, Feltrinelli Editore (2005),
ISBN 8807818418
• Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing,
Ltd. (2008), ISBN 0566087731
• Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress
(2002), ISBN 1931836515
• Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications
Ltd (2011), ISBN 1847873952
• Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X
• Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI
Publishing (2007), ISBN 159904207X
• Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social
Media, Sites O'Reilly Media (2007), ISBN 1449388345
• Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071
• John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010),
ISBN 0470583894

Voci correlate
• Sicurezza Informatica
• Social engineering
• Rete sociale
• Social media
• New economy
• Identità digitale
• Hacking
• Black hat
• White hat
• Furto d'identità
• Defense Advanced Research Projects Agency
• Servizio di social network
Social Network Poisoning 177

Collegamenti esterni
• Reato falsa identità in rete (Cassazione 46674/2007) (http://www.cittadinolex.kataweb.it/article_view.
jsp?idCat=311&idArt=81355)
• Furto di identità (http://www.professionisti.it/enciclopedia/voce/2384/Furto-d_identita)
• (http://www.cnipa.gov.it/) Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA)
• (http://www.interlex.it/Testi/dlg05_82.htm) Decreto legislativo 5 marzo 2005, n. 82 Codice
dell'Amministrazione Digitale su Interlex.it
• Identity theft (http://www.identitytheft.org.uk/)
• Identity Theft Resouce Center (http://www.idtheftcenter.org/)
• Theft and Identity Fraud (Department of Justice US) (http://www.justice.gov/criminal/fraud/websites/idtheft.
html/)
• Social Media Poisoning (http://www.seomoz.org/blog/
social-media-poisoning-possibly-the-most-insiduous-negative-tactic-in-smm)
• Spy Operation on social network (http://www.guardian.co.uk/technology/2011/mar/17/
us-spy-operation-social-networks)
• HBGary and social media manipulation (http://www.infosecisland.com/blogview/
12250-HBGary-Federal-Document-on-Manipulating-Social-Media.html)
• Darpa Project & social network monitoring (http://www.wired.com/dangerroom/2011/07/
darpa-wants-social-media-sensor-for-propaganda-ops/)
• Social media & National Security (http://www.rawstory.com/rs/2011/07/20/
pentagon-looks-to-social-media-as-new-battlefield/)
• A Practical Attack to De-Anonymize Social Network Users (http://iseclab.org/papers/sonda-tr.pdf)
• A Standards-based, Open and Privacy-aware Social Web (http://www.w3.org/2005/Incubator/socialweb/
XGR-socialweb-20101206/)
• Threat of malware targeted at extracting information about the relationships in a real-world social network -
Massachusetts Institute of Technology, Cambridge (http://www.scribd.com/doc/39006379/Stealing-Reality)
• The Socialbot Network:When Bots Socialize for Fame and Money (http://lersse-dl.ece.ubc.ca/record/264/
files/ACSAC_2011.pdf)
Spam 178

Spam
Lo spamming, detto anche fare spam o spammare, è il susseguirsi
ripetuto di una parola/frase (generalmente commerciali). Può essere
attuato attraverso qualunque sistema di comunicazione, ma il più usato
è internet, attraverso messaggi di posta elettronica, chat, tag board o
forum.
Lo Spam volendo può anche definirsi una forma di flood, in quanto
ripetendo più volte un parola/frase magari in una chat crea un effetto Una cartella di messaggi spam di KMail
flood, ovvero lo scorrere veloce delle righe. anche detto in gergo
flooddare.

Origine del termine

Il termine trae origine da uno sketch comico del Monty Python's
Flying Circus ambientato in un locale nel quale ogni pietanza
proposta dalla cameriera era a base di Spam (un tipo di carne in
scatola). Man mano che lo sketch avanza, l'insistenza della
cameriera nel proporre piatti con Spam («uova e Spam, uova
pancetta e Spam, salsicce e Spam» e così via) si contrappone alla
riluttanza del cliente per questo alimento, il tutto in un crescendo
di un coro inneggiante allo Spam da parte di alcuni Vichinghi
seduti nel locale.[1]

I Monty Python prendono in giro la carne in scatola Spam per Spam (carne in scatoletta)
l'assidua pubblicità che la marca era solita condurre. Nel periodo
immediatamente successivo alla seconda guerra mondiale, questo alimento costava poco ed era parte integrante della
dieta della famiglia tipica inglese, specialmente nella prima colazione per l'English breakfast. Il contenuto e l'origine
della carne Spam era un mistero. Ma sicuramente, in un certo periodo la Spam era ovunque, da qui lo sketch dei
Pythons e successivamente l'adattamento informatico alla pubblicità non desiderata. Notate l'ambientazione dello
sketch a conferma dell'epoca in questione e il livello sociale. Infatti, John Cleese, intellettuale che legge alla fine,
viene cacciato in malo modo (il personaggio in questione non è un intellettuale, bensì l'ungherese col vocabolario
pieno di sconcezze, protagonista di un altro famoso sketch dei Monty Python).

Si ritiene che il primo spam via email della storia sia stato inviato il 1 maggio 1978 dalla DEC per pubblicizzare un
nuovo prodotto, e inviato a tutti i destinatari ARPAnet della costa ovest degli Stati Uniti.[2]
Nella terminologia informatica le spam possono essere designate anche con il sintagma di junk-mail, che
letteralmente significa posta-spazzatura, a rimarcare la sgradevolezza prodotta da tale molestia digitale.

Scopi
Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a
proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica,
da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cioè l'individuo autore dei messaggi
spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono
spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi
programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.
Spam 179

Per definizione lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente
considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre
questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi
del traffico generato dall'invio indiscriminato.
Sondaggi hanno indicato che al giorno d'oggi lo spam è considerato uno dei maggiori fastidi di Internet; l'invio di
questi messaggi costituisce una violazione del contratto "Acceptable Use Policy" (condotta d'uso accettabile) di
molti ISP e pertanto può portare all'interruzione dell'abbonamento (account) del mittente. Un gran numero di
spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come
nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Per fare questo vengono usate
informazioni anagrafiche false o rubate, in modo da ridurre ulteriormente i loro costi. Questo permette di muoversi
velocemente da un account a un altro appena questo viene scoperto e disattivato dall'ISP. Gli spammer usano
software creato per osservare connessioni Internet con scarsa sicurezza, che possono essere facilmente dirottate in
modo da immettere i messaggi di spam direttamente nella connessione dell'obiettivo con il proprio ISP. Questo rende
più difficile identificare la posizione dello spammer e l'ISP della vittima è spesso soggetto di aspre reazioni e
rappresaglie da parte di attivisti che tentano di fermare lo spammer. Entrambe queste forme di spamming "nascosto"
sono illegali, tuttavia sono raramente perseguiti per l'impiego di queste tattiche.
I mittenti di e-mail pubblicitarie affermano che ciò che fanno non è spamming. Quale tipo di attività costituisca
spamming è materia di dibattiti, e le definizioni divergono in base allo scopo per il quale è definito, oltre che dalle
diverse legislazioni. Lo spamming è considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati è
soggetto a sanzioni.

Altri termini
I termini unsolicited commercial email, UCE (email commerciale non richiesta) e unsolicited bulk email, UBE
(email non richiesta in grandi quantità) sono usati per definire più precisamente e in modo meno gergale i messaggi
e-mail di spam. Molti utenti considerano tutti i messaggi UBE come spam, senza distinguere il loro contenuto, ma i
maggiori sforzi legali contro lo spam sono effettuati per prendere di mira i messaggi UCE. Una piccola ma evidente
porzione di messaggi non richiesti è anche di carattere non commerciale; alcuni esempi comprendono i messaggi di
propaganda politica e le catene di Sant'Antonio

Spamming attraverso E-Mail

I più grandi ISP come America OnLine [3] riferiscono che una quantità che varia da un terzo a due terzi della
capacità dei loro server di posta elettronica viene consumata dallo spam. Siccome questo costo è subito senza il
consenso del proprietario del sito, e senza quello dell'utente, molti considerano lo spam come una forma di furto di
servizi. Molti spammer mandano i loro messaggi UBE attraverso gli open mail relay. I server SMTP, usati per
inviare e-mail attraverso internet, inoltrano la posta da un server a un altro; i server utilizzati dagli ISP richiedono
una qualche forma di autenticazione che garantisca che l'utente sia un cliente dell'ISP. I server open relay non
controllano correttamente chi sta usando il server e inviano tutta la posta al server di destinazione, rendendo più
difficile rintracciare lo spammer.
Un punto di vista "ufficiale" sullo spamming può essere trovato nel RFC 2635.
Spam 180

Spamming per interposta persona

Lo spamming per interposta persona è un mezzo più subdolo utilizzato sfruttando l'ingenuità di molta gente. Per
l'esattezza si intende di solito l'invio di Email commerciali ad alcuni destinatari conosciuti e magari regolarmente
iscritti ad una newsletter dello spammer invitandoli a far conoscere una certa promozione ad uno o più persone
conosciute dall'ingenuo destinatario, invogliandolo magari con qualche piccolo compenso.
Grazie a questo sistema sarà l'ingenuo destinatario a "spammare" altre caselle di posta di suoi conoscenti e quindi
coprendo colui che c'è dietro e che guadagnerà da questo comportamento.

I costi
Lo spamming è a volte definito come l'equivalente elettronico della posta-spazzatura (junk mail). Comunque, la
stampa e i costi postali di questa corrispondenza sono pagati dal mittente - nel caso dello spam, il server del
destinatario paga i costi maggiori, in termini di banda, tempo di elaborazione e spazio per immagazzinamento. Gli
spammer usano spesso abbonamenti gratis, in modo tale che i loro costi siano veramente minimi. Per questa ricaduta
di costi sul destinatario, molti considerano questo un furto o un equivalente di crimine. Siccome questa pratica è
proibita dagli ISP, gli spammer spesso cercano e usano sistemi vulnerabili come gli open mail relay e server proxy
aperti. Essi abusano anche di risorse messe a disposizione per la libera espressione su internet, come remailer
anonimi. Come risultato, molte di queste risorse sono state disattivate, negando la loro utilità agli utenti legittimi.
Molti utenti sono infastiditi dallo spam perché allunga i tempi che usano per leggere i loro messaggi di e-mail.

Economia
Siccome lo spam è economico da inviare, un ristretto numero di spammer può saturare Internet con la loro
spazzatura. Nonostante solo un piccolo numero dei loro destinatari sia intenzionato a comprare i loro prodotti, ciò
consente loro di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per una azienda rispettabile una via
economicamente non attuabile per fare business, è sufficiente per gli spammer professionisti convincere una piccola
porzione di inserzionisti ingenui che è efficace per fare affari.

Difese contro lo spam

È presente un certo numero di servizi e software, spesso chiamati antispam, che i server e-mail e gli utenti possono
utilizzare per ridurre il carico di spam sui loro sistemi e caselle di posta. Alcuni di questi contano sul rifiuto dei
messaggi provenienti dai server conosciuti come spammer. Altri analizzano in modo automatico il contenuto dei
messaggi e-mail ed eliminano o spostano in una cartella speciale quelli che somigliano a spam. Questi due approcci
al problema sono talvolta definiti come bloccaggio e filtraggio. Ognuna delle tecniche ha i suoi difensori e vantaggi;
mentre entrambe riducono l'ammontare di spam inviata alle caselle postali degli utenti, il bloccaggio permette di
ridurre la banda sprecata, rifiutando i messaggi prima che siano trasmessi al server dell'utente. Il filtraggio tende ad
essere una soluzione più accurata, poiché può esaminare tutti i dettagli del messaggio. Molti sistemi di filtraggio si
avvantaggiano delle tecniche di apprendimento del software, che permette di aumentare la propria accuratezza
rispetto al sistema manuale. Alcuni trovano questa tecnica troppo invadente nei riguardi della privacy, e molti
amministratori preferiscono bloccare i messaggi che provengono dai server tolleranti nei confronti degli spammer.
Spam 181

DNSBL
Una specifica tecnica di bloccaggio comprende le DNSBL (DNS-based blackhole lists), nella quale un server
pubblica liste di indirizzi ip, in modo che un server di posta possa essere facilmente impostato per rifiutare la posta
che proviene da questi indirizzi. Ci sono diverse liste di DNSBL, che hanno politiche diverse: alcune liste
contengono server che emettono spam, altre contengono open mail relay, altre elencano gli ISP che supportano lo
spam.

Filtraggio statistico ed euristico

Fino a poco tempo fa, le tecniche di filtraggio facevano affidamento agli amministratori di sistema che specificavano
le liste di parole o espressioni regolari non permesse nei messaggi di posta. Perciò se un server riceveva spam che
pubblicizzava "herbal Viagra", l'amministratore poteva inserire queste parole nella configurazione del filtro. Il server
avrebbe scartato tutti i messaggi con quella frase. Lo svantaggio di questo filtraggio "statico" consiste nella difficoltà
di aggiornamento e nella tendenza ai falsi positivi: è sempre possibile che un messaggio non-spam contenga quella
frase. Il filtraggio euristico, come viene implementato nel programma SpamAssassin, si basa nell'assegnare un
punteggio numerico a frasi o modelli che si presentano nel messaggio. Quest'ultimo può essere positivo, indicando
che probabilmente contiene spam o negativo in caso contrario. Ogni messaggio è analizzato e viene annotato il
relativo punteggio, esso viene in seguito rifiutato o segnalato come spam se quest'ultimo è superiore ad un valore
fissato. In ogni caso, il compito di mantenere e generare le liste di punteggi è lasciato all'amministratore. Il filtraggio
statistico, proposto per la prima volta nel 1998 nel AAAI-98 Workshop on Learning for Text Categorization, e reso
popolare da un articolo di Paul Graham nel 2002 usa metodi probabilistici, ottenuti grazie al Teorema di Bayes, per
predire se un messaggio è spam o no, basandosi su raccolte di email ricevute dagli utenti.

Tecniche miste
Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono più tecniche di riconoscimento dello
spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per
spam), dall'altro per aumentare l'efficienza del filtraggio. Si può quindi pensare di combinare il filtraggio per
DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare così in modo di unire i
pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.

I comportamenti contro lo spam

A parte l'installazione di software di filtraggio dalla parte degli utenti, essi possono proteggersi dall'attacco dello
spam in molti altri modi.

Address munging
Un modo in cui gli spammer ottengono gli indirizzi e-mail è il setaccio del Web e di Usenet per stringhe di testo che
assomigliano a indirizzi. Perciò se l'indirizzo di una persona non è mai apparso in questi posti, non potrà essere
trovata. Un sistema per evitare questa raccolta di indirizzi è falsificare i nomi e indirizzi di posta. Gli utenti che
vogliono ricevere in modo legittimo posta riguardante il proprio sito Web o i propri articoli di Usenet possono
alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per
esempio, joe@example.net potrebbe venir modificato in joeNOS@PAM.example.net. Questo sistema è
detto address munging, dalla parola "munge" tratta dal Jargon File che significa rompere. Questo sistema,
comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che
potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.
Spam 182

Bug e Javascript
Molti programmi di posta incorporano le funzionalità di un Web browser come la visualizzazione di codice HTML e
immagini. Questa caratteristica può facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle
e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente
ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni
casi, messaggi del genere contenevano attacchi ad alcune vulnerabilità che permettevano l'installazione di
programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti
possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da
non visualizzarli di default.

Evitare di rispondere
È ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" -
come conferma che l'indirizzo è valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi
o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte
persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione
dell'indirizzo, ma comportano uno spam ancora maggiore.

Denunciare spam

Agli ISP
La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono
espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura
dell'abbonamento. Sfortunatamente, questo può essere difficile e anche se ci sono degli strumenti che possono
aiutare, non sempre sono accurati. Tre di questi servizi sono SpamCop [4],Network Abuse Clearinghouse [5] e [6]
Essi forniscono mezzi automatici o semi automatici per denunciare spam agli ISP. Alcuni li considerano imprecisi
rispetto a ciò che può fare un esperto di posta elettronica, ma molti utenti non sono così esperti.
Gli ISP spesso non mettono in atto misure preventive per impedire l'invio di spam, quali un limite massimo agli
indirizzi di posta ai quali inoltrare la stessa e-mail, e un limite dell'ordine delle migliaia di unità alla posta elettronica
inviabili in un giorno.
Talora, oltre all'accesso viene disattivata la connessione Internet. La disconnessione può essere permanente se
l'abbonamento è ADSL a IP statico, bloccando l'indirizzo IP.

Alle Autorità
Il metodo più efficace per fermare gli spammer è di sporgere reclamo alle autorità competenti. Questo richiede
maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge e pagano eventuali multe e
risarcimenti, in questo modo per loro si annulla il vantaggio economico, anzi l'azione illecita si traduce in una perdita
economica.
Le procedure da intraprendere:
[4]
1. Individuare gli indirizzi in rete da dove proviene lo spam tramite per esempio: SpamCop o Network Abuse
Clearinghouse [5]
2. Individuare lo stato dal quale è stato spedito lo spam per esempio tramite MostraIP [7]
3. Verificare se lo stato in oggetto mette a disposizione un indirizzo di posta elettronica per esempio dalle liste
pubblicate su OECD Task Force on Spam [8], Spam Reporting Adresses [9] o Spam Links [10].
Spam 183

Altre forme di spam

Fino dal 1990, gli amministratori di sistema hanno compiuto molti sforzi per fermare lo spam, alcuni dei quali con
esiti positivi. Come risultato, coloro che inviano messaggi di spam si sono rivolti ad altri mezzi.

WikiWikiWeb
Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che dà ampie possibilità a un visitatore di
modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di
un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che
impediscono la pubblicazione di determinati link proprio per arginare questo fenomeno. In molti casi lo scopo è
quello di ottenere un miglioramento della visibilità del proprio sito sui motori di ricerca.
Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo
"nofollow" che indica ai motori di ricerca di non seguire il link, le pagine vengono ripristinate alla loro versione
precedente all'intervento e in caso di reiterati inserimenti l'indirizzo IP viene bloccato in scrittura.

Messaging spam
I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il
profilo degli utenti, includendo informazioni demografiche come l'età e il sesso. Coloro che fanno pubblicità possono
impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ciò, alcuni utenti scelgono di
ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di
messaging integrato in Microsoft Windows, winpopup, che non è "MSN Messenger", ma piuttosto una funzione
progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come
delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte
provocate da un firewall comprende le porte da 135 a 139 e 445.

Usenet
Le vecchie convenzioni di Usenet definiscono erroneamente lo spamming come "eccessivo invio multiplo di
messaggi" (messaggi sostanzialmente simili la quale definizione esatta è flooding). Nei primi anni '90 ebbe luogo
una notevole controversia tra gli amministratori di server news sull'uso dei messaggi di cancellazione per il controllo
dello spam. Un messaggio di cancellazione è un'istruzione ad un server delle news per cancellare un messaggio, in
modo da renderlo inaccessibile a chi lo volesse leggere. Alcuni lo considerano un cattivo precedente, incline alla
censura, mentre altri lo ritengono uno strumento giusto per controllare la crescita del problema dello spam. In quel
periodo, dovunque il termine spam su Usenet era usato per riferirsi all'invio di messaggi multipli. Furono coniati altri
termini per comportamenti simili, come un cross-posting eccessivo o pubblicità non in tema con il manifesto del
newsgroup, comunque più recentemente anche questi casi sono stati catalogati con il termine spam per analogia al
ben più conosciuto fenomeno della posta elettronica.
Spam 184

Forum
Nei forum (o BBS) spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto
spesso è possibile caricare la medesima discussione nello stesso forum per attirare ancora più utenti. Altre volte si
intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo
caso, tuttavia, il termine più adatto sarebbe "flood".
L'utente che pratica spam nei forum, soprattutto nel secondo caso, viene tipicamente definito con il termine gergale
spammone.
Il termine è dispregiativo, un utente considerato spammone viene spesso giudicato anche inaffidabile o incompetente
dagli altri. A volte però il termine può avere un tono più scherzoso e goliardico, soprattutto nei forum dove c'è
abbastanza tolleranza nei confronti dello spam.

Blog
Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche
questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo
spammer vuole pubblicizzare, esistono due tecniche, ben più evolute: lo spammer fa uso di una sorta di
query-bombing dei sistemi multipiattaforma più noti come WordPress[11] o b2evolution[12] , attaccando i database
con l'inserimento continuo di messaggi pubblicitari. Le componenti di un blog più vulnerabili sono quindi quelle che
sono esposte all'utilizzo pubblico: i commenti (per i quali i vari creatori dei sistemi multipiattaforma forniscono con
periodicità plug-in di protezione) e gli hitlogs, ovvero il sistema di tracking dei referer (i siti che linkano la pagina in
questione).

Keyword spamming
Il keyword spamming è il termine dato all'eccessivo uso di keyword o parole chiave in una pagina web al fine di
incrementarne la visibilità per i motori di ricerca. Questa tecnica è considerata una cattiva SEO.
Le nuove tecniche ed algoritmi hanno però introdotto delle funzionalità che permettono ai motori di controllare
l'utilizzo ripetitivo degli stessi termini e quindi penalizzare i siti web che adottano questa forma di spam.

Aspetti giuridici
Lo spam è un reato in innumerevoli paesi, inquisito anche all'estero con richieste di estradizione. Tra gli spammer
più famosi, si ricordano Laura Betterly, Brian Haberstroch, Leo Kuvayevo, Jeremy Jaynes e Sanford Wallacer.

Italia
La disciplina italiana concernente l’invio di posta elettronica a fini commerciali è disciplinata dall’art. 130 Codice
Privacy, rubricato “Comunicazioni indesiderate”. L’ambito di applicazione di detto articolo è proprio quello dello
spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente
non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla
Comunità Europea) è quello dell’opt-in, che prevede la possibilità di avvalersi del trattamento dei dati personali solo
dopo aver ottenuto il consenso del soggetto interessato.
È inoltre vietato, sempre dall’art. 130 Codice Privacy, l’invio di comunicazioni a scopi pubblicitari, per la vendita
diretta o per ricerche di mercato effettuato camuffando o celando l’identità del mittente o ancora senza fornire un
idoneo recapito presso il quale l’interessato possa esercitare i propri diritti. È però prevista una deroga ai dettami di
tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dall’interessato nel contesto della
vendita di un prodotto o servizio, per l’invio di ulteriori messaggi promozionali aventi ad oggetto simili beni o
servizi, senza dover nuovamente chiederne il consenso.
Spam 185

Vi è poi nel nostro ordinamento un’ulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul
commercio elettronico. L’art. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un
prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal
momento in cui il destinatario le riceve e devono altresì contenere l’indicazione che il destinatario del messaggio può
opporsi al ricevimento in futuro di tali comunicazioni.
Va da ultimo esaminato l’impianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma
6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste
in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai
fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei
confronti di un certo indirizzo di posta elettronica.
Di ben maggiore deterrenza appare poi l’art. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non
costituisca più grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel
Codice stesso, al fine di trarne un profitto o recare ad altri un danno, è punito, se dal fatto deriva nocumento, con la
reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione
da sei a ventiquattro mesi. L’attività di spamming espone, infine, ai sensi dell’art. 161 Codice Privacy, alla sanzione
amministrativa di omessa informativa (di cui all’art 13), la quale va da un minimo di tremila euro ad un massimo di
diciottomila euro. La sanzione viene erogata dall’autorità Garante per la protezione dei dati personali a seguito di un
apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non può essere proposto se, per il
medesimo oggetto e tra le medesime parti, è già stata adita l’autorità giudiziaria.
La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche
meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a
quella giudiziaria. La prima controversia italiana avente ad oggetto attività di spamming è stata risolta dal Giudice di
Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto l’illiceità di tale attività, condannando il titolare
del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare
della casella di posta elettronica.
L’assetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data
protection, qualifica dunque il nostro come un sistema improntato al cosiddetto “opt-in” (necessità del consenso
preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di “propri prodotti
o servizi analoghi”, ispirato ad un sistema che potremmo definire di “soft opt-out”. Con particolare riferimento al
tema delle comunicazioni commerciali,, l’art. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo
integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti
ove prevede particolari limiti all’impiego di alcune tecniche di comunicazione a distanza: 1.l’impiego da parte di un
professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un
operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse
da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal
fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema
pienamente assimilabile all’opt-in, il secondo è invece apertamente ispirato ai meccanismi dell’opt-out. Questa
regolamentazione comportava già alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne
derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dall’art. 58,
comma 1, del Codice del consumo? Il tema è ancora oggi fortemente dibattuto, fermi però alcuni punti di riferimento
che devono costituire i criteri guida per la soluzione di questo problema esegetico: a)si tratta di due consensi aventi
natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla
correttezza del comportamento del professionista dall’altro); b)comuni sono le sanzioni che derivano dalla violazione
delle norme, come evidentemente dimostrato dall’art. 62 del Codice del consumo, che espressamente prevede la
trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei
diritti dei consumatori, affinché il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi
Spam 186

scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben
presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virtù di quanto prima
sostenuto in tema di sanzioni debba ritenersi più significativo l’orientamento del Garante Privacy il quale, in
numerosi provvedimenti, ha dichiarato l’illegittimità di qualsiasi comunicazione non preventivamente autorizzata:
RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il
consenso preventivo degli interessati è richiesto anche per l'invio di una sola comunicazione mediante posta
elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento
di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata
volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).

Stati Uniti
Dal 1997 in poi si registra negli Stati Uniti un’intensa attività a livello legislativo statale in risposta ai problemi creati
dal crescente fenomeno della posta indesiderata.
Trentasei stati hanno emanato una legislazione ad hoc sul tema. Le previsioni legislative dei singoli stati sono le più
disparate, alcuni dispongono che vi debbano necessariamente essere informazioni atte ad identificare il mittente,
unanime è poi la previsione della possibilità per l’utente di vedere cancellato il proprio indirizzo dalla banca dati
dello spammer. Gli Stati Uniti infatti aderiscono al modello di regolazione opt-out (fatta eccezione per lo stato della
California e del Delaware), che di fatto rende lecito lo spamming ma consente all’utente di esprimere in ogni
momento la propria volontà a che cessi l’attività di spamming sulla sua casella di posta elettronica.
Altre previsioni legislative statali generalmente condivise riguardano il divieto di porre in essere, mediante lo
spamming, attività ingannevoli, falsificando alcune parti del messaggio o l’oggetto stesso. Dal momento che la quasi
totalità dei messaggi è spedita in maniera transfrontaliera all’interno della federazione, si è resa necessaria
un’armonizzazione tra le varie legislazioni. Alcune legislazioni statali contengono infatti delle previsioni atte ad
individuare l’ordinamento competente a regolare i vari casi di spamming che coinvolgono più stati.
L’intervento più significativo e uniformante però è avvenuto a livello federale, con il Can-Spam Act del 2003
(entrato in vigore il primo gennaio 2004). Con questo provvedimento si rimette al Dipartimento di Giustizia, lo FTC,
all’attourney general statale e agli ISP la facoltà di tutelare i diritti dei privati, stabilendo per coloro che violano le
previsioni dello statute (tra le quali, ancora, l’inserimento di informazioni e oggetti fuorvianti o l’omissione
dell’apposita etichetta prevista per i messaggi a contenuto sessuale) sanzioni pecuniarie fino a $ 2.000.000, con la
possibilità di triplicare la pena nel caso in cui la violazione sia stata commessa intenzionalmente e consapevolmente.
Sono previste inoltre sanzioni penali per gli spammer che inviano messaggi commerciali illeciti, a contenuto osceno,
pedo-pornografico o l’identità del cui mittente è falsa o rubata. Il Can-Spam Act prevale sulle disposizioni normative
statali, ma di fatto, è stato tacciato dalla dottrina come statute per lo più “simbolico” alla luce del suo scarso impatto
pratico.

Software e servizi on-line contro lo spam

Software
• Spamassassin
• BarracudaNetworks
• ClearSWIFT
• Endian
• GFI
• IronPort
• Kaspersky
• Sinapsi Antispam
• SonicWall
Spam 187

• Sophos
• Stevtech
• SPAMfighter
• Symantec
• Antispameurope
• Abaca Technology Corporation

Note
[1] http:/ / it. youtube. com/ watch?v=anwy2MPT5RE Lo sketch originale su YouTube.
[2] http:/ / www. templetons. com/ brad/ spamreact. html Pagina che riporta le reazioni al primo spam, e una trascrizione di quest'ultimo; notare
come, non essendo in grado il programma di invio di posta elettronica di supportare più di un certo numero di indirizzi email, parte di questi
ultimi siano finiti nel corpo della mail.
[3] http:/ / www. aol. com
[4] http:/ / spamcop. net
[5] http:/ / www. abuse. net/
[6] http:/ / www. spammer. org/ spammer
[7] http:/ / www. mostraip. it/ Default. aspx
[8] http:/ / www. oecd-antispam. org/ sommaire. php3
[9] http:/ / banspam. javawoman. com/ report3. html
[10] http:/ / spamlinks. net/ track-report-addresses. htm#country
[11] WordPress › Blog Tool and Publishing Platform (http:/ / wordpress. org)
[12] b2evolution.org (http:/ / b2evolution. org)

Bibliografia
• "Diritto dell'informatica e della comunicazione", A.M. Gambino, A. Stazi, con la collaborazione di D. Mula,
Giappichelli editore, 2009 (http://www.dimt.it/Segnalazioni editoriali.html)

Voci correlate
• E-mail
• Mailbombing

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Electronic spam
• Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/Spam

Collegamenti esterni
• Trascrizione della scenetta dei Monty Python (http://www.spamterminator.it/orig_it.asp)
• Progetto Spamhaus (http://www.spamhaus.org)
• Spam Laws - Leggi sullo spam di diverse nazioni (http://www.spamlaws.com/)
• Un filtro antispam intelligente in Java (http://www2.mokabyte.it/cms/article.
run?articleId=STS-3CY-GIV-6HP_7f000001_14191084_d2ba6e6c)
Spim 188

Spim
Con l'espressione spim o messaging spam [1] [2] [3] si indica l'invio di grandi quantità di messaggi indesiderati,
generalmente commerciali, attraverso software di messaggistica in tempo reale (noti anche con l'acronimo IM cioè
instant messaging).

Applicazioni IM
Sistemi di messaggistica immediata come Yahoo! Messenger, AIM, Windows Live Messenger, Tencent QQ, ICQ,
Skype, XMPP e le chat rooms di Myspace sono tutti afflitti dallo spim. Molti di questi sistemi offrono un servizio di
directory mediante il quale si può accedere all'elenco degli utenti, comprensivo di dati sensibili quali età e sesso. Gli
spammer possono raccogliere queste informazioni, accedere al sistema e spedire messaggi non richiesti, inclusi
scam-ware, virus e collegamenti a siti truffaldini (click fraud).
Microsoft ha annunciato che la versione 9.0 di Windows Live Messenger avrà speciali caratteristiche dedicate alla
lotta allo spim.[4] In molti sistemi tuttavia gli utenti già possono bloccare la maggioranza della messaggistica
indesiderata, tramite l'uso di una white-list.

Contromisure
• Molti utenti scelgono di poter ricevere messaggi solo da persone presenti nella propria lista di contatti (white-list).
• AOL Instant Messenger (AIM) consente agli utenti di "ammonire" altri utenti. Gli ammonimenti fanno decrescere
il numero di messaggi che un utente può spedire, diminuendo lo spam; inoltre l'utente ammonito è visibile come
tale dagli altri utenti che hanno quindi una percezione immediata delle reali intenzioni dell'utente.
• Skype consente di bloccare gli utenti indesiderati.
• In ambito aziendale, lo spim è bloccabile mediante prodotti quali Akonix, ScanSafe, Symantec, e CSC.

Lo spam attraverso il servizio Messenger di Windows

Nel 2002, alcuni spammer cominciarono ad
abusare del servizio Messenger Service, una
funzione del sistema operativo Windows
(famiglia NT), che consente agli
amministratori di rete di spedire
avvertimenti e informazioni agli utenti delle
workstation (programma che non è da
confondere con Windows Messenger o
Windows Live Messenger, programmi
gratuiti di messaggistica in tempo reale). Lo
spam effettuato mediante Messenger Service
appare all'utente finale come una normale
finestra di dialogo contenente però un
messaggio indesiderato. Tali messaggi sono Esempio di spim sul sistema Messenger Service (2007)
facilmente bloccabili da firewall configurati
per chiudere le porte NetBIOS dal 135 al
139 e la 445 e le porte UDP sopra la 1024[5] oppure disabilitando il servizio. Nella versione XP di Windows,
l'installazione del Service Pack 2 ha, tra gli altri, l'effetto di disabilitare il servizio Messenger.
Spim 189

Voci correlate
• Spam

Note
[1] CNET: Spim, splog on the rise (http:/ / www. news. com/ Spim,-splog-on-the-rise/ 2100-7349_3-6091123. html)
[2] New Scientist: Spam being rapidly outpaced by spim (http:/ / www. newscientist. com/ article/
dn4822-spam-being-rapidly-outpaced-by-spim. html)
[3] Spamfo: SPIM, your new spam (http:/ / www. spamfo. co. uk/ component/ option,com_content/ task,view/ id,153/ Itemid,2/ )
[4] Jeremy Kirk. Microsoft to clamp down on spam over IM (http:/ / www. computerworlduk. com/ technology/ security-products/ prevention/
news/ index. cfm?RSS& NewsId=6359). IDG News. URL consultato il 24 novembre 2007.
[5] Messenger Service window that contains an Internet advertisement appears (http:/ / support. microsoft. com/ kb/ 330904). Microsoft. URL
consultato il 1º dicembre 2007.

Stamping Authority
La Stamping authority è quell'ente che appone una marca temporale durante le firme di documenti elettronici e le
comunicazioni via PEC (Posta Elettronica Certificata).
Spesso la Stamping Authority è parte integrante della Certification Authority, tuttavia assolve un compito totalmente
diverso.
Il riferimento temporale usato per comunicare è UTC, concordato a livello internazionale.

Voci correlate
• Certification Authority
• UTC
Standard di sicurezza informatica 190

Standard di sicurezza informatica

Gli standard di sicurezza informatica sono metodologie che permettono alle organizzazioni di attuare tecniche di
sicurezza finalizzate a minimizzare la quantità e la pericolosità delle minacce alla sicurezza informatica. Le guide
contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio,
che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso
di certi standard è possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i
vantaggi derivanti dal possesso di una certificazione si può ricordare la maggiore facilità nell'ottenimento di una
assicurazione sulla sicurezza informatica.

Storia
Gli standard di sicurezza informatica sono una recente invenzione perché oggi informazioni sensibili sono spesso
memorizzate su computer che sono collegati a Internet. Inoltre molte attività che prima erano condotte manualmente
oggi sono svolte dai computer e perciò c'è maggiore bisogno di affidabilità e sicurezza dei sistemi informatici. La
sicurezza informatica è importante anche per gli individui che devono proteggersi dal cosiddetto furto di identità. Le
aziende hanno bisogno di sicurezza perché devono proteggere i loro segreti industriali e le informazioni sui dati
personali dei clienti. Il governo inoltre ha la necessità di assicurare le sue informazioni. Questo crea particolari
critiche poiché alcuni atti di terrorismo sono organizzati e facilitati usando Internet.
Uno degli standard di sicurezza più ampiamente usati oggi è l'ISO 27002 del 2007. Questo standard deriva dallo
standard BS 7799-1, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al BS 7799-1 si
affiancava il BS 7799-2, ora a sua volta sostituito dall'ISO 27001. Quest'ultimo è la base per la certificazione, mentre
l'ISO 27002 può essere inteso come un manuale pratico (Security Code of Practice), in quanto è privo di valore
normativo. È quindi una delle svariate metodologie adottabili per soddisfare i requisiti della norma ISO 27001, anche
se sicuramente quella più naturalmente compatibile.
Negli Stati Uniti il National Institute of Standards and Technology (NIST) ha pubblicato diversi documenti speciali
per la sicurezza del cyberspazio. In particolare tre di questi: l'800-12 ("Computer Security Handbook"), l'800-14
("Generally Accepted Principals and Practices for Securing Information Technology") e la 800-26 ("Security
Self-Assessment Guide for Information Technology Systems").

ISO 27002:2007
Lo standard ISO 27002 stabilisce che la sicurezza dell'informazione è caratterizzata da integrità, riservatezza e
disponibilità. È stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard
britannico BS7799 nel 1995, anche attraverso l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo
documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.
Il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:
• politiche di sicurezza (Security Policy):
• forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
• sicurezza organizzativa (Security Organization):
• controllo della sicurezza delle informazioni in seno all'azienda;
• mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le
terze parti;
• monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata
conferita in outsource.
• controllo e classificazione dei beni (Asset Classification and Control):
Standard di sicurezza informatica 191

• mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un
appropriato livello di protezione.
• sicurezza del personale (Personnel Security):
• Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
• accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle
informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro
normale;
• per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
• sicurezza fisica e ambientale (Physical and Environmental Security):
• impedire l'accesso, il danneggiamento e l'interferenza dei non autorizzati all'interno del flusso delle
informazioni del business;
• impedire perdita, danni o l'assetto del sistema e la interruzione delle attività economiche;
• impedire la manomissione o il furto delle informazioni.
• gestione di comunicazioni e operazioni (Communications and Operations Management):
• accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione;
• minimizzare il rischio di guasti dei sistemi;
• proteggere l'integrità dei software e delle informazioni;
• mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione;
• garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
• prevenire danni ai beni e le interruzioni alle attività economiche;
• impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
• controllo di accesso (Access Control):
• per controllare l'accesso alle informazioni;
• per impedire l'accesso non autorizzato ai sistemi d'informazione;
• per accertare la protezione dei servizi in rete;
• per impedire l'accesso non autorizzato nel calcolatore;
• per rilevare le attività non autorizzate;
• per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
• sviluppo e manutenzione di sistemi (System Development and Maintenance):
• accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema;
• per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di
applicazione;
• per proteggere riservatezza, autenticità e l'integrità delle informazioni;
• per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere
la sicurezza del software e dei dati di sistema.
• gestione continuità operativa (Business Continuity Management):
• neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
• adeguatezza (Compliance):
• evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
• per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.
Standard di sicurezza informatica 192

ISO 27001:2005
Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della
Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Lo standard è stato
creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC
17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la
sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che
sinora è stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle
informazioni.
Vedi anche Standard_ISO_27001:2005.

Standard of good practice

Nel 1998, il Information Security Forum (ISF) ha elaborato una lista completa delle migliori pratiche per la sicurezza
delle informazioni. Queste sono state raccolte nel cosiddetto Standard of Good Practice (SoGP). Il ISF offre inoltre
una valutazione per identificare gli ambienti del segno di riferimento e la conformità di misura al SoGP. Il SoGP è
un ciclo biennale di revisione durante il quale le sezioni attuali sono modificate e le nuove sezioni sono aggiunte in
accordo coi membri dell'ISF, nella ricerca di pratiche migliori. Originalmente il SoGP era un documento riservato e
disponibile soltanto ai membri dell'ISF, ma lo stesso ISF ha, da allora, messo a disposizione il documento completo
alla pubblica utilità senza nessun costo.

NERC
Il North America Electric Reliability Council (NERC) ha creato molti standard. Quello maggiormente riconosciuto è
il NERC 1300 che è una modifica/aggiornamento del NERC 1200. La versione più recente del NERC 1300 viene
chiamata CIP-002-1 dal CIP-009-1 (dove CIP significa Critical Infrastructure Protection). Questi standard sono
utilizzato per rendere sicuri dei sistemi elettrici molto grandi sebbene il NERC abbia creato standard anche in altre
aree. Gli standard per i sistemi elettrici forniscono anche sicurezza nell'amministrazione di rete nonostante
supportino ancora i processi industriali.
Il North America Electric Reliability Council ha creato molti standard. Il più conosciuto è NERC 1300 che è una
modifica di NERC 1200. La più rencete versione di NERC 1300 è definita CIP-002/CIP-009. Questi standard sono
usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard
per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice
industriali.

NIST
1) La pubblicazione speciale 800-12 fornisce un'ampia panoramica sulla sicurezza informatica e le aree di controllo.
Inoltre pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. Inizialmente questo
documento era indirizzato al governo federale sebbene molte pratiche contenuto in questo documento possono essere
applicate anche nel settore privato. Nello specifico, era stato scritto per i responsabili, all'interno del governo
federale, della gestione di sistemi sensibili. [1]
2) La pubblicazione speciale 800-14 descrive i comuni principi di sicurezza utilizzati. Fornisce una descrizione di
alto livello di ciò che dovrebbe essere implementato all'interno di una politica di sicurezza informatica. Descrive
cosa può essere fatto per migliorare la sicurezza già esistente e come sviluppare nuove pratiche di sicurezza. In
questo documento sono descritti otto principi e quattordici pratiche. [2]
3) La pubblicazione speciale 800-26 fornisce dei consigli sulla gestione della sicurezza informatica. Questo
documento pone enfasi sull'importanza dell'auto valutazione e sulla valutazione dei rischi. [3]
Standard di sicurezza informatica 193

BSI IT Baseline Protection Manual

Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco
IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica
tedesca permette di dare attuazione a una pianificazione della sicurezza IT in modo semplice ed economico. Vedi
anche IT Baseline Protection Manual

ISO 15408
Questo standard è stato sviluppato come test di verifica comune, viene definito in inglese Common Criteria.
Dorvrebbe permettere a molte e differenti applicazioni software di essere integrate e testate in modo sicuro. Questo
standard non fornisce una lista di requisiti di sicurezza o funzionalità che il sistema deve possedere. Al contrario
descrive solo un quadro concettuale al cui interno gli utilizzatori di un sistema informatico possono specificare i loro
requisiti di sicurezza, i produttori possono implementare e pubblicizzare le caratteristiche dei loro sistemi e i
laboratori di test possono valutare i sistemi per determinare se effettivamente soddisfano i requisiti dichiarati. In altri
termini i Common Criteria assicurano che il processo di specificazione, implementazione e valutazione di un sistema
rispetto alla sicurezza informatica venga condotto in una maniera rigorosa e standardizzata.

Note
[1] National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer
Security: The NIST Handbook, Special Publication 800-12.
[2] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce.,
Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
[3] Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security
Self-Assessment Guide for Information Technology Systems (800-26).

Steganografia
La steganografia è una tecnica che si prefigge di nascondere la comunicazione tra due interlocutori, infatti il termine
è composto appunto dalle parole greche στεγανός (nascosto) e γραφία (scrittura). Tracce di questa tecnica si hanno
già nell'antica Grecia: Erodoto narra l'episodio di Demarato che per avvisare i compatrioti di una possibile invasione
persiana scrive su di una tavoletta un messaggio da nascondere, poi copre la tavoletta di cera e sulla cera scrive un
messaggio innocuo. Poiché nell'antichità le tavolette di cera erano normalmente usate per scrivere testi provvisori,
non destò sospetti.[1] Per una teorizzazione completa di questa tecnica bisogna però attendere il 1499, quando la
steganografia viene teorizzata dall'abate Tritemio nell'omonimo libro.
Steganografia 194

Libri
La "Steganographia" di Tritemio si proponeva di poter inviare messaggi
tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza
l'utilizzo di simboli o messaggeri. L'opera iniziò a circolare in corrispondenze
private e suscitò reazioni così allarmate che l'autore decise di non darla alle
stampe e ne distrusse addirittura larghe parti, ritenendo che non avrebbero
mai dovuto vedere la luce. Continuò comunque a circolare in forma di minuta
e fu pubblicata postuma nel 1606[2] .

Uso
La steganografia può trovare uso in ogni forma di comunicazione, è
sufficiente che mittente e destinatario abbiano concordato un codice non
Frontespizio del primo libro sulla
vincolato ai normali simboli alfabetici. Ad esempio: Alice e Bob si accordano
steganografia
sull'uso di un sistema steganografico: il numero di virgole presente in una
singola pagina sarà tra 1 e 21, questo numero corrisponderà ad una lettera
dell'alfabeto. Qualora A e B dovessero trovarsi in un regime di comunicazione controllata, potrebbero scrivere
pagine di copertura narrando informazioni prive di valore per loro, ma facendo un uso accurato delle virgole,
riuscirebbero a nascondere il vero messaggio con questa tecnica steganografica.

Caratteristiche
La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non conosce la chiave atta ad
estrarli, mentre per la crittografia è non rendere accessibili i dati nascosti a chi non conosce la chiave. La crittanalisi
è l'attacco alla crittografia, che mira ad estrarre i dati cifrati senza chiave. L'obiettivo della steganalisi non è quindi
quello di estrarre i dati nascosti, ma semplicemente di dimostrarne l'esistenza.

Principi della steganografia digitale

La steganografia è una forma di Sicurezza tramite segretezza, l'algoritmo di steganografia a differenza di un
algoritmo crittografico deve tenere conto della forma plausibile che i dati generati devono avere, affinché non
destino sospetti.
La steganografia valuta la robustezza dei suoi algoritmi sia in condizioni di analisi da parte di individui (che il dato
generato sia coerente, almeno alle apparenze, con dati simili) sia da parte di computer (quindi analisi matematiche,
statistiche e di confronto con archivi).

Steganografia LSB/rumore di fondo

LSB (dall'inglese least significant bit, bit meno significativo) è la tipologia di steganografia più diffusa. Si basa sulla
teoria secondo la quale l'aspetto di un'immagine digitale ad alta definizione non cambia se i colori vengono
modificati in modo impercettibile.
Ogni pixel è rappresentato da un colore differente, cambiando il bit meno significativo di ogni pixel, il singolo colore
non risulterà variato in modo significativo e il contenuto dell'immagine sarà preservato nonostante questa
manipolazione.
L'algoritmo steganografico riceve in input un'immagine di copertura/contenitore (C), una chiave (K) ed un dato da
nascondere (D). Estrapola da C i bit meno significativi, misurandone la dimensione e verificando se questa è
sufficiente per ospitare D. Tramite K, D viene sparpagliato tra i bit meno significativi, sovrascrivendo i valori
originali. Viene così generato S, il dato steganografico.
Steganografia 195

Chi analizzerà S avrà davanti a sé un'immagine plausibile, e pur conoscendo l'algoritmo avrà bisogno di K per
verificare se c'è un messaggio nascosto. È sempre possibile un attacco di tipo forza bruta, avendo chiaro l'algoritmo e
il dato da forzare, come avviene nella crittografia.
In alcuni algoritmi di steganografia, K viene usato per cifrare D e non nel processo steganografico, che di
conseguenza è sempre uguale per ogni esecuzione dell'algoritmo. Essendo la sicurezza dell'algoritmo vincolata a
parametri umani, non si può generalizzare dicendo che questo approccio è insicuro, ma l'uso della chiave per finalità
crittografiche e quindi un uso della distribuzione steganografica non dipendente da chiave, può diventare una
vulnerabilità.
L'esempio portato con le immagini può essere replicato su altri dati multimediati (file audio e video), perché tutti
condividono la caratteristica di tollerare distorsioni plausibili, lasciando fruibile il contenuto originale.
Questa tecnica steganografica viene generalizzata dicendo che si basa sul rumore di fondo. Tutte quelle porzioni di
dati contenenti dettagli inessenziali per la trasmissione del contenuto possono essere utilizzate come contenitore
steganografico, una volta trovato un codice adeguato a non causare incoerenze evidenti all'analista.

Steganografia pura/a generazione di copertura

In alcuni contesti, piuttosto che usare un contenitore per nascondere dei dati al suo interno, un software di
steganografia può ricevere in input la chiave (K) e il dato (D) e generare autonomamente un dato steganografato. Di
fatto il contenitore viene generato basandosi su di una base di dati preesistente.
Spammimic [3], dimostrato vulnerabile nel 2007 [4], ha implementato questa tecnica applicandola a contenitori di
tipo testo: il software genera spam, in quanto teorica fonte di informazioni casuali e plausibili, come contenitore di
dati steganografati. Il fatto che spammimic sia stato dimostrato vulnerabile non è da imputarsi alla tecnologia scelta,
ma solo alla limitatezza del dizionario dal quale lo spam viene generato e dalla presenza di tratti riconoscibili.

Tools Steganografici
• OpenPuff: BMP, JPG, PNG, TGA, Mp3, WAV, 3gp, Mp4, MPEG-1, MPEG-2, VOB, SWF, FLV, PDF
• S-Tools: BMP, GIF, Wav, unused floppy disk space
• MP3Stego: Mp3
• Invisible Secrets: BMP, PNG, JPG, WAV, Html
• StegFS: File system steganografico

Attacchi alla steganografia

Steganalisi
La steganalisi è il processo mediante il quale è possibile dire che un dato contiene dati steganografati o fa parte di
una trasmissione steganografica.
Questa considerazione non può essere solo di carattere discreto, ma deve essere contestualizzata nell'uso e nei modi .

Distorsione
Un attacco a distorsione è portato quando la terza parte che osserva le comunicazioni può modificare il dato in modo
automatico al fine di cambiarne alcune caratteristiche. Un attacco di distorsione applicato a dei contenuti
multimediali con steganografia LSB si realizza diminuendo la definizione del contenuto: infatti qualunque tecnica
steganografica sia stata applicata, la ridefinizione dell'immagine danneggia il messaggio nascosto nel dato.
Steganografia 196

Note
[1] Nicola Cocchiaro. Steganografia (http:/ / cocchiar. web. cs. unibo. it/ steg/ intro. html). cocchiar.web.cs.unibo.it, 2005. URL consultato il 4
novembre 2011.
[2] Graziella Montemarani, op. cit., p.16
[3] http:/ / www. spammimic. com
[4] http:/ / www. delirandom. net/ 20070407/ steganalysis-attack-against-spammimic/

Voci correlate
• Watermark
• Crittografia negabile

Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Steganography

Collegamenti esterni
• Dmoz - Tools Steganografici (http://search.dmoz.org/Computers/Security/Products_and_Tools/
Cryptography/Steganography/)
• Tritemio e la Steganografia (http://www.pazuzu.it/tritemio/)
• Esempio in C di steganografia LSB su file BMP (http://mamo139.altervista.org/index.php?tipo=c&id=100)
• Graziella Montemarani. Steganografia - L’arte della scrittura nascosta (http://www.dia.uniroma3.it/
~dispense/merola/critto/tesine/stega/stega2.pdf) (pdf). Università degli Studi Roma Tre - Dipartimento di
Informatica e Automazione, 5 giugno 2005. URL consultato il 17/08/2011.
• (LA) Testo completo della Steganographia (http://books.google.fr/books?id=bQdCAAAAcAAJ&
printsec=frontcover&dq=Johannes+Trithemius&hl=it&ei=_QQyTquxCsmLswbi0pTpBg&sa=X&
oi=book_result&ct=result&resnum=4&ved=0CDgQ6AEwAw#v=onepage&q&f=false) di Trithemius
scaricabile da Google Libri
Strong authentication 197

Strong authentication
Una autenticazione a due fattori (o autenticazione a più fattori o strong authentication) è un metodo di
autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.

Metodi di autenticazione
Per autenticarsi a sistemi digitali (es. computer o bancomat) vengono distinte tre diverse metodologie:
• "Una cosa che conosci", per esempio una password o il PIN.
• "Una cosa che hai", come un telefono cellulare, una carta di credito un oggetto fisico come un token.
• "Una cosa che sei", come una impronta digitale, la retina o l'iride, o altre caratteristiche di riconoscimento
attraverso caratteristiche uniche del corpo umano (biometria).

Autenticazione a due fattori

Si dice che un sistema fa leva su una autenticazione a due fattori quando si basa su due diversi metodi di
autenticazione tra quelli su elencati. Una autenticazione a due fattori si contrappone dunque ad una comune
autenticazione basata sulla sola password. Una autenticazione basata su password richiede infatti un solo fattore di
autenticazione (come la conoscenza di una password) per concedere l'accesso ad un sistema.
Le più comuni forme di autenticazione a due fattori usano "una cosa che conosci" (una password) come uno dei due
fattori, mentre come secondo fattore viene utilizzato o "una cosa che hai" (un oggetto fisico) o "una cosa che sei"
(una caratteristica biometrica come una impronta digitale). Un esempio comune di autenticazione a due fattori è il
bancomat: il tesserino è l'oggetto fisico che rappresenta "una cosa che hai" e il PIN è "una cosa che sai".

Strong authentication
Quando viene utilizzato più di un fattore di autenticazione si parla di strong authentication (autenticazione forte);
l'uso di un solo fattore, ad esempio la sola password, viene considerato una autenticazione debole. Una strong
authentication si basa su più fattori di autenticazione che possano tutti essere utilizzati online (ciò comporta di non
usare i fattori di tipo fisico o di utilizzarli in modo diverso).

Voci correlate
• Autenticazione
• Token
TACACS 198

TACACS
TACACS è l’acronimo di Terminal Access Controller Access Control System ed è un protocollo per
l'autenticazione e l'autorizzazione remota (non quindi AAA, in quanto manca la funzionalità di Account), nato e
usato principalmente nelle reti UNIX, progettato per la rete ARPANET. Esso permette a un server ad accesso remoto
di comunicare (nella maggior parte dei casi un NAS) con un server per autenticazione allo scopo di determinare se
l’utente ha accesso alla rete. È stato specificato nella RFC 1492.
TACACS permette ad un client avente un nome utente e una password, e di inviare una richiesta al server di
autenticazione TACACS, che viene anche chiamato TACACS Daemon o semplicemente TACACSD. Tale server è
nella maggior parte dei casi un programma eseguito in un determinato calcolatore, il quale elaborando la richiesta del
client, permette o nega l’accesso.
In questo modo il processo di decisione è di tipo aperto, cioè l’algoritmo e i dati usati per stabilire il permesso è
implementato nel TACACS daemon da parte dell’amministratore. Il protocollo solo si interessa della comunicazione
della richiesta e dell’esito della stessa.
Il protocollo sfrutta la comunicazione con pacchetti UDP, e usa di default la porta 49. I dati vengono scambiati tra
client e server attraverso i pacchetti TACACS (aventi una lunghezza tra 6 e 516 byte), che sono inseriti nel campo
dati dei pacchetti UDP. Username e password vengono inviati senza criptazione e vengono valutati in modalità
case-insensitive. [RFC 1492]
Una modifica all’originale protocollo è stata introdotta da CISCO nel 1990, con XTACACS (Extended TACACS), il
quale aggiunge la funzionalità di Accounting, rendendo quindi il protocollo di tipo AAA. Un’altra aggiunta è la
possibilità di operare con più server XTACACS, la quale aumenta la robustezza del sistema, evitando
malfunzionamenti generali dell’intera rete generati da un singolo server non funzionante.

Tecniche euristiche
Le analisi (o tecniche) euristiche sono dei tipi di analisi del computer utilizzate dai programmi antivirus per
individuare minacce sconosciute o non presenti nel database di virus dell'antivirus.
Tuttavia, questo tipo di analisi è a volte poco attendibile, se programmi normali si comportano con modalità che
secondo i parametri di comportamento dell'antivirus sono tipici dei virus (falso positivo).
Le analisi euristiche sono simili alle ricerche proattive, ma le prime, anche se meno attendibili, sono più sicure delle
seconde poiché le analisi euristiche analizzano un file solo "osservandolo", mentre le ricerche proattive lo eseguono:
cosa che potrebbe dare luogo a infezioni nella macchina.
Tiger team 199

Tiger team
Il termine Tiger Team era usato originariamente con riferimento militare per quelle squadre il cui scopo era di
penetrare la sicurezza di installazioni "amiche", e in questo modo di testare le loro misure di sicurezza.

Esempi
I loro membri sono professionisti che lasciano traccia dei loro successi, come ad es. lasciare cartelli di segnalazione
con scritto "bomba" in installazioni difensive di importanza critica, oppure note manoscritte recanti la dicitura "i
vostri codici sono stati rubati" (cosa che non fanno mai) all'interno di luoghi sicuri, ecc. Alle volte, dopo
un'intrusione portata a termine con successo, un membro della sicurezza di alto livello si presenta per un "controllo
di sicurezza", e "scopre" le tracce dell'intrusione. Successi di alto livello conseguiti dalle Tiger Teams hanno alle
volte portato a pensionamenti anticipati di comandanti di basi o ufficiali addetti alla sicurezza.

Nel mondo Informatico

Il termine è diventato popolare nel mondo informatico, dove la sicurezza dei sistemi è spesso testata dai Tiger Team.
Alcuni Tiger Team sono formati da hacker professionisti che testano la sicurezza dei server delle aziende tentando di
accedervi con attacchi remoti tramite la rete locale LAN, Internet o canali di comunicazione considerati "sicuri"
come la VPN.

Oggi
Il termine è ormai obsoleto, ed è adesso più comune riferirsi a loro come Penetration Tester o Ethical Hacker e il
processo di valutazione di un computer o di una infrastruttura informatica come Penetration Test.
Il termine è diventato noto in Italia in seguito alle vicende sorte intorno al tigerteam di Telecom Italia, dei suoi
dirigenti Giuliano Tavaroli e Fabio Ghioni[1] e i suoi collegamenti con il cosiddetto Scandalo Telecom-Sismi.
Secondo la stampa facevano parte del tigerteam anche Andrea Pompili (l'autore di Catalypse), Rocco Lucia (messo
ai domiciliari per il caso RCS), Andrea Bodei (nipote del filosofo Remo Bodei), Roberto Preatoni (figlio del
finanziere di Sharm el-Sheikh Ernesto Preatoni). Il gruppo è indagato per intrusione informatica a danno di RCS[2] in
particolare per le intercettazioni illegali verso Massimo Mucchetti, varie responsabilità riguardo lo scandalo
Telecom-Sismi, il rapimento del Caso Abu Omar (Imam di Milano), l'istigazione al suicidio che ha causato la morte
di Adamo Bove e in Brasile per spionaggio internazionale ai danni di Kroll Inc. (agenzia investigativa privata legata
alla CIA) nel contesto della scalata di Telecom Italia a Brasil Telecom[3] .

Bibliografia
• 2007 - Massimo Mucchetti. Il Baco del Corriere. Milano, Feltrinelli, 2007 (vedi su http://www.feltrinellieditore.
it/SchedaLibro?id_volume=5000741)
• 2008 - Giorgio Boatti, Giuliano Tavaroli: Spie, 241 pp, Mondadori, Collana Frecce, ISBN 978-88-04-58072-0
• 2008 - Sandro Orlando: La repubblica del ricatto - Dossier segreti e depistaggi nell'Italia di oggi (prefazione di
Furio Colombo, 299 pp, Chiarelettere editore srl, Milano, ISBN 978-88-6190-004-2
• 2008 - Emilio Randacio: Una vita da spia - 007 si nasce o si diventa?, 182 pp, Rizzoli, Collana Futuropassato,
ISBN 978-88-17-02057-2
• 2009 - Andrea Pompili. Le Tigri di Telecom. Roma, 2009. ISBN 978-88-6222-068-2
Tiger team 200

Voci correlate
• Security Operation Center
• Hacker
• Penetration Test
• Sicurezza informatica
• Scandalo Telecom-Sismi
• Caso Abu Omar
• Caso Adamo Bove

Note
[1] Articolo sull'Espresso - Dio, patria e spioni (http:/ / espresso. repubblica. it/ dettaglio/ Dio-patria-e-spioni/ 1503447/ 16/ 0)
[2] Articolo sul Corriere - Sala Mara, il bunker delle tigri di Ghioni (http:/ / archiviostorico. corriere. it/ 2007/ gennaio/ 21/
Sala_Mara_bunker_delle_tigri_co_9_070121163. shtml)
[3] Articolo sul Corriere della Sera - Giornalisti spiati. Il Tiger team rubava email (http:/ / www. corriere. it/ Primo_Piano/ Cronache/ 2007/
01_Gennaio/ 28/ ferrarella. html)

Time Machine (software)

Time Machine

Time Machine in esecuzione con Quick Look che mostra l'anteprima di un file
Sviluppatore Apple Inc.

Ultima versione - (2007)

S.O. Mac OS X

Genere Backup

Licenza Software proprietario

(Licenza chiusa)

Sito web [1]

Time Machine è un programma di backup automatico annunciato il 7 agosto 2006 da Apple Inc. durante il
Worldwide Developers Conference. Il programma è incluso con la nuova versione del sistema operativo Mac OS X
10.5 Leopard.
Time Machine crea delle copie di ogni file utente in modo che se il file dovesse venir sovrascritto o cancellato
l'utente possa tornare alla versione precedente. Il programma può recuperare la versione precedente di un singolo file
o di gruppi di file. Time Machine non funziona unicamente con i file del Finder ma è in grado di recuperare
Time Machine (software) 201

precedenti versioni di programmi. Il programma per esempio è in grado di recuperare album fotografici cancellati da
iPhoto o schede cancellate dalla Rubrica Indirizzi. Il programma effettua il backup dei file modificati ogni ora per le
ultime 24 ore. Dei backup più vecchi di un giorno viene mantenuto solo uno per la giornata al fine di non occupare
inutilmente spazio. Quindi l'utente può aver accesso alle modifiche effettuate nell'ultimo giorno con passi di un'ora o
nell'arco del periodo precedente con il passo di un backup al giorno. Quando il sistema termina lo spazio disponibile
sul disco il programma provvede a rimuovere i backup più vecchi. Time machine permette di recuperare l'intero
sistema operativo e non solo i file dell'utente. Quindi se l'utente lo desidera può utilizzare il programma per riportare
l'intero computer allo stato presente in uno dei backup o per migrare il sistema su un nuovo computer Apple.

Interfaccia grafica
Il programma è dotato di un'interfaccia grafica coreografica. Una volta selezionato l'elemento che conteneva i file da
recuperare (cartelle, programmi, ecc) si attiva il programma. Il programma fa scomparire il Finder e mostra uno
sfondo stellato che si muove, in primo piano la finestra o il programma selezionato e dietro la finestra mostra in
prospettiva le precedenti versioni temporali dell'elemento da recuperare, in fondo viene mostrato quello che sembra
una specie di nucleo stellare. A destra viene mostrata una linea del tempo scorribile, che permette di "navigare" tra le
varie copie temporali della finestra selezionata. Quindi è come se le singole finestre acquisissero una dimensione
temporale e questo spiega il nome del programma ("Time Machine" in inglese significa "macchina del tempo"). La
rappresentazione grafica del programma è ottenuta tramite il sistema Core Animation inclusa nel sistema operativo.
L'utente può utilizzare Quick Look per visualizzare i file e decidere se recuperare il file.

Tecnologia
Il programma genera per ogni backup una cartella sul volume destinato al backup. I file che non sono stati modificati
vengono collegati alle versioni precedenti con degli hard link mentre i file modificati vengono copiati integralmente.
Il programma non effettua un backup incrementale ma copia ogni volta l'intero file modificato. Quindi anche una
piccola modifica in un file costringe il sistema a effettuare una copia completa del file durante il backup. Apple ha
reso disponibili delle API per poter utilizzare Time Machine all'interno di programmi di terze parti, questa API si
chiamano Backup Core. Il programma per funzionare correttamente richiede un secondo hard disk con una partizione
non avviabile o un computer con Mac OS X Server nella rete locale.
La gestione delle revisioni a livello di file system si trova anche nei file system di OpenVMS, in Microsoft Windows
2003 e in Windows Vista.

Configurazione
Gli utenti possono modificare alcune impostazioni di Time Machine riguardanti il backup, tra le quali:
• è possibile modificare il volume dove Time Machine salverà i backup e le impostazioni
• si possono escludere alcune tipologie di file
• l'impostazione di default di Time Machine, prevede un backup ogni ora. Tuttavia, conserverà i backup orari delle
ultime 24 ore, quelli giornalieri dell'ultimo mese e quelli settimanali fino a quando non si esaurirà lo spazio su
disco. Al verificarsi di questo evento, si verrà avvisati che i backup più vecchi saranno rimossi.
• Nel keynote del 15 gennaio 2008, Jobs ha presentato Time Capsule: esteticamente simile all'AirPort Extreme,
oltre a integrare le medesime funzioni di quest'ultimo, contiene un hard disk da 1 TB o da 2 TB a seconda del
modello scelto, che permette a Time Machine di effettuare backup di qualsiasi Mac. Il backup potrà avvenire sia
via LAN che via Wi-Fi.
Time Machine (software) 202

Collegamenti esterni
• Pagina di Time Machine sul sito web Apple Italia [1]

Note
[1] http:/ / www. apple. com/ it/ macosx/ what-is-macosx/ time-machine. html

Token (sicurezza)
Un token per la sicurezza (chiamato anche token hardware, token
per l'autenticazione, token crittografico, o semplicemente token) è
un dispositivo fisico necessario per effettuare un'autenticazione
(tipicamente una autenticazione a due fattori).
Un token si presenta spesso sotto forma di dispositivo elettronico
portatile di piccole dimensioni, alimentato a batteria con autonomia
nell'ordine di qualche anno, dotato di uno schermo e talvolta di una
Token della RSA Security
tastiera numerica. Alcuni token possono essere collegati ad un
computer tramite una porta USB per facilitare lo scambio di dati.
Un token può anche essere di tipo software, ove le informazioni
necessarie risiedono direttamente nel computer dell'utente, e non in un
oggetto esterno.

Funzionamento
Un token è tipicamente un generatore di numeri pseudocasuali ad
intervalli regolari (nell'ordine di poche decine di secondi) secondo un Token della VeriSign

algoritmo che, tra i vari fattori, tiene conto del trascorrere del tempo
grazie ad un orologio interno. Altri fattori che influenzano l'algoritmo possono essere il numero di serie del token, o
altri codici numerici associati al possessore all'atto della consegna del token.
Lo stesso algoritmo è anche implementato su di un server di autenticazione, che è stato inizialmente sincronizzato
con il token e che, quindi, genera la stessa sequenza di numeri pseudocasuali del token negli stessi momenti, pur non
essendoci alcuna comunicazione tra i due oggetti.
Tale numero viene combinato con una password nota all'utente ed al sistema di autenticazione per generare una
password temporanea, o di sessione, che può essere usata per effettuare l'autenticazione entro la scadenza
dell'intervallo temporale.
Di conseguenza, la password temporanea per l'autenticazione sarà diversa in momenti diversi della stessa giornata.
L'autenticazione a due fattori è data dal fatto che per generare la password temporanea corretta è necessario:
• possedere lo specifico token che, in un dato istante, genera lo stesso numero pseudocasuale generato dal server di
autenticazione;
• conoscere la password di partenza con cui il numero va combinato.
Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza
dovrebbe non solo indovinare quella valida (cosa che presuppone la conoscenza dell'algoritmo, dei valori che lo
influenzano e anche della password nota all'utente) per il particolare istante, ma dovrebbe anche usarla prima che
essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza.
Token (sicurezza) 203

Voci correlate
• Phishing
• Keylogger
• Sniffing

Tolleranza ai guasti
La tolleranza ai guasti (o fault-tolerance, dall'inglese) è la capacità di un sistema di non subire fallimenti (cioè
intuitivamente interruzioni di servizio) anche in presenza di guasti. La tolleranza ai guasti è uno degli aspetti che
costituiscono l'affidabilità. È importante notare che la tolleranza ai guasti non garantisce l'immunità da tutti i guasti,
ma solo che i guasti per cui è stata progettata una protezione non causino fallimenti.
I controlli di protezione (che vengono effettuati a tempo di esecuzione), assieme a controlli analoghi effettuati
staticamente (come a tempo di progettazione o di compilazione), sono una metodologia molto efficace per ottenere
un'elevata robustezza (rapida rilevazione degli errori e loro confinamento) in un sistema.
La tolleranza ai guasti può portare al peggioramento di altre prestazioni, per cui nella progettazione di un sistema è
necessario trovare adeguate ottimizzazioni e compromessi.

Robustezza
La robustezza è la proprietà di quei sistemi che assicurano una rapida rilevazione degli errori e che ne consentono il
confinamento.
Studi statistici hanno mostrato che almeno due errori su tre sono dovuti a richieste illegali di operazioni su oggetti,
cioè proprio a quelle richieste che i controlli di protezione prevengono.

Fasi di trattamento del guasto

(da fare)

Misurazioni della tolleranza ai guasti

Una tipica misurazione della tolleranza ai guasti è costituita dal calcolare il tempo medio che intercorre tra due
fallimenti del sistema (in inglese Mean Time Between Failures, MTBF).

Esempi di applicazioni
La fault-tolerance varia per tipologia a seconda dell'aspetto al quale viene applicata e può avere tipi di
implementazione molto differenti fra loro.

Apparati elettronici
Si può andare da un semplice sistema di fault-tolerance nell'alimentazione di apparati elettronici, utilizzando un
gruppo di continuità o UPS: in caso di assenza della tensione di alimentazione, gli apparati continueranno a
funzionare per un periodo dipendente dalla capacità del sistema di backup.
Un sistema più complesso, sempre relativo alle alimentazioni degli apparati attivi, consiste nella replicazione
dell'alimentatore; se l'alimentatore principale si dovesse guastare, l'apparato continuerà a funzionare grazie ad uno o
più alimentatori posti in ridondanza. La fault-tolerance ovviamente corrisponderà al numero di alimentatori
ridondanti utilizzati nel sistema: banalmente, se un apparato dispone di tre alimentatori e si guastano tutti
contemporaneamente, l'apparato si ferma.
Tolleranza ai guasti 204

Sistemi multiprocessore
Nel campo dei microprocessori, la tecnica SMP permette di utilizzare più microprocessori contemporaneamente,
sfruttando la potenza di calcolo complessiva e, nel caso uno dei processori si dovesse fermare, il funzionamento
passerà al/ai processore/i ancora in funzione.

Memorizzazione in unità disco

Nella protezione dei dati, si può ricorrere a sistemi RAID, nei quali la fault-tolerance è in funzione dello schema
RAID adottato e dell'adozione o meno di dischi hot-spare.

Livelli del fault tolerance

• Il metodo più semplice si chiama mirroring e consente di avere nelle unità di memoria di massa due copie
identiche dello stesso disco ( oppure solo di alcuni archivi particolarmente importanti e preselezionati ); quando
un' operazione di I/O riscontra un errore, l'elaborazione non viene interrotta potendo essa usare la copia
alternativa.
• Un secondo livello di tolleranza del guasto viene realizzato con la tecnica del duplexing, che consiste nella
duplicazione dell'unità di controllo dei dischi ( controller ) oltre che dei dischi. L'utente può continuare ad
elaborare anche nel caso di un guasto al controller o al disco, e diminuiscono i dischi di interruzione.
• Il terzo livello riguarda la duplicazione dell'intero sistema, del server nel caso di reti locali e del mainframe nel
caso di un sistema di grandi dimensioni.
• Ci sono a disposizione altre tecniche meno costose rispetto alla duplicazione parziale del sistema, che vengono
indicate con la sigla RAID (Redundant Array Of Inexpensive Disk). Questa tecnologia consiste nel distribuire i
dati su un gruppo di dischi, in modo che sia possibile ricostruire per via matematica tutti i dati eventualmente
persi da uno dei dischi.

Voci correlate
• Protezione della memoria
• Variabile casuale esponenziale
• Triple Modular Redundancy
• Indice di fragilità
Tor (software di anonimato) 205

Tor (software di anonimato)

Tor

Sviluppatore Roger Dingledine e Nick Mathewson

Ultima versione [1]
0.2.2.33 (settembre 2011)

S.O. Multipiattaforma

Linguaggio C

Genere Onion routing / Anonimato

Licenza Licenza BSD

(Licenza libera)

Sito web [2]

www.torproject.org

Tor (The Onion Router) è un sistema di comunicazione anonima per Internet basato sulla seconda generazione del
protocollo di onion routing.
Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da
volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. Originariamente
sponsorizzato dalla US Naval Research Laboratory, è stato un progetto della Electronic Frontier Foundation ed ora è
gestito da The Tor Project, una associazione senza scopo di lucro.

Panoramica
Lo scopo di Tor è quello di rendere difficile l'analisi del traffico e proteggere così la privacy, la riservatezza delle
comunicazioni, l'accessibilità dei servizi. Il funzionamento della rete Tor è concettualmente semplice: i dati che
appartengono ad una qualsiasi comunicazione non transitano direttamente dal client al server, ma passano attraverso
i server Tor che agiscono da router costruendo un circuito virtuale crittografato a strati.
Le comunicazioni via Tor sono a bassa latenza e questo lo rende adatto alla navigazione web, alla posta, instant
messaging, SSH, IRC etc. Tor supporta esclusivamente il protocollo TCP.
La rete Tor fornisce essenzialmente due servizi:
1. Connessioni anonime in uscita
2. Fornitura di servizi nascosti

Connessioni anonime
Gli utenti della rete Tor eseguono il software Tor sulla loro macchina. Questo software periodicamente negozia un
circuito virtuale attraverso più nodi Tor, fino alla destinazione finale. L'uso della crittografia a strati (per analogia
con onion, che in inglese significa cipolla), permette di ottenere una perfetta segretezza in avanti. Più in particolare,
ogni onion router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per
spedire i dati in modo sicuro, cifrandoli. In questo modo, nessun osservatore posto in un punto qualsiasi del circuito,
è in grado di conoscere l'origine o la destinazione della connessione.
Le comunicazioni tra i nodi Tor del circuito sono cifrate, tranne il tratto tra l'ultimo nodo Tor (detto exit node) e la
destinazione finale, che è normalmente in chiaro. Se la destinazione è a sua volta un relay Tor, l'intera
Tor (software di anonimato) 206

comunicazione è cifrata e sfugge all'analisi di un eventuale osservatore posto nella tratta finale del circuito.
Il software Tor fornisce un'interfaccia SOCKS tramite la quale qualsiasi software di rete che la supporti (browser
web, client IRC...) può comunicare in forma anonima, attraverso un proxy SOCKS locale configurato ad hoc, come
Polipo (software) o Privoxy.

Servizi nascosti (hidden services)

Anche se la funzionalità più popolare di Tor è quella di fornire anonimato ai client, può anche fornire anonimato ai
server. Usando la rete Tor, è possibile ospitare dei server in modo che la loro localizzazione nella rete sia
sconosciuta. Un servizio nascosto può essere ospitato da qualsiasi nodo della rete Tor, non importa che esso sia un
relay o solo un client, per accedere ad un servizio nascosto, però, è necessario l'uso di Tor da parte del client. In altre
parole, è possibile offrire un servizio (ad esempio un sito web) in modo totalmente anonimo, come hidden service
Tor.
Agli hidden services si accede attraverso uno pseudo-dominio di primo livello .onion. La rete Tor capisce la
richiesta e apre una connessione con il server desiderato. In genere si preferisce configurare un servizio nascosto in
modo che sia accessibile esclusivamente da un'interfaccia di rete non-pubblica. I servizi a cui si accede sia attraverso
Tor che la rete pubblica sono suscettibili ad attacchi a correlazione.
Un altro vantaggio dei servizi nascosti di Tor è che non richiedono indirizzi IP pubblici per funzionare e possono
quindi essere ospitati dietro dei firewall e dei NAT.

Tipi di nodi Tor

L'utente può decidere in che modo usare la rete Tor ed in che modo contribuire, se lo desidera, alla crescita della rete
Tor. I principali modi d'uso sono:

Client
In questa configurazione normale di base, Tor gestisce unicamente le connessioni dell'utente permettendogli di
collegarsi alla rete Tor.

Middleman relay
È un nodo Tor che gestisce traffico di terzi da e per la rete Tor, senza collegarsi direttamente all'esterno. Nel caso
funga anche da client, esso gestisce anche le connessioni dell'utente, garantendo un maggiore anonimato. Tutti i relay
sono pubblicamente noti, per scelta progettuale.

Exit relay
È un nodo Tor che gestisce traffico di terzi da e per la rete Tor, e verso l'esterno. È possibile definire una exit policy
sulle connessioni in uscita all'esterno della rete Tor. Come il caso precedente, offre una protezione maggiore
all'utente che lo usi per le proprie connessioni. Come tutti i relay Tor, essi sono pubblicamente noti.

Bridge relay
I bridge relay [3] sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor
anche in presenza di un filtraggio efficace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche
dei nodi noti ma devono venire richiesti esplicitamente.
Tor (software di anonimato) 207

Problemi
L'8 settembre 2006, comincia una serie di sequestri[4] di server Tor in Germania da parte delle autorità. La
motivazione ufficiale è quella di controllare l'eventuale presenza di materiale illegale, contenuto presumibilmente in
alcuni servizi nascosti. Questo fatto costituisce il primo vero test per l'intera rete Tor.

Etiquette e abuso
Gli eventuali abusi della rete Tor vengono mitigati dalla possibilità, per ciascun nodo Tor di uscita (exit node), di
definire una politica d'uscita (exit policy) che definisca quale tipo di traffico può uscire o meno attraverso l'exit
node. Usando una combinazione di indirizzi e porte, è possibile combattere la maggior parte degli abusi. I potenziali
abusi includono:
Esaurimento della banda
È considerato scortese e improprio trasferire grandi quantità di dati attraverso la rete Tor, ad esempio con
software peer to peer, dato che gli onion router sono mantenuti da volontari che donano la propria banda.
E-mail
L'uso anonimo del protocollo SMTP (per esempio: l'email), può portare allo Spam. Di conseguenza, la politica
di uscita di default dei nodi Tor rifiuta le connessioni in uscita verso la porta 25, cioè quella usata per SMTP.
Vandalismo
Sicuri del fatto di non poter essere rintracciati, alcuni utenti Tor scrivono messaggi ritenuti impropri su Forum,
wiki, o chatroom. Come risultato, molti grandi provider di questi servizi impediscono agli utenti anonimizzati
di utilizzare i propri servizi. Wikipedia, ad esempio, inibisce la modifica delle proprie pagine agli utenti
anonimi che si collegano via Tor tramite un'estensione chiamata TorBlock. L'uso da parte di utenti registrati
resta comunque soggetto a dei limiti.

Limiti

Richieste DNS
È importante notare che molti software continuano a effettuare richieste DNS dirette, senza usare il proxy Tor. Ciò
compromette l'anonimato perché rivela ad un osservatore le richieste DNS fatte, e quindi le destinazioni delle
connessioni. Possibili soluzioni a questo problema sono l'uso di Privoxy, o del comando 'tor-resolve' fornito con Tor.
In più, le applicazioni che usano SOCKS 4a (quindi supportano le richieste basate sul nome al proxy) possono
veicolare le richieste DNS attraverso la rete anonima, e ottenere che le richieste vengano fatte dal nodo di uscita
ottenendo così lo stesso livello di anonimizzazione del resto del traffico Tor.

Analisi del traffico

Il modello di rischio in cui Tor offre anonimato prevede un osservatore in grado di osservare una piccola parte delle
connessioni nella rete Internet, come può essere un ISP, un governo locale, un server di destinazione. Tor non offre
protezione contro un ipotetico avversario globale, in grado di osservare tutte le connessioni della rete: poiché Tor è
un servizio a bassa latenza sarebbe possibile correlare una connessione cifrata di partenza con una connessione in
chiaro di destinazione.
Inoltre, sarebbero possibili altri attacchi all'anonimato di Tor (ma non l'identità dell'utente di partenza) anche ad un
osservatore parziale della rete [5] .
Tor (software di anonimato) 208

Exit node ostili

L'ultimo nodo di un circuito Tor trasmette la connessione così com'è (non cifrata da Tor) alla destinazione finale. Se
la connessione finale avviene in chiaro, l'exit node potrebbe spiare i dati trasmessi, ricavandone ad esempio
password e altre informazioni. Se la connessione è di tipo cifrato (SSL, SSH) non è possibile spiare direttamente i
dati trasmessi, mentre sono comunque possibili attacchi di tipo Man in the middle riconoscibili dal cambiamento dei
certificati crittografici del server di destinazione.
Lo scenario di sicurezza in un exit node è molto simile all'uso di una connessione pubblica wireless, che può essere
sorvegliata o manipolata facilmente da un osservatore locale. La protezione consiste nell'usare sempre protocolli
sicuri cifrati quando si trasmettono informazioni sensibili; è bene inoltre verificare i certificati crittografici (SSL,
SSH) del server a cui ci si collega.

ISP ostile
Alcuni ipotizzano che un Internet Service Provider ostile potrebbe costruire una propria rete Tor privata e ridirigere
lì il traffico dei propri utenti Tor sorvegliandone interamente il traffico. Per evitare questo scenario di attacco tuttavia
il software Tor dell'utente contiene cablate di default le credenziali (l'indirizzo e le chiavi crittografiche) dei 7
directory authority della rete Tor[6] [7] ; al primo tentativo di collegamento in questa rete ostile l'utente avrebbe un
errore di autenticazione crittografica e non potrebbe proseguire. In questo scenario di attacco quindi l'ISP dovrebbe
anche distribuire agli utenti una propria versione modificata del software Tor, con le credenziali delle proprie
directory authority ostili. Per questo motivo il software Tor viene distribuito tramite diversi canali (il sito web
ufficiale, siti web mirror, per email) e si raccomanda la verifica dell'integrità del software tramite le firme
crittografiche dei rilasci.

Piattaforme
Tor è disponibile per Windows, Linux/BSD/Unix, Mac OS X ed è software libero basato sulla licenza BSD.

Note
[1] https:/ / blog. torproject. org/ blog/ iran-blocks-tor-tor-releases-same-day-fix
[2] https:/ / www. torproject. org/
[3] https:/ / bridges. torproject. org/
[4] Germania, crackdown contro la rete Tor (http:/ / punto-informatico. it/ p. aspx?id=1641461) da Punto Informatico
[5] Low-Cost Traffic Analysis of Tor (http:/ / www. cl. cam. ac. uk/ users/ sjm217/ papers/ oakland05torta. pdf) (PDF). 19-01-2006. URL
consultato il 21-05-2007.
[6] Tor FAQ: Key management (https:/ / www. torproject. org/ faq. html. en#KeyManagement)
[7] Tor directory protocol, version 3 (https:/ / gitweb. torproject. org/ tor. git?a=blob_plain;hb=HEAD;f=doc/ spec/ dir-spec. txt)

Voci correlate
• Anonimato
• Anonymous remailer
• Crittografia
• Freenet
• Identificazione
• Netsukuku
• Sicurezza informatica
Tor (software di anonimato) 209

Collegamenti esterni
• Sito ufficiale (https://www.torproject.org/)
• Tor Browser (https://www.torproject.org/projects/torbrowser), browser senza necessità di installazione e già
predisposto per la navigazione tramite Tor
• Check page (https://check.torproject.org/), verifica l'indirizzo IP
• TorCheck (https://torcheck.xenobite.eu/), verifica l'indirizzo IP e i potenziali problemi del browser per
l'anonimizzazione
• Tor: lezioni di guida ( 1 (http://punto-informatico.it/2070093/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 2 (http://punto-informatico.it/2099433/PI/Commenti/
cassandra-crossing-tor-lezione-teoria.aspx), 3 (http://punto-informatico.it/2104131/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 4 (http://punto-informatico.it/2110219/PI/Commenti/
cassandra-crossing-tor-lezioni-teoria-4.aspx), 5 (http://punto-informatico.it/2116209/PI/Commenti/
cassandra-crossing-tor-lezioni-server.aspx), 6 (http://punto-informatico.it/2122739/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 7 (http://punto-informatico.it/2141287/PI/Commenti/
cassandra-crossing-tor-lezione-freenet-7.aspx)) da Punto Informatico

Triple Modular Redundancy

In informatica, il triple modular redundancy (TMR) è un particolare tipo di N-modular redundancy, in cui tre
sistemi eseguono un processo, il cui risultato viene sottoposto ad un sistema di voting per produrre un unico output.
Se uno dei tre sistemi fallisce, gli altri due sistemi possono mascherare e correggere il fault. Un fallimento del voter
comporta il fallimento dell'intero sistema. Per tale motivo in un buon sistema TMR il voter deve essere molto più
affidabile degli altri componenti del TMR. In alternativa, se si adopera un ulteriore TMR a valle di quello
considerato, si possono utilizzare tre voter, l'output di ognuno dei quali costituirà l'input di ognuna delle copie del
TMR successivo.
Il TMR può essere applicato in innumerevoli forme di ridondanza, come ad esempio nel caso del software con
l'N-version programming.
Alcune memorie ECC utilizzano hardware TMR (in alternativa ai più comuni codici di Hamming), poiché un TMR
hardware risulta essere più veloce della correzione degli errori basata su codici di Hamming fatta in hardware.[1]
I sistemi satellitari utilizzano spesso il TMR[2] [3] [4] [5] , sebbene le RAM satellitari utilizzino in genere la correzione
degli errori basata su codici di Hamming.[6]
Alcuni sistemi di comunicazione impiegano l'N-modular redundancy come una semplice forma di forward error
correction. Ad esempio, sistemi di comunicazione basati su 5-modular redundancy (come un FlexRay) utilizza una
votazione di maggioranza su 5 elementi, per cui se 2 dei 5 risultati sono errati, gli altri 3 risultati sono in grado di
correggere e mascherare il fault.

Realizzazione di un voter
Nel caso in cui il sistema in esame da ridondare sia un sistema digitale in cui ingresso ed uscita sono costituiti da un
unico bit, si può pensare di utilizzare come voter un full-adder, che prenda in ingresso come operandi e riporto
entrante le uscite dei tre sistemi costituenti il TMR. La decisione di maggioranza sarà costituita dal bit di riporto
uscente (l'uscita relativa alla somma può essere trascurata), in quanto il segnale di riporto di un full-adder è alto
quando almeno due dei tre ingressi sono alti ed è basso quando almeno due dei tre ingressi sono bassi.
Triple Modular Redundancy 210

Voci correlate
• Tolleranza ai guasti
• Dual modular redundant
• Codici a ripetizione

Note
[1] http:/ / www. apmcsta. org/ File/ doc/ Conferences/ 6th%20meeting/ Chen%20Zhenyu. doc
[2] Sspc Mpc (http:/ / www. omnisys. se/ projects/ smart/ power-control/ sspc_mpc. htm)
[3] Actel engineers use triple-module redundancy in new rad-hard FPGA - Military & Aerospace Electronics (http:/ / mae. pennnet. com/
Articles/ Article_Display. cfm?Section=OnlineArticles& SubSection=Display& PUBLICATION_ID=32& ARTICLE_ID=111934)
[4] SEU Hardening of Field Programmable Gate Arrays (FPGAs) For Space Applications and Device Characterization (http:/ / klabs. org/
richcontent/ Papers/ Synopses/ nsrec94. htm)
[5] FPGAs in Space (http:/ / www. fpgajournal. com/ articles/ 20040803_space. htm)
[6] Commercial Microelectronics Technologies for Applications in the Satellite Radiation Environment (http:/ / radhome. gsfc. nasa. gov/
radhome/ papers/ aspen. htm)

TruPrevent Technologies
TruPrevent Technologies, sono una serie di tecnologie sviluppate da Panda Software per una protezione proattiva a
casa e nelle aziende, in opposizione ai prodotti tradizionali come gli antivirus che offrono una protezione reattiva.
Truprevent Technologies offre una generica protezione contro molte tecniche comunemente usate dal nuovo
malware, e politiche e regole sviluppate sulle nuove vulnerabilità che appaiono ogni giorno.

Prodotti che implementano TruPrevent

• Panda Antivirus
• Panda Antivirus+Firewall/Panda Titanium
• Panda Internet Security/Panda Platinum
• Panda AdminSecure
• Panda ClientShield with TruPrevent Technologies
• Panda FileSecure with TruPrevent Technologies
• TruPrevent Personal
• Panda ActiveScan and Panda ActiveScan Pro
• Panda NanoScan and Panda TotalScan

Collegamenti esterni
• Sito di Panda Security [1]

Note
[1] http:/ / www. pandasecurity. com/
Trusted computing 211

Trusted computing
L'espressione inglese Trusted Computing (TC, letteralmente
informatica fidata o calcolo fidato) si riferisce ad una tecnologia
nascente, derivata da specifiche del Trusted Computing Group (TCG)
– che ha ereditato quelle del Trusted Computing Platform Alliance
(TCPA) – con l'obiettivo dichiarato di rendere dispositivi come
computer o telefoni cellulari più sicuri mediante l'uso di opportuni
Il logo del Trusted Computing Group, gruppo di
hardware e software. Il raggiungimento di tale scopo viene ottenuto aziende promotore del Trusted Computing
inserendo in ogni dispositivo un chip (denominato Trusted Platform
Module o più brevemente TPM) dotato di una coppia di chiavi crittografiche (univoca per ogni chip), impossibili da
modificare anche per il proprietario, e capace di generare altre chiavi per la crittografia di dati o dispositivi[1] . La
controversia attorno a tale tecnologia nasce dal fatto che tali dispositivi sarebbero sicuri sia da manomissioni esterne
che da eventuali utilizzi, definiti impropri, dell'utente.

I principali sviluppatori di tale tecnologia sono i Membri Promotori del Trusted Computing Group, ovvero AMD,
HP, IBM, Infineon, Intel, Lenovo, Microsoft e Sun Microsystems[2] . Attualmente soltanto alcuni computer portatili
e telefoni cellulari destinati all'utenza business sono dotati del TPM, che li rende pronti per tale tecnologia, mentre
diversi produttori di schede madri rendono disponibili prodotti compatibili con l'installazione opzionale del TPM[3] .

Concetti Chiave
Alla base del Trusted Computing vi sono i meccanismi di crittografia asimmetrica. Questi vengono applicati per i
seguenti scopi:
• Ogni singolo dispositivo è identificato univocamente da una sorta di passaporto elettronico, ovvero da un numero
di serie e una chiave di cifratura
• Le informazioni possono essere cifrate con la chiave della macchina
• Le informazioni possono essere firmate con la chiave della macchina
• La cifratura delle informazioni viene eseguita a livello hardware in modalità sicura
L'implementazione di tali meccanismi avviene essenzialmente per mezzo del Trusted Platform Module (TPM), un
microchip costruito secondo le specifiche del Trusted Computing Group. Le direttive del Trusted Computing Group
specificano che esso debba essere caratterizzato principalmente da un co-processore crittografico per la crittografia
asimmetrica, un generatore di chiavi asimmetriche, un generatore di numeri casuali, un motore crittografico HMAC,
un motore crittografico SHA-1, un chip di memoria volatile per la memorizzazione di chiavi, utilizzabile anche
dall'utente e da un chip di memoria non volatile[4] .
L'unità TPM, secondo le specifiche del Trusted Computing Group, avrà cinque principali funzionalità. Ognuna ha
uno scopo diverso, anche se possono essere usate insieme. Perché siano attive, però, è necessario che anche il
software in utilizzo ne implementi il supporto. Queste caratteristiche sono:
• Endorsement Key (chiave di approvazione)
• Secure I/O (Input/Output sicuro)
• Memory curtaining (separazione della memoria)
• Sealed storage / Trusted storage (memoria sigillata / memoria fidata)
• Remote attestation (attestazione remota)
Trusted computing 212

Endorsement Key
L'integrità del sistema viene protetta da manomissioni e falsificazioni grazie a
una sofisticata tecnica crittografica che impedisce a emulatori software (ad
esempio driver) di avviare una transazione sicura con un programma, un
dispositivo hardware o un sistema remoto. Ciò sarà realizzabile mediante una
coppia di chiavi RSA a 2048 bit che identifica univocamente ogni TPM. Tale
coppia di chiavi, detta Endorsement Key (chiave di approvazione), è diversa per
ogni chip e viene generata al momento della produzione del chip. In alcuni casi,
ma non sempre, è revocabile (e dunque modificabile) solo con una password
fornita dal produttore. Il TPM è realizzato in modo che non esistano funzioni in
grado di estrarre in alcun modo tale chiave, e lo stesso dispositivo hardware
(secondo le specifiche) riconoscerà di essere stato manomesso. All'atto dell'instaurazione di una transazione sicura, i
TPM coinvolti dovranno firmare un numero casuale per certificare la loro identità e la propria adesione alle
specifiche TCG. Ciò potrà, ad esempio, impedire la falsificazione dell'IMEI di un cellulare rubato.

Le credenziali di Approvazione, Conformità e Piattaforma possono generare, su richiesta del proprietario, una
Attestation Identity Key (AIK, "chiave di attestazione dell'identità") univoca da sottoporre a una Autorità di
Certificazione Questa funzionalità potrà estendersi fino alla creazione di una vera e propria infrastruttura a chiave
pubblica (PKI) hardware e all'identificazione univoca di ogni dispositivo conforme alle specifiche TCG.

Secure I/O
Le operazioni di input/output vengono rese sicure (da qui il nome di "secure
I/O") con l'utilizzo dei meccanismi di cifratura a chiave asimmetrica. Tutte le
informazioni che transitano sui bus del sistema sono cifrate: in questo modo è
impossibile da parte di appositi programmi o meccanismi hardware carpire le
informazioni scambiate tra la tastiera e un'applicazione, tra l'applicazione e lo
schermo, ...

Sul bus di collegamento tra CPU e TPM (se esterno al processore), i dati
viaggiano sempre e comunque cifrati.
Principali indicazioni:
• Un sistema di autenticazione biometrico potrà garantire all'utente che nessun
programma spia intercetti, memorizzi e ritrasmetta i dati di accesso (impronte digitali, iride...). Vedi in seguito per
ulteriori approfondimenti.
• In infrastrutture semplici, si potrà garantire l'inefficacia di un keylogger (programma che monitora i caratteri
digitati su tastiera) a carpire le chiavi (password) di accesso al sistema.
• Si potrà impedire a programmi di cattura delle immagini visualizzate su schermo di tentare la lettura di un
CAPTCHA o il salvataggio di immagini non copiabili, ad es. protette da copia non autorizzata[5] [6] .
Trusted computing 213

Memory curtaining
Il memory curtaining (separazione della memoria) prevede che l'hardware
impedisca a ogni programma la lettura e la scrittura delle zone di memoria (lo
spazio in cui normalmente i programmi parcheggiano i dati che stanno
elaborando in quel momento) utilizzate dagli altri applicativi in esecuzione.
Nemmeno il kernel del sistema operativo sarà in grado di accedere a tali zone di
memoria, anche perché i dati in esse sono cifrati, quindi le informazioni saranno
al sicuro anche nel caso in cui un intruso riuscisse a prendere il controllo
dell'intero sistema.
Qualcosa di molto simile può essere ottenuto anche con il software, ma
l'approccio hardware fornisce una soluzione più elegante e affidabile. Questo
meccanismo può però anche rendere impossibili alcuni metodi di debugging (correzione degli errori di applicazioni
difettose).

Sealed storage
Il sealed storage (memoria sigillata), o trusted storage (memoria fidata),
protegge le informazioni per mezzo della cifratura, usando una chiave che deriva
dallo stato del sistema, ovvero dal software utilizzato e dall'hardware su cui esso
è in esecuzione. Questo significa che tali informazioni possono essere fruibili
solo con la stessa combinazione di software e hardware. Per esempio, gli utenti
che tengono un proprio diario privato sul proprio computer non vogliono che
altri programmi o altri computer siano in grado di leggerlo. Oggi, un virus
(Sircam faceva qualcosa di simile) può cercare il diario, leggerlo e inviarlo a
qualcun altro. Una volta caduto nelle mani sbagliate, anche se fosse protetto da
una password, un cracker potrebbe tentare di accedere al diario per mezzo di un
attacco basato su un dizionario. Si potrebbe accedere alle informazioni contenute nel diario dell'utente anche
modificando il software di scrittura dello stesso: usando il sealed storage, il diario viene cifrato in modo sicuro
cosicché soltanto il programma per la sua gestione (non modificato) presente in quel computer è in grado di
accedervi.

Questo metodo di cifratura dei dati impedisce anche di rimuovere un disco da un computer e utilizzarlo, con i dati in
esso contenuti, in un altro computer.
Nel trusted storage il compito di decidere chi sia autorizzato ad accedere ai dati fidati ricade sullo stesso dispositivo
di memorizzazione, e non sull'applicazione che ha creato i dati. Ciò permette ad esempio di assegnare della memoria
del disco alle applicazioni fidate di cui le altre applicazioni ignorano l'esistenza, o di creare un disco rigido i cui dati
siano leggibili solo da un certo computer. Un disco rigido trusted deve contenere un processore crittografico, per
essere in grado di garantire prestazioni elevate nella crittazione del disco, e si pone come radice ((EN): root) di una
catena di fiducia ((EN): chain of trust) in cui controlla e firma le periferiche a cui l'utente decide di garantire l'accesso
al computer[7] [8] .
Trusted computing 214

Remote attestation
La remote attestation (attestazione remota) permette a terzi di interrogare il
sistema e di conoscerne lo stato, ovvero di rilevarne le sue variazioni. In questo
modo si può evitare che informazioni riservate siano inviate da un computer
compromesso o non sicuro, o che da questo siano ricevuti comandi "pericolosi". Il
meccanismo si basa sul protocollo di Direct Anonymous Attestation, ovvero
utilizzando un certificato digitale generato dall'hardware che garantisce l'anonimità
del processo. Il sistema può presentare tale certificato ad altri sistemi remoti per
mostrare che esso non è stato compromesso.

L'attestazione remota è di solito effettuata per mezzo della cifratura a chiave

pubblica, in modo tale che le informazioni scambiate possano essere lette soltanto dai programmi coinvolti
nell'attestazione, e non da malintenzionati.
Per riprendere l'esempio del diario, il programma per la sua gestione potrebbe inviare le informazioni contenute in
quest'ultimo ad altri computer soltanto se questi sono in grado di attestare che su di essi è in esecuzione una copia
sicura del programma di gestione dello stesso. Combinata con altre tecnologie, l'attestazione remota fornisce un
canale più sicuro per i dati: l'I/O sicuro li protegge in fase di digitazione sulla tastiera e di visualizzazione sullo
schermo, il memory courtaining li protegge mentre questi vengono elaborati, il sealed storage quando vengono
salvati sul disco fisso; infine l'attestazione remota protegge i dati da utilizzi non autorizzati anche quando questi
vengono utilizzati su altri computer.

Supporto del Trusted Computing

Il Trusted Computing è supportato da qualsiasi sistema operativo. Linux lo supporta dalla versione 2.6.13[9] , mentre
in Microsoft Windows è implementato sia dal sistema operativo stesso, attraverso BitLocker Drive Encryption in
Windows Vista, che da programmi sviluppati da terze parti[10] [11] . Anche la piattaforma Java supporta il Trusted
Computing attraverso un Trusted Software Stack open source chiamato jTSS[12] .
La distribuzione Linux Gentoo supporta il Trusted Computing attraverso il Trusted Software Stack open source
Trousers[13] , ed esiste una versione del boot loader GRUB modificata che supporta il Trusted Computing, chiamata
TrustedGrub[14] .

Applicazioni del Trusted Computing

Reti Informatiche Sicure

Attraverso il Trusted Computing è possibile creare reti informatiche sicure. Il Trusted Computing Group ha
pubblicato le specifiche di un'architettura di rete, chiamata Trusted Network Connect, che attraverso il protocollo
AAA è in grado di garantire l'attestazione anonima sicura di ogni dispositivo che cerca di connettersi alla rete[15] .
Ogni dispositivo, al momento della connessione, invia all'autenticatore una serie di informazioni cifrate sulle proprie
generalità e sul proprio stato, che vengono confrontate da un sistema di controllo con dei database per garantire o
rifiutare l'accesso.

Cifratura del disco rigido

Windows Vista Ultimate e Business fanno uso del Trusted Platform Module per implementare BitLocker Drive
Encryption[16] . Il Trusted Platform Module è utilizzato per effettuare un bootstrap sicuro e accedere alle chiavi di
decrittazione del disco rigido. All'avvio del computer una serie di controlli viene effettuata nel BIOS, nel master boot
record e nella partizione di boot finché il Trusted Platform Module non riceve le chiavi di decifratura e le utilizza per
decifrare l'hard disk come richiesto. Questo fa sì che, per esempio, in caso di furto sia impossibile accedere ai dati
Trusted computing 215

semplicemente inserendo l'hard disk in un altro computer.

Enforcer è invece un modulo di sicurezza di Linux scritto per garantire la sicurezza del sistema operativo garantendo
che non avvenga alcuna alterazione del file system[17] . Enforcer è in grado di interagire con hardware trusted per
garantire alti livelli di sicurezza per software e dati sensibili. Può interagire con un Trusted Platform Module per
garantire l'immagazzinamento dei dati sicuri in un file system crittato, disabilitandolo quando rileva file alterati e
impedendone l'accesso finché la macchina non viene riavviata con file non alterati, proteggendo così i dati da
attacchi.
Un terzo programma di crittazione della memoria di massa che fa uso del Trusted Computing è Turaya.Crypt, che
differisce dagli altri due per essere concepito per essere in grado di funzionare in diverse modalità d'uso[18] .
Turaya.Crypt può infatti crittare sia hard disk che periferiche rimuovibili come chiavi USB; è in grado di funzionare
sia in sistemi a utente singolo, chiedendo password prima del boot del sistema operativo, sia in sistemi multiutente,
garantendo a un amministratore centrale i diritti di poter scegliere le risorse da assegnare a ogni singolo utente.

Possibili applicazioni del Trusted Computing

Protezione da virus e programmi spia

La firma digitale del software potrà permettere agli utenti di riconoscere le applicazioni originali create da produttori
di cui egli si fida, distinguendole da versioni false contenenti componenti di codice maligno. Ad esempio, in rete
circolano molte versioni fasulle del popolare programma di messaggistica istantanea MSN Messenger, spacciate per
originali ma arricchite di spyware (programmi spia), scaricabili da siti che imitano in tutto la grafica del sito
originale. Il Sistema Operativo, verificando la mancanza di una firma digitale valida e constatando che il programma
si "spaccia" per prodotto Microsoft, potrebbe avvertire l'utente che il programma non è "affidabile". Si noti che le
versioni espanse o i client che si appoggiano alla rete MSN di norma dichiarano l'autore (mediante l'infrastruttura
PKI).
Anche se il Trusted computing è indicato come mezzo per rendere il sistema inattaccabile dai virus, Microsoft ha
negato che tale funzionalità sarà presente con la semplice introduzione della sua architettura NGSCB, in quanto la
maggior parte del software, inizialmente, sarà il software attuale, "non protetto". Tuttavia il colosso di Redmond
afferma che il Trusted computing potrà essere utilizzato dai produttori di software come piattaforma di sviluppo per
creare antivirus e firewall di nuova generazione, che possono essere avviati in uno stato di esecuzione "protetto" e
quindi non manipolabile da virus e programmi spia.

Misure di prevenzione degli imbrogli nei giochi online

Spesso nei giochi in linea viene lamentata la possibilità da parte di certi giocatori (cheater) di imbrogliare mediante
l'uso di bot, cioè giocatori virtuali governati da intelligenze artificiali, o modificando la propria copia del gioco per
avere un vantaggio sugli altri giocatori. Grazie alla combinazione di Remote Attestation, secure I/O e memory
curtaining, il server, e allo stesso tempo gli altri client, avranno la certezza dell'onestà dei partecipanti alla sfida,
ovverosia della genuinità della loro copia del gioco.
Trusted computing 216

Sistemi di Digital Rights Management

L'introduzione dell'infrastruttura di calcolo fidato permetterà ai produttori di software la creazione di un sistema
DRM (gestione dei diritti digitali, in pratica sistemi anticopia) praticamente inviolabile, impedendo la duplicazione
non autorizzata di programmi o materiale audiovisivo.
Grazie al Sealed Storage i brani scaricati via Internet o memorizzati su supporto fisico (es. CD Audio) potranno
essere crittografati in modo da poter essere letti soltanto da un programma (in caso di brano scaricato anche
l'hardware in uso potrebbe venire considerato) sicuro che, grazie al memory curtaining impedirà l'intercettazione
della forma decrittografata del brano, e grazie al secure I/O non permetterà ad altri programmi di spiare i buffer della
scheda audio (aree di memoria tampone contenenti i flussi audio che stanno per essere riprodotti) né sostituire la
stessa con un impianto di registrazione professionale. Allo stesso modo il software potrà tutelarsi da copie non
autorizzate.

Protezione dal phishing

Grazie all'uso della Remote Attestation, sarà possibile tutelarsi dal
crescente fenomeno del phishing eseguendo una verifica sull'integrità
del server bancario con cui si tenta una transazione sicura. Le
specifiche del TPM prevedono che determinate chiavi di accesso
memorizzate nel dispositivo (es. il PIN di accesso al conto corrente
bancario) possono essere attivate solo se il richiedente rispetta i
requisiti di attestazione. Non solo il browser con supporto TC
(TC-enabled in gergo) potrà determinare la validità del sito internet
anche in caso di improbabile camuffamento del DNS, ma lo stesso
Correntisti sicuri
TPM non rilascerà la chiave, con la solita tecnica della firma di un
numero casuale, a nessuno se non agli interlocutori autorizzati:
nell'esempio il server bancario in questione.

Inoltre lo stesso server, mediante AIK e Remote Attestation, potrà distinguere se l'utente sta operando dal proprio PC
di casa o da un'altra postazione (es. imponendo un tetto massimo alle operazioni, contattando telefonicamente per
conferma) qualora egli abbia preso accordi in merito con la propria banca.
Trusted computing 217

Possibilità dell'uso della biometria in Rete

Uno dei principali ostacoli alla diffusione della biometria in una Rete
di Calcolatori è la non revocabilità delle credenziali di accesso. Una
password d'accesso può essere cambiata, un certificato digitale
revocato, ma le impronte digitali o le creste dell'iride non possono
essere cambiate nel momento in cui qualcuno entri in possesso di tali
informazioni.
Pensiamo nuovamente all'autenticazione in un sistema bancario,
stavolta con impronte digitali. Le impronte dell'utente vengono
trasformate dal lettore in una sequenza di bit, ossia in forma digitale.
Tale sequenza di bit verrà poi inviata al server per l'autenticazione. Se
per assurdo un utente malevolo entrasse in possesso di tale codifica
digitale, potrebbe facilmente riutilizzarla per autenticarsi al posto del
legittimo utente con un client ad hoc che simula il comportamento del
lettore. E non ci sarebbe più modo per l'utente di utilizzare servizi di
autenticazione biometrica perché qualcuno ha già le sue credenziali.
Bancomat biometrici in Corea del Sud
Con la tecnologia attuale, una connessione SSL garantisce che nessuno
possa intercettare la sequenza di bit rappresentante le impronte suddette, ma la presenza di uno spyware sul PC
permetterebbe un'intercettazione delle impronte direttamente dal lettore con le conseguenze catastrofiche di cui
sopra.
Le soluzione al problema è praticamente unica: fare in modo che dal bus del lettore esca una sequenza criptata non
leggibile da nessuno tranne un software fidato. Con il secure I/O è possibile realizzare questa soluzione in tutta
sicurezza.

Protezione dal SimUnlock

Molti operatori di telefonia cellulare, come H3G, propongono al pubblico l'acquisto di un telefonino ad un prezzo
ridottissimo a patto di utilizzarlo solo ed esclusivamente con la carta SIM abbinata e viceversa. Molti clienti, per
usare il cellulare con schede di altri operatori a tariffe più convenienti e/o per usare la scheda su un altro telefonino:
• sovrascrivono il software del cellulare in modo da fargli accettare tutte le SIM card GSM/UMTS (il c. d.
SimUnlock);
• sovrascrivono l'IMEI di un secondo apparecchio da usare con la scheda.
Grazie all'utilizzo di un opportuno TPM nei cellulari soggetti a blocco, sarà impossibile l'avvio con un software
diverso da quello specificatamente approvato dal costruttore. Inoltre l'operatore potrà usare l'Endorsement Key per
stabilire che l'utente non stia usando un cellulare manomesso.

Risultati sicuri dal calcolo distribuito

L'uso dell'attestazione remota potrebbe permettere agli ideatori di un programma di calcolo distribuito che i
partecipanti al programma usino una versione trusted del software di elaborazione: in questo modo si può essere
sicuri che i dati inviati da quel client siano corretti, ovverosia che non siano stati deliberatamente alterati dall'utente.
Questo permetterebbe di effettuare simulazioni su larga scala (per esempio simulazioni climatiche) avendo la
certezza che i partecipanti non forniscono dati falsi: ciò assicura che i risultati globali della simulazione siano
autentici.
Trusted computing 218

Sostenitori e detrattori
I sostenitori del TC sono oltre 170 aziende[19] tra le più grandi dell'industria informatica mondiale, come AMD, hp,
IBM, Intel, Microsoft e Sun Microsystems e lo presentano come la soluzione per ottenere computer più sicuri,
affidabili e meno attaccabili da virus e programmi nocivi. Microsoft Windows Vista fa uso del Trusted Computing
per implementare la tecnologia BitLocker Drive Encryption per la crittografia dell'hard disk, mentre Intel ha lanciato
una tecnologia chiamata Trusted Execution Technology per garantire un avanzato supporto hardware del Trusted
Computing.
L'esercito USA richiede che tutti i suoi computer ne siano dotati[20] [21] ; dal 3 luglio 2007 tutti i computer acquistati
dal dipartimento della Difesa Americano devono essere dotati di chip TPM di versione 1.2[22] . La Commissione
Europea finanzia un progetto open source per lo sviluppo del Trusted Computing chiamato OpenTC, che lavora a
stretto contatto sia con diversi membri del gruppo, quali AMD, Hewlett-Packard e IBM, sia con importanti istituti
accademici europei, tra cui l'Università di Cambridge e il Politecnico di Torino[23] .
La più grossa critica al Trusted Computing Group viene invece dalla comunità legata al software libero. La Free
Software Foundation nei propri articoli fa spesso riferimento al Trusted Computing come "Treacherous Computing",
ovvero "informatica infìda"[24] . In Italia No1984, un gruppo il cui nome si ispira al noto romanzo di G. Orwell
"1984", si pone fermamente contro questa nuova tecnologia e, ad oggi, ha tradotto in italiano un breve filmato
divulgativo di critica al Trusted Computing[25] ed ha pubblicato vari articoli sull'argomento, assieme ad un elenco dei
computer che contengono al proprio interno un chip TPM[26] .

Critiche
Le voci critiche sul Trusted Computing sostengono che un suo effetto
indesiderabile potrebbe essere quello di imporre restrizioni immotivate
all'uso del computer da parte dei legittimi proprietari. Il livello di
fiducia e sicurezza è, infatti, garantita dall'amministratore; molti utenti
desktop non hanno tuttavia l'esperienza e le capacità d'amministrazione
necessarie per operare politiche di sicurezza efficaci sulla propria
stazione di lavoro, e le funzionalità del Trusted Computing hanno
come obiettivo quello di sopperire alle carenze tecniche del
proprietario del PC; l'implicazione denunciata dai critici è quella di
Fotogramma di un famoso video di informazione
privare il proprietario del diritto di decidere quale software usare per
contro il Trusted Computing
accedere a servizi offerti da altri computer in rete.

La disapprovazione del TC da parte di alcuni esperti di sicurezza[27] deriva dal fatto che tale tecnologia potrebbe
aumentare la capacità di controllo dei sistemi da parte dei produttori hardware e software, in maniera che essi
possano imporre quello che gli utenti hanno il diritto di fare con i propri dispositivi, e approfittarne per attuare
meccanismi che minaccerebbero la libera competizione del mercato dell'Information and Communication
Technology ed il libero sviluppo del software da parte dei singoli individui, come invece attualmente accade.
I critici inoltre sono preoccupati del fatto che non si può essere sicuri che l'hardware che implementa il TC sia
realizzato correttamente e non contenga delle backdoor (meccanismi in grado di garantire l'accesso non autorizzato a
chi ne conosce presenza e uso) o funzioni nascoste che possono rappresentare un rischio per la sicurezza del sistema
e quindi, dipendentemente dall'ambito nel quale il sistema viene utilizzato, per la riservatezza o per la sicurezza di
un'azienda o per la sicurezza nazionale. La paura nasce dal fatto che le specifiche del TC sono pubbliche ma non lo
sono le relative implementazioni. Allo stesso modo, molti sono preoccupati che i modelli crittografici ed i relativi
algoritmi utilizzati diventino obsoleti. Ciò potrebbe portare ad un'obsolescenza forzata dei computer con TC. Per
esempio, nelle nuove versioni delle specifiche TC è stato aggiunto, e richiesto, l'algoritmo crittografico AES.
Trusted computing 219

Mentre i sostenitori affermano che il Trusted Computing aumenta la sicurezza, i critici ribattono che non solo la
sicurezza non ne trarrà alcun beneficio, ma il TC faciliterà anche la realizzazione di Digital Rights Management
(DRM) di nuova generazione, lederà il diritto alla riservatezza e imporrà altre restrizioni agli utenti (legittimi
proprietari del dispositivo). Affidare la gestione dei computer in rete ad autorità di controllo piuttosto che ai singoli
individui potrebbe creare fenomeni di censura informatica. Per i critici, bisognerà dunque contrastare il Trusted
Computing con il secure computing (informatica sicura), in cui la principale preoccupazione sia quella
dell'anonimato piuttosto che della trasparenza. I sostenitori del secure computing sostengono che è possibile ottenere
della sicurezza addizionale senza passare il controllo dei computer dagli utenti a dei super-utenti.
Come risposta a ciò, i sostenitori del TC ritengono che le preoccupazioni sulla riservatezza siano prive di basi,
poiché i consumatori manterranno la scelta tra sistemi basata sulle loro necessità individuali. I sostenitori del TC
asseriscono che alcune necessità richiedano dei cambiamenti a livello hardware per permettere al computer di agire
come un sistema fidato, ricordando anche che, nel caso in cui non si intenda utilizzare tale tecnologia, il modulo
TPM è rimovibile da un computer oppure completamente disattivabile attraverso il BIOS.

La natura della fiducia

Il nome della tecnologia deriva da trust (in italiano "fiducia") ma assume un significato particolare: non significa che
sia affidabile dal punto di vista dell'utente, ma piuttosto, secondo i detrattori del Trusted Computing, che debba
essere considerato fidato secondo i canoni imposti dai produttori dei dispositivi, del software o dei contenuti
multimediali che vengono fruiti attraverso questi dispositivi. Infatti i dispositivi che implementeranno tale tecnologia
potranno, oltre che proteggere il software da manomissioni, imporre restrizioni su applicazioni ritenute non
desiderabili dai produttori (ad esempio perché inaffidabili, pericolose per l'utente o, secondo i detrattori, per gli
interessi del produttore stesso). La principale critica mossa al TC è quindi che non verrebbe implementato a causa
della poca fiducia verso il mondo informatico da parte degli utenti, ma a causa della poca fiducia verso gli utenti da
parte delle aziende aderenti al progetto.

Impossibilità di cambiare software

In precedenza è stato fatto l'esempio del diario. Il sealed storage, pur
proteggendolo da codice maligno, secondo i critici non farebbe
distinzione tra questi ed altri programmi utili, come quelli che
potrebbero essere usati per convertire il diario in un nuovo formato o
semplicemente editor migliori.
Un utente che volesse cambiare il programma per la gestione del
proprio diario con uno alternativo (concorrente) potrebbe incontrare
problemi come l'impossibilità per il nuovo programma per la gestione
Libertà di scegliere il proprio browser e il proprio
del diario di leggere le informazioni presenti nel vecchio, perché nel
lettore musicale caso in cui l'applicazione che ha creato i dati faccia uso di sealed
storage (ovvero il sistema utilizzi il TC) i dati creati sarebbero
accessibili soltanto da questa e non dal nuovo programma. Secondo tali speculazioni l'utente potrebbe quindi essere
impossibilitato a leggere o modificare le informazioni presenti nel proprio diario se non per mezzo del programma
con quale esso è stato creato. Se l'editor originale non permettesse l'esportazione dei file in una versione non protetta
da sealed storage, l'utente si ritroverebbe costretto all'uso di tale programma.

C'è chi teme che Microsoft o altri produttori di software possa usare questa funzionalità per impedire a programmi di
automazione per l'ufficio come OpenOffice.org di leggere file prodotti con il pacchetto proprietario Office. La
diffusione, ad esempio, di documenti Word in Rete da parte di una Pubblica Amministrazione o azienda dove Office
è in uso da anni, costringerebbe tutti coloro che necessitano di leggere tali documenti ad acquistare una regolare
licenza del pacchetto (ed eventualmente del sistema operativo Microsoft Windows).[28] Ciò, tuttavia, seppur
Trusted computing 220

tecnicamente possibile per Microsoft, non sarebbe legale, in quanto verrebbero violate le norme antitrust, atte a
impedire il monopolio di un soggetto nel mercato.

Perdita del controllo sui propri dati

I contestatori del TC, vista la presenza delle maggiori etichette musicali e cinematografiche nel TCG, contestano che
l'obiettivo unico del Trusted Computing sia quello di supportare in modo più rigoroso il meccanismo di gestione dei
diritti digitali o Digital Rights Management (DRM): una tecnologia per evitare che gli utenti condividano e
utilizzino, senza autorizzazione, file coperti da diritti d'autore o privati.
Il Trusted Computing può essere usato per attuare meccanismi di DRM[29] . Ad esempio gli artisti potrebbero fornire
delle regole su come la loro musica può essere utilizzata, al momento del download (scaricamento), in maniera tale
che l'utente abbia la possibilità di fruire della loro opera solo un numero limitato di volte, a loro totale discrezione[30]
. Inoltre potrebbero usare l'attestazione remota per inviare la loro musica solo ad un lettore musicale in grado di far
rispettare le loro regole: il sealed storage impedirebbe all'utente di aprire il file con un altro lettore che non rispetta le
restrizioni dell'editore, mentre il memory curtaining impedirebbe all'utente di fare una copia del file mentre esso
viene riprodotto. Un eventuale watermark audio impedirebbe la riproduzione su sistemi trusted (muniti di supporto a
TC) se l'utente registrasse il brano per via analogica con metodi convenzionali, ad esempio collegando l'uscita della
scheda audio ad un impianto di registrazione.
Senza l'attestazione remota, questo problema non esisterebbe. L'utente potrebbe scaricare la canzone e riprodurla con
un lettore che non rispetta le restrizioni dell'artista, o uno che permette la conversione della canzone in un formato
"senza restrizioni" come l'MP3 o l'Ogg.

Difficoltà nel cambiare computer

Con il Trusted Platform Module facente parte integrante e indivisibile del personal computer (ad esempio se è
integrato nella CPU), tutte le identità digitali (le Attestation Identity Key) utilizzate per proteggere i dati e i contenuti
multimediali legalmente acquisiti sono, di fatto, "al di fuori della portata dell'utente". Per un utente che voglia
cambiare computer (ad esempio per malfunzionamento), oppure utilizzare i suoi dati su più di una piattaforma,
secondo i critici, potrebbe rappresentare un problema.
Le specifiche del TCG prevedono una procedura per il trasferimento delle AIK ad un altro TPM[31] , ma secondo i
critici tale procedura non può essere semplice, in quanto aprirebbe la strada a possibili violazioni alle restrizioni delle
licenze d'uso di software, o di contenuti protetti da proprietà intellettuale, che utilizzino sistemi DRM legati alla
tecnologia del TC. D'altro canto, chi volesse utilizzare l'infrastruttura TC del proprio computer per proteggere dati di
cui è l'autore, vorrebbe avere la possibilità di trasferire facilmente tali dati anche su altri sistemi ai quali ha accesso,
come è in grado di fare se utilizza soluzioni di protezione della privacy quali GPG o PGP.

Perdita dell'anonimato su Internet

Poiché un computer con tecnologia TC è in grado di dichiarare la propria identità, secondo i critici sarà possibile per
i venditori, ed altri in grado di sfruttare la funzionalità dell'attestazione, ottenere dati sull'identità dell'utente di quel
computer con un elevato grado di precisione, nonostante il Trusted Computing, come detto sopra, utilizzi
l'attestazione anonima.
Questa capacità è condizionata alla ragionevole probabilità che l'utente, in un certo momento, fornisca delle
informazioni di identificazione, volontariamente o indirettamente. Un sistema comune per ottenere e collegare queste
informazioni è la registrazione, da parte dell'utente, del suo computer subito dopo l'acquisto. Un altro sistema è la
comunicazione delle informazioni di identificazione ad un sito internet di un affiliato al venditore.
Con le nuove tecnologie di identificazione come quelle biometriche e RFID, sempre più diffuse, è previsto che gli
utenti del computer vengano identificati con molta accuratezza, e che sia disponibile un numero maggiore di
informazioni su di loro. Mentre chi propone il TC sostiene che gli acquisti in linea e le transizioni di denaro possano
Trusted computing 221

essere ritenute più sicure grazie all'attestazione remota, questa schedatura potrebbe causare la perdita dell'aspettativa
di anonimato da parte dell'utente durante l'utilizzo di Internet.
L'unico dubbio che gli scettici si pongono è quello delle modalità di utilizzo effettive dei dati personali ottenuti,
specie in paesi come l'Italia dove la normativa sul trattamento dei dati personali è molto severa.

Owner Override
Una delle principali polemiche nasce perché il Trusted Computing protegge il sistema da tutte le interferenze,
persino dal controllo del proprietario. Una semplice soluzione a questo problema è quella di lasciare al proprietario
dell'elaboratore la possibilità di controllare queste protezioni. Questa operazione è denominata Owner Override ed
attualmente è abbozzata soltanto come un suggerimento di modifica. Prevede la possibilità da parte del proprietario
di "scavalcare" le protezioni imposte dal dispositivo TPM sui dati sensibili. Quando la Owner Override viene
attivata, l'elaboratore utilizza il percorso sicuro di I/O per assicurarsi che ci sia fisicamente una persona presente e
che tale persona sia il proprietario dell'elaboratore.
L'utente proprietario potrebbe decidere quindi di:
• impedire l'attivazione del Trusted Platform Module;
• alterare la propria identità, cioè la Attestation Identity Key;
• generare false attestazioni;
• gestire le proprie chiavi (non la Endorsement Key, ovviamente) salvate all'interno del TPM.
La prima funzionalità è disponibile su tutte le piattaforme dotate di TC. Attraverso il tool di configurazione del
BIOS, il proprietario della macchina può disattivare completamente il TPM in modo che il computer si comporti
come una macchina di vecchia generazione. Ciò potrebbe ovviamente incidere sulla possibilità di utilizzare software
che ha come requisito minimo un TPM genuino, ossia un TPM che abbia una Endorsement Key riconosciuta come
genuina dal server cui ci si vuole collegare. Con l'Attestazione Remota scavalcata, sarebbe possibile forzare
l'elaboratore a generare false attestazioni – per esempio, certificati che indicano che si sta usando Internet Explorer
quando in realtà si usa Mozilla Firefox. Invece di riportare quando il software è stato modificato, l'attestazione
remota indicherebbe al contrario quando il software è stato cambiato senza il permesso del proprietario[32] .
Alcuni membri del TCG hanno però contestato questa modifica, presentandola come la potenziale rovina del
movimento TC . L'Owner Override, se permettesse al proprietario di manipolare le informazioni di sicurezza,
farebbe cadere l'intera idea di fiducia nei confronti degli elaboratori degli altri utenti, ossia il compito stesso
dell'Attestazione Remota. La Owner Override continuerebbe a fornire tutti i benefici di sicurezza e di esecuzione
sulla propria macchina, ma perderebbe tutta la capacità di accertare che un altro proprietario non abbia modificato le
regole o le restrizioni sulla sua macchina durante le transazioni in Rete.

Praticità del Trusted Computing

I critici sostengono che il Trusted Computing abbia dei rilevanti problemi pratici: qualsiasi chip, incluso il TPM, può
rompersi, e in quel caso deve essere aggiornato o sostituito. Ciò in alcuni casi, come per esempio il mancato backup
delle chiavi di attestazione, comporterebbe per l'utente la perdita dell'accesso ai propri dati[33] : dati che possono
essere di grande importanza e/o valore per l'utente stesso e che non potranno essere recuperati in alcun modo. Alcuni
utenti ritengono che la possibilità di un tale evento sia inaccettabile. Un'altra critica molto pesante al TC è l'ipotetica
impossibilità di accesso ai dati della macchina in caso di perdita delle password di accesso. Un sistema di crittografia
automatica dei dati rende impossibile l'operazione di recupero dei dati (perché quasi sempre non è il sistema ad
essere importante, ma i dati che contiene) per questo i sistemi di crittografia automatica vengono utilizzati solo in
contesti relativamente ristretti. Basare i diritti d'accesso ai dati o l'identificazione dell'utente sull'identità verificabile
di un qualche componente hardware pone inoltre il problema di come smaltire i rifiuti elettronici.
Trusted computing 222

Voci correlate
• Trusted Computing Group
• Trusted Network Connect
• Trusted Platform Module
• Trusted Software Stack
• Sicurezza informatica
• Crittografia

Note
[1] (EN) TPM Design Principles - Specification Version 1.2 - Level 2, Revision 103 (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/
mainP1DPrev103. zip), sezione 38, "Revoke Trust"
[2] (EN) Trusted Computing Fact Sheet (https:/ / www. trustedcomputinggroup. org/ about/ FACTSHEET_revised_sept_07. pdf)
[3] Asus presenta la nuova linea di schede madri compatibili con Windows Vista (http:/ / it. asus. com/ news_show. aspx?id=5996)
[4] (EN) TCG TPM Specification Design Principles, versione 1.2, revisione 103, pagina 16 e successive (https:/ / www. trustedcomputinggroup.
org/ specs/ TPM/ mainP1DPrev103. zip)
[5] (EN) Intel ® Trusted Execution Technology Architectural Overview (http:/ / www. intel. com/ technology/ security/ downloads/
arch-overview. pdf) - Pagina 3, Protected Graphics
[6] (EN) OpenTC -D02.2 Requirements Definition and Specification (http:/ / www. opentc. net/ deliverables2006/ OTC_D02.
2_Requirements_Definition_and_Specification_update. pdf) - Pagina 90
[7] (EN) Slide sul Trusted Storage (https:/ / www. trustedcomputinggroup. org/ groups/ storage/ TCG_storage_spec_avail_slides_FINAL. pdf)
[8] (EN) The Register - Trusted Storage Specs near to completion (http:/ / www. theregister. co. uk/ 2007/ 06/ 21/
trusted_computing_drafts_hdd_security/ )
[9] (EN) Registro dei cambiamenti in Linux 2.6.13 (http:/ / www. kernel. org/ pub/ linux/ kernel/ v2. 6/ ChangeLog-2. 6. 13)
[10] Infineon Security Platform nel Sony Vaio TX3XP (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1549/
sony-vaio-tx3xp-10-ore-di-autonomia-e-tpm-12_3. html)
[11] Utility per la sicurezza nei notebook Acer (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1600/ utility-per-la-sicurezza-dei-notebook-acer_5.
html)
[12] (EN) Trusted Computing for the Java Platform (http:/ / trustedjava. sourceforge. net/ )
[13] (EN) Trousers Home Page (http:/ / trousers. sourceforge. net/ )
[14] (EN) TrustedGrub su SourgeForge.net (http:/ / sourceforge. net/ projects/ trustedgrub)
[15] (EN) Trusted Network Connect FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TNCFAQ/ )
[16] Ferguson, Niels. AES-CBC + Elephant: A Disk Encryption Algorithm for Windows Vista (http:/ / download. microsoft. com/ download/ 0/ 2/
3/ 0238acaf-d3bf-4a6d-b3d6-0a0be4bbb36e/ BitLockerCipher200608. pdf). Microsoft TechNet, August 2006
[17] (EN) Enforcer Home Page (http:/ / enforcer. sourceforge. net/ )
[18] (EN) Turaya.Crypt Device Encryption Information (http:/ / www. emscb. com/ content/ pages/ turaya. crypt. htm)
[19] (EN)https:/ / www. trustedcomputinggroup. org/ about/ members/
[20] (EN) U.S. Army requires trusted computing (http:/ / www. securityfocus. com/ brief/ 265)
[21] (EN) strategic goal n. 3 , "deliver a joint netcentric information that enables warfighter decision superiority", October 2006 (http:/ / www.
army. mil/ ciog6/ news/ 500Day2006Update. pdf)
[22] (EN)http:/ / iase. disa. mil/ policy-guidance/ dod-dar-tpm-decree07-03-07. pdf
[23] (EN) OpenTC Partners (http:/ / www. opentc. net/ index. php?option=com_content& task=view& id=5& Itemid=37)
[24] Richard Stallman - Puoi fidarti del tuo computer? (http:/ / www. gnu. org/ philosophy/ can-you-trust. it. html)
[25] Filmato di critica sul Trusted Computing (http:/ / www. no1984. org/ Trusted_Computing_movie)
[26] Hardware TC-compliant - no1984.org (http:/ / www. no1984. org/ Hardware_TC-compliant)
[27] (EN) Trusted Computing' Frequently Asked Questions - Ross Anderson (http:/ / www. cl. cam. ac. uk/ ~rja14/ tcpa-faq. html)
[28] (EN) Electronic Frontier Foundation - Meditations on Trusted Computing (http:/ / www. eff. org/ wp/ meditations-trusted-computing)
[29] (EN) Authenticated Booting, Remote Attestation, Sealed Memory aka “Trusted Computing” (http:/ / os. inf. tu-dresden. de/ Studium/ DOS/
SS2007/ 02_Booting. pdf)
[30] (EN) Digital Rights Management Demonstrator (http:/ / www. emscb. com/ download/ Turaya. FairDRM_req_design_070313. pdf) -
Requirements, Analysis, and Design
[31] Trusted Computing - The RTM and the TPM Infrastructure Group Working Activity (http:/ / www. isg. rhul. ac. uk/ files/
IY5608_-_Lecture_4_Infrastructure_WG. pdf), Royal Holloway University of London
[32] (EN) Trusted Computing: Promise and Risk (http:/ / www. eff. org/ wp/ trusted-computing-promise-and-risk) - Electronic Frontier
Foundation
[33] (EN) Cosa succede ai miei dati se il TPM si rompe? (http:/ / trousers. sourceforge. net/ faq. html#2. 3) ,Trousers FAQ
Trusted computing 223

Altri progetti
• Wikisource contiene opere originali: http://it.wikisource.org/wiki/Puoi fidarti del tuo computer?

Collegamenti esterni

Siti e documentazioni ufficiali

• (EN) Sito del Trusted Computing Group (https://www.trustedcomputinggroup.org)
• (EN) Next Generation Secure Computing Base di Microsoft (http://www.microsoft.com/resources/ngscb/
default.mspx)
• (EN) Wave Systems Corp. TPM Trust Infrastructure provider (http://www.wave.com/)

Discussione e informazione sul Trusted Computing

• SicurezzaInformatica.it – Categoria Trusted Computing (http://www.sicurezzainformatica.it/archives/
trusted_computing/)
• (EN) AEL wiki on Trusted Computing with many links and press articles (http://wiki.ael.be/index.php/
TrustedComputing)
• (EN) Security in Open versus Closed Systems (http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf)
(PDF)
• (EN) The Register story about Intel's LaGrande chip project (http://theregister.co.uk/content/3/27047.html)
• (EN) ExtremeTech article: Microsoft's Palladium: Security for whom? (http://www.extremetech.com/article2/
0,3973,263367,00.asp)
• (EN) Digital Rights Management issues in real-time and safety/mission critical systems (http://www.
linuxdevices.com/articles/AT7225637142.html)

Sostenitori del Trusted Computing

• (EN) vantaggi del trusted computing secondo la IBM (http://domino.research.ibm.com/comm/
research_projects.nsf/pages/gsal.TCG.html)
• (EN) The Need for TCPA (http://www.research.ibm.com/gsal/tcpa/why_tcpa.pdf) di David Safford (PDF)

Oppositori del Trusted Computing

• No1984.org (http://www.no1984.org) Sito web italiano degli oppositori al TC
• (EN) Against-TCPA (http://www.againsttcpa.com/)
• (EN) Free Software Foundation (FSF) (http://www.fsf.org/)

Progetti che fanno uso di Trusted Computing

• (EN) openTC (http://www.opentc.net/) - Progetto sponsorizzato dalla UE per creare software open source che
sfrutti il TC
• (EN) TrouSerS (http://trousers.sourceforge.net/) - The Open Source TCG Stack
• (EN) Enforcer (http://enforcer.sourceforge.net/) - Driver Linux per l'utilizzo di Trusted Computing
• (EN) Trusted Java (http://trustedjava.sourceforge.net/) - API Java per Trusted Computing
Trusted Platform Module 224

Trusted Platform Module

Il Trusted Platform Module (letteralmente modulo per una piattaforma fidata, spesso abbreviato come TPM) è il
nome con cui vengono indicate sia le specifiche per la costruzione di un microchip deputato alla sicurezza
informatica, pubblicate dal Trusted Computing Group, sia il chip stesso. Tale microchip viene generalmente
implementato come modulo aggiuntivo per la scheda madre di un computer, ma si può trovare anche in palmari e in
altri dispositivi elettronici.
Tale chip era noto in precedenza come Chip Fritz, nome che deriva dal senatore statunitense Ernest "Fritz"
Hollings, forte sostenitore di questo progetto. Lo scopo del TPM è l'aumento della sicurezza informatica: ogni chip è
dotato di una coppia di chiavi crittografiche uniche, che lo rendono univocamente identificabile, e di un motore per
la crittografia asimmetrica per la criptazione dei dati.
Il Trusted Platform Module è progettato per essere disponibile su qualsiasi sistema operativo o piattaforma[1] .
Attualmente tali chip sono diffusi tra i portatili destinati all'utenza business e diversi produttori di schede madri e
computer desktop e forniscono il supporto opzionale a tale tecnologia. Intel ha dichiarato che entro il 2008
incorporerà il TPM nel South Bridge di ogni scheda madre[2] . Secondo la International Data Corporation, entro il
2010 tutti i portatili e praticamente quasi tutti i PC saranno dotati di TPM[3] .

Architettura
Le specifiche pubblicate dal Trusted Computing Group[4] definiscono quale dev'essere l'architettura del processore e
quali funzionalità minime esso deve offrire.
Ogni TPM deve offrire determinate minime funzioni[5] , ovvero:
• generazione di numeri pseudo-casuali;
• generazione e memorizzazione di chiavi crittografiche (RSA);
• cifratura e decifratura di informazioni con RSA;
• generazione e verifica di hash SHA1.
A tale scopo, ogni Trusted Platform Module deve essere dotato di specifiche componenti, connesse tra loro
attraverso un bus interno e capaci di interagire con il resto del calcolatore con un bus esterno. Tali componenti
devono essere i seguenti:

Dispositivo di Input/Output
Il componente di I/O deve essere in grado di gestire le comunicazioni sui bus interni ed esterni, crittografando e
decodificando le informazioni quando necessario. Deve garantire l'accesso al dispositivo in associazione col
dispositivo Opt-In.

Coprocessore Crittografico
Ogni dispositivo deve essere dotato di un processore in grado di eseguire le seguenti operazioni:
• Generazione asimmetrica di chiavi
• Crittazione e decrittazione asimmetrica
• Generazione di numeri casuali
• Hashing SHA-1
Tale processore può utilizzare anche la crittografia asimmetrica per comunicazioni interne al modulo, ma non deve
esporre dati generati con algoritmi simmetrici all'esterno dello stesso. Per l'emissione di firme digitali, viene
utilizzato l'algoritmo asimmetrico RSA con chiave di dimensione di 2048 bytes, sebbene il modulo debba supportare
anche chiavi da 512 e 1024 byte. Tali chiavi possono essere note solo al modulo o in congiunzione tra un'entità
Trusted Platform Module 225

esterna e il modulo stesso.

Generatore di Chiavi Crittografiche

Il generatore di chiavi deve essere in grado di generare coppie di chiavi asimmetriche e chiavi simmetriche. Non è
posta alcuna limitazione sul tempo di creazione delle chiavi.

Motore HMAC
Il motore HMAC deve essere in grado di fornire due importanti funzioni:
• Provare la correttezza dei dati di identificazione
• Provare che i dati in ingresso nel modulo sono autorizzati e non hanno subito modifiche durante la trasmissione.
A tale scopo viene utilizzato l'algoritmo crittografico HMAC con una dimensione di chiave di 20 bytes e una
dimensione di blocco dati di 64 bytes. Le peculiarità dell'algoritmo lo rendono adatto a tali scopi: HMAC utilizza
infatti una combinazione del messaggio originale e della chiave segreta per la crittografia dei dati, garantendo la
massima sicurezza.

Generatore di Numeri Pseudocasuali

Il motore di numeri casuali è la sorgente della casualità all'interno del modulo. Le specifiche prevedono l'utilizzo di
un algoritmo generatore di numeri pseudo-casuali per la creazione di chiavi e per la firma digitale. Il generatore di
numeri casuali deve essere costituito da un componente in grado di accettare e mescolare dati imprevedibili da un
coprocessore per restituire tali dati come risultato di una funzione non invertibile, come l'algoritmo SHA-1. A ogni
chiamata deve essere in grado di generare 32 bytes di dati casuali.
Il componente per la creazione di numeri casuali deve essere inizializzato durante la lavorazione con dati casuali,
generati per esempio attraverso il disturbo termico del segnale o attraverso software appositi; dopo tale
inizializzazione, nessuna entità, nemmeno il produttore stesso, deve essere in grado di controllare lo stato di tale
generatore. Durante l'utilizzo, tale componente continuerà a usare casualità hardware o software per generare i dati
casuali, come per esempio il controllo casuale di combinazioni di tasti premuti o combinando i movimenti del
mouse. La funzione utilizzata come output deve necessariamente ricevere un minore numero di bit in input rispetto a
quelli restituiti in output, per garantire l'impossibilità di risalire allo stato del generatore di numeri.

Motore SHA-1
Il modulo deve integrare un dispositivo in grado di gestire hash SHA-1 di 160 bits di dimensione. Tali hash vengono
utilizzati per la firma digitale dei file.

Gestore di Alimentazione
Il Trusted Platform Module deve essere fornito di un componente in grado di gestire l'alimentazione del modulo e di
informare il modulo stesso sullo stato di alimentazione dei dispositivi disponibili sulla macchina in cui è installato.
Queste informazioni vengono utilizzate dal modulo per rilevare la presenza fisica di utilizzatori della macchina per
fare in modo, per esempio, che alcune specifiche operazioni sul modulo siano eseguibili solo attraverso
l'autorizzazione o, in caso di gestione remota, della presenza di un operatore.
Trusted Platform Module 226

Opt-In
Il componente Opt-In deve essere in grado di fornire i meccanismi e le protezioni necessarie per accendere,
spegnere, attivare o disattivare il TPM. È inoltre il componente deputato al controllo della presenza fisica di
operatori sulla macchina sui cui è installato il Trusted Platform Module. Il componente Opt-In deve garantire che il
modulo possa essere acceso, spento, attivato o disattivato solo da utenti che detengono il controllo del TPM, definiti
come TPM Owner, o, nel caso di Owner remoto, se vi sono operatori presenti sulla macchina.

Motore di Esecuzione
Il motore di esecuzione esegue il codice esterno, ottenuto dal modulo di Input/Output, per utilizzare le funzionalità
del Trusted Platform Module. Deve essere in grado di garantire la trasparenza delle operazioni e la protezione dei
dati sensibili.

Memoria non volatile

Il modulo deve essere dotato di memoria non volatile, deputata al mantenimento di informazioni quali l'identità del
Trusted Platform Module. Tale memoria deve essere accessibile al proprietario del modulo, o da entità autorizzate
dallo stesso, per la conservazione sicura di dati. Il modulo, a causa della limitata vita dei componenti di memoria non
volatile, deve accedere a tali componenti in modo da non rendere loro e, quindi, il modulo stesso, prematuramente
inutilizzabili.

Utilizzo
Per essere utilizzato, ogni Trusted Platform Module richiede l'utilizzo di uno specifico Trusted Software Stack,
anch'esso determinato dalle specifiche del Trusted Computing Group. Se usato insieme ad tale software, il TPM può:
• attestare l'identità e lo stato fidato della piattaforma di cui fa parte (attestazione remota);
• cifrare le informazioni che vengono inviate sui bus del sistema o salvate sulla memoria di massa (data sealing,
lett. "sigillamento dei dati", e data binding. lett. "collegamento dei dati" al TPM);
La tecnica di sealing dei dati corrisponde al salvataggio dei dati cifrati usando una chiave che dipende dallo stato del
sistema, ossia una la combinazione dell'hardware e del software in esecuzione. La decifratura degli stessi dati sarà
possibile soltanto per mezzo della stessa chiave, cioè utilizzando la stessa configurazione del sistema all'atto del
salvataggio (lo stesso hardware e lo stesso software in esecuzione).
Il binding si riferisce alla cifratura dei dati usando una chiave di approvazione detta Endorsement Key, ovvero una
chiave RSA che identifica univocamente il TPM stesso inserita nel chip durante la sua fabbricazione garantendo così
che tali dati siano decifrabili soltanto dallo stesso modulo che li ha criptati.
L'attestazione remota viene effettuata per mezzo di apposite chiavi di cifratura, dette AIK (Attestation Identity Key),
generate all'occorrenza dal TPM .In alternativa dalla versione 1.2 delle specifiche TCG per autenticarsi su rete è
possibile utilizzare il protocollo di Direct Anonymous Attestation [6] [7] , che consente l'autenticazione remota della
macchina preservando la riservatezza del sistema autenticato.
Il chip, in sostanza, ha una funzione di controllo passivo sull'hardware ed il software installato sulla macchina su cui
è presente. Per mezzo di speciali registri al suo interno, detti PCR (Platform Configuration Register), il TPM tiene
traccia dell'evoluzione dello stato del sistema, misurandolo (si tratta praticamente dell'elaborazione di un hash delle
informazioni prelevate dai dispositivi e del software in esecuzione) secondo la seguente formula

ovvero, il contenuto dell'i-esimo PCR viene aggiornato (al tempo ) con l'hash SHA1 (US Secure Hash Algorithm
[8]
1, RFC 3174 ) calcolato sul contenuto precedente dello stesso registro (al tempo ) e sulle informazioni prelevate
attualmente (al tempo ) dal sistema (all'avvio del sistema, il contenuto dei PCR è impostato a 0).
Trusted Platform Module 227

Il software (il boot loader, il sistema operativo, i programmi applicativi), realizzato opportunamente per interfacciarsi
con il TPM, potrà quindi decidere, in base alle informazioni correntemente contenute nei PCR ed in base alla propria
logica programmata, quali operazioni intraprendere.

Critiche
Molte opposizioni all'adozione di questo tipo di chip si sono levate dall'ambito del software libero e dei sostenitori
del fair use. I detrattori sostengono che tale sistema possa essere usato non solo per rendere più sicura una macchina,
anche se rimane da chiarire chi è che stabilisce le regole in base alle quali ritenere sicuro un determinato stato del
sistema, ma anche per decidere quali programmi possano accedere a certi dati, creando od amplificando una sorta di
monopolio da parte dei sostenitori del Trusted Computing. Il microchip, secondo le specifiche pubblicate dal Trusted
Computing Group, ha però solo un controllo passivo sul software, ovvero non è in grado di decidere ciò che un
utente può utilizzare; al contrario, però, un software basato sul Trusted Platform Module potrebbe decidere di non
eseguire operazioni considerate non sicure come, per esempio, la connessione a una rete considerata non affidabile.
Critiche si sono sollevate contro il sistema di attestazione remota[9] , mentre taluni ritengono che il sealing abbia
come funzione essenziale la creazione di nuovi e più efficaci sistemi di Digital Rights Management, piuttosto che
una protezione delle informazioni in sé.

Bug
Nell'ottobre 2007 è stata scoperta una falla di sicurezza basata sul buffer overflow nei servizi forniti dal modulo
TPM installati sui Notebook IBM ThinkPad che permetterebbe l'esecuzione di codice arbitrario attraverso pacchetti
HTTP[10] . IBM ha consegnato tutti i dati relativi alla falla a Lenovo[11] per la risoluzione del problema. A dicembre
2007 non sono disponibili ulteriori informazioni al riguardo.

Voci correlate
• Trusted Computing
• Trusted Computing Group
• Trusted Software Stack
• Hengzhi chip

Bibliografia
• (EN) Specifiche del Trusted Platform Module [12], versione 1.2, revisione 103

Note
[1] (EN) FAQ sul Trusted Platform Module (https:/ / www. trustedcomputinggroup. org/ faq/ TPMFAQ/ )
[2] (EN) Trusted Computing: come rendere i vostri dati e sistemi veramente sicuri (https:/ / www. trustedcomputinggroup. org/ news/ events/
pastevents/ presentations/ GovSec_Presentation_052505. pdf)
[3] Microsoft's leaner approach to Vista security (http:/ / m. news. com/ Microsofts+ leaner+ approach+ to+ Vista+ security/
2163-7355_3-5843808. html)
[4] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/
[5] (EN) Specifiche del Trusted Computing (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), versione 1.2,
revisione 103, pagine 16 e successive.
[6] (EN) Direct Anonymous Attestation (http:/ / eprint. iacr. org/ 2004/ 205. pdf)
[7] (EN) Direct Anonymous Attestation -versione ridotta (http:/ / www. zurich. ibm. com/ ~jca/ papers/ brcach04. pdf)
[8] http:/ / www. faqs. org/ rfcs/ rfc3174. html
[9] (http:/ / www. oceanidigitali. it/ drupal/ DAA)
[10] (EN) http:/ / en. securitylab. ru/ nvd/ 305875. php
[11] (EN) http:/ / www. irmplc. com/ index. php/ 111-Vendor-Alerts
Trusted Platform Module 228

[12] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip

Trusted Software Stack

Il Trusted Software Stack è una API standard per l'utilizzo del Trusted Platform Module, le cui specifiche sono
pubblicate dal Trusted Computing Group[1] .
Il Trusted Software Stack è progettato per l'interoperabilità su tutti i sistemi operativi. Con la versione 1.2 delle
specifiche è stato aggiornato per garantire il supporto al protocollo di Direct Anonymous Attestation e la creazione di
chiavi di attestazione AIK [2] .

Principali Funzionalità
Quelle che seguono sono solo alcune delle funzionalità che il trusted software stack fornisce: In pratica, qualsiasi
applicazione che sfrutti le funzionalità offerte dal trusted computing deve usare un trusted software stack per
accedere alle funzioni offerte dal TPM .Le funzionalità elencate di seguito vanno quindi considerate come delle
funzionalità che potrebbero essere offerte da applicazioni funzionanti su una trusted platform che sfruttino le API
fornite dal Trusted software stack. Le funzionalità di dette applicazioni infatti non sono state standardizzate dal TCG.

Policy Translation
Implementazione di tutte le politiche di sicurezza che vengono imposte dai programmi all'utente o ai programmi
dall'utente

Privacy Protection
Difesa dell' utente dagli abusi del TC (nessun software deve ad esempio fare il sealing dei dati o inviare la parte
pubblica dell' Endorsement Key a terze parti senza il consenso del proprietario del TPM )

Trusted GUI
Garantisce la protezione dei dati considerati sensibili dalle applicazioni che sfruttano il TSS sia in input che in output

Compartment Manager
Gestisce le partizioni di esecuzione; alcune applicazioni possono essere avviate in una partizione di esecuzione
protetta che sfrutta le funzionalità offerte dal trusted computing per garantire l'integrità dell'applicazione e la privacy
dei dati da essa elaborati

Note
[1] https:/ / www. trustedcomputinggroup. org/ faq/ TSSFAQ/ (EN) FAQ sul Trusted Software Stack
[2] https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ (EN) FAQ sul Trusted Software Stack versione 1.2

Voci correlate
• Trusted Computing
• Trusted Computing Group
• Trusted Platform Module
Trusted Software Stack 229

Collegamenti esterni
• (EN) Specifiche del Trusted Software Stack (https://www.trustedcomputinggroup.org/specs/TSS/
TSS_1_2_Errata_A-final.pdf)
• (EN) FAQ di Trousers (http://trousers.sourceforge.net/faq.html), un TSS open source
• (EN) Architettura di una "trusted platform" (http://www.perseus-os.org/content/pages/Overview.htm)
• (EN) Introduzione al trusted software stack (http://www.perseus-os.org/content/pages/Trusted Software.htm)
• (EN) Presentazione dell'architettura del trusted computing , sezione 4.5.3 (https://www.trustedcomputinggroup.
org/groups/TCG_1_4_Architecture_Overview.pdf)

Vulnerability Assessment and Mitigation

La metodologia di Vulnerability Assessment and Mitigation (VAM) consiste di un processo volto a valutare
l'efficacia dei sistemi di sicurezza ed a valutarne il livello di sicurezza. Lo scopo di questa ricerca è quello di trovare
le falle di quello specifico sistema, per poterlo così migliorare e prevenire eventuali attacchi basati su quelle
vulnerabilità. L'utilizzo del VAM si rende necessario più volte durante l'arco di un anno, in quanto la tecnologia
progredisce in fretta e con essa anche gli strumenti per attaccare un sistema, che potrebbero quindi avvalersi di nuove
vulnerabilità eventualmente messe in luce dal progresso tecnologico e strategico. Di seguito andremo ad analizzare i
diversi livelli ai quali può essere applicato il VAM.

DataBase
Al terzo livello si trovano i Database (Oracle, SQL Server, Sybase SQL Server…). Queste banche dati verranno
analizzate automaticamente da strumenti in grado di rilevare eventuali debolezze nel campo della sicurezza. È noto
come un DataBase contenga una gran mole di informazioni critiche ed indispensabili per un'azienda e data l'enorme
complessità venutasi a creare durante la loro organizzazione, si vengono facilmente a creare vulnerabilità
comodamente sfruttabili da un malintenzionato, molto più di quanto possa accadere con le falle presenti nei Sistemi
Operativi.

Rete Telefonica
Il quarto possibile portale di accesso risulta essere la rete telefonica, vera e propria alternativa agli attacchi tramite
IP, che solitamente sono difesi dall'uso di firewall. Nel caso specifico verranno valutati i possibili bachi presenti nei
Sistemi RAS e saranno scansionati anche modem e centralini, alla ricerca di possibili vie di accesso per eventuali
attacchi. Tale attività viene chiamata WarDial.

Altre infrastrutture non TCP/IP

Ad essere sotto esame questa volta possono essere reti X.25, SNA, sistemi mainframe, ecc.

Applicazioni
L'ultimo punto della nostra lista prevede l'External Application Assessment e l'Internal Application Assessment. Il
primo caso analizza un'applicazione web dal punto di vista dell'utente senza competenze specifiche, ovvero senza
che questo sia a conoscenza dell'architettura dell'applicazione. Vengono incluse nell'analisi anche le eventuali sezioni
protette da username e password presenti nell'applicazione, che può offrire servizi tramite protocolli HTTP o
HTTPS. Nello specifico vengono verificati i seguenti campi relativi alla sicurezza:
• information leakage, ovvero scansione dei dati sensibili inviati tramite l'applicativo e che potrebbero essere
esposti al rischio di venire intercettati da un malintenzionato tramite l'esame del codice HTML, degli script o di
Vulnerability Assessment and Mitigation 230

altre informazioni ottenibili da eventuali meccanismi di debugging.

• approfondita analisi dei campi interattivi tra l'applicazione e l'utente, in modo da individuare eventuali falle create
da input (in)volontariamente inserito, buffer overflow, ecc.
• procedure di autenticazione
• problematiche relative ad una sessione, come ad esempio timeout, logout, hijacking, login tramite indirizzi non
verificati, ecc.
• validazione ed alterabilità dei dati
• esecuzione di comandi in zone impreviste dell'applicazione, che ad esempio tramite specifiche stringhe SQL può
portare alla diretta manipolazione del DataBase, con chance di acquisizione, modifica, cancellazione dei dati
presenti
• interazioni inappropriate o non corrette con il Sistema Operativo (shell escapes)
• analisi della sicurezza dei dati inviati tramite l'applicazione
Nel caso dell'Internal Application Assessment, che comprende anche i punti elencati qui sopra, vengono presi in
considerazione anche i seguenti casi:
• aspetti legati alla configurazione di web server e application server
• configurazione di DataBase Management System (DBMS) presenti ed eventuali interazioni tra questi e
l'applicazione stessa
• esame dei file di log e/o di configurazione utilizzabili dai web server e dagli application server
• vulnerabilità legate alla determinata architettura utilizzata nell'applicazione

Conclusioni
Ogni attività elencata qui sopra andrebbe eseguita a cadenza periodica (4-6 volte durante l'arco dei 365 giorni) e
costituisce una risorsa irrinunciabile nella continua ricerca di affidabilità dei sistemi di sicurezza aziendali. Grazie al
loro impiego è possibile instaurare un'efficace politica di difesa che garantisca investimenti volti al potenziamento
dell'Infrastruttura IT.
Fonti e autori delle voci 231

Fonti e autori delle voci

Access token  Fonte:: http://it.wikipedia.org/w/index.php?oldid=30271248  Autori:: Abisys, Avesan, Davide21, Frieda, Marcuscalabresus, Smallpox, 1 Modifiche anonime

Accountability  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45556773  Autori:: Avesan, Daniele Forsi, Koeman77, Luisa, 5 Modifiche anonime

Anomaly based intrusion detection system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38058501  Autori:: Abisys, Alleborgo, Avesan, Guignol, Hellis, 4 Modifiche anonime

Anonimato  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44512507  Autori:: Beatrice, Blaumeer, Davide, Djechelon, Dread83, Elbloggers, Elcairo, Erinaceus, Hellis, Iron Bishop, Joana,
Littoria, Luckyz, Micione, Olando, Pequod76, Sailko, Sbisolo, Senza nome.txt, Skywolf, Suisui, Tofi s, Twice25, Una giornata uggiosa '94, Wiskandar, 9 Modifiche anonime

Antivirus  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45789016  Autori:: .snoopy., Abisys, Airon90, Albertop81, Alleborgo, Amux, Ary29, Avesan, ChemicalBit, Comune mortale,
Cruccone, Davide, DostoHouskij, Drugonot, Ekerazha, Eth000, Eumolpo, Fiaschi, Gdevitis, Giuseppe129, Goemon, Hashar, Hellis, Ianezz, Ignlig, Iron Bishop, Joebigwheel, Leonardi Paolo, M7,
Marco Plassio, Marcok, Marcuscalabresus, Mark250594, Massic80, Mcoletti, MikyT, Mirko92, Misi91, Morgan Sand, Neq00, Osk, Otrebor81, Paginazero, Pastore Italy, Phantomas, Pickblack,
Pracchia-78, R0tAbLe, RanZag, Rollopack, Sailko, Salvatore Ingala, Sassospicco, Sbisolo, Senpai, Stemby, Strech, Strutsi, Teletrasporto, ThomasL, Tommaso Ferrara, Troels Nybo, Vipera,
Zippit, 138 Modifiche anonime

Application-level gateway  Fonte:: http://it.wikipedia.org/w/index.php?oldid=29310329  Autori:: Abisys, Avesan, Davide21, Frieda, Marcuscalabresus

Architettura di reti sicure  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43764909  Autori:: AnjaManix, AttoRenato, Avesan, Jacklab72, La vale84, 10 Modifiche anonime

L'arte dell'inganno  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45717283  Autori:: Alexander VIII, Avesan, Azrael555, Bultro, Ciovo, Crypto, Fragolino, Ilario, Mauro742, Mess,
Mk178, Schickaneder, The Doc, Truman Burbank, Twice25, 3 Modifiche anonime

L'arte dell'intrusione  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45728909  Autori:: Fantasma, Fedhman

ASLR  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41166366  Autori:: Aushulz, Avesan, Balfabio, Dbiagioli, Dispe, Eberk89, Gliu, Hellis, Instigate cjsc (Narine), Kormoran, Luisa,
Realtebo, Tatufan, Terame, 8 Modifiche anonime

Audit  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45740849  Autori:: AttoRenato, Avesan, Azrael555, Cisco79, F l a n k e r, LoReNicolò, Marcuscalabresus, Ppiero, Rago, 7 Modifiche
anonime

Autenticazione  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461719  Autori:: Abisys, Alberto da Calvairate, Arriano60, Ary29, Avesan, B3t, Calibro, Davide, FrAnCiS, Frieda, Hellis,
Joana, Leo72, Loriscuba, Mac9, Melissa85, No2, Paulatz, Perteghella, Pigr8, Quadrispro, Roberto.catini, Sassospicco, Valepert, 18 Modifiche anonime

Backup  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44998538  Autori:: Andreasosio, Antonell, Apollo13, Arriano60, Ary29, Avesan, DJ JJ, Dry Martini, Eumolpo, Giorasta, Hellis, Iron
Bishop, Lorenzo Fratti, Loroli, M4gnum0n, M7, Mr buick, Porta seriale, Pracchia-78, Prinzimaker, Sbisolo, Stefano Boldrini, Stemby, Suisui, Taueres, Wikit2006, 31 Modifiche anonime

BitLocker Drive Encryption  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45554122  Autori:: Abisys, Aka-Red, Ary29, Avesan, Dbiagioli, Hellis, Jenaplinskin, No2, Olando, Phantomas,
Playstation, Saint-Just, Simo ubuntu, VisedNetGhost, 4 Modifiche anonime

Capability  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38655998  Autori:: Abisys, Alby One Kenoby, Avesan, DnaX, Gizm0

CAPTCHA  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45741272  Autori:: .anaconda, Abisys, AnyFile, Arroww, Ary29, Avesan, B3t, Beta16, Biopresto, Christiandes00, Cochrane,
Danno, Dantadd, Djechelon, ElfQrin, Eumolpo, Gacio, Hellis, Ignlig, Jacopo, Joe mentina, Llorenzi, Lorello, Loroli, Lp, LucAndrea, Marcel Bergeret, Marco Plassio, Marcok, Martin Mystère,
Melefabrizio, Mikelima, O--o, Otrebor81, Rogledi, Sandrobt, Sannita, Sassospicco, SbiellONE, Sesquipedale, ShadowMario, Tank00, Tecya1994, Timendum, Wikit2006, 47 Modifiche anonime

Carta d'identità elettronica italiana  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45798523  Autori:: Airon90, Alblefter, AnjaManix, Atram85, Avesan, Balfabio, Dantadd, Doc.mari,
FSoft, Fantasma, Fra610, Frigotoni, Gamia, Guimar, Hellis, Kar.ma, L736E, Larry Yuma, Lecter, Marcok, Marcus89, Matteo Pedani, Neq00, Paolosub, Phantomas, Pietrodn, Resoli, Salento81,
Simone, Skydrake, Ultracold, Urzyken, Vale maio, 35 Modifiche anonime

CCleaner  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45786803  Autori:: (E = MC²), .snoopy., Abisys, Antonell, Avesan, Biscionecanale5, BlackLukes, ChemicalBit, Cochrane, Exorcist
Z, Gdevitis, Gliu, Hellis, IceHawk, Invision2.0, Italink, Ivan2912, Madaki, Marce79, Marcko, Massic80, Massimiliano Sconda, Mixer1, Nick91, Patrias, Rocker85, Rojelio, Snake303, Sonic89,
Tommaso Ferrara, Yoruno, Zippit, 39 Modifiche anonime

Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43022126  Autori:: Kaspo, Michele.V, Nicola
Romani, Ogoorcs, Trikke, Z0n3, 3 Modifiche anonime

Certificate authority  Fonte:: http://it.wikipedia.org/w/index.php?oldid=46005702  Autori:: .anaconda, Abisys, Ary29, AttoRenato, Avesan, Brownout, Eumolpo, Gianfranco, Lara Casadei,
Leo72, Melissa85, MitRouting, Osmosis, Pigr8, Pracchia-78, Senza nome.txt, 24 Modifiche anonime

Certificate revocation list  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41604272  Autori:: Alleborgo, Hrundi V. Bakshi, Larry Yuma, Melissa85, Porta seriale, 5 Modifiche anonime

Certificato digitale  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45005913  Autori:: Abisys, Avesan, Giaros, Golan, Hellis, LapoLuchini, Leo72, Lukius, Melissa85, Orso della campagna,
Paginazero, Papesatan, Simo ubuntu, Snowdog, TierrayLibertad, 10 Modifiche anonime

Checksum  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44957599  Autori:: .anaconda, Abisys, Avesan, Buzz lightyear, Cotton, Drugonot, IngDani, Jotar, Melknix, Miguelsan, Nalegato,
Vittoealloggio, 10 Modifiche anonime

chroot  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44152924  Autori:: .anaconda, Avesan, Cappra, Ddonato, Djechelon, EndelWar, Fale, Luisa, Paulatz, Sonic, Stemby, SuperSecret, 8
Modifiche anonime

Clickjacking  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44495091  Autori:: Abisys, Angus73, Azrael555, Bol2030, Embyte, Gamon2, Massimo874, Onjacktallcuca, Phantomas, Ticket
2010081310004741, 8 Modifiche anonime

Confidenzialità  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45130878  Autori:: Al Pereira, Avesan, BMF81, Fbuccolieri, Gestas, Johnlong, Maurinap, Maximix, Rodamaker, Simo82, 1
Modifiche anonime

Contactless smartcard  Fonte:: http://it.wikipedia.org/w/index.php?oldid=22169544  Autori:: .jhc., Abisys, Avesan, Ermanon, Kaus, Lenore

Data mining e sicurezza  Fonte:: http://it.wikipedia.org/w/index.php?oldid=36930592  Autori:: Ary29, Avesan, Fabio.gastone, Helios, Jalo, Sentruper, Simonepedemonte, Truman Burbank, 4
Modifiche anonime

Demilitarized zone  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45501387  Autori:: .anaconda, Abisys, Avesan, DnaX, Guidomac, Paolosub, Pap3rinik, Saint-Just, Sassospicco, 8
Modifiche anonime

Dependability  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38625374  Autori:: Avesan, ErBabbuino, Maurizio.Cattaneo, O.Taris, Truman Burbank, 18 Modifiche anonime

Digital Signature Algorithm  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45649311  Autori:: Abisys, Airon90, Avesan, Brownout, Dinwath, Leo72, Maxi83, 12 Modifiche anonime

Direct Anonymous Attestation  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45129027  Autori:: Abisys, Aka-Red, AndreaFox, Dbiagioli, Larry Yuma, Sesquipedale, Valepert

Disaster prevention  Fonte:: http://it.wikipedia.org/w/index.php?oldid=40419803  Autori:: Comune mortale, Lauraventurini, Sandr0, 1 Modifiche anonime
Fonti e autori delle voci 232

Disaster recovery  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45354794  Autori:: Alleborgo, Arriano60, Ary29, Avesan, Condor33, Giampfrank, Guam, Hellis, Ignlig, Joana, Marius,
Pracchia-78, Protarkus, Qbert88, Sassospicco, Veneziano, 29 Modifiche anonime

Dll injection  Fonte:: http://it.wikipedia.org/w/index.php?oldid=40407340  Autori:: Abisys, Avemundi, Fabio.gastone, Filippof, Luckyz, 12 Modifiche anonime

Documento programmatico sulla sicurezza  Fonte:: http://it.wikipedia.org/w/index.php?oldid=39471322  Autori:: Abisys, Arriano60, Avesan, Condor33, Dabbia, Guidomac, H2o, Mcicogni,
Zerounobit, 7 Modifiche anonime

Extensible Authentication Protocol  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45939326  Autori:: Abisys, Alleborgo, Amux, Ary29, Avesan, Digemall, Dinwath, EffeX2, Gwenda,
PsYLo, Salvatore Ingala, 5 Modifiche anonime

False acceptance rate  Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047619  Autori:: Centrodiurnomilano, Hicks, Porta seriale, Valepert

FileVault  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43690177  Autori:: Abisys, Fask, Hellis, Kiado, Nuovoastro, Pietrodn, Senpai, WikiKiwi, 3 Modifiche anonime

Filtro bayesiano  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45417413  Autori:: Arodichevski, Barbaking, Beta16, Cataldoc, Daniele Forsi, Desmodromico, EdoM, ICEAGE, IUserMac,
IlPasseggero, Iron Bishop, Mark91, No2, Piddu, Pullus In Fabula, Ssspera, Viscontino, 11 Modifiche anonime

Fingerprint  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44493219  Autori:: %Pier%, Abisys, Alfio, Avesan, Chessstoria, Gabriele85, Lucas, Marcuscalabresus, Theferro, 5 Modifiche
anonime

Firma digitale  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856070  Autori:: 2csolution, Abisys, Alezk90, Alfio, AnjaQantina, Avesan, Beta16, Brownout, Ciano, Condor33,
Danielefrongia, Danielemarongiu, DarkAp, Draco3565, Dsig, Elbloggers, Eleinad, Eumolpo, Fasselle, Firiwizzo, Freddynofear, Gac, Gchiavacci, GiaGar, GiorgioCha, Giottone, Guidomac,
Hashar, Henrykus, Icestorm82, LapoLuchini, Lara sette, Leo72, Lucas, Lucas Malor, M7, Marcok, Maupag, MaxDel, Melissa85, Mike.lifeguard, Mizardellorsa, Next, Orso della campagna,
Paulatz, Phantomas, Piddu, Pietrodn, Pracchia-78, Raistolo, Rojelio, Rudd84, Segnali dallo spazio, Senza nome.txt, SiGMa83, Smart, Snowdog, Soccerboy, Stemby, Superchilum, Taueres,
Template namespace initialisation script, Tommaso Ferrara, Trixt, Twice25, ZioNicco, 191 Modifiche anonime

Firma elettronica  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856112  Autori:: Ampsicora, Diuturno, Freddynofear, Lucas, Mizardellorsa, Raistolo, Redirete, S.fontana, S141739,
Sanremofilo, Soccerboy, 11 Modifiche anonime

Gestione della continuità operativa  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45355070  Autori:: Arriano60, Avesan, Condor33, Eumolpo, Giampfrank, Pastore Italy, Squattaturi,
Stefanuzz1986, Theirrulez, Veneziano, 11 Modifiche anonime

GnuTLS  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45892718  Autori:: Dega180, Lucabon, Tenebroso, 1 Modifiche anonime

Greylisting  Fonte:: http://it.wikipedia.org/w/index.php?oldid=40133889  Autori:: Avesan, No2, Pracchia-78, Triquetra, 9 Modifiche anonime

Hardening  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44556797  Autori:: Guignol

Hash  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45527891  Autori:: .mau., Abisys, Alberto da Calvairate, Alez, Amux, Avesan, Biopresto, Brownout, Caresia, Danielefrongia, Drugonot,
Elbloggers, ErBabbuino, GiacomoV, Guidomac, Hellis, IlGino, Kotik, LapoLuchini, Leo72, Livedrop, Nickname, Paginazero, Painlord2k, Paulatz, Piddu, Qualc1, Sandr0, Sassospicco, Sbisolo,
Seics, Shivanarayana, Sirabder87, Snowdog, Wiso, Wizard, 58 Modifiche anonime

Hengzhi chip  Fonte:: http://it.wikipedia.org/w/index.php?oldid=20969868  Autori:: Aka-Red, Avesan, Cobb, Dbiagioli, Fabio.gastone, Halfmount, Sannita, 1 Modifiche anonime

Honeypot  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45327575  Autori:: Abisys, Akash, Avesan, Edo, FrAnCiS, Gvf, Moongateclimber, 7 Modifiche anonime

Host-based intrusion detection system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=22170948  Autori:: Abisys, Avesan, Elcairo, Emilio2005, Hellis, IlGino, Nalegato, 1 Modifiche
anonime

Identity management  Fonte:: http://it.wikipedia.org/w/index.php?oldid=33847429  Autori:: %Pier%, Abisys, Avesan, Caulfield, Frieda, Ilafra, Kal-El, Koji, Lucas, Paginazero, Paolosub, 2
Modifiche anonime

Identità digitale  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461689  Autori:: Abisys, Ary29, Avesan, Blacksoul, Bonasia Calogero, CavalloRazzo, EdoM, Federica73, Hellis,
Joebigwheel, L736E, Larry Yuma, No2, Reputation Manager, Salento81, Sbisolo, Silvalbar, Simone, 3 Modifiche anonime

Integrità dei dati  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44245373  Autori:: Avesan, Bultro, Hellis, 2 Modifiche anonime

Internet Security Policy  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849540  Autori:: AnjaManix, Condor33, Defa, Javier80, LaseriumFloyd, Maurizio.Cattaneo, Mekgen, Phantomas,
Tirinto, 8 Modifiche anonime

Intrusion Countermeasures Electronics  Fonte:: http://it.wikipedia.org/w/index.php?oldid=33884127  Autori:: Abisys, Ary29, Avesan, Chem, Fstefani, Hauteville, Hellis, Laz (riassegnato),
Rollopack, 1 Modifiche anonime

Intrusion detection system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45852268  Autori:: .anaconda, Abisys, Air swan, Avesan, Burattone, ChemicalBit, Daniele Forsi, Daphiel, Helios,
Hellis, Marcuscalabresus, Marti 171285, Mrlele, Veneziano, 42 Modifiche anonime

Intrusion prevention system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44561693  Autori:: Abisys, Avesan, DanGarb, Daphiel, Formica rufa, Guignol, Hellis, Lusum, 3 Modifiche
anonime

IS auditing  Fonte:: http://it.wikipedia.org/w/index.php?oldid=36448547  Autori:: Abisys, Avesan, Fabio.gastone, Jacklab72, Joram, Mcicogni, Torsolo, Vulkano, 16 Modifiche anonime

ISO/IEC 27001  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45723000  Autori:: Alejo2083, Antarello, Ary29, Avesan, Beta16, Biopresto, Claudio Pace, Condor33, DnaX, Elifb, Gacio,
Gamon2, Mario1952, Mattiacrespi, Mcicogni, Metralla, Miao, Microsoikos, No2, Riccardov, Roberto.atzeni, 21 Modifiche anonime

IT Baseline Protection Manual  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849615  Autori:: Avesan, Bultro, Condor33, Eumolpa, Larry Yuma, Maurizio.Cattaneo, Phantomas,
Sentruper

Jingjing e Chacha  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44543011  Autori:: Avesan, Nicola Romani, RanZag, 1 Modifiche anonime

Key server  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41838130  Autori:: Abisys, Alfio, Avesan, LapoLuchini, Laurentius, MM, Osmosis, Piddu, Porta seriale, Unriccio, 1 Modifiche
anonime

Lista di controllo degli accessi  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44331384  Autori:: %Pier%, Abisys, Atheist, Avesan, BMF81, Delas, Enzotib, Hce, Hellis, Losògià, MaxDel,
Perteghella, Poweruser, Simone, Tux75, Twice25, Windowsuninstall, 8 Modifiche anonime

Login  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228533  Autori:: Abisys, Ancelli, Avesan, B3t, Giovannigobbin, Guidomac, Jaqen, Lorito, Moloch981, Phantomas, Pietrodn, Pigr8,
Xag Knoj, 10 Modifiche anonime

Metodo Gutmann  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43417033  Autori:: Abisys, Absolwent, Avesan, Cristiano70, Gdevitis, Hellis, O--o, Pcdazero, Pracchia-78, Turbovets
Christina, 11 Modifiche anonime

Metodologia Octave  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38418743  Autori:: Avesan, Defa, Jollyroger, Marcol-it, Nevepois, No2

Microsoft Strider  Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047033  Autori:: %Pier%, Alleborgo, Ary29, Avesan, EffeX2, Hellis, Lusum, Mfisk, Phantomas, Simo ubuntu, Teocrito,
Theferro, 3 Modifiche anonime
Fonti e autori delle voci 233

Modello Bell-LaPadula  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461977  Autori:: %Pier%, Abisys, Ary29, Avesan, Calabash, Francesco Betti Sorbelli, Ippatsu, No2, Serenella
Canepa, Tommaso Ferrara, 5 Modifiche anonime

Modello Biba  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45729568  Autori:: Abisys, Alexander VIII, Ary29, Avesan, Elcairo, Francesco Betti Sorbelli, Serenella Canepa, Squattaturi, 12
Modifiche anonime

Modello Brewer e Nash  Fonte:: http://it.wikipedia.org/w/index.php?oldid=36415125  Autori:: Ary29, Avesan, Francesco Betti Sorbelli, 2 Modifiche anonime

Modello Clark-Wilson  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699772  Autori:: Abisys, Avesan, Francesco Betti Sorbelli, WK, 1 Modifiche anonime

MS-CHAP  Fonte:: http://it.wikipedia.org/w/index.php?oldid=29360958  Autori:: Abisys, Avesan, BLeonardo, Beta16, Dinwath, Giorasta, Krdan, Piero Montesacro, Vulkano, 5 Modifiche
anonime

MS-CHAPv2  Fonte:: http://it.wikipedia.org/w/index.php?oldid=29273785  Autori:: Abisys, Avesan, BLeonardo, Beta16, Daniele Forsi, Littoria, 2 Modifiche anonime

Negazione plausibile  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43955453  Autori:: Bramfab, F.cristarella, Guznadar, Rago, ZipoBibrok5x10^8, 4 Modifiche anonime

Netcraft  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496037  Autori:: Abisys, Avesan, Marcuscalabresus, Rojelio

Network intrusion detection system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=42907856  Autori:: Abisys, Ary29, Avesan, Bultro, ChemicalBit, Daniloviz, Daphiel, Fale, Formica rufa,
Guignol, Hellis, Joana, Johnlong, Massimiliano Lincetto, Nalegato, No2, Phantomas, Senza nome.txt, Sesquipedale, 7 Modifiche anonime

Network tap  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45642974  Autori:: Abisys, Alleborgo, Avesan, Beta16, CavalloRazzo, Ducatimonster, Leleco, Simo82, 8 Modifiche anonime

Next-Generation Secure Computing Base  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44443887  Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, Ary29, Avesan, Barbaking, Dbiagioli,
Ft1, Gacio, Hellis, Jenaplinskin, Leoman3000, Moongateclimber, Nanae, Orion21, R0tAbLe, Sailko, Saint-Just, Simo ubuntu, Skywolf, Tanarus, Trikky, Vichingo, Zago84, 18 Modifiche
anonime

Nmap  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45510522  Autori:: Abisys, Alfio, Alleborgo, Ary29, Avesan, Brownout, Elitre, Fale, Frieda, Giacomo Ritucci, Hce, Iron Bishop,
Patrias, Shishii, Stemby, Sumail, TetsuyO, The Blinder Grunt, 13 Modifiche anonime

One-time password  Fonte:: http://it.wikipedia.org/w/index.php?oldid=39222466  Autori:: Alby1987, DnaX, Marioquark, Mastermirko, 1 Modifiche anonime

OpenID  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41521680  Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Archenzo, Ary29, Avesan, Bebabi34, Davide89v, ElSaxo, Elbloggers,
FiloSottile, Gigasoft, Gvf, Hellis, Lelli Gabriele, PRONTOMAMMA, Paulox, PiKey, Snowdog, Superchilum, TheDRaKKaR, Vermondo, 23 Modifiche anonime

OpenSSL  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44847743  Autori:: Abisys, Ary29, Avesan, Eumolpo, Hellis, IlGino, Leo72, Lucabon, MaEr, Morningfrost, Piddu, Salvatore Ingala,
Stefano-c, 7 Modifiche anonime

OSSIM  Fonte:: http://it.wikipedia.org/w/index.php?oldid=37367730  Autori:: Abisys, Avesan, CavalloRazzo, Dr Zimbu, Franganghi, Frieda, Mess, Saro-bs, Veneziano, 3 Modifiche anonime

Password authentication protocol  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41945471  Autori:: AKappa, Abisys, Ary29, Avesan, Dinwath, Dommac, FrAnCiS, Nikimast85

Penetration Test  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38337673  Autori:: Alez, Andrea.Lazzari, Avesan, Ermanon, Eumolpo, Melancholyblues, Mgirolami, Pacochan, 7 Modifiche
anonime

Piano di contingenza  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45411573  Autori:: Edipo, Eumolpo, L736E, No2, Pastore Italy, Piero Montesacro, Rago, 1 Modifiche anonime

Port knocking  Fonte:: http://it.wikipedia.org/w/index.php?oldid=39472278  Autori:: Abisys, Ary29, Avesan, Brownout, Calabash, No2, Saint-Just, Salvatore Ingala, 2 Modifiche anonime

Privoxy  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766927  Autori:: Avemundi, CavalloRazzo, Elbloggers, Sir marek

Procedura GIANOS  Fonte:: http://it.wikipedia.org/w/index.php?oldid=33860223  Autori:: %Pier%, Avesan, Frieda, Massimiliano Lincetto, No2, Sbisolo, 2 Modifiche anonime

Protezione  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43387792  Autori:: A7N8X, Avesan, BMF81, Barbaking, CavalloRazzo, Davide.it, Dch, Grigio60, Lombardelli, Marcol-it, No2,
Pipep, Rago, SusannaGr, 3 Modifiche anonime

Protezione del database  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43104340  Autori:: Abisys, Ary29, Avesan, Bultro, Capinca, Dedda71, Faberh, Mauro742, No2, Quatar, Remulazz,
Sentruper, 7 Modifiche anonime

Protocollo AAA  Fonte:: http://it.wikipedia.org/w/index.php?oldid=33853658  Autori:: .snoopy., Abisys, Ary29, Avesan, EffeX2, Elitre, Hellis, Massimiliano Lincetto, Moongateclimber, Shaka,
Vulkano, 3 Modifiche anonime

Protocollo Kerberos  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228918  Autori:: Abisys, Amux, Avesan, Barbaking, Billoilbullocitrullo, DanGarb, Dommac, Endriupizza, Eweriuer,
Frieda, Giacomo Ritucci, Hellis, Ippatsu, Leo72, Marco Ciaramella, Mau db, Senza nome.txt, SiGMa83, Simoz, VincenzoX, Vulkano, Wiso, 23 Modifiche anonime

RADIUS  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41364630  Autori:: .anaconda, Abisys, Arriano60, Ary29, Avesan, Diego.demartin, Digemall, Dinwath, Ggp81, Gwenda, Larry
Yuma, Orso della campagna, Pracchia-78, Salvatore Ingala, Theferro, Vito.Vita, Vulkano, 7 Modifiche anonime

Recovery Point Objective  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496090  Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Duroy, Lucas, MM, Rojelio, 1 Modifiche
anonime

Recovery Time Objective  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496096  Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Daniele Forsi, Duroy, 4 Modifiche anonime

Restore  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38440883  Autori:: Abisys, Comune mortale, EH101, 2 Modifiche anonime

Risk Assessment  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43588706  Autori:: Ary29, Avesan, Dinwath, Pastore Italy, S2812911, Trikke, Zuzu macumba, 4 Modifiche anonime

S/KEY  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496114  Autori:: Avesan, Calabash, Meirut, 8 Modifiche anonime

SANS  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496121  Autori:: Avesan, Mess, Riccardov, Tizianol, 2 Modifiche anonime

Security descriptor  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496145  Autori:: Avesan, EH101, Marcuscalabresus, No2, Rede23, Rojelio, Simo ubuntu, Stefano Nesti, 3 Modifiche
anonime

Security Management  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41645490  Autori:: Basilero, Eumolpo, LucaG83, Remulazz, Stonehead, 6 Modifiche anonime

Security Operation Center  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699710  Autori:: Avesan, Blackberry, Caig, Lusum, Ninja Forever, Pontiniaweb, 12 Modifiche anonime

Sicurezza tramite segretezza  Fonte:: http://it.wikipedia.org/w/index.php?oldid=40572867  Autori:: Abisys, Ares, Avesan, CavalloRazzo, Hal8999, LapoLuchini, Leo72, Rael, Senpai, Sliwers, 2
Modifiche anonime

Signature based intrusion detection system  Fonte:: http://it.wikipedia.org/w/index.php?oldid=23023424  Autori:: Abisys, Avesan, Guignol, Hellis, 2 Modifiche anonime

Single sign-on  Fonte:: http://it.wikipedia.org/w/index.php?oldid=42222767  Autori:: Abisys, Arriano60, AttoRenato, Avesan, Cotton, Cruccone, Klaudio, Larry Yuma, Oplero, Outer root,
Pfalcone, ReliableBeaver, Reny, Wikit2006, Ygriega, 7 Modifiche anonime

Sistema di riconoscimento biometrico  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43789545  Autori:: Abisys, Annuale, Ary29, AttoRenato, Avesan, Basilero, Centrodiurnomilano,
Cribegh, Formica rufa, Joebigwheel, Lunasv85, MarcoConsiglio, No2, Patafisik, Phantomas, Piero, Saint-Just, Stampasanti, 12 Modifiche anonime
Fonti e autori delle voci 234

Snort  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766392  Autori:: Abisys, Airon90, AttoRenato, Avesan, Cecco13, Daniele Forsi, Daniloviz, Dr Zimbu, Fale, Freepenguin, Frieda,
Massimiliano Lincetto, Moongateclimber, Pietrodn, Saro-bs, 12 Modifiche anonime

Social Network Poisoning  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44534131  Autori:: Bonasia Calogero, Marco Plassio, Paganinip, Sanremofilo, 17 Modifiche anonime

Spam  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45836652  Autori:: .anaconda, .jhc., 213.21.175.xxx, Abisys, Alessio, Alessio Ganci, Alkalin, Amux, Ansgarius, ArmandoEdera, Ary29,
Avesan, Beard, Beta16, Biopresto, Bohtont, Bravi Massimiliano, Buggia, Calabash, Caulfield, Cerume, ColdShine, Cruccone, Cyberuly, DarkAp89, DarkBeam, Davide.mula, Dedda71, Dome,
Elbloggers, Eth000, F l a n k e r, F. Cosoleto, Frieda, Gabriel24, Gac, Gacio, Giancarlodessi, Guidomac, Hauteville, Hellis, Ieio78, Ignlig, IlSignoreDeiPC, Iron Bishop, KS, Kahless, Kibira, Kill
off, Kronos, Laurentius, Lbreda, Lilja, Limonadis, Lisergia, Looka, Loroli, LucAndrea, LucaLuca, LuigiPetrella, Luisa, M7, Magnum87, MaiDireChiara, Marchack, Marcok, Marcol-it, MatriX,
Maurice Carbonaro, Max98, Melos, Midnight bird, Minucc, Mizardellorsa, Moongateclimber, Nicoli, Ninja, No2, Pablomoroe, Paginazero, Pallanzese, Paul Gascoigne, Phantomas, Piero
Montesacro, Pierosuper, Pracchia-78, Rachele.zanchetta, Rael, Rollopack, Salvatore Ingala, Sbisolo, Segnali dallo spazio, Senpai, Shanpu, Shivanarayana, Sid-Vicious, Snowdog, Sparko,
Square87, Supernino, Taueres, Ticket 2010081310004741, Ticket OTRS 2011102410007641, Tomfox, Tommaso Ferrara, Torredibabele, Trixt, Twice25, Ulisse0, Umal, Unriccio, Veneziano,
VincenzoX, Vipera, Vituzzu, Wolf, Yoruno, 170 Modifiche anonime

Spim  Fonte:: http://it.wikipedia.org/w/index.php?oldid=42375469  Autori:: Ariel, Comune mortale, Continua Evoluzione, Neustradamus, No2, RanZag, Sesquipedale, Ticket
2010081310004741, 32 Modifiche anonime

Stamping Authority  Fonte:: http://it.wikipedia.org/w/index.php?oldid=38387757  Autori:: Basilero, DnaX, Martaericaarosio, Sanremofilo, Soccerboy

Standard di sicurezza informatica  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45900292  Autori:: Avesan, Bultro, Claudio Pace, Condor33, Dirtydozen, FCom T 65, Hellis, Javier80,
Maurizio.Cattaneo, Mcicogni, Pask666, Phantomas, Pil56, Senpai, Superchilum, Tirinto, 8 Modifiche anonime

Steganografia  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44936325  Autori:: .jhc., .snoopy., 213-156-56-135.fastres.net, A7N8X, Abisys, Agnellino, Avesan, Barbaking, Blackvisionit,
Claudio1234567, GiacomoV, Guidomac, Guignol, Hrundi V. Bakshi, Ivo Avido, Jacopo, Jalo, LapoLuchini, Lele giannoni, Leo72, Lilja, Lox, Luckyz, Mamo139, Marcok, Maxx1972, Patafisik,
PersOnLine, Piergiorgio Massari, Piero, Powerlife, Qualc1, Roneda, Sbisolo, Senza nome.txt, Shivanarayana, Snowdog, TierrayLibertad, Tio Sam, Truman Burbank, Twice25, Vanni,
ZipoBibrok5x10^8, 49 Modifiche anonime

Strong authentication  Fonte:: http://it.wikipedia.org/w/index.php?oldid=40126131  Autori:: Abisys, Andreabesio, Arriano60, Avesan, B3t, Besioandrea, Brownout, Cochrane, Fabexplosive,
Kaus, Marcus89, Toutoune25, Yerul, 2 Modifiche anonime

TACACS  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461711  Autori:: Abisys, Avesan, Bultro, Buzz lightyear, Diego.demartin, Hellis, Mess, No2, ReliableBeaver, Vulkano

Tecniche euristiche  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43731245  Autori:: Comune mortale, Eumolpo, Sanremofilo, Tommaso Ferrara, 2 Modifiche anonime

Tiger team  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43834038  Autori:: Abisys, Avesan, Cristante Giulio, Eumolpo, Figiu, Gacio, Ignlig, Jacopo, PersOnLine, Simoz, Spirit, Svello89,
67 Modifiche anonime

Time Machine (software)  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44559204  Autori:: .anaconda, Abisys, Ary29, Avesan, G84, Generale Lee, Gerlos, Hellis, Marcok, Pietrodn,
Pracchia-78, 16 Modifiche anonime

Token (sicurezza)  Fonte:: http://it.wikipedia.org/w/index.php?oldid=42660207  Autori:: Abisys, Arriano60, Avesan, Ianezz, Marcuscalabresus, Rollopack, 4 Modifiche anonime

Tolleranza ai guasti  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41635822  Autori:: Abisys, Avesan, BMF81, Colom, ErBabbuino, Frieda, Giratinatorterra, Hellis, Ilario, Kibira, Larry
Yuma, Lucasasdelli, Maurizio.Cattaneo, Piddu, Pipep, Pppgiuliappp, Restu20, 4 Modifiche anonime

Tor (software di anonimato)  Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766264  Autori:: .jhc., Abisys, Amarvudol, Avesan, Barbaking, Blaumeer, Came88, Continua Evoluzione,
Danpro, Elbloggers, Elitre, Fale, Giancarlo Rossi, Iron Bishop, Jacopo, Leo72, Mac'ero, Marc-André Aßbrock, Maskx, Mastrob88, Pap3rinik, Phantomas, Pietrodn, RobertoITA, Rollopack,
Salvatore Ingala, Senpai, Ticket OTRS 2011102410007641, Tomchen1989, Trek00, Vituzzu, WaterPhoenix, 63 Modifiche anonime

Triple Modular Redundancy  Fonte:: http://it.wikipedia.org/w/index.php?oldid=43098598  Autori:: Abisys, Ary29, Jaqen, No2, Sbisolo, 10 Modifiche anonime

TruPrevent Technologies  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496201  Autori:: Avesan, Gliu, Marcuscalabresus, Stefano Nesti

Trusted computing  Fonte:: http://it.wikipedia.org/w/index.php?oldid=45596121  Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, AmonSûl, Ary29, Austroungarika, Avesan, Blackcat, Broc,
Castagna, Ciovo, Civvì, Cruccone, Dbiagioli, Diego Petrucci, Djechelon, Domenico De Felice, Dommac, Drugonot, Dudo, Eriassa, Faboski, Fdigiuseppe, Felyx, Giacomo Ritucci, Gvf, Hce,
Hellis, IlPisano, Jacopo, Jajo, Jalo, Joevinegar, KrovatarGERO, Leonardoprosperi, Lilja, LoStrangolatore, Lohe, LtWorf, Luckyz, MaXeR, Marcok, Marcuscalabresus, Marzian, Moroboshi,
Nemo bis, No2, Ominolore, Phantomas, Piero, Reddstain, Riccardov, Salvatore Ingala, Snowdog, Ssspera, Tommaso Ferrara, Valepert, 94 Modifiche anonime

Trusted Platform Module  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41348630  Autori:: Abisys, Aka-Red, Antilope, Dbiagioli, Eumolpo, Hellis, IlPisano, Larry Yuma, Mickey83,
Phantomas, RanZag, Sergiojoshua, Slim8shady9, Smallpox, SuperSecret, 10 Modifiche anonime

Trusted Software Stack  Fonte:: http://it.wikipedia.org/w/index.php?oldid=41506351  Autori:: Abisys, Aka-Red, Ary29, Dbiagioli, IlPisano, Mickey83, No2, Olando

Vulnerability Assessment and Mitigation  Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496210  Autori:: Abisys, AnjaManix, Ary29, Avesan, F l a n k e r, Guignol, Lafox, Sbisolo, 2
Modifiche anonime
Fonti, licenze e autori delle immagini 235

Fonti, licenze e autori delle immagini

Immagine:Wikisource-logo.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikisource-logo.svg  Licenza: logo  Autori:: Nicholas Moreau
Immagine:Wikiquote-logo.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikiquote-logo.svg  Licenza: Public Domain  Autori:: -xfi-, Dbc334, Doodledoo, Elian, Guillom, Jeffq,
Krinkle, Maderibeyza, Majorly, Nishkid64, RedCoat, Rei-artur, Rocket000, 11 Modifiche anonime
Immagine:Commons-logo.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Commons-logo.svg  Licenza: logo  Autori:: SVG version was created by User:Grunt and cleaned up by
3247, based on the earlier PNG version, created by Reidab.
Immagine:Wiktionary-ico-de.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wiktionary-ico-de.png  Licenza: logo  Autori:: Bobit, F l a n k e r, Melancholie, Mxn, Nodulation,
Rocket000, Saibo
Immagine:Auth ssh.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Auth_ssh.png  Licenza: BSD  Autori:: Original uploader was Pigr8 at it.wikipedia
File:burned laptop secumem 16.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Burned_laptop_secumem_16.jpg  Licenza: Creative Commons Attribution-Sharealike 3.0  Autori::
secumem
File:Buffalo LinkStation Mini and a PP3 battery.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Buffalo_LinkStation_Mini_and_a_PP3_battery.jpg  Licenza: Creative Commons
Attribution-Sharealike 3.0  Autori:: Phobie
File:Captcha voorbeeld.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Captcha_voorbeeld.jpg  Licenza: Public Domain  Autori:: Original uploader was GWirken at nl.wikipedia
Image:CIE fronte sample.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:CIE_fronte_sample.jpg  Licenza: Public Domain  Autori:: User:Ultracold
Image:CIE retro sample.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:CIE_retro_sample.jpg  Licenza: Public Domain  Autori:: User:Ultracold
Immagine:CCleaner.PNG  Fonte:: http://it.wikipedia.org/w/index.php?title=File:CCleaner.PNG  Licenza: sconosciuto  Autori:: (E = MC²), EH101, Massic80
Immagine:Flag of Italy.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Flag_of_Italy.svg  Licenza: Public Domain  Autori:: see below
File:PublicKeyCertificateDiagram It.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:PublicKeyCertificateDiagram_It.svg  Licenza: Creative Commons Attribution-ShareAlike 3.0
Unported  Autori:: Giaros
Immagine:Demilitarized Zone Diagram it.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Demilitarized_Zone_Diagram_it.png  Licenza: Public Domain  Autori::
Utente:Sassospicco, Benj
File:Hash_function.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Hash_function.svg  Licenza: Public Domain  Autori:: Ggia, Helix84, Joanjoc, LyingB, Mdd, Nguyễn Thanh
Quang, 3 Modifiche anonime
File:Jingjing.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Jingjing.jpg  Licenza: sconosciuto  Autori:: Utente:Nicola Romani
File:Chacha.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Chacha.jpg  Licenza: sconosciuto  Autori:: Utente:Nicola Romani
Immagine:Logon linux.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logon_linux.jpg  Licenza: sconosciuto  Autori:: Pigr8, 1 Modifiche anonime
Immagine:Logon testo.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logon_testo.png  Licenza: BSD  Autori:: Original uploader was Pigr8 at it.wikipedia
Immagine:NGSCB-diagram.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:NGSCB-diagram.png  Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported  Autori:: Daniel
Göhler
Immagine:Wikibooks-logo.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikibooks-logo.svg  Licenza: logo  Autori:: User:Bastique, User:Ramac et al.
File:spammed-mail-folder.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Spammed-mail-folder.png  Licenza: GNU General Public License  Autori:: Ascánder, Bawolff,
KAMiKAZOW, LordT, RJaguar3, 11 Modifiche anonime
File:Spam with cans.jpeg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Spam_with_cans.jpeg  Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported  Autori::
w:User:TheMuujMatthew W. Jackson
File:Netspam.gif  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Netspam.gif  Licenza: Public Domain  Autori:: N.Manytchkine
File:Primer libro de steganografia.JPG  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Primer_libro_de_steganografia.JPG  Licenza: GNU Free Documentation License  Autori::
ribagorda garnacho
Immagine:Timemachine.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Timemachine.jpg  Licenza: sconosciuto  Autori:: Hellis
Immagine:RSA-SecurID-Tokens.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:RSA-SecurID-Tokens.jpg  Licenza: Creative Commons Attribution-ShareAlike 1.0 Generic  Autori::
User:Mateusza
Immagine:Token_Verisign.JPG  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Token_Verisign.JPG  Licenza: GNU Free Documentation License  Autori:: Rollopack
Immagine:Tor logo0.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Tor_logo0.png  Licenza: Creative Commons Attribution 3.0  Autori:: Tor Project
Immagine:Logo tcg.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logo_tcg.jpg  Licenza: sconosciuto  Autori:: Aka-Red
Immagine:Nuvola mimetypes file locked.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Nuvola_mimetypes_file_locked.png  Licenza: GNU Lesser General Public License  Autori::
Abu badali, Alno, Alphax
Immagine:Crystal Clear app key bindings.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Crystal_Clear_app_key_bindings.png  Licenza: GNU Free Documentation License
 Autori:: CyberSkull, Rocket000, Ysangkok
Immagine:Crystal Clear app hardware.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Crystal_Clear_app_hardware.png  Licenza: GNU Free Documentation License  Autori::
CyberSkull, Kazukiokumura, Ysangkok
Immagine:Vista-hd.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Vista-hd.png  Licenza: GNU General Public License  Autori:: Abu badali, CyberSkull, Sasa Stefanovic
Immagine:Contact-new.svg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Contact-new.svg  Licenza: sconosciuto  Autori:: The people from the Tango! project
Immagine:PhishingTrustedBank.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:PhishingTrustedBank.png  Licenza: Public Domain  Autori:: Andrew Levine
Immagine:Biometric DAB.jpg  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Biometric_DAB.jpg  Licenza: GNU General Public License  Autori:: Alno, Chris 73, Feth, 1 Modifiche
anonime
file:Fotogramma video TC.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Fotogramma_video_TC.png  Licenza: sconosciuto  Autori:: Valepert
Immagine:Kde34screenshot.png  Fonte:: http://it.wikipedia.org/w/index.php?title=File:Kde34screenshot.png  Licenza: GNU General Public License  Autori:: AVRS, KAMiKAZOW, Kocio,
Mardus, Raphael Frey, Red devil 666, Speck-Made, Zantastik, 1 Modifiche anonime
Licenza 236

Licenza
Creative Commons Attribution-Share Alike 3.0 Unported
//creativecommons.org/licenses/by-sa/3.0/