Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Voci
Tecniche di difesa informatica 1
Access token 1
Accountability 1
Anomaly based intrusion detection system 2
Anonimato 3
Antivirus 4
Application-level gateway 11
Architettura di reti sicure 11
L'arte dell'inganno 13
L'arte dell'intrusione 14
ASLR 14
Audit 15
Autenticazione 16
Backup 19
BitLocker Drive Encryption 23
Capability 25
CAPTCHA 25
Carta d'identità elettronica italiana 29
CCleaner 32
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche 33
Certificate authority 35
Certificate revocation list 38
Certificato digitale 39
Checksum 41
chroot 42
Clickjacking 43
Confidenzialità 44
Contactless smartcard 44
Data mining e sicurezza 45
Demilitarized zone 48
Dependability 49
Digital Signature Algorithm 51
Direct Anonymous Attestation 53
Disaster prevention 54
Disaster recovery 54
Dll injection 57
Documento programmatico sulla sicurezza 58
Extensible Authentication Protocol 59
False acceptance rate 61
FileVault 62
Filtro bayesiano 63
Fingerprint 63
Firma digitale 64
Firma elettronica 70
Gestione della continuità operativa 73
GnuTLS 74
Greylisting 75
Hardening 76
Hash 77
Hengzhi chip 81
Honeypot 82
Host-based intrusion detection system 83
Identity management 85
Identità digitale 86
Integrità dei dati 88
Internet Security Policy 89
Intrusion Countermeasures Electronics 91
Intrusion detection system 91
Intrusion prevention system 95
IS auditing 96
ISO/IEC 27001 97
IT Baseline Protection Manual 100
Jingjing e Chacha 101
Key server 102
Lista di controllo degli accessi 103
Login 104
Metodo Gutmann 107
Metodologia Octave 110
Microsoft Strider 111
Modello Bell-LaPadula 112
Modello Biba 114
Modello Brewer e Nash 115
Modello Clark-Wilson 116
MS-CHAP 117
MS-CHAPv2 118
Negazione plausibile 119
Netcraft 120
Network intrusion detection system 121
Network tap 127
Next-Generation Secure Computing Base 128
Nmap 130
One-time password 131
OpenID 132
OpenSSL 133
OSSIM 136
Password authentication protocol 137
Penetration Test 137
Piano di contingenza 138
Port knocking 140
Privoxy 142
Procedura GIANOS 143
Protezione 143
Protezione del database 144
Protocollo AAA 148
Protocollo Kerberos 149
RADIUS 153
Recovery Point Objective 156
Recovery Time Objective 157
Restore 157
Risk Assessment 158
S/KEY 160
SANS 161
Security descriptor 162
Security Management 163
Security Operation Center 164
Sicurezza tramite segretezza 167
Signature based intrusion detection system 168
Single sign-on 168
Sistema di riconoscimento biometrico 170
Snort 174
Social Network Poisoning 175
Spam 178
Spim 188
Stamping Authority 189
Standard di sicurezza informatica 190
Steganografia 193
Strong authentication 197
TACACS 198
Tecniche euristiche 198
Tiger team 199
Time Machine (software) 200
Token (sicurezza) 202
Tolleranza ai guasti 203
Tor (software di anonimato) 205
Triple Modular Redundancy 209
TruPrevent Technologies 210
Trusted computing 211
Trusted Platform Module 224
Trusted Software Stack 228
Vulnerability Assessment and Mitigation 229
Note
Fonti e autori delle voci 231
Fonti, licenze e autori delle immagini 235
Access token
Un Access token (in italiano: Token d'accesso) è un oggetto dei sistemi operativi Microsoft Windows che contiene
la sessione di accesso (logon) e identifica l'utente, i suoi privilegi e il gruppo di utenti al quale appartiene. Il sistema
associa il token a ciascun processo avviato dall'utente. La combinazione di processo e token viene chiamata
soggetto. I soggetti operano sugli oggetti di Windows richiamando i servizi di sistema. Ad ogni accesso a una risorsa
il sistema richiama una routine di convalida dell'accesso che confronta il token del soggetto con l'elenco di controllo
degli accessi ACL (Access Control List) per decidere se l'operazione può essere effettuata; se l'accesso è consentito
non si ota niente, se è negato in genere vine mostrato un messaggio.
Tipi di Token
• Primary token
• Impersonation token
Accountability
Nell'ambito della sicurezza informatica Accountability è la capacità di un sistema di identificare un singolo utente,
di determinarne le azioni e il comportamento all'interno del sistema stesso. Per fare ciò è supportato dall' audit delle
tracce e dal sistema di autenticazione (login).
Descrizione
L'accountability è un aspetto del controllo di accesso e si basa sulla concezione che gli individui siano responsabili
delle loro azioni all'interno del sistema.
Tale aspetto è supportato dall'audit delle tracce degli eventi registrati all'interno del sistema e nella rete. L'audit delle
tracce può essere utilizzato per il rilevamento di intrusioni e per il rilevamento di eventi passati.
Anomaly based intrusion detection system 2
Voci correlate
• Signature based intrusion detection system
• Intrusion detection system
Collegamenti esterni
• (EN) Un modello rigoroso per la rilevazione delle anomalie [1]
Note
[1] http:/ / www. phrack. org/ show. php?p=56& a=11
Anonimato 3
Anonimato
L'anonimato (o anche anonimìa) è lo stato di una persona anonima, ossia di una persona di cui l'identità non è
conosciuta. Questo può accadere per diversi motivi: una persona è riluttante a farsi conoscere, oppure non lo vuole
per motivi di sicurezza come per le vittime di crimini e di guerra, la cui identità non può essere individuata.
Nascondere la propria identità può essere una scelta, per legittime ragioni di privacy e, in alcune occasioni, per
sicurezza personale: un esempio ne sono i criminali, i quali, solitamente, preferiscono rimanere anonimi, in
particolare nelle lettere ricattatorie.
Un'opera si dice anonima quando non si conoscono i suoi autori. Lo possono essere i prodotti del folclore o della
tradizione, tramandati oralmente; oppure lo sono i dati riguardanti il nome di un autore andati perduti o
intenzionalmente nascosti.
Anonimato e Internet
Verso la fine del XX secolo, Internet ha consentito la divulgazione e la pubblicazione di informazioni in forma
parzialmente anonima. Tuttavia, la diffusione delle comunicazioni via Internet ha spinto governi e multinazionali a
sviluppare metodi di sorveglianza senza precedenti: Echelon, Total Information Awareness e Carnivore sono
soltanto alcuni esempi.
Su Internet è frequente l'uso di pseudonimi (nickname in inglese) anche per nascondere la propria identità; questo è
necessario ma non sufficiente a garantire il proprio anonimato. Tuttavia, secondo la legge italiana, non è consentita
l'assunzione di false identità: si veda la voce "Pseudonimo".
Gli Anonymous remailer e gli pseudonymus remailer utilizzano sistemi di crittografia per rendere estremamente
difficile individuare l'identità reale del mittente di un messaggio di posta elettronica. Protocolli di rete come Tor e
Freenet permettono di leggere e pubblicare informazioni con un alto grado di anonimato.
Voci correlate
• Tor
• Privoxy
Altri progetti
• Wikisource contiene opere originali: http://it.wikisource.org/wiki/Autore:Anonimo
• Wikiquote contiene citazioni: http://it.wikiquote.org/wiki/Anonimo
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Anonymus
• Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/anonimato
Note
[1] http:/ / www. interlex. it/ testi/ l41_633. htm#8
[2] http:/ / www. interlex. it/ testi/ l41_633. htm#21
[3] http:/ / www. interlex. it/ testi/ l41_633. htm#25
[4] http:/ / www. interlex. it/ testi/ l41_633. htm#27
Antivirus
Un antivirus è un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi (malware) come
worm, trojan e dialer.
Funzionamento
Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all'interno
dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus è composto da un numero
ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che
cercare se questa sequenza è presente all'interno dei file o in memoria). Uno schema viene anche detto "firma del
virus". Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus è in
grado di riconoscere, aggiornamento effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli
utenti e da gruppi specializzati nell'individuazione di nuovi virus.
Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento
dei vari programmi alla ricerca di istruzioni sospette perché tipiche del comportamento dei virus (come la ricerca di
file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus già conosciuti (variando
una o più istruzioni è possibile ottenere lo stesso risultato con un programma leggermente differente).
Antivirus 5
Limiti di un antivirus
Bisogna ricordare che l'antivirus è in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i
nuovi virus (per nuovi si intende sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati
scoperti) possono passare completamente inosservati ed agire senza che l'antivirus intervenga. Inoltre l'antivirus
riesce ad intercettare il virus soltanto quando questo è entrato all'interno del computer e quindi ha già infettato un file
o la memoria; a questo punto, a seconda del virus, può "disinfettare" il file o la memoria eliminando completamente
il virus o in alcuni casi è costretto a mettere in "quarantena" il file contagiato ed eliminarlo per l'impossibilità di
recuperare il file originario.
Occorre aggiornare continuamente il proprio antivirus per evitare che malware già riconosciuti (cioè già immessi
nella lista del database online del software) non siano riconosciuti e quindi possano infettare il proprio PC.
L'antivirus inoltre è un grande utilizzatore delle risorse del computer e se viene avviato in background ogni volta che
viene acceso il computer può comportare un forte rallentamento soprattutto nelle fasi iniziali (perché controlla prima
tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale
rallentamento è presente anche in tutte le fasi in cui si scrive su disco, benché ciò possa risultare più trascurabile. Per
tali motivi l'antivirus accelera l'obsolescenza del proprio computer, creando la necessità di aggiornarne alcune parti o
prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente.
La scelta di un antivirus è una cosa molto complessa, anche perché antivirus diversi possono riuscire a rintracciare e
quindi a controllare i nuovi virus prima di altri.
La scoperta di un nuovo virus dipende molto da quanto è "infettivo": più un virus si propaga velocemente, più veloce
e semplice risulta essere la sua identificazione e quindi l'aggiornamento delle firme; se invece il virus tende ad essere
molto poco "infettivo" ed a rimanere localizzato soltanto in una certa area, può passare molto tempo prima che venga
intercettato e aggiunto alle firme.
Succede più volte che un antivirus consideri dei file o programmi come virali anche se in realtà non lo siano (falso
positivo). Questo è dovuto al fatto che un insieme di istruzioni che compongono un virus (o una sua parte) può essere
presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati
salvati non in formato testo. Il problema principale è che si può non riuscire ad eseguire questo programma od aprire
il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o
rovinato in modo irreparabile nel frattempo.
Ci sono numerosi metodi per criptare e compattare un codice malware rendendolo così non rintracciabile da un
antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono
non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in
RAM per essere eseguito e solo in questo momento l'antivirus sarà in grado di rintracciarlo.
Infine le compagnie che creano i software antivirus possono avere un incentivo finanziario molto forte a far sì che
nuovi virus vengano creati continuamente e che il panico nel pubblico generi un continuo ricorso all'aggiornamento
Antivirus 6
dei loro software. Questa è una delle accuse avanzate da varie parti ai produttori di antivirus, benché in realtà non vi
sia attualmente alcuna prova che convalidi tale tesi.
Tecnologia euristica
La tecnologia euristica è un componente di alcuni antivirus che consente di rilevare alcuni programmi maligni non
noti all'antivirus, cioè non contenuti nel suo database dei malware.
Questa tecnologia non sempre è presente all'interno di un antivirus e non sempre garantisce buoni risultati.
Antivirus e programmi
I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser,
questo perché questi due programmi sono l'accesso diretto a due funzionalità indispensabili in internet: la posta e la
navigazione web.
Un'altra tipologia di software informatico molto colpito dai virus è quella composta dai file di dati ricavati con
Microsoft Office. Con questa suite è possibile creare all'interno dei file delle istruzioni (macro) che eseguono date
funzionalità in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer
sfruttano questa potenzialità per allegare delle macro che sono in realtà dei virus.
In generale i virus sfruttano delle vulnerabilità nei sistemi informatici, usando a volte - in modo automatico -
tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si
occupano di raccogliere le segnalazioni di vulnerabilità o attacchi, e renderle pubblicamente disponibili; tali
organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra
di risposta alle emergenze informatiche).
Client di posta
Tra i client di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi
Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o
totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, è forse la
prima forma di diffusione di alcuni tipi di malware. Outlook Express per default memorizza tutti gli indirizzi E-Mail
dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa sì che se un utente si iscrive,
per esempio, ad una mailing list può alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base
di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima
generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi, uno
da usare come destinatario e l'altro da far risultare come mittente. Il problema di base è dovuto all'utente che apre ed
esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi
software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che
permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi
senza aprirla) o appena la si apriva (nella firma è possibile inserire delle istruzioni, istruzioni usate per attivare il
virus).
La prima causa di diffusione dei virus tramite i client di posta è l'esecuzione degli allegati e qui non esiste un client
di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.
Antivirus 8
Browser
Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco di sicurezza (vulnerabilità)
sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft
l'utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il più
soggetto a questi tipi di attacchi, tanto che ultimamente è stato consigliato da più fonti di usare altri browser[1]
soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).
Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacità di inviare e ricevere file ed inoltre spesso
sono dotati di un linguaggio di scripting che è stato spesso sfruttato per diffondere virus, backdoor e dialer.
L'uso di questi programmi deve tenere in gran conto che l'utente che offre un file non corrisponde sempre
necessariamente ad una persona reale, dal momento che molti virus si diffondono automaticamente. È consigliabile
rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e
non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.
Note
[1] Francia e Germania sconsigliano Internet Explorer (http:/ / www. zeusnews. com/ index. php3?ar=stampa& cod=11672)
[2] http:/ / www. av-comparatives. org/
[3] http:/ / virus. gr/ portal/ en/
[4] http:/ / av-test. org/
[5] http:/ / www. icsalabs. com/ icsa/ icsahome. php
[6] http:/ / www. virusbtn. com/ index
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Antivirus
software
Collegamenti esterni
• centro di coordinazione CERT di Carnegie Mellon (http://www.cert.org/other_sources/viruses.html)
• eicar - Istituto Europeo per la ricerca degli Antivirus per Computer (http://www.eicar.org)
Application-level gateway 11
Application-level gateway
Un Application-level gateway o ALG è una componente di sicurezza dei firewall in una rete di computer. Permette
ai filtri NAT personalizzati di essere aggiunti al gateway per fornire l'indirizzo e la porta di traduzione per certi
protocolli del livello applicazione come FTP, BitTorrent, SIP, RTSP, trasferimento file e applicazioni IM.
Segmentazione
La segmentazione è un controllo di protezione potente nei sistemi operativi, che può limitare i danni potenziali in
una rete; essa riduce il numero di minacce e limita la quantità di danni permessa da una singola vulnerabilità. La
segmentazione consiste nel segmentare le parti fondamentali di una rete, così da evitare compromissioni o
malfunzionamenti. Una struttura sicura utilizza più segmenti. Oltre che all'utilizzo di più segmenti vi si può
aggiungere l'utilizzo di server separati riducendo il danno potenziale dovuto alla compromissione di qualsiasi sistema
secondario. L'accesso separato è un modo di dividere la rete in segmenti.
Ridondanza
Un altro controllo architetturale fondamentale è la ridondanza, che permette di eseguire su più nodi una funzione. La
struttura ideale deve presentare due server e utilizzare la cosiddetta modalità failover. In questa modalità i server
comunicano con gli altri periodicamente determinando se sono ancora attivi o se uno dei server ha problemi, in tal
caso gli altri si occupano dell'elaborazione al suo posto. Così facendo le prestazioni vengono ridotte alla metà in
presenza di malfunzionamento, ma l'elaborazione continua ad essere svolta.
Crittografia
La crittografia è lo strumento più importante per un esperto di sicurezza delle reti, serve a fornire privacy, autenticità,
integrità e accesso limitato ai dati. Nelle applicazioni di reti, la crittografia può essere applicata sia tra due host
(crittografia di collegamento) sia tra due applicazioni (crittografia end-to-end). Per qualsiasi forma di crittografia le
chiavi devono essere consegnate al mittente e al destinatario in modo sicuro.
Architettura di reti sicure 12
Crittografia end-to-end
Questo tipo di crittografia garantisce la sicurezza da una capo della trasmissione all'altro. Può essere applicata da un
dispositivo hardware tra l'utente e l'host o da software in esecuzione sul computer host. La crittografia precede
l'elaborazione di trasmissione e instradamento dello strato e affronta potenziali difetti negli strati inferiori. Nel caso
in cui uno strato inferiore dovesse fallire nel mantenimento della sicurezza e dovesse rendere noti i dati ricevuti, la
riservatezza di questi non sarebbe comunque in pericolo. Quando si utilizza la crittografia end-to-end i messaggi
inviati attraverso diversi host sono protetti, i dati contenuti nel messaggio sono crittografati e allo stesso modo lo è
anche il messaggio mentre è in transito. Di conseguenza anche quando un messaggio deve passare attraverso nodi
potenzialmente insicuri, esso è comunque protetto dalla divulgazione durante il suo transito.
Voci correlate
• Crittografia
• Crittografia di collegamento
• Host
• Server
• Sistema operativo
• Sicurezza informatica
• Privacy
• Internet
Collegamenti esterni
• architettura di rete [1]
Note
[1] http:/ / nem01. altervista. org/ source/ Il_modello_ISO_OSI. html/
L'arte dell'inganno 13
L'arte dell'inganno
L'arte dell'inganno
1ª ed. originale 2002
Genere Saggio
L'arte dell'inganno è un libro sull'ingegneria sociale scritto da Kevin David Mitnick insieme a William Simon nel
2001, pubblicato nel 2002 col titolo originale The art of deception e uscito in Italia nel 2003. Tratta in modo
approfondito e meticoloso dei differenti modi per ottenere informazioni e chiavi di accesso ai sistemi informativi.
L'inganno in sé, è rappresentato dal social engineering utilizzato dai protagonisti delle storie raccolte nel libro. In
pratica evidenzia la facilità con cui molte persone, nonostante siano consapevoli dei rischi e dell'importanza di
password e dati sensibili, sono disposti a svelarle. Spesso le vittime arrivano a credere che rivelare una password via
telefono, ad una persona sconosciuta che dice di essere un tecnico che fa manutenzione informatica, o un collega in
difficoltà, non solo sia innocuo ma anzi credono di aver dato una mano ad un lavoratore come loro.
A differenza di ciò che si potrebbe aspettare, il libro non è un manuale su come ingannare un sistema informatico,
ma al contrario offre molti aspetti riflessivi che spingeranno il lettore a capire il vero valore dei propri dati sensibili.
Tutto questo grazie anche ad analisi complete su ogni singolo attacco, con relativi consigli su come non cadere in
trappole simili.
Infine osserva da vicino il fenomeno dell'ingegneria sociale, mostrando alla gente cosa può fare una qualsiasi
persona anche senza un livello elevato di conoscenze informatiche.
La scelta di non trattare l'hacking solo dal punto di vista tecnologico, è stata una scelta forse dettata dalla
consapevolezza dell'uscita del seguito The Art of Intrusion - The Real Stories Behind the Exploits of Hackers,
Intruders & Deceivers, che invece inquadra questo aspetto più tecnologico e meno "psicologico". In italia il libro è
uscito nel 2005 con il titolo L'arte dell'intrusione.
L'arte dell'intrusione 14
L'arte dell'intrusione
L'arte dell'intrusione
1ª ed. originale 2005
Genere Saggio
L'arte dell'intrusione è un libro su diversi casi di hacking scritto da Kevin David Mitnick insieme a William Simon,
pubblicato nel 2005 col titolo originale The art of intrusion e uscito in Italia nel maggio del 2006.
Mitnick esamina dieci casi di hacking realmente accaduti, intervistandone gli autori. Assicurò a tutti loro l'anonimato
assoluto, salvo quelli già condannati dalle autorità.
Per ogni caso Mitnick analizza il lato tenico e quello sociale, descrivendone anche le modalità d'attacco. Inoltre lo
commenta e spiega le contromisure per difendersi da attacchi del genere, oltre a fornire gli sviluppi recenti della
vicenda se necessario.
ASLR
La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) è una misura di
protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l'indirizzo delle funzioni di
libreria e delle più importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice
malevolo su un computer è costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare,
provocando una serie di crash del programma vettore (infettato o apertamente malevolo).
Normalmente, se durante l'esecuzione di codice si accede a una struttura dati con l'indirizzo sbagliato si ottengono
dati errati, e se si chiama una funzione con l'indirizzo errato si provoca una eccezione, che porta alla terminazione
del programma da parte del sistema operativo; un programma malevolo sfrutterà però l'eccezione generata
(legittimamente: non è possibile né consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di
quale tentativo è fallito, raccogliendo così sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima
o poi con precisione l'indirizzo di memoria delle risorse che gli servono. Questa attività di raccolta di informazioni
genera però una serie ripetuta di crash del programma in questione, che è quindi ben visibile all'utente o ai
programmi antivirus.
Efficacia
Questa tecnica è tanto più efficace quanto più l'indirizzo delle librerie, dello stack, dello heap e delle varie strutture
dati di sistema è variabile; in genere però è possibile variare tali indirizzi solo entro un certo spazio, o perché devono
essere allineate all'inizio di una pagina di memoria, o perché devono risiedere in una particolare zona della memoria.
Quindi è più efficace su sistemi a 64 bit, che hanno uno spazio di indirizzamento più vasto, e lo è meno sui sistemi a
32 bit. È presente in Windows Vista, Windows 7, Mac OS X 10.5 Leopard (in modo non completo), Mac OS X 10.6
Snow Leopard, Mac OS X 10.7 Lion, iOS 4.3 e in alcune distribuzioni di Linux, oltre che in OpenBSD. Tale tecnica
consiste nel caricare in memoria programmi e librerie a indirizzi casuali; in questo modo l'attaccante è obbligato a
indovinare dove potrebbe essere la funzione che egli ha deciso di attaccare. Un attacco effettuato usando una
previsione errata generalmente manda in crash l'applicazione oggetto dell'attacco stesso, trasformando così un
ASLR 15
attacco che mirava a eseguire codice potenzialmente maligno sulla macchina bersaglio in un semplice attacco di tipo
denial-of-service . L' ASLR è ovviamente molto più efficace sulle macchine a 64 bit che hanno uno spazio degli
indirizzi molto più grande delle macchine a 32 bit. Le macchine a 32 bit rendono disponibili solo 16 bit da
modificare casualmente.
Collegamenti esterni
• (EN)PaX documentation on ASLR [1]
• (EN)ASLR for Windows Vista beta 2 [2]
• (EN)ASLR for Windows 2000/XP/2003 (WehnTrust) [3]
• (EN)Bypassing PaX ASLR protection [4]
• (EN)On the effectiveness of address space layout randomization [5]
• (EN)Microsoft Finds (Random) Way to Secure Vista [6]
• (EN)Windows Vista Randomization Gets OEM Thumbs Up [7]
Note
[1] http:/ / pax. grsecurity. net/ docs/ aslr. txt
[2] http:/ / blogs. msdn. com/ michael_howard/ archive/ 2006/ 05/ 26/ 608315. aspx
[3] http:/ / www. wehnus. com
[4] http:/ / www. phrack. org/ archives/ 59/ p59-0x09. txt
[5] http:/ / portal. acm. org/ citation. cfm?id=1030124& dl=ACM& coll=& CFID=15151515& CFTOKEN=6184618
[6] http:/ / www. eweek. com/ article2/ 0,1895,1969505,00. asp
[7] http:/ / www. eweek. com/ article2/ 0,1895,2071746,00. asp
Audit
Un audit è una valutazione o controllo di dati o procedure, spesso ricorrente nei bilanci aziendali (audit contabili).
Il concetto di audit può essere applicato a molte altre attività, come per esempio in sanità: audit clinico
Gestione aziendale
Le audit sono delle attività atte a misurare la conformità di determinati processi, strutture o procedure a determinate
caratteristiche richieste e a verificarne l'applicazione. esistono principalmente tre tipi di audit:
• audit interno;
• audit esterno di seconda parte;
• audit esterno di terza parte;
i primi, gli audit interni, sono delle verifiche effettuate direttamente dai soggetti interni all'azienda. i secondi, gli
audit di seconda parte, sono delle verifiche eseguite da società partner della società richiedente l'audit (ad esempio un
audit richiesto da un'azienda ad un suo fornitore).
I terzi, gli audit di terza parte, a differenza dei secondi, che comunque sono eseguiti da soggetti esterni all'azienda,
vengono invece condotti da organizzazioni specializzate in questo genere di controlli che, oltretutto, al termine di
questa rilasciano un apposito certificato attestante il livello di qualità.
Le tipologie di valutazione comunemente usate sono generalmente le seguenti:
• audit di conformità;
• audit di conformità ed efficacia;
• valutazione della qualità dell'organizzazione;
Audit 16
In sicurezza informatica
Nell'ambito della sicurezza informatica, l'audit è una valutazione tecnica manuale o sistematica misurabile di un
sistema o un'applicazione. La valutazione manuale prevede domande allo staff, esecuzione delle analisi di
vulnerabilità, revisione e controllo degli accessi al sistema operativo, e analisi dell'accesso fisico a sistemi. Le
valutazioni automatiche o CAAT, includono rapporti audit generati dal sistema o uso di software per monitorare e
riportare cambiamenti a file e impostazioni del sistema. I sistemi possono includere pc, server, mainframe, rete di
router, switch. Le applicazioni possono includere servizi Web e basi di dati.
Collegamenti esterni
Audit Civico [1]
Note
[1] http:/ / www. cittadinanzattiva. it/ progetti-salute/ audit-civico. html
Autenticazione
Nel campo della sicurezza informatica, si definisce autenticazione (in greco: αυθεντικός, da 'authentes'='autore') il
processo tramite il quale un sistema informatico, un computer, un software o un utente, verifica la corretta, o almeno
presunta, identità di un altro computer, software o utente che vuole comunicare attraverso una connessione ed
usufruire dei relativi servizi associati.
Identificazione dell'utente
Durante una connessione/comunicazione in Internet o l'accesso ad alcuni servizi messi a disposizione dal Web è
importante per l'utente definire in modo univoco la propria identità, essere riconosciuto e per questo ottenere
l'accesso ai propri servizi. Allo stesso modo è fondamentale anche conoscere l'identità di chi si trova dall'altra parte
della "linea" della comunicazione ed essere certi che l'interlocutore con il quale si stanno scambiando delle
informazioni sia veramente chi dice di essere e non un impostore.
Login
Il problema dell'autorizzazione è spesso identificato con quello dell'autenticazione: i protocolli per la sicurezza
standard, ad esempio, si basano su questo presupposto. Comunque, vi sono casi in cui questi due problemi vengono
risolti con strategie differenti.
Un esempio di tutti i giorni è la comune procedura di autenticazione che conosciamo come login, presente ad
esempio in forum, accesso a servizi di home banking e e-commerce, reti Wi-Fi, telefoni cellulari ecc... Un sistema di
elaborazione, progettato per essere usato soltanto da utenti autorizzati, deve essere in grado di rilevare ed escludere i
soggetti non autorizzati. L'accesso ad esso, dunque, viene garantito solo dopo aver eseguito con successo una
procedura di autenticazione, di solito attraverso una username e/o una password personale.
Autenticazione 17
Limiti tecnologici
Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identità di altri computer,
software e utenti.
Dunque, essendo la soluzione "totalmente sicura" irraggiungibile, si può soltanto cercare di sottoporre l'autenticando
a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. Sicuramente è estremamente
importante che l'identità virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la
persona che fruisce del servizio sia veramente chi afferma di essere, per i servizi più critici, come quelli che
prevedono transazioni finanziarie o comunicazione di dati personali.
Il processo di autenticazione avviene diverse volte al giorno, senza magari accorgersene: un timbro di voce al
telefono, un volto, bastano per farci riconoscere un conoscente e concedergli l'attenzione.
Chiave hardware
Un contenitore di login/password è la chiave hardware.
Questi è un oggetto che contiene una memoria interna dove è possibile memorizzare password, codici, firme digitali.
La sicurezza del contenitore si basa sull'affidabilità del proprietario, in quanto è logico che se quest'ultimo lascia
incustodita la propria chiave, la sicurezza può essere compromessa. Un esempio di chiave hardware sono le smart
card. Alcuni esempi comuni di processi d'autenticazione coinvolti in un controllo d'accesso sono i seguenti:
• prelievo di denaro da uno sportello Bancomat;
• controllo remoto di un computer tramite Internet ad esempio tramite protocollo SSH;
• servizi bancari online.
Metodologie di autenticazione
I metodi tramite i quali un essere umano può autenticarsi sono divisi in tre classi, in base a:
• qualcosa che è (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri
identificatori biometrici)
• qualcosa che ha (es. tesserino identificativo)
• qualcosa che conosce (es. password, parola chiave o numero di identificazione personale (PIN))
Spesso, al posto del singolo metodo,
viene usata una combinazione di
metodi, i.e. un tesserino identificativo
e un PIN che ne aumenta la sicurezza.
Questa prende il nome di Strong
authentication o autenticazione a due
fattori.
Impronte digitali
Le impronte digitali, in passato, erano Visualizzazione di una procedura di autenticazione basata su protocollo SSH da parte di
considerate il più autorevole metodo di un utente su un sistema FreeBSD)
autenticazione, ma alcuni recenti casi
giudiziari, nei tribunali degli Stati Uniti e di altri paesi, hanno sollevato grossi dubbi sull'affidabilità del suddetto
metodo. È stato teorizzato l'uso di vari altri metodi biometrici (i.e. scansione della retina), ma per quasi tutti è stata
dimostrata una possibile ambiguità di risultati.
Autenticazione 18
Metodi crittografici
Nel contesto dell'ICT, sono stati sviluppati dei metodi crittografici (vedi firma digitale) i quali, per ora, non sono
raggirabili se (e solo se) la chiave originaria, utilizzata per cifrare l'informazione, non è stata compromessa. Questi
ottimi metodi sono, almeno per ora, considerati inattaccabili, ma non c'è, però, la certezza che essi rimangano
"sicuri" per sempre. Imprevisti sviluppi matematici futuri potrebbero rendere vulnerabile l'intera generazione
moderna di algoritmi di cifratura, mettendo in seria discussione tutto ciò che è stato autenticato in passato. In
particolare, un contratto digitalmente firmato non avrebbe più alcun valore nel caso in cui il sistema crittografico di
base fosse stato 'bucato'. La scelta dei diversi metodi di autenticazione è condizionata dai diversi fattori tra cui
l'usabilità, l'importanza delle informazione da proteggere ed il costo del sistema. Spesso si assiste anche ad una
mutua autenticazione in cui ciascuna parte in causa deve autenticarsi all'altra.
Voci correlate
• Autorizzazione (informatica)
• Biometria
• Crittografia
• Crittografia a chiave pubblica
• Identità digitale
• Identity management
• Kerberos
• Login
• Password
• RADIUS
• Secure shell
• S/KEY
• Strong authentication
• Username
Backup 19
Backup
In informatica con il termine Backup, copia di sicurezza o copia di riserva si indica la conservazione di materiale
atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro
o server.
Descrizione
L'attività di backup essere un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni,
furti, ecc., ci si assicura che esista una copia dei dati.
Pertanto se si dispone di un apposito software dedicato o incluso nel proprio sistema operativo, l'esecuzione del
backup è quasi sempre impostata in maniera automatica e svolta normalmente con una periodicità stabilita (per
esempio una volta al giorno o alla settimana), e con altre particolarità avanzate se rese disponibili dal software
utilizzato.
La maggior parte dei sistemi operativi attuali per personal computer
integra un qualche programma di backup da configurare, ma solo i
server appositamente equipaggiati contengono normalmente un
servizio nativo automatico.
Nelle aziende il tipo di backup e la relativa periodicità sono
solitamente regolati da una apposita procedura aziendale soggetta a
verifica periodica e ad altre procedure che comportano un intervento
manuale. Il responsabile della sicurezza è tenuto ad annotare i controlli
periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il
backup normalmente devono essere di tipo e marca approvati nella
procedura ed è necessario che siano periodicamente verificati e Laptop bruciato
È naturalmente buona norma eseguire periodiche operazioni di backup anche nei personal computer di uso privato,
che di solito vengono eseguite dall'utilizzatore del computer stesso che copierà i dati importanti su supporti ottici o
magnetici (CD-R, CD riscrivibili, DVD-R, DVD riscrivibili, Digital Audio Tape, cartucce a nastro). Gli hard disk
portatili con collegamento esterno USB e le chiavette usb (stick-usb) hanno preso il posto dei floppy disk che sono
ormai in disuso per la scarsa affidabilità e la limitata capacità.[1] [2] .
È possibile anche eseguire il backup in modo continuo usando servizi come il backup online o i backup appliance
che sono degli strumenti che permettono questo tipo di operatività attraverso gli agent, che sono dei software che si
occupano di individuare, attraverso criteri, i file nuovi da archiviare e immediatamente ne eseguono la copia di
sicurezza.
Backup 20
Il ripristino dei dati copiati con l'operazione di backup è normalmente detto restore.
Le operazioni connesse con il recupero dei dati dal backup in caso di guasto o cancellazione di una certa importanza
sono abitualmente soggette ad autorizzazione specifica del responsabile della sicurezza.
L'amministratore di sistema o gli utenti che hanno diritti di accesso analoghi, provvedono al ripristino dei file
richiesti.
insieme di regole a procedure per assicurare che venga eseguito un backup adeguato alle necessità
dell'organizzazione aziendale. Una politica di backup definisce il tipo (es. full o incrementale) di backup, la
frequenza (generalmente giornaliera), e include le regole per verificare la rispondenza del processo di restore.
Restore time
tempo richiesto per effettuare il restore di un certo set di dati.
Retention time
tempo in cui un certo set di dati rimane disponibile per il restore. Il tempo di retention viene generalmente
misurato in giorni. In alcuni casi viene misurata una 'retention' sulla base del numero di copie dei dati di
backup, indipendentemente dal tempo a cui esse si riferiscono.
Schema di rotazione del backup
per effettuare un backup giornaliero vengono di solito fatti ruotare gli stessi media (es. i nastri). Lo schema di
rotazione stabilisce appunto il metodo di rotazione e di ritenzione (data retention) dei dati. Vengono utilizzati
diversi schemi quali: Incrementale; Nonno, padre e figlio; la torre di Hanoi, ecc.
Software per il backup
programmi applicativi per effettuare le attività legate al backup dei dati (es. copie di backup e operazioni di
restore).
Tape library
un sistema che contiene dei nastri per il backup, un lettore di barcode per identificare i nastri e un automatismo
per movimentare i nastri all'interno della library. Una tape library può contenere degli enormi ammontari di
dati.
Virtual Tape Library
un sistema che ha le stesse funzionalità della tape library, ma che effettua il backup in modo diverso. Si
utilizza una Virtual Tape Library per effettuare una copia temporanea dei dati in attesa di effettuare un backup
sul nastro o in un'altra locazione.
Voci correlate
• Nastro magnetico
• Restore
Note
[1] Gianni Rusconi. «Il floppy va in pensione» (http:/ / www. ilsole24ore. com/ art/ SoleOnLine4/ Editrice/ IlSole24Ore/ 2010/ 04/ 27/
Tecnologia e Business/ 18_B. shtml?uuid=25a12abc-51c0-11df-92be-7a8b1f1c5244& DocRulesView=Libero). Il Sole 24 Ore, 27 04 2010.
URL consultato in data 27-04-2010.
[2] Giacomo Dotta. «Il Floppy non è morto, anche se non sta troppo bene» (http:/ / blog. webnews. it/ 04/ 05/ 2010/
il-floppy-non-e-morto-anche-se-non-sta-troppo-bene/ ). Webnews blog, 04 05 2010. URL consultato in data 05-05-2010.
BitLocker Drive Encryption 23
Descrizione
BitLocker garantisce tre modalità operative. Le prime due modalità richiedono un dispositivo hardware per la
cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile:
• Modo operativo trasparente: questa modalità sfrutta le capacità dell'hardware TPM 1.2 per garantire una
esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per
la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM che
viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di
BitLocker sfruttano la endorsement key.
• Modo autenticazione utente: questa modalità richiede che l'utente inserisca una chiave di autenticazione
nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN
inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria.
La terza modalità non richiede un chip TPM:
• Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter
avviare il sistema operativo protetto. È da notare che questa modalità richiede che il BIOS sulla macchina protetta
supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard
disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di sistema" con una dimensione
minima di 1.5GB, e un "volume di avvio" che contiene Windows Vista. Attenzione: il volume di sistema dove è
installato BitLocker non è crittografato, quindi non deve essere usato per conservare informazioni riservate.
Diversamente dalle versioni precedenti di Windows, il comando da prompt diskpart di Vista dà la possibilità di
creare e modificare la dimensione di un volume NTFS in modo da poter creare un volume di sistema per BitLocker.
Sulle versioni client di Windows Vista, solo il volume del sistema operativo può essere crittografato con BitLocker.
L'Encrypted File System (EFS) continua ad essere la soluzione raccomandata per la crittografia dei dati in tempo
reale sulle partizioni NTFS. L'EFS è fortemente raccomandato in supporto a BitLocker perché la sua protezione
termina quando il kernel del sistema operativo viene caricato. Questi due sistemi possono essere visti come sistemi
di protezione contro diversi tipi di attacco.
Al WinHEC 2006, Microsoft mostrò che "Longhorn" (ora Vista) Server conteneva il supporto per BitLocker in
aggiunta alla protezione del volume del sistema operativo.
In ambienti dotati di dominio BitLocker supporta l'incapsulamento delle chiavi in Active Directory, così come si
interfaccia WMI per l'amministrazione remota di BitLocker.
Un esempio di come usare l'interfaccia WMI è lo script manage-bde.wsf (installato da Vista in
%Windir%\System32), che può essere usato per impostare e gestire BitLocker da riga di comando. Secondo
Microsoft, BitLocker non contiene backdoor; non c'è modo per le forze dell'ordine di scavalcare la protezione sui
dati. Questa è stata una delle principali preoccupazioni fra gli utenti avanzati da quando è stato annunciato il
supporto della crittografia in Vista.
È da notare che, contrariamente al nome ufficiale, "Crittografia unità BitLocker" crittografa il volume ad un livello
logico. Un volume potrebbe non essere un intero drive, oppure potrebbe essere formato da più drive. Utilizzando gli
strumenti da riga di comando, BitLocker può essere usato per crittografare anche altri volumi e non solo il volume di
BitLocker Drive Encryption 24
avvio; questi volumi però non possono essere crittografati mediante la GUI. Si presume che nelle versioni future di
Windows (come Vista Server) si potranno cifrare volumi addizionali usando la GUI. Quando viene abilitato il
TPM/BitLocker viene garantita l'integrità delle procedure di avvio, in modo da prevenire eventuali attacchi esterni.
Critiche
Quando viene eseguito il backup di un volume crittografato con BitLocker, il backup generato non è crittografato;
l'utility di backup di Windows Vista informa l'utente di ciò prima dell'esecuzione del backup. Se l'utente decide di
continuare, il backup risultante non è criptato e compromette la riservatezza dei dati dell'utente. Se l'utente decide di
non eseguire il backup, un malfunzionamento hardware del drive crittografato porterebbe alla perdita permanente dei
dati.
Interrogativi sulla possibilità che questa tecnologia contenga delle backdoor che permetterebbero alle forze
dell'ordine di accedere ai dati sono stati respinti dalla Microsoft, ma questa tecnologia supporta una "chiave di
recupero" (recovery key) che potrebbe garantire l'accesso senza il controllo dell'utente qualora cadesse nelle mani
sbagliate[1] .
Note
[1] (EN) BitLocker™ Drive Encryption and Disk Sanitation (http:/ / www. microsoft. com/ technet/ community/ columns/ sectip/ st1006. mspx)
in TechNet. Microsoft. URL consultato il 22 gennaio 2008.
Voci correlate
• FreeOTFE
• Encrypting File System
• TrueCrypt
• FileVault - Mac OS X
Capability 25
Capability
Con il termine capability si intende in informatica un meccanismo di protezione delle risorse orientato agli oggetti
complementare alle ACL.
I sistemi che utilizzano le capability associano a ciascun processo una lista di capability (o C-list), che descrive per
l'appunto a quali oggetti (per esempio file) il processo può accedere. Una C-list può essere formata da dei nodi,
ciascuno dei quali rappresenta i permessi su un determinato oggetto puntato.
Implementazione
Ci sono diverse metodologie per implementare le capability:
• In hardware: ad ogni parola in memoria viene aggiunto uno speciale tag che indica se la parola contiene una
capability. Solo il sistema operativo possiede i requisiti per poter modificare questi tag.
• In spazio kernel: il sistema operativo ordina a ciascun processo che tenta di accedere ad un determinato oggetto di
verificarne dapprima i permessi consultando una C-list.
• In spazio utente: le C-list sono memorizzate in spazio-utente, ma per questo motivo devono venire crittografate
per impedire contraffazioni da parte degli utenti.
CAPTCHA
Con l'acronimo inglese CAPTCHA si denota nell'ambito
dell'informatica un test fatto di una o più domande e risposte per
determinare se l'utente sia un umano (e non un computer o, più
precisamente, un bot). L'acronimo deriva dall'inglese "completely
automated public Turing test to tell computers and humans apart"
Un captcha di "6138B" ottenuto utilizzando uno
(Test di Turing pubblico e completamente automatico per distinguere sfondo confuso, scritto con font diversi, di colori
computer e umani). Il termine è stato coniato, nella terminologia vari e non allineati
inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper
della Università Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il
termine inglese viene utilizzato anche nella terminologia informatica italiana.
Un test CAPTCHA tipicamente utilizzato è quello in cui si richiede all'utente di scrivere quali siano le lettere o
numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo.
Dal momento che il test viene gestito da un computer, mentre il test originale di Turing viene gestito da un umano, a
volte si descrive il test CAPTCHA come un test di Turing inverso; questa è però una definizione fuorviante, perché
potrebbe indicare anche un test di Turing in cui entrambi i partecipanti tentano di provare che non sono umani.
Origini
I CAPTCHA sono stati sviluppati per la prima volta nel 1997 dal settore ricerca e sviluppo di AltaVista capitanato da
Andrei Broder, per impedire ai bot di aggiungere URL al loro motore di ricerca. Broder e colleghi cercavano di
creare immagini resistenti agli attacchi degli OCR e così consultarono il manuale degli scanner della Brother e
utilizzarono al contrario le indicazioni sulle situazioni da evitare, per ricreare una pessima situazione: caratteri storti,
con font diversi, sfondi non omogenei eccetera. Broder sostenne che l'introduzione di tale tecnologia avesse ridotto
lo spam di oltre il 95%.
CAPTCHA 26
In modo indipendente dal team di AltaVista, Luis von Ahn e Manuel Blum realizzarono e diffusero nel 2000 l'idea
del test CAPTCHA, intendendo con ciò qualunque tipo di programma che fosse in grado di distinguere tra persone e
computer. Essi inventarono vari tipi di test, compresi i primi a ricevere un'ampia diffusione grazie all'uso da parte di
Yahoo!.
Applicazioni
I CAPTCHA sono utilizzati per impedire che i bot utilizzino determinati servizi, come i forum, la registrazione
presso siti, la scrittura di commenti e in generale tutto ciò che potrebbe essere usato per creare spam o per violare la
sicurezza con operazioni di hacking come il brute force. Questo tipo di test è stato utilizzato anche per contrastare lo
spam generato da bot, obbligando il mittente di un messaggio e-mail non conosciuto dal destinatario a superare un
test CAPTCHA prima di consentire la consegna del messaggio.
Caratteristiche
Per definizione i test CAPTCHA sono completamente automatici e non richiedono di norma interventi umani per la
somministrazione o la manutenzione, indubbi vantaggi in termini di costi e affidabilità.
Gli algoritmi utilizzati per realizzare i test vengono spesso divulgati al pubblico, anche se in molti casi sono protetti
da brevetto. Tale politica di trasparenza è tesa a dimostrare il fatto che la sicurezza del metodo non risiede nella
conoscenza di un algoritmo segreto (che potrebbe essere ricavata con tecniche di reverse engineering o in modo
fraudolento); al contrario, per 'rompere' l'algoritmo è necessario risolvere un problema classificato come 'hard' nel
campo dell'intelligenza artificiale.
Non è obbligatorio ricorrere a tecniche visive: qualunque problema di intelligenza artificiale che abbia lo stesso
grado di complessità, ad esempio il riconoscimento vocale, è adatto a fare da base per un test di questo tipo. Alcune
implementazioni consentono all'utente di scegliere in alternativa un test basato su tecniche auditive, anche se tale
approccio ha subito uno sviluppo più lento e non è detto che possieda lo stesso grado di efficacia di quello visivo.
Inoltre, è possibile ricorrere ad altri tipi di verifiche che richiedano un'attività di comprensione testuale, quali la
risposta a una domanda o a un quiz logico, il seguire delle specifiche istruzioni per creare una password ecc. Anche
in questo caso i dati sulla resistenza di tali tecniche alle contromisure sono scarsi.
Una promettente tecnica che si sta sviluppando negli ultimi anni impiega dei test basati sul riconoscimento di una
faccia all'interno di un'immagine familiare. Per questo tipo di CAPTCHA si parla di RTT based on faces recognition.
In letteratura allo stato attuale sono stati implementati soltanto due metodi basati su questo tipo di CAPTCHA:
l'ARTiFACIAL[1] e un CAPTCHA basato sul riconoscimento facciale.[2] [3]
Accessibilità
L'uso di test CAPTCHA basati sulla lettura di testi o altre attività legate alla percezione visiva impedisce o limita
fortemente l'accesso alle risorse protette agli utenti con problemi di vista e, poiché tali test sono progettati
specificamente per non essere leggibili da strumenti automatici, i normali ausili tecnologici usati dagli utenti ciechi o
ipovedenti non sono in grado di interpretarli; ma anche gli utenti daltonici possono non essere in grado di superare il
test. L'uso dei test CAPTCHA, generalmente legato alle fasi iniziali di accesso o registrazione ai siti e talvolta
ripetuto per ogni accesso, può costituire una discriminazione nei confronti di tali utenti disabili tale per cui in alcuni
ordinamenti esso costituisce una violazione delle norme di legge.
Nuove generazioni di CAPTCHA, create per resistere ai più sofisticati programmi di riconoscimento di testi, possono
essere molto difficili o impossibili da risolvere per molti utenti, anche nel pieno possesso della propria capacità
visiva.
Il W3C ha redatto un rapporto in cui vengono evidenziati alcuni dei problemi di accessibilità legati all'uso di tali
tecniche.[4]
CAPTCHA 27
Contromisure
Dopo l'uso massiccio di CAPTCHA, sono state scoperte alcune contromisure che permettono agli spammer di
superare i test.
Greg Mori e Jitendra Malik hanno presentato nel 2003 uno studio[5] che illustra come aggirare uno dei sistemi più
diffusi per realizzare test CAPTCHA, EZ-Gimpy; tale approccio si è rivelato efficace nel 92% dei casi. Nei confronti
del sistema Gimpy, più sofisticato ma meno diffuso, l'efficacia del metodo scende al 33%. Al momento non è però
noto se tale algoritmo sia stato implementato al di fuori del contesto della ricerca.
Sono stati creati anche alcuni programmi per cercare una soluzione ripetutamente e altri per riconoscere i caratteri
scritti, utilizzando tecniche apposite e non quelle standard degli OCR. Progetti come PWNtcha[6] hanno fatto grandi
passi in avanti, contribuendo alla generale migrazione verso CAPTCHA sempre più difficili.
Un altro metodo per superare un captcha è sfruttare sessioni in cui il test è già stato superato, salvando i test per poi
creare un archivio di soluzioni.
Ma il metodo più efficace è quello di utilizzare un essere umano per risolvere il CAPTCHA: è infatti possibile
affidare a persone pagate il compito di risolvere i CAPTCHA. Il già citato documento del W3C[4] afferma che un
operatore può facilmente risolvere centinaia di test CAPTCHA in un'ora.
Questa possibile soluzione necessiterebbe di un investimento economico che non sempre è giustificato, ma è stato
scoperto un metodo più a buon mercato per ottenere gli stessi risultati: lo spammer utilizza a tal fine un sito Internet
con un servizio a cui gli utenti umani chiedono l'accesso, che può essere un forum ma anche una collezione di
immagini pornografiche. Così, quando un utente chiede di accedere, gli viene proposto un CAPTCHA ottenuto dal
sito esterno che lo spammer vuole attaccare: il test viene quindi risolto dall'utente, che ottiene in cambio una
remunerazione che per lo spammer ha un costo trascurabile, mentre il sistema "ricicla" la soluzione del test per
superare la barriera del sito bersaglio.
reCaptcha
I test CAPTCHA hanno avuto degli utilizzi secondari non legati unicamente all'eliminazione dello spam: il più noto
riguarda il riconoscimenti di testi contenuti in libri antichi e si chiama reCaptcha. Molte biblioteche stanno
provvedendo a convertire in digitale le loro collezioni di antichi testi (anche manoscritti); questa conversione viene
ottenuta tramite la digitalizzazione delle pagine e la loro successiva analisi tramite un programma OCR, che analizza
le immagini delle pagine ed estrae il testo in esse contenuto. I programmi OCR però interpretano con difficoltà le
lettere sbiadite e le pagine ingiallite dei testi antichi e quando non sono in grado di riconoscere con certezza un testo
necessitano di un intervento umano, che rallenta il processo e innalza il costo della digitalizzazione.
Ricercatori della Carnegie Mellon University hanno deciso di utilizzare i sistemi CAPTCHA per interpretare le
parole dubbie individuate dai programmi OCR. Quando due sistemi OCR identificano in modo diverso una parola,
questa viene associata a una parola nota e inviata a un utente che deve superare un test CAPTCHA per accedere a un
servizio. Si presuppone che se un utente riesce ad individuare correttamente la parola nota, allora individuerà con
elevata probabilità anche la parola ignota. Quando tre utenti danno la stessa risposta, il sistema archivia la parola
CAPTCHA 28
come corretta. Questo sistema ha permesso di convertire 440 milioni di parole con un'accuratezza del 99%. Ad
agosto 2008, questo sistema convertiva 4 milioni di parole al giorno.[7] Il progetto in seguito è diventato una startup
company che nel settembre del 2009 è stata acquisita da Google, il quale ha avviato una procedura di scansione di
decine di milioni di libri immagazzinati in centinaia di librerie sparse per il pianeta e intende sfruttare il progetto
reCaptcha per correggere gli errori derivati dalla scansione OCR dei testi.[8] ReCaptcha può essere assimilato alla
categoria dei giochi con uno scopo (GWAP).
Curiosità
Uno dei fenomeni di Internet nati su 4chan riguarda proprio il CAPTCHA. Esso si riferisce ad un codice in cui si
leggeva "Inglip Summoned": ne è scaturita la finta leggenda che un dio oscuro, tale Inglip, sia ritornato sulla terra
per trascinarla nell'oscurità. Sono presenti inoltre diversi video su YouTube in cui Inglip darebbe ordini ai suoi
adepti, sempre tramite degli stravaganti e spesso incomprensibili codici CAPTCHA.[9]
Voci correlate
• Gioco con uno scopo
Note
[1] http:/ / research. microsoft. com/ en-us/ um/ people/ yongrui/ ps/ mmsj04hip. pdf
[2] http:/ / www. fileguru. com/ apps/ face_recognition_captcha
[3] http:/ / ieeexplore. ieee. org/ iel5/ 10670/ 33674/ 01602255. pdf
[4] Matt May. (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests (http:/ / www. w3. org/ TR/ turingtest/ ) in W3C Working Group Note.
23 novembre 2005. URL consultato il 12 luglio 2011.
[5] Greg Mori; Jitendra Malik. (EN) Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA (http:/ / www. cs. sfu. ca/ ~mori/
research/ papers/ mori_cvpr03. pdf) (PDF 408kB). URL consultato il 12 luglio 2011.
[6] PWNtcha – Caca Labs (http:/ / sam. zoy. org/ pwntcha/ )
[7] I testi antichi hanno un futuro "Li salverà un metodo antispam" (http:/ / www. repubblica. it/ 2007/ 10/ sezioni/ scienza_e_tecnologia/
libri-web/ testi-antichi/ testi-antichi. html?ref=hpspr1). Repubblica.it, 19 agosto 2008. URL consultato il 19 agosto 2008.
[8] Google acquista reCaptcha (http:/ / www. macitynet. it/ macity/ aA39806/ google_acquista_recaptcha. shtml). MaCityNet.it,
16-09-2009. URL consultato il 16-09-2009.
[9] Inglipedia (http:/ / inglipnomicon. wikia. com/ wiki/ Inglipnomicon_Wiki). 16-09-2009. URL consultato il 05-06-2011.
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Captcha
Collegamenti esterni
• (EN) The Captcha Project (http://www.captcha.net)
• (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests: Problems and Alternatives (http://www.w3.org/
TR/turingtest/) (raccomandazione del W3C)
• (EN) Storia del test captcha (http://www2.parc.com/istl/projects/captcha/history.htm) (Xerox PARC)
• (EN) Il brevetto USA 6.195.698 (http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF&
p=1&u=/netahtml/PTO/search-bool.html&r=1&f=G&l=50&co1=AND&d=PTXT&s1=6195698.PN.&
OS=PN/6195698&RS=PN/6195698) (nota: il termine captcha non era ancora stato inventato all'epoca)
• Distinguere l'uomo dalla macchina in modo accessibile (http://diegolamonica.info/tutorials/?id=7)
Carta d'identità elettronica italiana 29
Caratteristiche
Ai sensi del DM 19 luglio 2000 e successive modificazioni (in ultimo il DM 8/11/2007 n. 229) il “Ministero
dell’Interno mette a disposizione delle Questure, dei Comuni, degli Uffici Consolari e dell’Istituto Poligrafico e
Zecca dello Stato l'infrastruttura organizzativa, informatica e di rete del C.N.S.D. e cura la realizzazione, la gestione
e la manutenzione dei servizi di sicurezza e di emissione, nonché rende disponibili ai Comuni, agli Uffici Consolari e
ai centri di allestimento:
• il software della porta applicativa di accesso al Backbone, ai fini dell'utilizzazione dei servizi del C.N.S.D. da
parte degli Enti emettitori;
• il software di supporto all'uso in rete del documento, ai cittadini, ai Comuni e alle amministrazioni ed enti
interessati;
• il servizio di convalida I.N.A., attraverso backbone del C.N.S.D., direttamente dall'I.N.A.;
• il servizio di validazione dei certificati digitali CIE, realizzato sullo standard OCSP (RFC 2560) per i sistemi che
erogano servizi tramite il documento;
• i software di sicurezza e di emissione, finalizzati a garantire l'integrità, l'accessibilità e la riservatezza delle
informazioni nelle fasi di compilazione, allestimento, stampa, rilascio, aggiornamento, rinnovo e verifica dei
documenti ai Comuni e ai CAPA nonché finalizzati a garantire l'integrità e la sicurezza delle comunicazioni
telematiche tra C.N.S.D., Comuni e centri di allestimento.
Il Ministero dell’Interno C.N.S.D. fornisce ai Comuni che acquisiscono in autonomia postazioni di emissione
conformi alle specifiche tecniche pubblicate sul sito del Ministero stesso il necessario software di sicurezza ed
emissione, nonché i relativi aggiornamenti.“. Il software di sicurezza ed emissione, e i relativi aggiornamenti
vengono assicurati dall’Università degli Studi di Roma di Tor Vergata nell’ambito dell’accordo istituzionale con il
Ministero dell’Interno.
Di materiale plastico e formato tipo "bancomat" o tesserino del codice fiscale, il supporto della carta d'identità
elettronica è prodotto dall'Istituto Poligrafico e Zecca dello Stato, che provvede anche alla sua inizializzazione,
procedura che rende la carta equivalente a un documento in bianco. A tale procedura segue la formazione, che è la
fase in cui il CNSD del Ministero dell’Interno e il Comune interagiscono, utilizzando il software di sicurezza ed
emissione, per scrivere sulla carta e nel microprocessore i dati identificativi del titolare. Per conoscere l'identità della
persona non sarà necessario introdurre la carta in un lettore: le generalità e la fototessera del titolare saranno
stampate sulla carta e saranno quindi leggibili chiaramente. Il supporto fisico deve essere conforme alle norme
ISO/IEC 7816 (International Organization for Standardization).
Carta d'identità elettronica italiana 30
password.
Distribuzione
Nonostante la distribuzione della CIE non sia stata ancora portata a regime in tutto il territorio nazionale, numerosi
comuni, di propria iniziativa e a proprie spese, si sono aggiunti agli iniziali comuni-campione che ricevettero nel
2004 le apparecchiature necessarie al suo rilascio. Al 31 dicembre 2009 risultano emesse circa 1.800.000 CIE.
Successivamente al DM 229 del 8/11/2007 del Ministero dell'Interno sono inoltre stati realizzati numerosi esempi di
Centri di allestimento della CIE in forma associata. Questo permette ai piccoli comuni di associarsi ad un comune
più grande cui demandare la fase di stampa della CIE, la più onerosa in termini organizzativi ed economici. In tal
modo, mantenendo l'emissione della CIE a vista presso gli sportelli comunali, i comuni più piccoli possono
semplicemente acquisire i dati del cittadino e trasmetterli in via telematica al comune più grande dotato di centro di
stampa. Una volta stampata la CIE questa viene inizializzata e consegnata al cittadino dal proprio comune.
Note
Voci correlate
• Carta d'identità
• Carta d'identità italiana
• Tessera sanitaria
• Carta nazionale dei servizi
Collegamenti esterni
• CNSD - Ministero dell'interno, Direzione Centrale per i Servizi Demografici (http://www.servizidemografici.
interno.it)
CCleaner 32
CCleaner
CCleaner
CCleaner 3 su Windows XP
Sviluppatore Piriform Ltd.
Genere Utility
Licenza Freeware
(Licenza chiusa)
CCleaner è un software freeware di ottimizzazione delle prestazioni, protezione della privacy e pulizia dei registri di
sistema e altre tracce d'uso per varie versioni del sistema operativo Microsoft Windows. È sviluppato da Piriform
Ltd., ed è un software molto noto e diffuso, che ha ottenuto anche vari riconoscimenti.[2]
Combina uno strumento di pulizia del sistema per eliminare i file temporanei e quelli inutilizzati ad uno strumento di
pulizia e riordino del registro di sistema.
Il programma dispone inoltre di diverse utility tra cui:
• è possibile disinstallare e rinominare i programmi installati nel sistema;
• la gestione dei programmi che vengono eseguiti all'avvio;
• la gestione di tutti i punti di ripristino del sistema e la distruzione sicura di contenuti sui drive;
• un potente strumento per risolvere problemi riscontrati con estensioni, riferimenti e collegamenti mancanti;
• una sezione chiamata Registro dove possono essere trovati e riparati problemi che vengono rilevati nell'integrità
registro del sistema.
Il programma consente di creare un backup del registro di sistema prima di procedere all'eliminazione.
Supporta tutte le versioni di Windows, dalla 2000 in poi.[3]
Al 25 agosto 2010, il programma ha avuto più di 500 milioni di download[4] ed è tradotto in molte lingue, in
continuo aumento.[5]
CCleaner 33
Voci correlate
• Utilità (informatica)
Note
[1] http:/ / www. piriform. com/ ccleaner
[2] (EN) CCleaner - Reviews (http:/ / www. piriform. com/ ccleaner/ reviews). URL consultato il 27 maggio 2011.
[3] (EN) What operating systems does CCleaner support? (http:/ / www. piriform. com/ ccleaner/ faq/ installing/
what-operating-systems-does-ccleaner-support). URL consultato il 7 ottobre 2010.
[4] (EN) CCleaner Download Milestone (http:/ / www. piriform. com/ blog/ 2010/ 8/ 25/ ccleaner-download-milestone) in Piriform Blog. 25
agosto 2010. URL consultato il 24 ottobre 2011.
[5] (EN) Changing the language CCleaner uses (http:/ / www. piriform. com/ docs/ ccleaner/ ccleaner-settings/
changing-the-language-ccleaner-uses). URL consultato il 24 ottobre 2011.
Collegamenti esterni
• (EN) Sito web di CCleaner (http://www.piriform.com/ccleaner)
Descrizione generale
Nazione Italia
Sede Roma
Soprannome CNAIPIC
Comandanti
Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC) è l'unità
specializzata interna al Servizio di polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei
crimini informatici diretti ai danni delle infrastrutture critiche nazionali.
Anche se di fatto già operante dal 2005 come unità specializzata nel settore, costituita in seno al Servizio polizia
postale e delle comunicazioni, il CNAIPIC è stato istituito formalmente con decreto del capo della Polizia il 7
agosto del 2008, in ottemperanza al decreto del ministro dell'interno del 9 gennaio 2008.
La sede è stata inaugurata il 23 giugno 2009 a Roma in via Tuscolana 1548, presso il Polo Tuscolano del
Dipartimento della pubblica sicurezza.
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche 34
L'attacco di Anonymous
Nel luglio del 2011 i server centrali del CNAIPIC sono stati violati dai gruppi hacker di NKWT, Anonymous,
LulzSec e Antisec. Sono stati prelevati importanti documenti e relazioni per un totale di 8Gb di dati che tuttora si
trovano liberamente in internet. Queste azioni sono state rivendicate come protesta contro l'arresto di italiani presunti
aderenti ai movimenti hacker, ma non si escludono motivazioni da inserirsi in un quadro più ampio.
Voci correlate
• Polizia Postale
• Nucleo speciale frodi telematiche
• Defense Information Systems Agency
• Sicurezza informatica
• Hacker
• Cracker
• Sniffing
• Spoofing
• Phishing
• Security Operation Center
Collegamenti esterni
• Decreto 9 gennaio 2008 del ministro dell'interno [2]
Note
[1] http:/ / poliziadistato. it/ articolo/
18494-CNAIPIC_Centro_Nazionale_Anticrimine_Informatico_per_la_Protezione_delle_Infrastrutture_Critiche
[2] http:/ / archivio. cnipa. gov. it/ HTML/ RN_ICT_cron/ si_20080109%20Decreto%20Ministero%20interno. rtf
Certificate authority 35
Certificate authority
In crittografia, una Certificate Authority o Certification Authority (CA), letteralmente Autorità Certificativa, è un
ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite
procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in
materia.
Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa
pubblica all'interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane
segreta e associata al titolare (chiave privata). Una coppia di chiavi può essere attribuita ad un solo titolare. L'autorità
dispone di un certificato con il quale sono firmati tutti i certificati emessi agli utenti, e ovviamente deve essere
installata su di una macchina sicura.
Introduzione
Le Certification Authority sono caratteristiche di una infrastruttura a chiave pubblica (PKI), così organizzata:
• una policy di sicurezza che fissa i principi generali;
• un certificate practise statement (CPS), ossia il documento in cui è illustrata la procedura per l’emissione,
registrazione, sospensione e revoca del certificato;
• un sistema di certification authority (CA);
• un sistema di registration authority (RA), ovvero il sistema di registrazione e autenticazione degli utenti che
domandano il certificato;
• un certificate server.
Possono essere certificate persone fisiche, organizzazioni, server, applicazioni, ogni CA precisa nel proprio CPS chi
sono le entità finali che essa è disposta a certificare e per quali scopi di utilizzo (certificati di firma e cifratura dei
messaggi di posta elettronica, certificati di autenticazione dei server di rete, ecc.).
CA root
Una infrastruttura PKI è strutturata gerarchicamente da più CA al cui vertice si trova una CA root che certifica le
sub-CA. Il primo passo per costruire una infrastruttura PKI è creare la CA radice dell'albero, ossia la CA root. Se la
CA di root è la radice dell'albero chi le firma il certifcato? La risposta è molto semplice: la CA si auto firma il suo
certificato. In pratica vengono create le chiavi pubblica e privata, crea la richiesta di rilascio di un certificato e la
firma con la sua chiave privata. Da qui si evince la necessità della buona reputazione di una CA: in pratica non c'è
nessuna autorità garante dal punto di vista architetturale sopra la CA di root; è necessario quindi passare a forme di
garanzia giuridiche
Un esempio pratico
Al contrario della cifratura simmetrica che utilizza un’unica chiave per cifrare e decifrare, la cifratura asimmetrica, o
a chiave pubblica si avvale di due chiavi, una chiave pubblica e una chiave privata, una per cifrare e l’altra per
decifrare, legate entrambe da una funzione matematica. Le CA sono la soluzione per il problema dell'associazione
fra una chiave pubblica e la persona che possiede la relativa chiave privata. Chiariamo il concetto con un esempio:
Alice e Bob vogliono scambiarsi messaggi firmati e crittografati; a tale scopo entrambi creano la loro coppia di
chiavi e le pubblicano su un keyserver. Quindi Alice scrive un messaggio per Bob, lo firma con la propria chiave
privata e lo cripta con la chiave pubblica di Bob, quindi il messaggio viene inviato. In ricezione Bob decripta il
messaggio con la propria chiave privata e verifica la firma con la chiave pubblica intestata ad Alice. Bob a questo
punto sa due cose:
Certificate authority 36
• il messaggio era diretto a lui perché è riuscito a decifrarlo con la propria chiave privata
• il messaggio è stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la
firma.
Nel contempo Bob non ha alcuna garanzia che la chiave sia realmente di proprietà di Alice. Continuando l'esempio,
supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di
Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire
l'inganno. Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la
corrispondenza fra chiave e proprietario. Quando un utente richiede un certificato, la CA verifica la sua identità,
quindi crea un Documento digitale firmato con la chiave privata della CA e pubblicato. Nell'esempio precedente
supponiamo che Alice e Bob si facciano firmare le loro chiavi da una CA che entrambi ritengono attendibile. In
questo caso l'attacco di Mallory non è più possibile in quanto non è in grado di riprodurre la firma della CA.
Procedura di certificazione
Alice genera la sua coppia di chiavi. Raggiunge l’ufficio registrazione (Registration Authority) della CA, si identifica
e fornisce la sua chiave pubblica perché sia certificata. La RA approva la richiesta di certificazione dopo opportune
verifiche, dopodiché chiede alla CA di generare un certificato per Alice. La CA firma il certificato generato per Alice
con il proprio certificato. Alice riceve per e-mail il proprio certificato firmato dalla CA ed il certificato root della
CA. Ogni volta che firmerà un documento, Alice allegherà il proprio certificato digitale oppure il numero seriale
dello stesso. Il certificato di Alice è pubblicato dalla CA sul proprio certificate server.
Le CA sono delle organizzazioni molto importanti nel panorama attuale del Web; in genere tutti i siti che si
occupano di e-commerce o di transazioni on-line, perlomeno all'atto dell'autenticazione dell'utente trasferiscono la
comunicazione dal protocollo HTTP al protocollo HTTPS; all'atto della negoziazione il client richiede il certificato
del server e quindi viene instaurata la connessione protetta. Quando un browser (ma anche un client di posta, ecc...)
riceve un certificato, lo valida. Nel processo di validazione verifica che tutto l'albero delle CA collegate al certificato
sia fidato. Se tutte le CA coinvolte nel rilascio del certificato in esame sono fidate, il certificato è ritenuto valido
altrimenti viene chiesto all'utente cosa fare, ossia se accettarlo o meno. Il problema di fidarsi o meno del certificato e
quindi dell'entità che lo ha presentato viene passato all'utente. Per cui il problema della fiducia rimane a completo
carico dell'utente. È automatico, quindi, che i siti o le infrastrutture utilizzino certificati rilasciati da CA note per la
loro affidabilità. Alcuni siti possono optare per un'autocertificazione solo per impedire che terzi attraverso analisi del
protocollo ip possano leggere i dati scambiati tra il sito e l'utente.
Vigilanza
Le Certification Authority sono sottoposte ad una rigida regolamentazione e supervisione da parte dello Stato. Il
governo italiano è stato il primo a livello europeo, e tra i primi a livello mondiale a darsi una regolamentazione
normativa al riguardo, definendo le regole tecniche e logistiche per realizzare una infrastruttura che potesse rilasciare
certificati digitali che avessero, ai sensi di legge, la stessa validità di una firma autografa. I certificati devono essere
rilasciati da CA iscritte nell'Elenco Pubblico dei Certificatori [1], diffuso dal Centro Nazionale per l’Informatica nella
Pubblica Amministrazione (CNIPA). Tale organismo opera presso la Presidenza del Consiglio per l’attuazione delle
politiche del Ministro per le riforme e le innovazioni nella PA, unifica in sé due organismi preesistenti, tra cui
l’Autorità per l’Informatica nella Pubblica Amministrazione. Il CNIPA, ai sensi del Codice dell'amministrazione
digitale, vigila sull’attività dei certificatori qualificati. Dal 2006 pubblica un bollettino con l’obiettivo di informare
sull’attività di vigilanza svolta dal Cnipa in quest’ambito. L’attività di vigilanza è fondamentale per l’intero impianto
della firma digitale, in quanto garantisce il mantenimento del possesso dei requisiti tecnici, organizzativi e societari
che i certificatori qualificati devono possedere, ai sensi della normativa vigente.
Il quadro normativo
La Direttiva europea 1999/93/CE [2], recepita dal Decreto Legislativo 23 gennaio 2002, n. 10 [3] prescrive che
Ciascuno Stato membro provvede affinché venga istituito un sistema appropriato che consenta la supervisione dei
prestatori di servizi di certificazione stabiliti nel loro territorio e rilascia al pubblico certificati qualificati. Tale
organismo è stato identificato dall’articolo 31 del Codice dell'amministrazione digitale [4] nel Centro Nazionale per
l’Informatica nella Pubblica Amministrazione. Il CNIPA deve quindi ottemperare a diverse previsioni normative
derivanti dal conferimento delle funzioni di vigilanza e controllo sull'attività dei certificatori qualificati, oltre che a
quelli derivanti dall’attività di accreditamento volontario. Per chiarezza di informazione si ricorda che i certificatori
qualificati sono i soggetti che intendono emettere certificati qualificati secondo la Direttiva europea 1999/93/CE,
soggetti che si distinguono in certificatori accreditati e notificati. La differenza sostanziale fra le due tipologie è che
i primi si sottopongono ad apposita istruttoria preventiva volta a verificare il possesso in capo agli stessi dei requisiti
richiesti dalle norme in materia. Recependo la Direttiva europea citata precedentemente, il CNIPA è stato designato,
anche a livello comunitario, a operare come l’organismo nazionale di accreditamento e di vigilanza sulle attività
svolte dai certificatori accreditati. A parte il rispetto degli obblighi normativi, la vigilanza su tali soggetti è
ovviamente fondamentale per l’intero impianto della firma digitale nel nostro Paese. Difatti, la robustezza degli
algoritmi utilizzati, la sicurezza dei dispositivi sicuri per la generazione della firma (smart card), i meccanismi
crittografici utilizzati, non servirebbero a garantire nulla se il soggetto che certifica la corrispondenza fra una chiave
pubblica ed i dati anagrafici del titolare della stessa, ad esempio, non agisse con serietà e competenza, garantendo
quindi i richiesti livelli di affidabilità, qualità e sicurezza. Da notare che legislazione in materia non prevede alcuna
forma di sanzione nel caso di inadempienza da parte dei certificatori. Le norme vigenti in altri Stati membri dell’UE,
consentono di intervenire con gradualità commisurata alla gravità dell’inadempienza rilevata. Ad esempio vi sono
sanzioni pecuniarie che vanno da poche centinaia di euro, fino a interventi limite che vedono il divieto di proseguire
l’attività. In Italia, non essendo prevista alcuna gradualità di intervento, si può solo vietare al soggetto inadempiente
di proseguire l’attività di certificazione. Tale sanzione, i cui effetti difficilmente reversibili sono di una gravità
estrema, non è mai stata applicata in quanto non commisurata alle inadempienze fino ad oggi rilevate.
Certificate authority 38
Collegamenti esterni
• Elenco delle autorità di certificazione da parte di paesi classificati [5]
• Centro Nazionale per l'Informatica nella Pubblica Amministrazione [6]
Note
[1] http:/ / www. cnipa. gov. it/ site/ it-IT/ Attivit%c3%a0/ Certificatori_accreditati/ Elenco_certificatori_di_firma_digitale/
[2] http:/ / eur-lex. europa. eu/ LexUriServ/ site/ it/ oj/ 2000/ l_013/ l_01320000119it00120020. pdf
[3] http:/ / www. camera. it/ parlam/ leggi/ deleghe/ testi/ 02010dl. htm
[4] http:/ / www. parlamento. it/ leggi/ deleghe/ 05082dl. htm
[5] http:/ / www. tractis. com/ countries
[6] http:/ / www. cnipa. gov. it
Certificato digitale
Un certificato digitale è un documento
elettronico che attesta, con una firma
digitale, l'associazione tra una chiave
pubblica e l'identità di un soggetto (una
persona, una società, un computer, etc).
Scopo
Lo scopo del certificato digitale è quello di
garantire che una chiave pubblica sia
associata alla vera identità del soggetto che
la rivendica come propria.
In un sistema a crittografia asimmetrica ciò
può essere molto importante: infatti, ogni Diagramma: come viene realizzato un certifcato digitale
messaggio crittografato con una data chiave
pubblica può essere decrittato solo da chi possiede la relativa chiave privata; per cui, se siamo sicuri che la chiave
pubblica appartiene a "Mario Rossi" allora siamo anche sicuri che solo "Mario Rossi" potrà leggere i messaggi
crittati con quella chiave pubblica. Inoltre vale anche il viceversa: se possiamo decriptare un messaggio con quella
chiave pubblica allora siamo sicuri che quel messaggio è stato criptato da "Mario Rossi" (anche se ciò non implica
che quel messaggio è stato inviato da "Mario Rossi").
Nello schema tipico di un'infrastruttura a chiave pubblica (PKI), la firma apposta sarà quella di una autorità di
certificazione (CA). Nella rete di fiducia ("web of trust"), invece, la firma è quella o dello stesso utente
(un'auto-certificazione) oppure di altri utenti ("endorsements"). In entrambi i casi, la firma certifica che la chiave
pubblica appartiene al soggetto descritto dalle informazioni presenti sul certificato ( nome, cognome, indirizzo
abitazione, indirizzo IP, etc.)
Principio e utilizzo
I certificati sono utili per la crittografia a chiave pubblica quando usata su larga scala. Infatti, scambiare la chiave
pubblica in modo sicuro tra gli utenti diventa impraticabile, se non impossibile, quando il numero di utenti comincia
a crescere. I certificati digitali sono una soluzione per superare questa difficoltà.
In principio se Mario Rossi voleva inviare/ricevere un messaggio segreto, doveva solo divulgare la sua chiave
pubblica. Ogni persona che la possedeva poteva inviargli e/o ricevere da lui messaggi sicuri; tuttavia qualsiasi
individuo poteva divulgare una differente chiave pubblica ( di cui conosceva la relativa chiave privata) e dichiarare
che era la chiave pubblica di Mario Rossi. Per ovviare a questo problema, Mario Rossi inserisce la sua chiave
pubblica in un certificato firmato da una terza parte fidata ("trusted third party"): tutti quelli che riconoscono questa
terza parte devono semplicemente controllarne la firma per decidere se la chiave pubblica appartiene veramente a
Mario Rossi.
In una PKI, la terza parte fidata sarà un'autorità di certificazione. Nel web of trust, invece, la terza parte può essere
un utente qualsiasi e sarà compito di chi vuole comunicare con Mario Rossi decidere se questa terza parte è
abbastanza fidata.
Certificato digitale 40
Contenuto di un certificato
Un certificato tipicamente include:
• una chiave pubblica;
• dei dati identificativi, che possono riferirsi ad una persona, un computer o un'organizzazione;
• un periodo di validità;
• l'URL della lista dei certificati revocati (CRL);
Il tutto è firmato da una terza parte fidata.
Standard di certificati
Lo standard più comune per i certificati è ITU-T X.509. X.509 è stato adattato ad Internet dal gruppo di lavoro PKIX
dell'IETF (IETF PKIX Working Group).
Voci correlate
• Firma digitale
• OpenPGP
• Transport Layer Security
Checksum 41
Checksum
Checksum, tradotto letteralmente significa somma di controllo. È una sequenza di bit che viene utilizzata per
verificare l'integrità di un dato o di un messaggio che può subire alterazioni.
Il tipo più semplice di checksum consiste nel sommare in trasmissione tutti i bit del messaggio e di memorizzare il
valore risultante nel frame inviato. Per controllare l'integrità del messaggio sarà sufficiente effettuare in ricezione la
stessa operazione di somma e confrontarla con il checksum memorizzato nel frame. Se i due valori coincidono, i dati
possono essere considerati integri.
Questa semplice forma di checksum non è molto accurata in quanto non permette di rilevare certe tipologie di errore
come:
• il riordinamento dei bit del messaggio
• l'inserimento di bit con valore 0
• la presenza di diversi errori che sommati tra loro danno 0
In questi casi, quando cioè ci sono due o più serie di bit che hanno lo stesso checksum, si parla di collisioni.
Ovviamente, minore è la probabilità di collisioni, migliore è la qualità dell'algoritmo di controllo e quindi la
sicurezza nella verifica dell'integrità.
Altre comuni varianti di questo semplice checksum sono ottenute usando al posto della somma l'operazione di XOR
come nel Longitudinal redundancy check (LRC) o sommando i bit a gruppi di 2 o 4 come nell'Internet checksum
(RFC-1071). Queste varianti mantengono la stessa semplicità di calcolo ma manifestano anche gli stessi difetti.
Con il tempo sono nati diversi metodi di controllo più sofisticati, come il checksum di Fletcher, l'Adler-32 il Cyclic
redundancy check (CRC), in cui il risultato non dipende solo dal valore dei bit, ma anche dalla loro posizione. Il
prezzo della maggiore affidabilità viene pagato nelle risorse necessarie al calcolo del checksum.
Questi metodi sono utili per la verifica di corruzioni accidentali (errori di trasferimento, o di memorizzazione,
perdita di dati), ma non sono sicuri contro gli attacchi di malintenzionati, in quanto le loro strutture matematiche non
sono particolarmente complesse da aggirare. Per questo tipo di attacchi vengono utilizzati algoritmi di hash
crittografati, come l'MD5, lo SHA-1 (in cui però sono state trovate o sembra possibile trovare collisioni), o lo
SHA-256, per il momento incorruttibile.
I checksum vengono usati spesso su internet per poter garantire che i dati scaricati siano corretti e per garantirne
l'autenticità. Per esempio nel download di software, il distributore del programma pubblica il checksum (in genere
MD5 o SHA-1), che nello specifico viene chiamato digest, che viene controllato dall'utente per verificare l'integrità
dei dati.
Voci correlate
• Hash
• Bit di parità
• Codice di Hamming
• Formula di Luhn
• Check digit
chroot 42
chroot
chroot, contrazione di change root, è un metodo usato per isolare i limiti operativi di una applicazione, ma non è
stato concepito come metodo di sicurezza sebbene alcuni sistemi, come freebsd, lo usano con alcune accortezze
come tale. Il nome deriva dal termine informatico root che indica la directory principale del sistema operativo in cui
sono contenute tutte le altre directory.
Normalmente un software può accedere a tutti i dischi e le risorse del sistema operativo, compatibilmente con i
permessi; l'operazione di chroot consiste nell'eseguire il programma bloccato dentro una sottodirectory,
permettendogli di accedere solo alle risorse di cui ha strettamente bisogno. La sottodirectory in questione viene
anch'essa denominata chroot e deve contenere una copia (di solito un hard link) di tutti i file di sistema richiesti dal
software. Nel caso di sistemi Unix è necessaria anche un copia dei device file a cui il programma deve accedere.
Normalmente se un cracker riesce a prendere il controllo di una applicazione, avrà tutti i privilegi associati
all'applicazione e potrebbe essere in grado di compromettere la sicurezza dell'intero sistema, ad esempio installando
un rootkit. Al contrario se il programma compromesso si trova in un chroot dovrà prima uscire dal perimetro; solo
dopo potrà apportare danni al sistema.
Normalmente le funzioni necessarie a mettere in pratica il chroot sono implementate direttamente nel kernel del
sistema operativo.
Collegamenti esterni
• HowTo: Chroot con Debian e debootstrap [1]
Note
[1] http:/ / www. oscene. net/ site/ sysadmin/ virtual-sever/ howto-chroot-con-debian-e-debootstrap
Clickjacking 43
Clickjacking
Il clickjacking ("rapimento del clic") è una tecnica informatica fraudolenta. Durante una normale navigazione web,
l'utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realtà il suo clic viene
reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilità sfrutta JavaScript o Iframe.
La tecnica è stata rilevata per la prima volta nel Settembre 2008 da Robert Hansen e Jeremiah Grossman.
Funzionamento
Su Javascript, il clic su un elemento di una pagina HTML viene gestito dalla funzione event handler: è sufficiente
programmare tale funzione con parametri differenti (ossia un clic su un elemento differente da quello realmente
cliccato) ed è così possibile il reindirizzamento del clic.
Altra tecnica, più pericolosa, è quella di inserire un Iframe nella pagina HTML, in maniera tale da "catturare" il clic
attraverso il frame nascosto.
Voci correlate
• Hijacking
Fonti
[1]
Alessandro Bottoni Clickjacking, tutti i browser vulnerabili , Punto-Informatico.it, 29-09-2008 (consultato in data
05-02-2008)
Collegamenti esterni
• (EN) Robert Hansen e Jeremiah Grossman, Clickjacking [2], sectheory.com, 09-12-2008 (consultato in data 05-02-2008)
• (EN) Marco Balduzzi, New Insights into Clickjacking [3], Owasp Appsec Research 2010, 23-06-2010
• (EN) Marcus Niemietz, UI Redressing: Attacks and Countermeasures Revisited [4], Ruhr University Bochum
(Germany)
• Difendersi dal clickjacking [5], (link per annullare la propria involontaria iscrizione). 26-08-2010
Note
[1] http:/ / punto-informatico. it/ 2419482/ PI/ Commenti/ clickjacking-tutti-browser-vulnerabili. aspx
[2] http:/ / www. sectheory. com/ clickjacking. htm
[3] http:/ / www. slideshare. net/ embyte/ new-insights-into-clickjacking
[4] http:/ / ui-redressing. mniemietz. de/
[5] http:/ / www. tuourl. com/ unlike. html
Confidenzialità 44
Confidenzialità
Nella sicurezza informatica per Confidenzialità si intende la protezione dei dati e delle informazioni scambiate tra
un mittente e uno o più destinatari nei confronti di terze parti.
Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato: assume
anzi particolare interesse il problema di assicurare la confidenzialità quando il sistema di comunicazione utilizzato è
intrinsecamente insicuro (come ad esempio la rete internet).
Descrizione
In un sistema che garantisce la confidenzialità, una terza parte che entri in possesso delle informazioni scambiate tra
mittente e destinatario, non è in grado di ricavarne alcun contenuto informativo intelligibile.
Per assicurarla si ricorre a meccanismi di cifratura e all'occultamento della comunicazione. I meccanismi di cifratura
garantiscono la confidenzialità per il tempo necessario a decriptare il messaggio. Per questo motivo occorre stabilire
per quanto tempo il messaggio deve restare confidenziale. Non esistono meccanismi di protezione sicuri in assoluto.
Un altro meccanismo che serve ad aumentare la confidenzialità è l'autenticazione di accesso al sistema in quanto
potenzialmente in grado di scartare accessi di soggetti non autorizzati ovvero autenticati.
Voci correlate
• Segreto professionale
Contactless smartcard
La contactless smartcard (CSC), o smartcard senza contatti, è una smart card che fa uso di tecnologie RFID per
interagire con dispositivi che su di essa sono in grado di leggere e scrivere dati.
Ambiti di applicazione
Le contactless smartcard sono molto usate nei sistemi di bigliettazione elettronica in uso in diversi ambiti del
trasporto pubblico locale.
Tipologie
Tra le tipologie più diffuse di contactless smartcard rientrano quelle che utilizzano la tecnologia Mifare o la
tecnologia Calypso. In Asia è molto diffusa la tecnologia FeliCa.
Contactless smartcard 45
Sicurezza
La sicurezza è generalmente garantita tramite l'utilizzo di una chiave crittografica contenuta nella smart card, che
deve corrispondere a quella contenuta nel validatore e fisicamente memorizzata all'interno di un Modulo SAM.
Voci correlate
• Smart card
• Sistema di bigliettazione elettronica
• ISO 14443
• RFID
• Modulo SAM
Sicurezza sicuramente
Due sono i metodi per avere un buon margine di protezione nell'affidare i propri dati sensibili alle basi di dati: la
tutela è tecnica e legislativa
Tecnica
Il controllo delle intrusioni
Una serie di azioni che mette in crisi la sicurezza e l'integrità di un sistema prende il nome di intrusione: la principale
contromisura è la prevenzione. Utile nei casi informatici la protezione degli accessi tramite chiavi crittografate in
prima linea di difesa, per poi utilizzare sistemi software e hardware in sinergia tra loro, i cosiddetti Intrusion
Detection System (IDS) utilizzati per scoprire e identificare accessi non autorizzati a computer in reti aziendali.
Legislativa
Salvaguardare la privacy
In tutte le imprese confluiscono quotidianamente fiumi di dati, divisi in
• Dati sensibili inerenti a persone fisiche;
• Dati strategici che sono importanti per la crescita economica aziendale;
• Dati non importanti: tutti gli altri dati non necessariamente vincolati ad un profitto o a un profiling anagrafico.
Le leggi sulla privacy a livello nazionale ed europeo puntano ad un trattamento riservato dei dati, per cui le imprese
che trattano dati sensibili devono proteggere le loro banche tramite la predisposizione, di un documento sul
programma della sicurezza con le misure minime di sicurezza adottate e la descrizione accurata delle misure
tecniche, informatiche, logistiche per prevenire i rischi a seconda delle regolamentazioni dettate dalla legge. Sono
previste aspre sanzioni per i non adeguati a tale richiesta: la legge fa distinzione nel trattamento dei dati con
apparecchi elettronici e trattamento senza apparecchi elettronici ma lascia poco spazio al rischio e alla diffusione
indiscriminata dei dati sensibili.
Un interrogativo pressante
Il futuro è sempre pieno di interrogativi e di speranze: il data mining non ne è esente, dal momento che, visti i buoni
risultati nella caccia alle frodi, le migliori intelligenze si stanno applicando per creare automi ed algoritmi che isolino
i potenziali terroristi a seconda delle loro spese, delle loro e-mail e conversazioni telefoniche. Si tratta di
un'applicazione pilota, di un test che rivela la crescente brama di sicurezza che nel post 11settembre sta flagellando
tutto il mondo. Ecco la domanda sociologica più in voga: sicurezza alta e bassa privacy o grande libertà e bassa
sicurezza? Certamente il controllo postmoderno sarà sempre più argomento di discussione comune, e l'aggregazione
dei dati una delle materie più spinose, in quanto la digitalizzazione del cittadino non ha ancora trovato una sua forma
sufficientemente rappresentativa e sicura. Le basi di dati sono ancora territorio di conquista, mentre numerose leggi
ed interventi sulla sicurezza ed integrità dei dati stanno sorgendo in difesa della nuova società digitale che sta
muovendo i suoi primi e certi passi.
Voci correlate
• Data mining
• Sicurezza informatica
• Legge sulla privacy
Demilitarized zone 48
Demilitarized zone
Una DMZ (demilitarized zone) è un segmento isolato
di LAN (una "sottorete") raggiungibile sia da reti
interne sia esterne che permette, però, connessioni
esclusivamente verso l'esterno: gli host attestati sulla
DMZ non possono connettersi alla rete aziendale
interna.
Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere
raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e
server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrità.
Una DMZ può essere creata attraverso la definizione di policies distinte su uno o più firewall.
Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata
"port forwarding" o "port mapping"[1] , implementata sul sistema che agisce da firewall.
Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila
ISO/OSI), è possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante
all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila
ISO/OSI).
Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy
comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso),
provenienti da una rete esterna (tipicamente internet).
Note
[1] In generale in questi casi si applica la tipologia di NAT che coinvolge la translazione dell'indirizzo IP pubblico e porta di destinazione, che
vengono sostituiti, da parte dell'apparato translatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale.
Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port
mapping'. Nelle implementazione di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure
nella catena POSTROUTING con regola di SNAT
Voci correlate
• Firewall
• Sicurezza informatica
Dependability 49
Dependability
La Dependability è una caratteristica dei sistemi e consiste nella loro capacità di mostrarsi "affidabili" nei confronti
degli utilizzatori, tale caratteristica porta gli utilizzatori a potersi "fidare" del sistema stesso e a poterlo quindi
utilizzare senza particolari preoccupazioni. La dependability è una caratteristica molto importante ed è da valutare
durante la fase di progettazione dei sistemi. Per quanto riguarda l'informatica, alcuni casi in cui la dependability
diventa una caratteristica fondamentale sono: i database contenenti dati sensibili, le applicazioni una cui bassa
dependability comporterebbe bassi introiti (es. portali web che offrono servizi a pagamento), le applicazioni critiche
una cui bassa dependability comporterebbe danni a cose o persone (sistemi di controllo delle centrali nucleari) ecc.
La dependability è comunque un attributo generico derivato dalla sintesi dei seguenti attributi di sistema:
• Affidabilità (Reliability): capacità del sistema di funzionare ininterrottamente senza guasti.
• Manutenibilità (Maintainability): tendenza del sistema a poter essere riparato;
• Disponibilità (Availability): capacità del sistema di continuare a funzionare correttamente anche in presenza di
guasti. (è correlata con affidabilità e manutentibilità).
• Performanza (Performability): capacità del sistema di offrire i servizi nei tempi prefissati;
• Incolumità (Safety): Capacità di non arrecare danni a cose, persone ed ambiente.
• Sicurezza (Security) capacità del sistema di fornire confidenzialità (impedire la fuga di informazioni riservate
permettendo accessi solo ad utenti autorizzati) ed integrità (accesso e modifica ai dati da parte degli utenti
esclusivamente nelle modalità previste).
Le minacce che possono violare la dependability di un sistema sono classificate in:
• Guasti
• Errori
• Disastri: minacce non intenzionali mosse a svantaggio del sistema. (es. Alluvioni, terremoti...)
• Attacchi: minacce intenzionali mosse a svantaggio del sistema. (es. Intrusioni informatiche, vandalismo...)
Le tecniche utilizzate per tentare di ovviare a tali minacce possono essere:
• Fault Prevention
• Fault Tolerance
• Fault Removal
• Fault Forecasting
• ...
Voci correlate
• Fault-tolerance
• Ilities
• Metodi formali
• Affidabilità
• E. Cescon; M. Sartor, La Failure Mode and Effect Analysis (FMEA) , Milano, Il Sole 24 ore, 2010. ISBN
9788863451306
• R. Denney, Succeeding with Use Cases: Working Smart to Deliver Quality , Addison-Wesley Professional
Publishing, 2005.
• C.E. Ebeling, An Introduction to Reliability and Maintainability Engineering , Boston, McGraw-Hill Companies,
Inc., 1997.
• K.C. Kapur; L.R. Lamberson, Reliability in Engineering Design , New York, John Wiley & Sons, 1977.
• L. Leemis, Reliability: Probabilistic Models and Statistical Methods , Prentice-Hall, 1995. ISBN 0-13-720517-1
• P. D. T. O'Connor, Practical Reliability Engineering , 4a ed., New York, John Wiley & Sons, 2002.
• J.D. Patton, Maintanability and Maintenance Management , North Carolina, Instrument Society of America,
Research Triangle Park, 1998.
Collegamenti esterni
1. IFIP WG10.4 on Dependable Computing e Fault Tolerance (in inglese) [1] -
2. A. Avizienis, J.-C. Laprie e Brian Randell: Concetti fondamentali sulla Dependability (in inglese) [2]Aprile 2001.
3. Algirdas Avizienis, Jean-Claude Laprie, Brian Randell: La Dependability e le sue minacce: una tassonomia (in
inglese) [3] — questo documento estende e perfeziona la versione del documento precedente ed è un eccellente
punto di partenza per lo studio della dependability. Consigliata la lettura di questo documento e successivamente
del seguente tutorial:
4. Wilfredo Torres-Pomales: Tutorial sul Software Fault Tolerance [4] — una guida molto buona, da leggere dopo
aver letto il documento precedente.
Note
[1] http:/ / www. dependability. org/
[2] http:/ / www. cert. org/ research/ isw/ isw2000/ papers/ 56. pdf
[3] http:/ / rodin. cs. ncl. ac. uk/ Publications/ avizienis. pdf
[4] http:/ / hdl. handle. net/ 2002/ 12633
Digital Signature Algorithm 51
Descrizione dell'algoritmo
Di seguito vengono descritti i passi fondamentali per l'impiego di DSA, che fa uso di un sistema crittografico a
chiave pubblica simile ad ElGamal
Dimostrazione
L'algoritmo è corretto nel senso che il destinatario verificherà sempre le firme valide.
Da per il piccolo teorema di Fermat. Dato che e
q è primo segue che g è di ordine q.
Il firmatario calcola:
quindi
Sicurezza
Come molti sistemi di crittografia a chiave pubblica, la sicurezza di DSA si basa sull'intrattabilità di un problema
matematico, in questo caso per l'inesistenza di un algoritmo efficiente per il calcolo del logaritmo discreto.
Particolare attenzione va posta al calcolo della quantità k: deve essere generata casualmente in modo che non sia
possibile risalirvi, in quel caso sarebbe possibile risalire facilmente ad x (la chiave privata) a partire dalla firma.
Note
[1] (EN) FIPS 186 (http:/ / www. itl. nist. gov/ fipspubs/ fip186. htmFips)
[2] (EN)(PDF) FIPS 186-1 (http:/ / www. mozilla. org/ projects/ security/ pki/ nss/ fips1861. pdf)
[3] (EN)(PDF) FIPS 186-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips186-2/ fips186-2-change1. pdf)
[4] U.S. Patent 5,231,668 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=5,231,668)
[5] Claus P. Schnorr sostiene che un suo brevetto antecedente ( U.S. Patent 4,995,082 (http:/ / patft. uspto. gov/ netacgi/
nph-Parser?patentnumber=4,995,082)) include DSA, questa affermazione è oggetto di disputa.
[6] In origine e , ma con la terza revisione dello standard (FIPS 186-3), chiamato comunemente
DSA2 si potrà fare uso delle funzioni di hash SHA-224/256/384/512, con q di dimensione 224, 256, 384, e 512 bit, e L pari a 2048, 3072,
7680, and 15360 rispettivamente.
Voci correlate
• Firma digitale
• Crittografia asimmetrica
• RSA
Collegamenti esterni
• (EN) FIPS-186 (http://www.itl.nist.gov/fipspubs/fip186.htm), le specifiche originali di DSA.
• (EN) FIPS-186, change notice No.1 (http://www.itl.nist.gov/fipspubs/186chg-1.htm), il primo aggiornamento
alle specifiche.
• (EN) FIPS-186-1 (http://www.mozilla.org/projects/security/pki/nss/fips1861.pdf), prima revisione dello
standard.
• (EN) FIPS-186-2 (http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf), seconda revisione
dello standard.
Direct Anonymous Attestation 53
Funzionamento
Il protocollo DAA prevede che, per un'autenticazione corretta, siano necessari tre dispositivi e due differenti fasi. I
dispositivi sono un elaboratore dotato di Trusted Platform Module, l'abilitatore DAA e il verificatore DAA.
L'abilitatore, nella prima fase, deve verificare che l'elaboratore dotato di TPM non sia stato compromesso;
completato questo compito, fornisce le credenziali DAA a tale elaboratore, che userà tali credenziali durante la fase
di firma. Usando una prova zero-knowledge il verificatore può controllare la bontà delle credenziali senza dover
venire a conoscenza dell'identità del possessore delle credenziali. Il DAA fornisce inoltre delle funzionalità di revoca
dell'anonimato: precedentemente alla fase di firma, si può scegliere una terza parte che successivamente, in caso di
compromissione del TPM ,sarà in grado di identificare il TPM.[2] Anche se si sceglie di non usufruire della
possibilità di revoca dell'anomimato, usando il protocollo DAA si è comunque in grado di identificare i TPM
compromessi o inaffidabili e conseguentemente di rifiutare le loro richieste di credenziali.[3]
Voci correlate
• Trusted Computing
• Trusted Platform Module
Note
[1] (EN) TPM Specification (https:/ / www. trustedcomputinggroup. org/ specs/ TPM)
[2] (EN) Trusted Computing Group Software Stack Specification (TSS) 1.2 FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1.
2_FAQ/ )
[3] (EN) Direct Anonymous Attestation (DAA): Ensuring privacy with corrupt administrators (ftp:/ / ftp. cs. bham. ac. uk/ pub/ authors/ M. D.
Ryan/ 07-esas. pdf)
Collegamenti esterni
• (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation. In Proceedings of 11th ACM
Conference on Computer and Communications Security, ACM Press, 2004. ( PDF (http://www.zurich.ibm.
com/~jca/papers/brcach04.pdf))
• (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation . ( (http://eprint.iacr.org/2004/205.
pdf))
• (EN) Interdomain User Authentication and Privacy (http://www.ma.rhul.ac.uk/techreports/2005/
RHUL-MA-2005-13.pdf) by Andreas Pashalidis - section 6 provides a useful introduction to DAA
Direct Anonymous Attestation 54
Disaster prevention
Per disaster prevention si intende l’insieme di misure atte a prevenire un disastro informatico che potrebbe
compromettere l’erogazione di servizi business o ingenti perdite di dati, con il conseguente rischio del fallimento
dell’impresa. Le aziende e le organizzazioni convogliano le proprie risorse IT in costosissimi piani di ripristino
(disaster recovery) sottovalutando la strategica importanza di una corretta prevenzione. Un’efficace prevenzione e
l'adozione di procedure operative adeguate infatti consentirebbe un risparmio sia in termini economici che di risorse
umane.
Secondo un autorevole studio pubblicato sulla rivista Computer World, il 36% di disastri avviene a causa di errori
hardware e/o software, il 26% per cali di tensione o interruzioni di corrente e il 23% per cause naturali.
Un efficace disaster prevention infatti prevede:
1. Monitoraggio di temperatura, fumi ed allagamento all'interno delle sale CED
2. Monitoraggio dei parametri di prevenzione hardware failure per ogni server
3. Monitoraggio dei paramaetri di prevenzione software failure per ogni server
4. Monitoraggio dell'assorbimento elettrico di ogni singolo server e degli UPS
5. Procedura di spegnimento corretto, sicuro e graduale degli apparati (shutdown sequenziale)
Disaster recovery
Per Disaster Recovery (brevemente DR) si intende l'insieme di misure tecnologiche e organizzative atte a
ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business a fronte di gravi emergenze.
Si stima che la maggior parte delle grandi imprese spendano fra il 2% ed il 4% del proprio budget IT nella
pianificazione della gestione dei disaster recovery, allo scopo di evitare perdite maggiori nel caso che l'attività non
possa continuare a seguito della perdita di dati ed infrastrutture IT. Delle imprese che hanno subito disastri con
pesanti perdite di dati, circa il 43% non ha più ripreso l'attività, il 51% ha chiuso entro due anni e solo il 6% è
riuscita a sopravvivere nel lungo termine. I disastri informatici con ingenti perdite di dati nella maggioranza dei casi
provocano quindi il fallimento dell'impresa o dell'organizzazione, ragion per cui investire in opportune strategie di
recupero diventa una scelta quasi obbligata.
Descrizione
Il Disaster Recovery Plan (DRP) (in italiano, Piano di disaster recovery) è il documento che esplicita tali misure.
Esso fa parte del più ampio Business Continuity Plan (BCP).
Affinché una organizzazione possa rispondere in maniera efficiente ad una situazione di emergenza, devono essere
analizzati:
• I possibili livelli di disastro
• La criticità dei sistemi/applicazioni.
Per una corretta applicazione del piano, i sistemi devono essere classificati secondo le seguenti definizioni:
• Critici
Disaster recovery 55
Le relative funzioni non possono essere eseguite senza essere sostituite da strumenti (mezzi) di caratteristiche
identiche. Le applicazioni critiche non possono essere sostituite con metodi manuali. La tolleranza in caso di
interruzione è molto bassa, di conseguenza il costo di una interruzione è molto alto.
• Vitali
Le relative funzioni possono essere svolte manualmente, ma solo per un breve periodo di tempo. Vi è una maggiore
tolleranza all'interruzione rispetto a quella prevista per i sistemi critici, conseguentemente il costo di una interruzione
è inferiore, anche perché queste funzioni possono essere riattivate entro un breve intervallo di tempo (generalmente
entro cinque giorni).
• Delicati
Queste funzioni possono essere svolte manualmente, a costi tollerabili, per un lungo periodo di tempo. Benché
queste funzioni possano essere eseguite manualmente, il loro svolgimento risulta comunque difficoltoso e richiede
l'impiego di un numero di persone superiore a quello normalmente previsto in condizioni normali.
• Non-critici
Le relative funzioni possono rimanere interrotte per un lungo periodo di tempo, con un modesto, o nullo, costo per
l'azienda, e si richiede un limitato (o nullo) sforzo di ripartenza quando il sistema viene ripristinato.
Le procedure applicative, il software di sistema ed i file che sono stati classificati e documentati come critici, devono
essere ripristinati prioritariamente. Applicazioni, software e file classificati come critici hanno una tolleranza molto
bassa alle interruzioni. La criticità di applicazioni, software di sistema e dati, deve essere valutata in funzione del
periodo dell'anno in cui il disastro può accadere.
Un piano d'emergenza deve prevedere il ripristino di tutte le funzioni aziendali e non solo il servizio ICT centrale.
Per la definizione del DRP devono essere valutate le strategie di ripristino più opportune su: siti alternativi, metodi di
back up, sostituzione degli equipaggiamenti e ruoli e responsabilità dei team. La prolungata indisponibilità del
servizio elaborativo derivante in particolare situazione di disastro, e quindi dei servizi primari, rende necessario
l'utilizzo di una strategia di ripristino in sito alternativo.
Replica sincrona
La replica sincrona garantisce la specularità dei dati presenti sui due siti poiché considera ultimata una transazione
solo se i dati sono stati scritti sia sulla postazione locale che su quella remota. In caso di evento disastroso sulla sede
principale, le operazioni sul sito di Disaster Recovery possono essere riavviate molto rapidamente (basso RTO e
RPO praticamente nullo).
La replica sincrona è limitata dalla incapacità dell'applicazione di gestire l'impatto del ritardo di propagazione
(vincolo fisico quindi, e non tecnologico) sulle prestazioni. In funzione della sensibilità dell'applicazione e della
tecnologia di comunicazione tra i due siti, l'efficacia della copia sincrona inizia a diminuire a una distanza variabile
tra i 35 km e i 100 km.
Replica asincrona
Per far fronte al limite di distanza tra i due siti imposto da tecniche sincrone, si ricorre spesso alla tecnica di copia
asincrona. In questo caso il sito che si occuperà della replica può trovarsi anche a distanze notevoli (> 100 km). In
questo modo è possibile affrontare anche disastri con ripercussioni su larga scala (come ad esempio forti scosse
sismiche) che altrimenti potrebbero coinvolgere entrambi i siti (se questi si trovano nelle vicinanze).
Un ulteriore vantaggio della copia asincrona è la possibilità di essere implementata via software non dovendo
necessariamente ricorrere a sofisticate e costose tecnologie di storage.
Tecnica mista
Per garantire la disponibilità dei servizi anche in caso di disastro esteso e al tempo stesso ridurre al minimo la perdita
di dati vitali si può ricorrere ad una soluzione di tipo misto: effettuare una copia sincrona su un sito intermedio
relativamente vicino al primario (distanza< 100 km) e una copia asincrona su un sito a grande distanza.
Voci correlate
• Backup
• Storage Area Network
• Sicurezza informatica
• Business continuity
• Disaster prevention
Dll injection 57
Dll injection
La dll injection, utillizzata da diversi malware, fa parte di un gruppo di tecniche più ampio chiamato code injection
(iniezione di codice).
Difesa
La miglior difesa consiste nell'installare un HIPS che intercetti le dll injection.
Documento programmatico sulla sicurezza 58
Collegamenti esterni
• Garante per la protezione dei dati [1]
Note
[1] http:/ / www. garanteprivacy. it/ garante/ navig/ jsp/ index. jsp?folderpath=Fac-simile+ e+ adempimenti%2FDocumento+ programmatico+
sulla+ sicurezza
Extensible Authentication Protocol 59
Metodi di autenticazione
EAP-MD5
MD5 è l'equivalente del CHAP in cui un algoritmo hash a senso unico è utilizzato in combinazione con un segreto
condiviso e una richiesta di identificazione per verificare che il richiedente è a conoscenza del segreto condiviso.
MD5 è considerato un metodo di autenticazione di livello base e generalmente non appropriato in caso sia necessario
un alto livello di sicurezza per la protezione di beni di grande valore.
Questo accade per diverse ragioni. Come ogni metodo che utilizza richieste random e un algoritmo hash, è
vulnerabile agli attacchi basati su dizionario. Se un attaccante riesce ad ottenere la richiesta e la risposta hash, è in
seguito possibile eseguire un programma off-line con lo stesso algoritmo del richiedente, inserendo parole contenute
in un dizionario fino a quando la risposta hash coincide con quella del richiedente. A questo punto l'attaccante
conoscerà la password del richiedente e potrà sottrarne l'identità per ottenere l'accesso alla rete. Questo procedimento
risulta ancora più semplice nelle wireless LAN, dove la richiesta e la risposta "viaggiano" nell'aria. Questo è il
motivo per cui è importante scegliere password che non siano parole di senso compiuto. In aggiunta, EAP-MD5
offre soltanto l'autenticazione lato client (ovvero, il client viene autenticato alla rete). Altri metodi EAP offrono
mutua autenticazione per cui il client è autenticato alla rete e la rete è autenticata al client.
EAP-TLS
Il Transport Layer Security (TLS) offre un processo di autenticazione particolarmente sicuro, che sostituisce le
semplici password con certificati lato client e lato server tramite l'utilizzo della infrastruttura a chiave pubblica
(Public Key Infrastructure o PKI). Un certificato è un record di informazioni relative ad un'entità (ad esempio una
persona, un'azienda, ecc.) verificato tramite un algoritmo matematico asimmetrico. È supportata la mutua
autenticazione, e le chiavi di sessione dinamiche. TLS è una buona scelta quando si richiede un elevato livello di
autenticazione e sicurezza ed è presente una infrastruttura a chiave pubblica. Comunque, l'utilizzo di una PKI, in cui
ciascun client ha il suo proprio certificato, è oneroso se comparato ai sistemi basati su password. Tale onere deriva
dagli strumenti software richiesti affinché il sistema sia efficace.
EAP-TTLS
Tunnelled Transport Layer Security (TTLS) è un'estensione del TLS ed è stato sviluppato per superare la necessità,
generata dal TLS, di certificati lato client (sono invece richiesti certificati lato server). Così come l'altro dei due
metodi attualmente disponibili di autenticazione tramite tunnel (l'altro è il PEAP), TTLS è un metodo a due passaggi.
Nel primo, un algoritmo asimmetrico basato sulle chiavi del server è utilizzato per verificare l'identità del server e
per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dell'identità del client
utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per l'attuale negoziazione
Extensible Authentication Protocol 60
dell'autenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel può essere un tipo di EAP
(spesso MD5) o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione
simmetrica del TTLS è utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il
tunnel collassa.
EAP-LEAP
Lightweight Extensible Authentication Protocol sviluppato dalla Cisco, deriva da EAP. LEAP si basa su un
protocollo di autenticazione chiamato "reciproco consenso" che sta a dire in poche parole che sia il client sia l'access
point a cui il client richiede la connessione devono autenticarsi prima di avere accesso all'interno della rete. In questo
modo si previene l'accesso non autorizzato di access point estranei alla rete.
Altri
• PEAP
• EAP-FAST
• EAP-SIM
• EAP-AKA
• EAP-SecurID
• EAP-SRP
Tabella comparativa
Voci correlate
IEEE 802.1x
Collegamenti esterni
• (EN) RFC 3748 EAP [1]
Note
[1] http:/ / tools. ietf. org/ html/ rfc3748#page-35
FileVault
FileVault è una tecnologia presente nel sistema operativo Mac OS X 10.4 Tiger e successivi che provvede a cifrare e
decifrare in tempo reale la directory home dell'utente in modo totalmente trasparente. L'algoritmo di cifratura
utilizzato è l'AES a 128 bit che garantisce un'elevata sicurezza contro qualsiasi tipo di attacco informatico
attualmente conosciuto. Questa tecnologia è molto utile nel caso si utilizzi un computer portatile. Anche se l'utente
dovesse perdere la macchina o un soggetto terzo dovesse rubare la macchina le informazioni non sarebbero
accessibili senza la password. Una directory non protetta da FileVault è facilmente accessibile anche senza
password, basta avere un CD con cui avviare la macchina e poi tutte le informazioni risultano disponibili. Il
principale vantaggio di FileVault rispetto ad altri programmi di cifratura e che è una tecnologia completamente
integrata nel sistema e quindi il suo utilizzo è sicuro e molto semplice. Si può impostare una Master Password per la
macchina così che nel caso uno degli utenti dovesse dimenticarsi la password utilizzando la Master Password si
possano recuperare le informazioni.
Voci correlate
• BitLocker Drive Encryption
Collegamenti esterni
• Pagina ufficiale [1]
Note
[1] http:/ / www. apple. com/ sg/ macosx/ features/ filevault/
Filtro bayesiano 63
Filtro bayesiano
Un filtro bayesiano (dal nome del noto matematico Bayes vissuto nel XVIII secolo) è una forma di filtraggio dello
spam che si basa sull'analisi del contenuto delle email. Questa tecnica è complementare (e di grande efficacia) ai
sistemi di blocco basati su indirizzo IP, le cosiddette blacklist.
Il filtro bayesiano applica all'analisi delle email un teorema, espresso per l'appunto da Bayes, secondo il quale ogni
evento cui è attribuita una probabilità è valutabile in base all'analisi degli eventi già verificatisi. Nel caso dell'analisi
antispam, se in un numero n delle mail analizzate in precedenza l'utente ha marcato come spam quelle che
contenevano la parola "sesso", il filtro ne dedurrà che la presenza di quella parola innalza la probabilità che le mail
seguenti contenenti quella parola siano a loro volta spam.
In questo modo, il sistema è in grado di adattarsi in maniera dinamica e veloce alle nuove tipologie di spam.
Gran parte dei software di analisi delle email antispam, ormai, adotta questo genere di tecnologia.
Voci correlate
• SpamAssassin
• Teorema di Bayes
• Filtro di Kalman
Fingerprint
La fingerprint (impronta digitale) in informatica è una sequenza alfanumerica o stringa di bit di lunghezza prefissata
che identifica un certo file con le caratteristiche intrinseche stesse del file.
Il riconoscimento e l'autenticità del file vengono garantite confrontando l'"impronta" del file con una base di dati in
cui precedentemente era stata già memorizzata; se il confronto ha esito positivo allora il file è autentico.
Uso
Viene utilizzato per garantire l'autenticità e la sicurezza dei file e anche per identificare rapidamente file distribuiti in
rete tramite sistemi di file-sharing.
Il sistema fingerprint viene utilizzato anche per i più moderni notebook e consente attraverso l'impronta digitale di
proteggere sia il computer che determinati file. Questo in alcuni portatili è stato addirittura implementato con un
software in grado di collegare ad una data impronta digitale un collegamento ad un sito internet.
Fingerprint 64
Voci correlate
• Internet
• File system
• Peer-to-peer
• Watermarking
Firma digitale
In informatica la firma digitale rappresenta un sistema di autenticazione di documenti digitali tale da garantire il
cosiddetto non ripudio e al contempo l'integrità del documento stesso. E' basata sulla tecnologia della crittografia a
chiave pubblica (o PKI).
La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua una specie di firma
elettronica avanzata che può essere apposta ai documenti informatici alla stessa stregua di come la firma autografa
viene apposta ai documenti tradizionali.
Definizione
La firma digitale di un documento informatico si propone di soddisfare tre esigenze:
• che il destinatario possa verificare l'identità del mittente (autenticità);
• che il mittente non possa disconoscere un documento da lui firmato (non ripudio);
• che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro (integrità).
Un tipico schema di firma digitale consiste di tre algoritmi:
1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK, SK): PK (Public Key,
chiave pubblica) è la chiave pubblica di verifica della firma mentre SK (Secret Key) è la chiave privata posseduta
dal firmatario, utilizzata per firmare il documento.
2. un algoritmo di firma S che, presi in input un messaggio m e una chiave privata SK produce una firma σ.
3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una firma σ, accetta o
rifiuta la firma.
impedirne l'accesso a terzi); tuttavia, esistono soluzioni alternative (come nel caso della firma digitale remota).
Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la
sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave pubblica associata e viceversa. Lo
scenario in cui un mittente vuole spedire un messaggio a un destinatario in modalità sicura è il seguente: il mittente
utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio
cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il
messaggio "in chiaro".
Grazie alla proprietà delle due chiavi, inversa rispetto a quella appena descritta, un sistema di crittografia
asimmetrica di questo tipo è adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente è
la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente
vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione hash (pubblica)
ricava l'impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole
(128, 160 o più bit) che contiene una sorta di codice di controllo relativo al documento stesso, dopodiché utilizza la
propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica è la firma. La funzione hash è
fatta in modo da rendere minima la probabilità che da testi diversi si possa ottenere il medesimo valore dell'impronta,
inoltre, è one-way, a senso unico, questo significa che dall'impronta è impossibile ottenere nuovamente il testo
originario ovvero essa è non invertibile. La firma prodotta dipende dall'impronta digitale del documento e, quindi,
dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento
insieme alla chiave pubblica.
Chiunque può verificare l'autenticità di un documento: per farlo, decifra la firma del documento con la chiave
pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si
ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticità e l'integrità
del documento sono garantite.
La firma digitale assicura inoltre il non ripudio: il firmatario di un documento pervenuto nelle mani di un terzo che
ne verifica con successo la validità della firma, non potrà negare di averlo scritto. Detta in altre parole significa che
l'informazione non può essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in
presenza di testimoni.
Le operazioni di firma e di verifica possono essere demandate a un apposito programma rilasciato dall'ente
certificatore oppure al proprio provider di posta elettronica, che, con una semplice configurazione, le effettuerà
automaticamente.
Schema di firme
I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di verifica.
L'algoritmo di firma
crea una firma elettronica che dipende dal contenuto del documento a cui deve essere allegata, oltre che dalla
chiave dell'utente. Una coppia (documento, firma) rappresenta un documento firmato, ovvero un documento a
cui è stata allegata una firma.
L'algoritmo di verifica
può essere utilizzato da chiunque per stabilire l'autenticità della firma digitale di un documento.
L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una stringa funzione del
documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica usando la chiave privata del mittente. Il
risultato di tale codifica è la firma digitale del documento. La firma viene allegata al documento che ora risulta
firmato digitalmente. Il documento firmato digitalmente è in chiaro ma possiede la firma del mittente e può essere
spedito in modo che esso possa essere letto da chiunque ma non alterato poiché la firma digitale ne garantisce
l'integrità. Il ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma digitale
Firma digitale 66
con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e confronta le due stringhe hash,
verificando in questo modo l'identità del mittente e l'integrità e autenticità del documento.
Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un insieme finito di
possibili chiavi;
se ∀ k ∈ K ∃ un algoritmo di firma sigk:D→F, ∃ un corrispondente algoritmo di verifica verk:D×F→{vero, falso}
tale che ∀ d ∈ D, ∀ f ∈ F: verk(d,f) = { vero se f = sigk(d) ; falso se f ≠ sigk(d) }
allora (D, F, K, sigk, verk) costituisce uno schema di firme.
Dato un d ∈ D solo il firmatario deve essere in grado di calcolare f ∈ F tale che verk(d,f) = vero.
Uno schema di firme è detto incondizionatamente sicuro se non esiste un modo per la falsificazione di una firma f ∈
F. Segue che non esistono schemi di firme incondizionatamente sicuri poiché un malintenzionato potrebbe testare
tutte le possibili firme y ∈ F di un documento d ∈ D di un utente, usando l'algoritmo pubblico verk fino a quando non
trova la giusta firma. Naturalmente questo tipo di attacco alla sicurezza dello schema di firme risulta essere
enormemente oneroso computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi più raffinati e
i processori più potenti, poiché si fa in modo che la cardinalità dell'insieme di possibili firme sia enormemente
elevata.
Apposizione sul documento: la firma è parte integrante del come allegato: il documento firmato è costituito dalla coppia
documento (documento, firma)
Verifica confronto con una firma autenticata: metodo mediante algoritmo di verifica pubblicamente noto: metodo sicuro
insicuro
Vulnerabilità
in cui poter ripudiare la firma. Il problema, ben noto in letteratura, è complesso e non ammette una soluzione
completa fintanto che il PC è parte del processo di generazione della firma. Recentemente sono state proposte
soluzioni euristiche che permettono di mitigarne le conseguenze.
Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novità della fattispecie, ma è
presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM 30 marzo del 2009 (nuove regole
tecniche in vigore dal 6 dicembre 2009), e che quindi i documenti con tale ambiguità non producano gli effetti
probatori previsti dall'art. 21 del Codice dell'amministrazione digitale.
le servitù prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, contratti di
affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni;
contratti di società o di assicurazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali
immobiliari per un tempo eccedente i nove anni o per un tempo determinato; gli atti che costituiscono rendite
perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato; gli atti di divisione di beni immobili e di altri
diritti reali immobiliari; le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra.
Il nuovo comma 2 bis dell'art. 21 infatti prevede che "Salvo quanto previsto dall'articolo 25, le scritture private di cui
all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono
sottoscritte, a pena di nullità, con firma elettronica qualificata o con firma digitale."
Di conseguenza possono essere sottoscritti con firma elettronica non qualificata (semplice o avanzata) che possa dare
al documento su cui è apposta l'efficacia di scrittura privata unicamente, oltre gli atti non formali, solo gli altri atti
indicati dalla legge per cui sia prevista la forma scritta ad substantiam (n. 13 dell'art. 1350 c.c.). Tra questi ci sono i
contratti bancari e di intermediazione mobiliare.
La titolarità della firma digitale è garantita dai "certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti
con particolari requisiti di onorabilità, che potevano essere accreditati presso il Centro Nazionale per l'Informatica
nella Pubblica Amministrazione (CNIPA), ora confluito in DigitPA (in tal caso vengono chiamati certificatori
accreditati), che tengono registri delle chiavi pubbliche, presso i quali è possibile verificare la titolarità del firmatario
di un documento elettronico. Fra le caratteristiche per svolgere l'attività di certificatore di firma elettronica vi è
quella per cui occorre essere una società con capitale sociale non inferiore a quello richiesto per svolgere l'attività
bancaria (2.000.000€, come una S.p.A). I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto
grosse società (per esempio, un certificatore è la società Postecom (Poste Italiane)).
L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica,
inserita nel certificato) è a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale
per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale.
È fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perché sia
certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.
Voci correlate
• Firma elettronica autografa
• Firma digitale remota
• Fattura elettronica
• Blind signature
• Firma elettronica
• Timbro digitale
• Codice dell'amministrazione digitale
• SMIME
Firma digitale 70
Collegamenti esterni
• Firma Digitale - Ifin Sistemi [2]
• Progetto OpenSignature [3]
• Codice dell'Amministrazione Digitale - Il testo vigente [4]
• Legge 23 gennaio 2002, n. 10 [5], Firma digitale
Note
[1] http:/ / www. unirc. it/ firma
[2] http:/ / www. ifin. it/ conservazione-documenti/ certificazione-strumenti/ firma-digitale/
[3] http:/ / opensignature. sourceforge. net/ english. php
[4] http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente
[5] http:/ / www. normattiva. it/ uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=
Firma elettronica
Una firma elettronica è definita[1] come "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite
associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": è quindi la forma
più debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di
integrità del dato firmato.
Una firma elettronica qualificata è definita[1] come "la firma elettronica ottenuta attraverso una procedura
informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario può
conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati
stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un
dispositivo sicuro per la creazione della firma": è quindi una forma di firma sicura, che esaudisce le richieste della
Direttiva Europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di
un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified
electronic signature" definita da ETSI
In ultimo, ma più importante di tutte, almeno nell'ordinamento italiano, c'è la firma digitale definita sempre nel
CAD[1] come "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una
pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la
chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l’integrità di un documento
informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a
chiave pubblica.
Nell'ordinamento italiano, la firma digitale è un sistema di sottoscrizione di documenti informatici, che garantisce
autenticità e integrità del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato
qualificato.
Un certificato per la firma elettronica può essere rilasciata da Certification Authority senza formalità; è previsto
invece un processo obbligatorio di accreditamento da parte di una autorità pubblica preposta (per l'Italia è il DigitPA
(già CNIPA)), per qualificare una Certification Authority a emettere certificati qualificati.
Firma elettronica 71
può provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare,
fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto
del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del
dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art.
21, comma 2, cit. in ordine alla riconducibilità di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine
all'imputazione della firma apposta a quel soggetto.
Caratteristiche
Per collocare nel tempo la firma di un documento non basta, però, la sola firma. In questo viene in aiuto un'altra
entità che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella
autografa cartacea. L'entità è la Stamping Authority che interviene nella creazione dell'hash del documento da
firmare.
Per ogni altra caratteristica ulteriore rimando alla firma digitale in quanto, per le rimanenti tematiche, è del tutto
analoga.
Voci correlate
• Fattura elettronica
• Blind signature
• Firma digitale
• Certification Authority
• CNIPA
Note
[1] Codice dell'amministrazione digitale (http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente#Art. 1. ) : vedi Definizioni
Collegamenti esterni
• CNIPA Centro Nazionale dell'informatica per le pubbliche amministrazioni (http://www.cnipa.gov.it/site/
it-IT/)
• legge 10/2002 (http://www.parlamento.it/leggi/deleghe/02010dl.htm)
• Legge 23 gennaio 2002, n. 10 (http://www.normattiva.it/uri-res/
N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=), Firma elettronica
Gestione della continuità operativa 73
Descrizione
Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare
economicamente i danni e di pianificare la ripresa delle attività aziendali. Il Disaster Recovery Plan, che è mirato ai
servizi informatici, è quindi un sottoinsieme del business continuity plan.
Il business continuity plan contiene informazioni riguardo alle azioni da intraprendere in caso di incidente, chi è
coinvolto nell'attività e come deve essere contattato. Il piano riflette la posizione dell'organizzazione e degli
stakeholders.
Gli aspetti da considerare sono:
• l'uso di ausili alla pianificazione, tool di sviluppo e manutenzione dei piani;
• descrizione delle attività per le figure coinvolte;
• i piani di azione e le checklist da utilizzare;
• quali informazioni e quale documentazione di supporto deve essere utilizzata.
Occorre riporre attenzione nella terminologia; termini come "incidente" o "disastro" devono essere chiari e condivisi.
In particolare, occorre distinguere tra una "interruzione di servizio" ed un "disastro"; nel secondo caso deve essere
definita la procedura di "escalation" da applicare quando il disastro è avvenuto ed è stato dichiarato. Occorre definire
quindi un glossario condiviso e documentato.
Tra i rischi da considerare vi sono quelli legati all'informazione e alla sua gestione. Nell'ambito del Rischio
informatico il piano di Business Continuity fa parte del Piano di contingenza. La business continuity viene
pianificata secondo il Ciclo di Deming.
Note
[1] IMQ, Certificazione Sistemi di Gestione per la Continuità Operativa Norma BS 25999-2 (http:/ / www. imq. it/ export/ sites/ default/ it/ doc/
pubblicazioni_informative/ IMQ_BROCH_BCM_Ottavo__. pdf).
Voci correlate
• Risk management
• Piano di contingenza
• Disaster recovery
• Business continuity plan
GnuTLS 74
GnuTLS
GnuTLS
S.O. Multipiattaforma
GnuTLS (GNU Transport Layer Security Library) è un'implementazione libera dei protocolli SSL e TLS. Il suo
scopo è di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la
rete.
Funzionalità
GnuTLS ha le seguenti funzionalità:
• Protocolli SSL 3.0, TLS 1.0, TLS 1.1 e, in sviluppo, il protocollo TLS 1.2
• Secure remote password protocol (SRP) per l'autenticazione TLS
• Pre-Shared Key (PSK) per l'autenticazione TLS
• Meccanismo di estensione TLS
• Compressione TLS
• Gestione dei certificati X.509 e OpenPGP
Licenza e motivazioni
GnuTLS è rilasciato tramite la licenza GNU Lesser General Public License; alcune parti sono rilasciate sotto la GNU
General Public License.
GnuTLS venne inizialmente creato per consentire alle applicazioni del Progetto GNU di usare un protocollo sicuro
come TLS. Benché esistesse già OpenSSL, quest'ultima libreria ha una licenza che non è compatibile con la GPL[1] ,
per cui i software sotto GPL non avrebbero potuto usare la libreria OpenSSL senza inserire nella licenza una speciale
eccezione.
GnuTLS è usato in software come GNOME, CenterIM, Exim, Mutt, Slrn, Lynx, CUPS e gnoMint.[2]
GnuTLS 75
Note
[1] (EN) The OpenSSL Licence and The GPL (http:/ / www. gnome. org/ ~markmc/ openssl-and-the-gpl. html)
[2] (EN) The GNU Transport Layer Security Library (http:/ / www. gnu. org/ software/ gnutls/ programs. html)
Voci correlate
• OpenSSL
• Network Security Services
• Transport Layer Security
Collegamenti esterni
• (EN) Pagine del progetto GnuTLS (http://www.gnu.org/software/gnutls/)
• (EN) Manuale GnuTLS (http://www.gnu.org/software/gnutls/manual/)
• (EN) Intervista del 2003 allo sviluppatore di GNU TLS Nikos Mavroyanopoulos (http://www.network-theory.
co.uk/articles/mavroyanopoulus.html)
Greylisting
Greylisting o graylisting è un metodo per difendere gli utenti dallo spam via e-mail. Un mail server che utilizza la
tecnica di greylisting rifiuterà temporaneamente tutte le e-mail da un mittente che non conosce. Se l'e-mail è
legittima, il mail server del mittente ritenterà l'invio, e questa volta l'operazione verrà accettata. Se l'e-mail viene
inviata da uno spammer, probabilmente non si avrà un ulteriore tentativo poiché il mail server dello spammer avendo
a disposizione migliaia di indirizzi email, passerebbe oltre non occupandosi degli errori.
Come funziona
Tipicamente un server che utilizza la tecnica di graylisting genera una tripletta di dati per ogni messaggio email in
arrivo:
• l'indirizzo ip dell'host mittente
• l' indirizzo e-mail del mittente
• l'indirizzo e-mail del destinatario
che viene poi controllata con le triplette registrate nel database. Se questa tripletta non è ancora stata registrata (la
registrazione può durare per un tempo variabile), l'e-mail viene messa in "lista grigia" per un piccolo periodo di
tempo (configurabile a piacere), e viene rifiutata con un codice di errore SMTP 4xx. Questo codice corrisponde a un
errore temporaneo perciò un server legittimo ritenterà l'invio dell'e-mail.
Greylisting è efficace poiché la maggior parte degli strumenti utilizzati dagli spammer non ritentano l'invio della
mail, per cui il messaggio non verrà mai recapitato al destinatario. Se lo spammer dovesse ritentare l'invio della mail,
esistono comunque software che possono riconoscere lo spam analizzando il contenuto del messaggio.
Vantaggi
Il vantaggio maggiore è che l'utente finale non deve configurare nulla. Dal punto di vista di un amministratore invece
il vantaggio è doppio. Greylisting infatti ha bisogno di una configurazione minima dati da occasionali modifiche alla
lista bianca (cioè alla lista degli utenti che possono inviare e-mail senza essere processati dal sistema). Il secondo
maggior vantaggio è che il messaggio di errore SMTP 4xx non determina l'occupazione di ulteriori risorse. La
maggior parte dei software di riconoscimento dello spam occupano spesso molta memoria e gravano sulla cpu in
modo evidente. Bloccando lo spam prima che venga esaminato si possono risparmiare queste risorse.
Greylisting 76
Svantaggi
Come altri software di controllo spam, lo svantaggio maggiore è che viene meno l'istantaneità dei messaggi email.
Collegamenti esterni
• Sito ufficiale [1]
Note
[1] http:/ / www. greylisting. org/
Hardening
In informatica, hardening indica il processo di messa in sicurezza di un sistema attraverso la riduzione della sua
superficie di attacco. Un sistema ha una superficie di attacco tante più funzionalità offre; come principio un sistema
con una singola funzione è più sicuro di un sistema con molte funzioni. La riduzione dei veicoli di attacco disponibili
tipicamente include la rimozione di software non necessario, di username non necessari e la disabilitazione o
rimozione di servizi non necessari.
Ci sono vari metodi per fare l'hardening di sistemi unix e linux. Questi possono coinvolgere, tra le altre misure,
l'applicazione di patch al kernel come Exec Shield o PaX; la chiusura di porte in servizi di rete, la configurazione di
sistemi IDS, firewall e intrusion prevention system. Ci sono anche script di hardening e tool come Bastille linux[1] ,
JASS[2] per Solaris e Apache/PHP hardener[3] , che possono, per esempio, disattivare funzionalità non necessarie nei
file di configurazione e applicare misure protettive di varia natura.
Note
[1] (EN)http:/ / bastille-linux. sourceforge. net/
[2] (EN)http:/ / www. sun. com/ software/ security/ jass/
[3] (EN)http:/ / www. syhunt. com/
Hash 77
Hash
Hash è un termine della lingua inglese
(to hash sminuzzare, pasticciare) che
designa originariamente una polpettina
fatta di avanzi di carne e verdure; per
estensione indica un composto
eterogeneo cui viene data una forma
incerta: "To make a hash of something"
vuol dire infatti creare confusione, o
fare una cosa piuttosto male.
In informatica
Nel linguaggio matematico e
informatico, la funzione hash è una
Risultato dei primi quattro byte della funzione hash SHA-1.
funzione non iniettiva che mappa una
stringa di lunghezza arbitraria in una
stringa di lunghezza predefinita. Esistono numerosi algoritmi che realizzano funzioni hash con particolari proprietà
che dipendono dall'applicazione.
Nelle applicazioni crittografiche si chiede, per esempio, che la funzione hash abbia le seguenti proprietà:
• resistenza alla preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un
hash uguale a un dato hash;
• resistenza alla seconda preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che
dia un hash uguale a quello di una data stringa;
• resistenza alle collisioni: sia computazionalmente intrattabile la ricerca di una coppia di stringhe in input che
diano lo stesso hash.
Nelle applicazioni di basi di dati la funzione hash è usata per realizzare una particolare struttura dati chiamata hash
table. In questa applicazione non occorrono proprietà crittografiche e generalmente l'unica proprietà richiesta è che
non ci siano hash più probabili di altri.
Algoritmo di hash
L'algoritmo di hash elabora qualunque mole di bit (in informatica si dice che elabora dati "grezzi"). Si tratta di una
famiglia di algoritmi che soddisfa questi requisiti:
1. L'algoritmo restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi dimensione
(può essere un file ma anche una stringa). L'output è detto digest.
2. La stringa di output è univoca per ogni documento e ne è un identificatore. Perciò, l'algoritmo è utilizzabile per la
firma digitale.
3. L'algoritmo non è invertibile, ossia non è possibile ricostruire il documento originale a partire dalla stringa che
viene restituita in output ovvero è una funzione unidirezionale.
Hash 78
Hash e collisioni
Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita
maggiore dell'hash, sono più degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno
più testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualità di una funzione di
hash è misurata direttamente in base alla difficoltà nell'individuare due testi che generino una collisione. Per
sconsigliare l'utilizzo di algoritmi di hashing in passato considerati sicuri è stato infatti sufficiente che un singolo
gruppo di ricercatori riuscisse a generare una collisione. Questo è quello che è avvenuto ad esempio per gli algoritmi
SNEFRU, MD2, MD4 ed MD5.
Un hash crittograficamente sicuro non dovrebbe permettere di risalire, in un tempo confrontabile con l'utilizzo
dell'hash stesso, ad un testo che possa generarlo. Le funzioni hash ritenute più resistenti richiedono attualmente un
tempo di calcolo per la ricerca di una collisione superiore alla durata dell'universo (immaginando di impiegare tutte
le capacità computazionali ora disponibili).
Applicazioni
Hash e crittografia
La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati. Il valore più comunemente adottato è di
128 bit, che offre una buona affidabilità in uno spazio relativamente ridotto. Tuttavia va registrata la possibilità d'uso
di hash di dimensione maggiore (SHA, ad esempio, può anche fornire stringhe di 224, 256, 384 e 512 bit) e minore
(che però va fortemente sconsigliato).
Le funzioni hash svolgono un ruolo essenziale nella crittografia: sono utili per verificare l'integrità di un messaggio,
poiché l'esecuzione dell'algoritmo su un testo anche minimamente modificato fornisce un message digest
completamente differente rispetto a quello calcolato sul testo originale, rivelando la tentata modifica.
Le funzioni di hash possono essere anche utilizzate per la creazione di firme digitali, in quanto permettono la rapida
creazione della firma anche per file di grosse dimensioni, senza richiedere calcoli lunghi e complessi: è infatti
computazionalmente più conveniente eseguire con rapidità un hashing del testo da firmare, e poi autenticare solo
quello, evitando così l'esecuzione dei complessi algoritmi di crittografia asimmetrica su moli di dati molto grandi.
La firma digitale è definita come il digest di un documento crittografato con chiave privata (e non con quella
pubblica, come avviene di solito). La firma digitale è l'unico caso in cui l'uso delle chiavi è invertito: la chiave
pubblica serve a decrittare la firma e trovare poi il digest iniziale attraverso l'hash, mentre quella privata serve a
crittografare una stringa anziché ad aprirla.
Un ulteriore uso delle funzioni di hash si ha nella derivazione di chiavi da password o passphrase: a partire da un
valore arbitrario in ingresso (una stringa o un array di larghe dimensioni) si deriva in modo crittograficamente sicuro
(ovvero non è possibile abbreviare il calcolo con una qualche scorciatoia) una chiave di dimensioni adatte alla
cifratura. È appena il caso di dire, tuttavia, che a meno di prendere debite contromisure (come l'uso di un salt
crittografico), l'utilità di questa procedura è esclusivamente pratica: infatti la sicurezza della chiave derivata è
equivalente a quella della stringa di ingresso ai fini di un attacco a dizionario. Di contro, è certamente più comodo
per un essere umano ricordare una stringa piuttosto che una lunga sequenza numerica.
Hash 79
Informatica forense
Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell'ambito dell'informatica forense per
validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie forensi. La recente
legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali
modifiche successive all'acquisizione: tramite i codici hash è possibile in ogni momento verificare che quanto
repertato sia rimasto immutato nel tempo. Se i codici hash corrispondono, entrambe le parti in un procedimento
giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi una uniformità di
analisi e in genere di risultati. I risultati dei codici hash vengono ormai calcolati di default dalla maggioranza dei
software per acquisizione forense e allegati alle copie forensi salvate.
h: U -> {m}
Note
[1] RFC1319 (http:/ / www. faqs. org/ rfcs/ rfc1319. html) - The MD2 Message-Digest Algorithm
[2] RFC1320 (http:/ / www. faqs. org/ rfcs/ rfc1320. html) - The MD4 Message-Digest Algorithm
[3] RFC1321 (http:/ / www. faqs. org/ rfcs/ rfc1321. html) - The MD5 Message-Digest Algorithm
[4] RFC1810 (http:/ / www. faqs. org/ rfcs/ rfc1810. html) - Report on MD5 Performance
[5] RFC1828 (http:/ / www. faqs. org/ rfcs/ rfc1828. html) - IP Authentication using Keyed MD5
[6] en:MDC-2 - Modification Detection Code
[7] FIPS PUB 180-1 - SECURE HASH STANDARD
[8] RFC3174 (http:/ / www. faqs. org/ rfcs/ rfc3174. html) - US Secure Hash Algorithm 1 (SHA1)
[9] RFC1852 (http:/ / www. faqs. org/ rfcs/ rfc1852. html) - IP Authentication using Keyed
[10] DFIPS PUB 180-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips180-2/ fips180-2withchangenotice. pdf) - SECURE HASH STANDARD
[11] The RIPEMD-160 Home Page
[12] Fast Hashing and Stream Encryption with PANAMA, by J.Daemen, C.Clapp (http:/ / standard. pictel. com/ ftp/ research/ security/ panama.
pdf)
[13] Tiger: A Fast New Hash Function The Tiger Home Page (http:/ / www. cs. technion. ac. il/ ~biham/ Reports/ Tiger/ )
[14] (attenzione: non è corretto considerare CRC32 un algoritmo di hash crittografico)
[15] RFC1952 (http:/ / www. faqs. org/ rfcs/ rfc1952. html) - GZIP file format specification version 4.3
[16] RFC1950 (http:/ / www. faqs. org/ rfcs/ rfc1950. html) - ZLIB Compressed Data Format Specification version 3.3
[17] (attenzione: HMAC non è propriamente una funzione di hash, poiché per eseguirlo è necessario non solo il testo in chiaro, ma anche una
chiave. Gli algoritmi di hash richiedono un unico parametro di ingresso)
[18] FIPS PUB 198 (http:/ / csrc. nist. gov/ publications/ fips/ fips198/ fips-198a. pdf) - The Keyed-Hash Message Authentication Code (HMAC)
[19] RFC2104 (http:/ / www. faqs. org/ rfcs/ rfc2104. html) - HMAC: Keyed-Hashing for Message Authentication
[20] RFC2202 (http:/ / www. faqs. org/ rfcs/ rfc2202. html) - Test Cases for HMAC-MD5 and HMAC-SHA-1
[21] RFC2286 (http:/ / www. faqs. org/ rfcs/ rfc2286. html) - Test Cases for HMAC-RIPEMD160 and HMAC-RIPEMD128
[22] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention
[23] RFC2403 (http:/ / www. faqs. org/ rfcs/ rfc2403. html) - The Use of HMAC-MD5-96 within ESP and AH
[24] RFC2404 (http:/ / www. faqs. org/ rfcs/ rfc2404. html) - The Use of HMAC-SHA-1-96 within ESP and AH
[25] RFC2857 (http:/ / www. faqs. org/ rfcs/ rfc2857. html) - The Use of HMAC-RIPEMD-160-96 within ESP and AH
[26] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention
Voci correlate
• Hash table
• Firma digitale
• Crittografia
• Autenticazione
Collegamenti esterni
• (EN) Definizione inglese del termine (http://www.dictionary.cambridge.org/define.asp?key=35933&
dict=CALD)
• (EN) Hash'em all! (http://www.hashemall.com), per calcolare online l'hash di stringhe e file
• Hash Generatore (http://www.sinfocol.org/herramientas/hashes.php) Altro Online Hash Generatore, ha
alcune funzioni di hash come md2,md4,md5,sha1,snefru,tiger,haval, ripemd, whirlpool e tra gli altri. Circa 118
Hash 81
differenti algoritmi
• Funzioni hash con PHP (http://segnalazionit.org/2008/10/funzioni-hash-con-php)
• Programma gratuito per calcolo e verifica hash (http://ocr.altervista.org/wordpress/
impronta-calcolare-lhash-di-un-file/)
• Checksums calculator (http://www.sinf.gr/it/hashcalc.html) Applicazione gratuita per il calcolo e verifica di
funzioni hash per Windows, Linux e Mac OS X.
Hengzhi chip
L'Hengzhi chip è un microcontrollore che può memorizzare informazioni di sicurezza crittografate, progettato dal
governo della Repubblica Popolare Cinese e assemblato in Cina.
Le sue funzionalità dovrebbero essere simili a quelle offerte dal Trusted Platform Module ma, a differenza di questo,
non è costruito seguendo le specifiche date dal Trusted Computing Group. Lenovo attualmente vende PC "sicuri"
equipaggiati col chip di sicurezza Hengzhi[1] .
Il chip potrebbe essere uno sviluppo dell'IBM ESS (Embedded security subsystem ) chip, che era sostanzialmente
una smartcard a chiave pubblica collocata direttamente sul bus di gestione sistema della scheda madre. Ad gennaio
2008, nessuna specifica pubblica del chip è disponibile. Questa mancanza di documentazione ha sollevato perplessità
sulle intenzioni del governo di Pechino e sugli usi che potrebbero essere fatti del Hengzhi chip.
Voci correlate
• Trusted Computing
• Trusted Platform Module
Note
[1] (EN) Lenovo releases China's first security chip (http:/ / english. people. com. cn/ 200504/ 12/ eng20050412_180617. html)
Collegamenti esterni
• China Implements new Encryption Laws (http://www.twobirds.com/english/publications/articles/
china_implements_encryption_law.cfm?RenderForPrint=1)
• Does China Own Your Box (http://www.mutantfrog.com/2006/03/08/does-china-own-your-box)
Honeypot 82
Honeypot
In informatica, un honeypot (letteralmente: "barattolo del miele") è un sistema o componente hardware o software
usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un
computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realtà è ben
isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato.
Il valore primario di un honeypot è l'informazione che esso dà sulla natura e la frequenza di eventuali attacchi subiti
dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna
attività; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevole in corso.
Gli honeypot possono portare dei rischi ad una rete, e devono essere maneggiati con cura. Se non sono ben protetti,
un attacker potrebbe usarli per entrare in altri sistemi.
Etimologia
Il termine "honeypot" (barattolo di miele) è spesso collegato al personaggio per bambini Winnie the Pooh, un orso di
pezza che spesso si trova nei guai a causa della sua golosità nei confronti del miele.
Un'ulteriore spiegazione del termine è un riferimento al nome, inglese, sarcastico per la costruzione circondante un
gabinetto in un appezzamento di terra, o per altri metodi di raccolta letame in luoghi senza impianto idraulico
interno. Honey è quindi un termine ironico per tale rifiuto, contenuto in un honeypot finché non è portato all'area di
smaltimento da un camion addetto. In questo uso, gli attackers sono paragonabili alle mosche, attirate dall'odore
dell'acqua di scolo.
Tipi di honeypot
Gli honeypot a bassa interazione sono solitamente programmi che emulano sistemi operativi e servizi. Questi
honeypot sono più semplici da installare e più sicuri, ma riescono a catturare poche informazioni. Gli honeypot ad
alta interazione invece non emulano nulla: sono veri computer, applicazioni o servizi. Questi honeypot sono molto
più complessi e comportano maggiori rischi, ma riescono a catturare maggiori informazioni.
Un esempio di honeypot a bassa interazione è Honeyd [1]. Uno ad alta interazione è Honeynet [2].
Possono essere honeypot anche altre cose, come veri siti web o chatroom, il cui scopo è di fermare utenti con intenti
criminali.
Spam Honeypot
Gli spammer sono conosciuti per l'abuso di risorse vulnerabili come server di posta e proxy liberi. Alcuni
amministratori di reti hanno creato degli honeypot che si fingono risorse abusabili per scoprire le attività degli
spammer.
Tra gli Open relay honeypot c'è smtpot.py [3], scritto in Python. Bubblegum Proxypot [4] è un honeypot-proxy libero
(o proxypot).
Un indirizzo email che non è usato se non per ricevere spam può essere considerato un honeypot per spam.
Teoricamente, un tale indirizzo potrebbe essere usato per ricevere spam, che potrebbe essere confrontato con lo spam
ricevuto da veri indirizzi email. In questo modo si potrebbe più facilmente rimuovere lo spam dalla casella di posta
degli indirizzi veri.
Honeypot 83
Collegamenti esterni
• Sicurezza delle reti: gli Honeypots [5]
• Honeypots, Intrusion Detection, and Incident Handling Resources [6] in inglese
• "Know Your Enemy: Everything you need to know about honeypots" [7] in inglese
Note
[1] http:/ / www. honeyd. org
[2] http:/ / www. honeynet. org
[3] http:/ / llama. whoi. edu/ smtpot. py
[4] http:/ / www. proxypot. org/
[5] http:/ / bicocca. net/ web/ index. php?name=UpDownload& req=getit& lid=94
[6] http:/ / www. honeypots. net/
[7] http:/ / www. newsforge. com/ article. pl?sid=04/ 09/ 24/ 1734245
Obiettivo
Un HIDS controlla dinamicamente alcune o tutte le componenti che formano l'host (il computer). Come i NIDS
provvedono ad analizzare il traffico di rete gli HIDS provvedono ad analizzare i programmi in esecuzione e il loro
utilizzo delle risorse. Questi programmi segnalerebbero per esempio se senza nessun motivo apparente il word
processor si dovesse attivare e dovesse modificare il database delle password di sistema.
Gli HIDS sorvegliano lo stato del sistema, la memorizzazione delle informazioni e l'accesso alle risorse condivise e
alle unità di memorizzazione. Un HIDS è un componente che sorveglia il funzionamento del sistema operativo
verificando che le policy di sicurezza non siano aggirate o scavalcate.
Ironicamente la prima cosa che gli attaccanti fanno usualmente è quella di installare un programma di controllo
remoto in modo da impedire a un altro cracker di accedere al sistema.
Tecniche
In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file
system ma non sempre. Non vi è motivo infatti perché un HIDS non debba periodicamente controllare alcune aree di
memoria alla ricerca di violazioni. Anche la tabella delle system-call è un componente che può essere controllato
proficuamente dato che molti virus tendono ad alterarla.
Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica,
ecc) e effettua un calcolo del checksum con algoritmi tipo hash MD5 o simili. Questi dati vengono memorizzati nel
database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che è possibile
modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilità che ciò avvenga non
è così ridotta come si pensava all'inizio.
Funzionamento
Durante l'installazione e ad ogni modifica autorizzata degli elementi questi vengono analizzati e il loro checksum
viene calcolato e memorizzato nel database. Questa è una fase che va controllata con attenzione per impedire che
degli elementi corrotti possano essere marcati come validi.
Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che
sono elementi che anche un aggressore avrebbe interesse a modificare. Un controllo approfondito di troppi elementi
però rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli
basati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di grosse dimensioni può
rendere l'analisi molto lenta. Un'analisi di un numero eccessivo di elementi può generare un elevato numero di falsi
positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere le sue usuali operazioni.
Una volta che il sistema è installato, i checksum sono stati calcolati e è stato impostato un intervallo ragionevole tra
le varie analisi dell'HIDS, il sistema è pronto. Le segnalazioni possono essere inviate all'utente tramite file di log,
email, finestre a video o altro.
Protezione dell'HIDS
Un HIDS utilizzerà normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli
oggetti e per rendere queste violazioni difficili. Infatti se un attaccante è stato in grado di introdursi nel sistema nulla
gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano
di disabilitare i programmi antivirus.
Oltre ad adottare protezioni crittografiche un amministratore può utilizzare protezioni aggiuntive come memorizzare
il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada
aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare.
Si potrebbe anche affermare che i Trusted Platform Module siano un tipo di HIDS. Sebbene gli scopi siano diversi
entrambi i moduli provvedono ad identificare eventuali modifiche a componenti del computer. Dal punto di vista
progettuale questi moduli sono l'ultima difesa contro le modifiche non autorizzate ed essendo integrati nell'hardware
del computer se non nella CPU stessa sono estremamente difficili da aggirare.
Host-based intrusion detection system 85
Voci correlate
• Intrusion detection system
• Network Intrusion Detection System
• Trusted Computing Group
• Trusted Platform Module
Collegamenti esterni
• (EN) md5deep, un HIDS Open Source [1]
• (EN) Aide, un HIDS Open Source [2]
• (EN) Samhain, un HIDS Open Source [3]
• (EN) Snort è il NIDS Open Source [4]
• (EN) OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003 [5]
Note
[1] http:/ / md5deep. sourceforge. net/
[2] http:/ / sourceforge. net/ projects/ aide
[3] http:/ / la-samhna. de/ samhain/
[4] http:/ / www. snort. org
[5] http:/ / www. openhids. com
Identity management
Con Identity Management (IM) si intendono i sistemi integrati di tecnologie, criteri e procedure in grado di
consentire alle organizzazioni di facilitare - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e
dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.
Voci correlate
• Autenticazione
Identità digitale 86
Identità digitale
L'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare
utilizzatore del suddetto. È l'identità che un utente della rete determina attraverso website e social network.
Autenticazione
Nelle transazioni quando viene provato che l’identità digitale presentata sia effettivamente quella di chi o di cosa dice
di essere, si parla di processo di autenticazione.
L’autenticazione ad un solo fattore (quella con username e password vista prima) non è molto sicura perché la
password potrebbe essere indovinata da qualcuno che non è il vero utente. Quella multi-fattore può essere più sicura,
ad esempio quella con una chiave fisica di sicurezza, o tessera magnetica, smart card ("qualcosa che possiedi") e una
password, ("qualcosa che sai"). Se si aggiungono informazioni biometriche (iride, impronta digitale, impronta
vocale, riconoscimento del volto, ecc.) abbiamo anche fattori di autenticazione che rispondono a "qualcosa che sei".
Queste informazioni sono di norma protette da un sistema di autenticazione.
La Carta d'identità elettronica italiana e la Carta nazionale dei servizi sono l'unico strumento di autenticazione
previsto dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche
Amministrazioni. In via transitoria, fino al 31/12/2007, sono ammesse anche altre modalità, meno sicure, come
quelle basate sulla coppia nome utente e password.
Autorizzazione/controllo di accesso
È il livello successivo dopo che le identità digitali sono state autenticate. Spesso la concessione dell’autorizzazione
coinvolge l’utilizzo dell’intera identità digitale in una transazione, come ad esempio il logon di un utente ad un sito.
In altri casi il controllo di accesso può abilitare o restringere l’accesso ad informazioni private o consentire l’accesso
a servizi o prodotti a pagamento.
Riservatezza (o "confidenzialità")
È la capacità del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o
trasmettendo (n° carta di credito, conto corrente, ecc). Questo livello di sicurezza è raggiungibile con la crittografia,
ma è l’identità digitale che ha in sé le credenziali necessarie per fare ciò.
Identità digitale 87
Non-ripudio
Sempre grazie alla PKI è possibile fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta
ricezione di dati in rete. Assume due modalità:
• non ripudio della sorgente: prova chi è il mittente dei dati in una transazione
• non ripudio della destinazione: prova che i dati sono arrivati ad uno specifico destinatario
Generalmente il servizio di non ripudio è richiesto in quelle transazioni in cui bisogna avere garanzie di avvenuta
spedizione/ricezione di flussi telematici.
Reputazione
La reputazone digitale è l’insieme delle valutazioni (negative o positive) che si reperiscono dall’analisi sistematica,
grazie all’utilizzo di strumenti informatici delle opinioni che gli utenti della rete si scambiano attraverso i canali di
comunicazione messi a disposizione del web 2.0. Poiché le tecniche della firma digitale permettono che identità
digitali effettuino transazioni in cui entrambe le identità sono attendibilmente conosciute e possono trasportare dati
che non possono essere alterati, senza che ciò sia palesato, diventa possibile per un'identità digitale costruirsi
progressivamente una reputazione dalle relative interazioni con altre identità digitali. Ciò permette che interazioni
molto complesse fra le identità digitali possano diventare l’imitazione di ogni transazione che, come esseri umani,
abbiamo individualmente o in gruppo.
Il futuro
Il concetto dell'identità digitale si evolverà per includere la possibilità di esprimere tutte le varie interazioni umane in
cui venga coinvolta l’identità personale. Tale evoluzione sarà guidata da fattori economici, politici e sociali.
L'identità digitale fornirà nuovi strumenti, ma non cambierà gli aspetti fondamentali di ciò che è l'identità. Piuttosto
l'identità digitale restituirà la facilità di uso e l’attendibilità delle transazioni basate sull’identità che esistevano
quando le interazioni erano faccia a faccia con persone che già si conoscevano (o entrambi erano conosciute da terzi)
e nel contempo tutelerà la sicurezza e la responsabilità nelle transazioni.
Identità digitale 88
Collegamenti esterni
• [1] Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA)
• [2] Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it
Voci correlate
• Biometria
• Carta d'identità elettronica
• Social Network Poisoning
Note
[1] http:/ / www. cnipa. gov. it/
[2] http:/ / www. interlex. it/ Testi/ dlg05_82. htm
Accesso a Internet
La prima cosa che bisogna in qualche modo proteggere è l'accesso ad internet. Gli strumenti che sarebbe obbligo
possedere sono un Firewall e un Antivirus. Se per antivirus s'intende un programma che monitorizzi l'attacco di
possibili, appunto, virus, con Firewall intendiamo una specie di filtro che non permette a dati non riconosciuti come
"genuini" (quindi che non abbiano una sorta di certificazione o garanzia del loro contenuto) di entrare nel nostro
sistema. A tal proposito ogni volta che accediamo ad un sito, che contenga magari dei controlli dinamici (come
possono essere degli script in JavaScript, PHP,...) o vogliamo scaricare un determinato tipo di file, è opportuno che
facciamo attenzione noi stessi sull'attendibilità del sito o file che vogliamo visualizzare. Di regola un buon sito
dovrebbe esporre i propri certificati di sicurezza (pensare ai loghini che certificano il "pagamento sicuro" nei siti
dove è possibile acquistare on-line), mentre i file o script dovrebbero essere anche loro certificati. Se, per esempio,
uno script non certificato cerca di interagire col nostro sistema, solitamente il firewall ci avvisa del suo possibile
scopo maligno: sta naturalmente a noi assumere il rischio di continuare ad utilizzare tale script.
E-mail
Anche nell'uso dell'e-mail bisogna prestare attenzione. La nostra posta potrebbe infatti essere osservata da terze parti,
o ancora potremmo ricevere il cosiddetto spam, o virus. Anche in questo caso esistono modi di proteggere, o almeno
certificare, la nostra posta. La crittografia è stato il primo passo atto a tale scopo, un altro passo è invece la firma
digitale, che garantisce al destinatario che il mittente del messaggio sia autentico. Anche qui esistono poi programmi
o funzioni, spesso incluse nei client di posta più usati, che monitorano l'invio di spam, riconoscendolo attraverso
speciali algoritmi. Ancora un buon antivirus può riconoscere il tentativo di un virus di nascondersi dietro una e-mail.
Una buona politica, o meglio dire consuetudine, sarebbe quella di non inviare (e non aprire se non si è certi della
provenienza del messaggio) e-mail in formato HTML, e di esplicitare se la missiva contiene un allegato. Ci sono poi
altre accortezze, come non utilizzare lo stesso nome dell'e-mail uguale a quello usato per il login, riguarda ogni tanto
le vecchie mail ricevute ed inviate e cancellare le superflue, eccetera.
Incident Report
Ogni volta che il nostro computer o la nostra connessione va in crash durante una sessione in internet sarebbe
opportuno denunciare il fatto attraverso dei report, spesso automatici e inclusi nei principali browser ma anche nei
client di posta, in modo che il produttore del programma possa osservare e cercare di correggere il problema che
potrebbe riguardare non solo un bug interno del programma ma anche una mancata difesa nei confronti di un attacco
informatico o di uno script maligno.
Internet Security Policy 90
Software Copyright
Un altro buon utilizzo di internet è quello di utilizzare solo software per il quale si ha la licenza. Spesso infatti, nei
software pirata, che si possono liberamente scaricare da internet, possono nascondersi minacce informatiche, o
ancora, nel tentativo di "crackare" il programma, possono essere state disabilitate delle funzioni di sicurezza del
programma.
Dati personali
Sempre più spesso, quando accediamo ad un sito, o ad un forum o altro, ci viene richiesta una registrazione. Questo è
senza dubbio positivo, ma bisogna fare attenzione ad alcuni aspetti: prima cosa non divulgare (ovviamente) i nostri
dati di accesso per la rete, quindi di non salvare nei moduli del browser i nostri parametri, accertandoci di cancellare
i cookie, le password salvate e i moduli di ricerca una volta che chiudiamo la nostra sessione; quest ultimo dovrebbe
essere fatto sempre con molto riguardo ogni qualvolta che utilizziamo un computer che non sia il nostro personale.
Altro aspetto in cui fare attenzione e poi la registrazione vera e propria, nella maggior parte dei siti non serve
praticamente mai dare altri dati che non siano il nostro username e la password per accedervi. Diffidate quindi di
dare ulteriori informazioni come indirizzo, recapito telefonico, eccetera, a meno che non si è sicuri dello scopo del
sito in questione. Anche l'e-mail non sarebbe obbligatorio chiederla, richiesta nella maggior parte dei siti; infatti ogni
volta che lasciamo la nostra mail per la registrazione essa viene spesso usata per essere inserita in archivi di altre
aziende con lo scopo di inviarci materiale pubblicitario e altro, contribuendo così al fenomeno dello spam.
Voci correlate
• Standard di sicurezza informatica
• Metodologia Octave
Intrusion Countermeasures Electronics 91
Voci correlate
• Cyberpunk 2020
• Neuromante di William Gibson
• Firewall
Generalità
Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi
includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso
l'invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei
privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e
worm.
Un IDS è composto da quattro componenti. Uno o più sensori utilizzati per ricevere le informazioni dalla rete o dai
computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati
prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si
appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della
sicurezza. Esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle
metodologie utilizzate per individuare violazioni della sicurezza. Il più semplice IDS è un dispositivo che integra
tutte le componenti in un solo apparato.
Un IDS consiste quindi in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a
livello di rete, di trasporto o di applicazione.
Due sono le categorie base: sistemi basati sulle firme (signature) e sistemi basati sulle anomalie (anomaly). La
tecnica basata sulle firme è in qualche modo analoga a quella per il rilevamento dei virus, che permette di bloccare
Intrusion detection system 92
file infetti e si tratta della tecnica più utilizzata. I sistemi basati sul rilevamento delle anomalie utilizzano un insieme
di regole che permettono di distinguere ciò che è "normale" da ciò che è "anormale".
È importante sapere che un IDS non può bloccare o filtrare i pacchetti in ingresso ed in uscita, né tanto meno può
modificarli. Un IDS può essere paragonato ad un antifurto ed un firewall ad una porta blindata. L'IDS non cerca di
bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino.
Le attività e i campi di applicazione di un Intrusion Detection System sono vari, al punto che spesso vengono gestiti
da diversi software, che nel loro insieme provvedono ad accorgersi dei tentativi di attacco o scansione di un sistema,
prevedere meccanismi di notifica e reazione secondo eventi anche proattivi in grado di bloccare sul nascere le
comunicazioni con IP da cui arrivano pacchetti ostili.
I meccanismi di individuazione di attività sospette sono diversi, ma generalmente si concentrano su:
• verifica dei log di sistema o di specifici programmi per individuare attività anomale;
• controllo dell'integrità dei file locali (modifiche sospette possono essere sintomo di una avvenuta irruzione);
• monitoring dei pacchetti destinati all'host, sia per reagire a pattern di attacco noti che per accorgersi di un port
scan remoto, generalmente prologo di un tentativo di intrusione.
IDS applicativi
L'application security è diversa dalla sicurezza di rete e degli host. Le applicazioni possono cambiare, ma
l'obbiettivo di chi attacca è sempre lo stesso: accedere a un database. La maggior parte degli IDS applicativi hanno
tre componenti: il primo è un sensore network-based o basato su host: un sensore di rete è collegato alla porta di
analisi di uno switch, configurata per analizzare tutto il traffico di un database. Un sensore host è invece installato
direttamente sul server applicativo. I sensori raccolgono le transazioni in SQL, le interpretano e determinano se il
traffico esaminato deve generare un allarme. Se è così l'allarme viene passato al secondo componente strutturale: il
console server. Questo server memorizza gli eventi registrati dai sensori ed è il nodo centrale per le operazioni legate
alla loro gestione, come la definizione della policy e gli aggiornamenti. Il terzo ed ultimo componente è un semplice
web server dal quale gli amministratori possono modificare le configurazioni dell'IDS, monitorare gli eventi in
tempo reale e produrre report.
Elenco di alcuni dei programmi più noti per le attività di Intrusion Detection
• Log Analyzers: sono programmi che monitorano le entry nei file di log di sistema e possono essere configurati per
eseguire date operazioni in presenza di determinate righe di log. È importante che agiscano in tempo reale, dal
momento che dopo una intrusione una delle prime occupazioni di un cracker è quella di cancellare le tracce
eventualmente lasciate sui vari log.
• File Integrity Checkers: aiutano ad individuare manipolazioni e generalmente registrano cambiamenti nella data
di creazione o modifica di un file, alterazioni dei permessi, degli attributi o del contenuto di file di configurazione,
binari di comandi più o meno comuni, testi di log ecc.
• Port Scans Detectors: sono sistemi per individuare e, quindi, sapere prima ancora di subire l'attacco quali IP
remoti stanno raccogliendo informazioni sui propri sistemi.
• Nids: un buon Nids è un ottimo strumento per avere un'idea dei vari pacchetti che arrivano ad una rete pubblica e,
se ben configurato, può indubbiamente troncare sul nascere molti tentativi di intrusione.
Voci correlate
• Firewall
Collegamenti esterni
• (EN) Prelude Hybrid IDS [1]
• (EN) Snort Network IDS [4]
• (EN) Aide Advanced Intrusion Detection Environment IDS [2]
• (EN) ISS RealSecure Network IDS [2]
• (EN) ISS Proventia Intrusion Prevention [3]
• (EN) Cisco Intrusion detection [4]
• (EN) Demarc Sentarus Multilayered IDS/IPS [5]
• (EN) Enterasys Dragon Intrusion Defense [6]
Intrusion detection system 95
Note
[1] http:/ / www. prelude-ids. org
[2] http:/ / www. iss. net/ products_services/ enterprise_protection/ rsnetwork/ sensor. php
[3] http:/ / www. iss. net/ products_services/ enterprise_protection/ proventia/ g_series. php
[4] http:/ / www. cisco. com/ warp/ public/ cc/ pd/ sqsw/ sqidsz/ index. shtml
[5] http:/ / www. demarc. com/ products/ sentarus/
[6] http:/ / www. enterasys. com/ products/ ids/
Voci correlate
• Firewall
IS auditing 96
IS auditing
L’IS Auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e
documentato, condotto da personale esperto, che i sistemi informativi di un’azienda o organizzazione siano conformi
a quanto previsto da norme, regolamenti o politiche interne.
Storia
In inglese con audit si intende "un esame, formale e ufficiale, e una verifica di libri contabili da parte di un
qualificato verificatore"; il termine deriva dal latino "auditus" in quanto originariamente i dati contabili venivano letti
ad alta voce”. L’auditing o Revisione contabile consiste nella attestazione da parte di una terza parte indipendente
della correttezza delle registrazioni contabili (la cosiddetta "certificazione" del bilancio); l’ IS auditing (o EDP
auditing) è la parte dell’auditing che si rivolge ai sistemi informativi con uno duplice scopo:
• verificare che i dati elaborati dai sistemi informativi siano corretti e completi;
• assicurare che i sistemi stessi siano affidabili e sicuri..
ISACA
ISACA è l’associazione internazionale degli IS Auditor. La definizione ufficiale di ISACA di IS auditing è: "l'audit
dei sistemi informatici consiste nella revisione e la valutazione di tutti gli aspetti (o di uno degli aspetti) dei sistemi
di elaborazione automatica delle informazioni".
Processo di Audit
Il processo di IS auditing deve essere sistematico e documentato; generalmente si compone dei seguenti passi:
• Analisi dei rischi
• Definizione degli obiettivi
• Pianificazione
• Raccolta evidenze
• Conclusioni e raccomandazioni
• Rapporto di Audit
Standard
Gli Standard definiscono i requisiti obbligatori di audit e di reporting.
Direttive
Le Direttive regolano l'applicazione degli standard di audit.
Procedure
Le Procedure presentano esempi delle strategie applicabili dal revisore SI nel corso dell'audit.
IS auditing 97
Voci correlate
• Architettura telematica
Collegamenti esterni
• (EN) Informations Systems Audit and Control Association [1]
• (EN) le pagine dell'esame CISA sul sito di ISACA [2]
Note
[1] http:/ / www. isaca. org
[2] http:/ / www. isaca. org/ cisaexam
ISO/IEC 27001
Lo Standard ISO/IEC 27001:2005 è una norma internazionale che definisce i requisiti per impostare e gestire un
Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security
Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.
Caratteristiche
La Norma è stata creata e pubblicata nell'ottobre 2005 a fini certificativi, in modo da costituire un sistema completo
per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la
norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava
la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il
nuovo standard ha assorbito entrambe le parti: la linea guida è stata recepita dall'ISO come ISO 17799 (Information
Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte,
lo standard vero e proprio, è stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO
17799 è stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie
27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni.
La norma ISO 27002:2007 è una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti
della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 è il documento normativo
di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza
delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non è
certificabile in quanto è una semplice raccolta di raccomandazioni.
Dal momento che l'informazione è un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle
informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la
sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono
in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 è proprio quello di proteggere i dati e le
informazioni da minacce di ogni tipo, al fine di assicurarne l'integrità, la riservatezza e la disponibilità, e fornire i
requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una
corretta gestione dei dati sensibili dell'azienda.
La norma è applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e
assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi.
L'impostazione dello standard ISO/IEC 27001 è coerente con quella del Sistema di Gestione per la Qualità ISO
9001:2000 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza,
identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello
ISO/IEC 27001 98
PDCA, utilizzo di procedure e di strumenti come audit interni, non conformità, azioni correttive e preventive,
sorveglianza, nell'ottica del miglioramento continuo.
La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle
Informazioni (ISMS). L’ obiettivo principale e quello di stabilire un sistema per la gestione del rischio e la
protezione delle informazioni e degli asset ICT. La norma è applicabile a tutte le imprese private o pubbliche in
quanto prescinde da uno specifico settore di business o dall'organizzazione dell'azienda. Però bisogna tener presente
che l'adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un
ufficio specifico che in genere coincide con l’ufficio Organizzazione e Qualità. “Essa specifica i requisiti per
impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato
all’interno di un contesto di rischi legati alle attività centrali dell’organizzazione. Dettaglia inoltre i requisiti per i
controlli di sicurezza personalizzati in base alle necessità di una singola organizzazione o di una sua parte. Il sistema
è progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati.”
Lo standard ISO 27001:2005 che come già detto presenta molti punti in comune con la ISO 9001, che definisce i
requisiti di un sistema di gestione della qualità (es. adozione modello PDCA, filosofia del miglioramento continuo
ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede:
Pianificazione e Progettazione; Implementazione; Monitoraggio; Mantenimento e il miglioramento. similmente
a quanto previsto dai sistemi per la gestione della qualità, però nella fase di progettazione richiede lo svolgimento di
un risk assessment schematizzabile in: • Identificazione dei rischi • Analisi e valutazione • Selezione degli obiettivi
di controllo e attività di controllo per la gestione dei rischi • Assunzione del rischio residuo da parte del management
• Definizione dello Statement of Applicability L’ultimo punto specifica gli obiettivi di controllo adottati e i controlli
implementati dall’organizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente
alla norma sui sistemi di qualità, il sistema deve essere documentato, ma in aggiunta è richiesta ampia
documentazione riguardo sia l’analisi del rischio sia le procedure e i controlli a supporto dell’ISMS. Come per il
sistema qualità l’organizzazione ISMS può essere certificata da enti di certificazione, che operano tramite valutatori
qualificati, esaminando periodicamente lo stato delle condizioni di conformità. Tra le condizioni di conformità la
norma prevede la pianificazione e realizzazione di attività di autocontrollo gestite dall'impresa, con personale proprio
o esterno, purché in entrambi i casi dotato delle necessarie competenze.
Controlli
Di fondamentale importanza è l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui,
l'organizzazione che intende applicare la norma, deve attenersi.
Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse
umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli
accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle
informazioni).
La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo.
L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio
un'organizzazione che non attua al suo interno 'commercio elettronico' può dichiarare non applicabili i controlli 1-2-3
del A.10.9 che si riferiscono appunto all'e-commerce.
ISO/IEC 27001 99
Privacy-Safety
La conformità alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva
l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta
dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere
garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali".
La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 è che la legge sulla privacy tutela dati
personali, sensibili, mentre la ISO 27001 pur richiedendo che ciò sia fatto, s'interessa anche dei dati di business
dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione.
Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle
normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1
che parla appunto della legislazione applicabile.
Il soddisfacimento dei requisiti di legge non è condizione sufficiente al test della ISO 27001. Per esempio un
impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che
contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non è
conseguentemente corretto per le esigenze che esprime la norma ISO 27001, che si preoccupa anche della
'correttezza' dei 'dati' contenuti nei server e nei client.
Voci correlate
• Sicurezza informatica
• Standard di sicurezza informatica
• ISO
• Lista di standard ISO
• Standardizzazione
• Ente Nazionale Italiano di Unificazione
• Comitato Europeo di Normazione (CEN)
Collegamenti esterni
• Sito istituzionale dell'ISO [1]
• (EN) ISO 27001 Indice [2]
• Database aziende certificate in Italia [3]
Note
[1] http:/ / www. iso. org/
[2] http:/ / www. 27000. org
[3] http:/ / www. accredia. it/ accredia_companymask. jsp?ID_LINK=266& area=7& ORG_SEARCH_MASK_SETTORE_ACCR=&
ORG_SEARCH_MASK_ORG=& COMPANY_SEARCH_MASK_NORMA=ISO+ 27001%3A2005&
COMPANY_CERTIFICATE_NAME=& COMPANY_CERTIFICATE_DATE_FROM=& COMPANY_CERTIFICATE_DATE_TO=&
COMPANY_COMPANY_NAME=& COMPANY_APPL_CERT=& ORG_SEARCH_MASK_STATO=&
COMPANY_SEARCH_MASK_REGIONE=& COMPANY_SEARCH_MASK_PROVINCIA=&
COMPANY_SEARCH_MASK_CITTA=& submit=cerca
IT Baseline Protection Manual 100
Approccio
Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare
loro una probabilità di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene
assegnato un valore che tiene conto della probabilità della realizzazione di determinate minacce e del valore del bene
minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale.
L'approccio adottatto nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure
raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del
rischio. Le debolezze/criticità nella sicurezza che devono essere eliminate attraverso l'adozione delle misure
raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i
requisiti di sicurezza sono significativamente più alti può essere necessario effettuare una analisi ulteriore, pesando il
costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI.
Tuttavia è generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure
appropriate ritagliate sul caso specifico e più stringenti. Le misure di sicurezza elencate nel manuale sono misure
standard, cioè misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie
per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di
protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che è ragionevole adottare
nelle aree di competenza.
Procedimento
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio
residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il
sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei
dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere più semplice la scelta dei moduli
contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme
di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad
esempio: server, sistemi operativi, stanze server) a cui il modulo è dedicato. La valutazione/misurazione del rischio
rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del
manuale con le misure già applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo
di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e
beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.
IT Baseline Protection Manual 101
Certificazione
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato
BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza
informatica e le misure suggerite sono compatibili con lo standard ISO 27001:2005 per cui è ottenibile la
certificazione ISO.
Voci correlate
• Valutazione del rischio
• Gestione del rischio
• Valutazione dell'esposizione
• Standard di sicurezza informatica
Jingjing e Chacha
Jingjing e Chacha (paronomasia della parola cinese 警察 pinyin
jǐngchá, ovvero polizia) sono due cartoni animati, mascotte della
Divisione di sorveglianza Internet dell'ufficio di pubblica sicurezza
di Shenzhen.
Apparsi per la prima volta sul China Youth Daily, organo di
stampa della Lega della gioventù comunista e ripreso il 5 gennaio
2006 dal quotidiano Shanghai Daily[3] , sono usati tra gli altri
scopi per informare gli internauti cinesi su cosa è o non è
consentito consultare o pubblicare su Internet in Cina in violazione
della legge.
Note
Jingjing, ufficiale uomo della polizia Internet cinese. Il
[1] http:/ / 66110. qzone. qq. com [1]
suo sito personale può essere visitato qui .
[2] http:/ / 777110. qzone. qq. com
[3] China Internet Information Center (http:/ / www. china. org. cn/ english/
government/ 154200. htm)
Voci correlate
• Censura su Internet
• Censura di Internet nella Repubblica Popolare Cinese
• Internet nella Repubblica Popolare Cinese
• Crimine informatico
• Big mama
• Google China
• Operazione Aurora
Collegamenti esterni
• (ZH) Sito ufficiale (http://szgabm.qq.com/cgi-bin/wj/jump.cgi)
• (EN) Image of Internet police: JingJing and Chacha online (http://chinadigitaltimes.net/2006/01/
image-of-internet-police-jingjing-and-chacha-online-hong-yan-oºaeÂ¥â¢aaioºa/)
Key server
Nell'ambito della sicurezza informatica, un key server è un sistema che si occupa di fornire, attraverso appositi
programmi, chiavi crittografiche agli utenti che le richiedono.
Le chiavi fornite quasi sempre fanno parte di un certificato digitale, solitamente in un formato standard (per esempio
X.509 o PKCS), che contiene oltre alla chiave anche informazioni sul proprietario della chiave e sulla sua identità.
La chiave che viene restituita dal key server è la parte pubblica della chiave, da utilizzare con algoritmi di crittografia
asimmetrica.
I key server più importanti e maggiormente accessibili, sparsi in tutto il mondo, sono quelli che contengono le chiavi
PGP (e GPG) e le distribuiscono agli utenti di tali sistemi crittografici. Questi server quasi sempre sono mantenuti da
singoli individui e forniscono un servizio "pubblico", aiutando la costruzione della rete di fiducia, il sistema su cui si
basa la garanzia dell'identità in PGP.
Esistono anche molti sistemi di infrastruttura a chiave pubblica proprietari che mantengono key server privati per i
loro utenti.
Collegamenti esterni
• MIT PGP Key Server [1]
• PGP GLobal Directory [2]
Note
[1] http:/ / pgp. mit. edu/
[2] http:/ / keyserver. pgp. com
Lista di controllo degli accessi 103
Ciascun apparato avrà poi una particolare sintassi per configurare una ACL.
• Su un router realizzato con GNU/Linux, il nostro esempio suonerà più o meno così:
Voci correlate
• Cacls
• SACL
Collegamenti esterni
• Cosa sono le ACL [1]
• Cisco: maggior sicurezza alla vostra rete con ACLs per bogus e blackholes [2]
• Tutorial di base sulle ACL standard e estese di Cisco [3]
Note
[1] http:/ / www. areanetworking. it/ index_docs. php?title=Cosa_sono_le_ACL
[2] http:/ / www. areanetworking. it/ index_docs. php?title=Cisco:_maggior_sicurezza_alla_vostra_rete_con_ACLs_per_bogus_e_blackholes
[3] http:/ / www. valent-blog. eu/ access-control-list. html
Login
Login è il termine inglese più esatto per indicare la
procedura di accesso ad un sistema o un'applicazione
informatica.
Proviene dalla contrazione di log in, entrata nel log, il
registro cronologico degli eventi tipico di qualsiasi
sistema informativo.
Altri termini corrispondenti sono: logon, log on,
signon, sign on, sign in.
• registro degli eventi (log), su cui viene segnata la cronologia degli accessi.
A questo insieme di informazioni, che possiamo considerare minime, possono essere aggiunti dati anagrafici,
preferenze di lavoro, ecc. Il tutto è usualmente denominato account utente.
Procedura di accesso
• Procedura base, con interfaccia testuale
1. Il sistema richiede il nome utente (in inglese
username o userid)
2. Colui che desidera entrare digita il proprio nome
utente
3. Il sistema verifica che tale nome utente sia
compreso tra quelli previsti. In caso positivo
richiede la parola chiave abbinata; in caso
negativo risponde con un messaggio di errore e Una schermata di login remoto su macchina FreeBSD effettuata
rifiuta l'accesso. tramite PuTTY)
Bibliografia
L'elenco sottostante è composto da soli testi su UNIX, in quanto ambiente nato come multiutente e con molte
informazioni pubbliche.
1. Brian W. Kernighan, Rob Pike: "The UNIX Programming Environment", 1984, Prentice-Hall. ISBN
0-13-937681-X.
2. S. R. Bourne: "The UNIX System", 1983, Addison-Wesley. ISBN 0-201-13791-7.
3. Maurice J. Bach: "The Design of the UNIX Operating System", 1986, Prentice-Hall. ISBN 0-13-201757-1.
(Traduzione italiana "UNIX: architettura di sistema", 1988, Jackson).
4. Henry McGilton, Rachel Morgan: "Introducing the UNIX System", 1983, McGraw-Hill. (Traduzione italiana "Il
sistema operativo UNIX", 1986, McGraw-Hill Libri Italia, ISBN 88-386-0603-X). (Versione Berkeley).
5. S. G. Kochan, P. H. Wood: "UNIX Shell Programming", 1985, Hayden.
6. Stephen Prata: "Advanced UNIX: A programmer's Guide", The Waite Group, 1985, Howard W. Sams &
Company (Macmillan). ISBN 0-672-22403-8.
7. Bill Courington: "The UNIX System: a Sun Technical Report", 1985, Sun Microsystems Inc.
8. "System V Interface Definition: Issue 2" 1986, AT&T (3 volumi). ISBN 0-932764-10-X.
9. Rebecca Thomas, Lawrence R. Rogers, Jean L. Yates: "Advanced Programmer's Guide to UNIX System V",
1986, McGraw-Hill. ISBN 0-07-881211-9.
Voci correlate
• Account
• Autenticazione
• Crittografia
• Log
• Logout
• Nome utente
• Password
• Sicurezza informatica
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Login
Metodo Gutmann 107
Metodo Gutmann
Il Metodo Gutmann è un algoritmo proposto da Peter Gutmann da utilizzarsi per cancellare totalmente i contenuti
di una sezione di un disco per computer (come ad esempio un file o un settore) per motivi di sicurezza.
Metodo
La funzione di cancellazione nella maggior parte dei sistemi operativi segnala semplicemente che lo spazio occupato
dal file è disponibile per il riutilizzo, senza eliminarne effettivamente i contenuti (ad esempio eliminando il puntatore
al file). A questo punto il contenuto del file può essere recuperato facilmente da molte applicazioni per il recupero
dei dati. Tuttavia, una volta che lo spazio viene sovrascritto con altri dati, non esistono modi noti semplici per
recuperare i dati precedenti. Non è possibile recuperare dati con il solo utilizzo di software, siccome la periferica
restituisce i propri contenuti solo attraverso la propria normale interfaccia di comunicazione.
Gutmann afferma che i servizi di sicurezza hanno strumenti avanzati, tra cui microscopi elettronici i quali, uniti a
strumenti di analisi delle immagini, possono rilevare lo stato precedente dei bit nell'area interessata della periferica
(ad esempio un disco fisso).
L'algoritmo prevede la scrittura sul disco di una serie di schemi di bit, pensati per attaccare uno degli schemi di
codifica per supporti magnetici esistente. La scelta degli schemi parte dal presupposto che l'utente non conosca
l'algoritmo di codifica dei dati utilizzato dal disco, e quindi contiene schemi progettati specificamente per tutte le
codifiche conosciute. Un utente che conosca il metodo di codifica può selezionare solo gli schemi pensati
espressamente per il proprio disco.
Una sessione di sovrascrittura è costituita da un preambolo di quattro schemi di scrittura casuali, seguiti dagli schemi
5-31 eseguiti in ordine casuale, e si conclude con altri quattro schemi casuali.
Ciascuno degli schemi 5-31 è stato progettato tenendo conto di uno specifico schema di codifica per supporti
magnetici, che viene attaccato dallo schema. Il risultato finale è un rimescolamento dei dati sul disco sufficiente a
fare sì che anche la scansione fisica più approfondita difficilmente sarà in grado di recuperare qualunque dato utile.
La serie degli schemi è la seguente:
1 (Casuale) (Casuale)
2 (Casuale) (Casuale)
3 (Casuale) (Casuale)
4 (Casuale) (Casuale)
32 (Casuale) (Casuale)
33 (Casuale) (Casuale)
34 (Casuale) (Casuale)
35 (Casuale) (Casuale)
Critiche
Gutmann ha ricevuto critiche per avere asserito che i servizi di sicurezza nazionali riescono con ogni probabilità a
leggere dati sovrascritti.[1] Non è stato provato in alcun modo che questo sia possibile, e non esistono prove
pubbliche che i servizi di sicurezza governativi e non, siano in grado di recuperare file i cui settori sono stati
sovrascritti.
Le aziende specializzate nel recupero dei dati da periferiche danneggiate non sono in grado di recuperare file
completamente sovrascritti. Queste aziende si specializzano nel recupero di informazioni da dispositivi che sono stati
danneggiati da incendi, acqua, o altri danni simili. Nessuna azienda di recupero dati afferma di essere in grado di
ricostruire dati completamente sovrascritti.
Lo stesso Gutmann ha risposto ad alcune di queste critiche e ha criticato nell'epilogo del suo lavoro originale come ci
siano stati abusi del suo algoritmo. Citando tale epilogo:
Metodo Gutmann 109
« Nel periodo seguente la pubblicazione di questo lavoro, alcuni hanno trattato l'algoritmo di sovrascrittura a 35 passi più
come una incarnazione voodoo per scacciare gli spiriti maligni che come una analisi tecnica dei metodi di codifica dei
dischi. Come risultato, suggeriscono di utilizzare il rito voodoo ai dischi PRML ed EPRML anche se non avrà alcun effetto
al di fuori di una sovrascrittura casuale dei dati. In realtà, utilizzare l'intero algoritmo a 35 passi è insensato per qualunque
disco, siccome questo attacca un insieme di scenari che includono tutti i tipi di codifica (utilizzati normalmente), che copre
qualunque tecnica utilizzata da oltre 30 anni a questa parte.
Se state utilizzando un disco che utilizza la tecnologia di codifica X, è necessario eseguire solo i passi specifici per X, e non
c'è mai alcun bisogno di eseguire tutti i 35 passi. Per qualunque disco PRML/EPRML moderno, alcuni passi di scrittura
casuale è il meglio che si possa fare. Come la ricerca dice chiaramente, "una bella sovrascrittura con dati casuali otterrà i
risultati che ci si aspetta. Questa affermazione era vera nel 1996, ed è tuttora vera »
Implementazioni software
• CCleaner - Software Freeware che nelle ultime versione esegue la cancellazione dei file indesiderati tramite il
metodo Gutmann solo su richiesta.
• Eraser - Software Open-source gratuito che utilizza il metodo Gutmann
• Utility Disco - Software fornito con Mac OS X che cancella i contenuti di un disco utilizzando l'algoritmo di
Gutmann.
• Tune Up Utilities [2] (versione 2007 e seguenti) utilizza tra gli altri anche l'algoritmo di Gutmann per
l'eliminazione sicura dei file.
• DBAN [3] - Un altro software open-source di cancellazione che supporta tutti i dischi fissi esistenti. Supporta, fra
gli altri, anche l'algoritmo di Gutmann.
• Advanced SystemCare - software che permette di utilizzare oltre al metodo Gutmann, la sovrascrittura dei files da
cancellare con lo 0 e in alternativa l'eliminazione con lo standard DoD 5220.22-M.
Collegamenti esterni
• La ricerca originale di Gutmann: "Secure Deletion of Data from Magnetic and Solid-State Memory" [4]
• Can Intelligence Agencies Read Overwritten Data? [5], una critica alle asserzioni di Guttman.
Note
[1] Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. (http:/ / www. nber. org/ sys-admin/ overwritten-data-gutmann.
html)
[2] http:/ / www. tune-up. com/ products/ tuneup-utilities/
[3] http:/ / www. dban. org/ download/
[4] http:/ / www. cs. auckland. ac. nz/ ~pgut001/ pubs/ secure_del. html
[5] http:/ / www. nber. org/ sys-admin/ overwritten-data-guttman. html
Metodologia Octave 110
Metodologia Octave
La metodologia Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation) è una delle principali
metodologie di analisi del rischio utilizzate attualmente.
Oggigiorno proteggere i sistemi informatici ed essere in grado di conoscere i principali pericoli che essi corrono è
senza dubbio diventata una priorità. Le politiche di sicurezza (Security Policy) adottate a tal fine rappresentano
l'insieme di regole e procedure che hanno come finalità la sicurezza di un sistema. Per un sistema informatico le
security policy indirizzano infatti tutte quelle procedure finalizzate alla protezione dei dati, alla corretta gestione del
flusso informativo per il personale autorizzato, alla restrizione di accessi al sistema dall'esterno. Octave è un sistema
di strategie basate sul rischio e di tecniche di pianificazione per la Sicurezza Interna Aziendale, realizzato dal CERT
(Computer Emergency Response Team). È particolarmente indicato per tutte le aziende che desiderano conoscere
fino in fondo quali siano i propri bisogni di sicurezza.
Le sue caratteristiche
Octave possiede alcune caratteristiche che lo rendono affidabile e allo stesso tempo utilizzabile con profitto dalla
maggior parte delle aziende:
• Auto-Regolato:
è frutto della collaborazione tra manager esperti nel ramo degli affari e informatici della stessa azienda. Il gruppo,
inoltre, sfrutta la conoscenza e l’esperienza di molti impiegati per definire lo stato della sicurezza, i rischi per i beni
principali dell’azienda, e per pianificare quindi le dovute strategie;
• Flessibile:
può essere adattato alle esigenze di numerose aziende diverse;
• Diverso dalle tipiche Metodologie Concentrate sulla Tecnologia:
si focalizza sul rischio organizzativo e strategico e su argomenti di interesse pratico.
Le fasi di Octave
Octave agisce attraverso tre fasi:
Fase 1
• Tracciare profili delle minacce rivolte ai beni:
In questa fase, che riguarda l’azienda nella sua totalità, ci si propone di identificare gli "Asset" (le risorse, i beni)
principali dell’azienda, le minacce a queste risorse e in che misura esse vadano protette. Si cerca anche di
comprendere quali strategie di protezione l’azienda stia mettendo in atto al momento in cui quest’analisi viene
compiuta, e quali siano i punti deboli di tali strategie.
Metodologia Octave 111
Fase 2
• Identificare i punti Deboli delle Infrastrutture Informatiche:
Questa fase si configura come un esame delle Principali Componenti Operative dei Sistemi Informatici, per
evidenziarne eventuali pericolose Debolezze.
Fase 3
• Sviluppare Piani e Strategie di Protezione:
In questa ultima fase vengono analizzati i Rischi. Le informazioni raccolte nelle due precedenti fasi sono analizzate
per identificare quali siano gli effettivi Rischi per l’azienda, e per valutare l’impatto che tali rischi potrebbero avere
sulla “mission” dell’azienda. Inoltre, vengono sviluppate delle Strategie di Protezione e dei Piani di
Ammortizzamento nei confronti dei rischi più elevati.
Voci correlate
• Internet Security Policy
Collegamenti esterni
• (EN)CERT [1]
Note
[1] http:/ / www. cert. org/ octave/
Microsoft Strider
Microsoft Strider Search Defender è un software creato da Microsoft, per arginare il fenomeno del Comment
Spamming, ovvero la forma di spam che consiste nell'inserire link a pagine pubblicitarie in blog, newsgroup, etc.
Funzionamento di Strider
Per rendere i propri link maggiormente appetibili, gli spammer creano delle "doorway pages" su siti web conosciuti:
quando un utente clicca su uno di questi indirizzi, il browser rimanda alle pagine pubblicitarie. Stinger effettua una
precisa verifica degli indirizzi che sono presenti nelle pagine web di pubblico accesso.
Modello Bell-LaPadula
Il Modello di riservatezza di Bell-La Padula (BLP) è stato definito tra il 1973 e il 1976 da David Elliott Bell e Len
LaPadula. Inizialmente, è stato sviluppato per soddisfare le esigenze del Dipartimento della Difesa Americano
(Department of Defense - DOD), relative all'accesso alle informazioni, mentre, successivamente, è stato
principalmente rivolto alla riservatezza delle stesse. Rappresenta, comunque, uno dei più importanti modelli di
sicurezza applicabili ai sistemi operativi e alle basi di dati.
Caratteristiche
Il modello Bell-LaPadula si concentra su riservatezza di dati e accesso a informazioni classificate, in contrasto con
il Modello d'integrità BIBA che descrive regole per la protezione di integrità dei dati. In questo modello formale, le
entità in un sistema informativo sono divise in soggetti e oggetti.
• Ai soggetti sono assegnati i clearance levels;
• Agli oggetti sono assegnati i sensitivity levels.
I clearance levels come i sentitivity levels sono chiamati access classes. Una classe di accesso (access class)
consiste di due componenti:
1. security level: è un elemento basato sull'ordinazione, è costituito da una classificazione (classification) gerarchica
( TopSecret > Secret > Confidential > Unclassified );
2. category set: è un insieme di categorie dipendenti dall'applicazione in cui i dati sono usati; non è gerarchico,
indica il settore di appartenenza. (ES: posta elettronica, prodotti commerciali, centrali atomiche ecc.).
Ogni soggetto può inoltre accedere ai vari oggetti secondo modi di accesso (access modes) detti:
• Read: per la sola lettura;
• Append: per l'aggiunta (senza lettura);
• Execute: l'esecuzione (per i programmi);
• Write: la lettura-scrittura.
Stato Sicuro
Il concetto di uno Stato Sicuro è definito ed è provato dal fatto che ogni transizione preserva la sua sicurezza
spostandosi da stato sicuro ad un altro stato sicuro.
Il passaggio da uno stato a un altro stato è definito da funzioni di transizione. Uno stato di sistema è definito sicuro
se tutti i modi di accesso dei subjects and objects sono conformi alla politica di sicurezza.
Per determinare se un modo di accesso specifico è permesso, la clearance è paragonato alla classificazione
dell'object (più precisamente: la combinazione di classificazione e l'insieme di compartimenti compongono il livello
di sicurezza) per determinare se il soggetto è autorizzato a quello specifico modo di accesso.
Lo schema di accesso/classificazione è espresso in termini di un reticolo. Ogni operazione richiesta è controllata da
un reference monitor, e la sua esecuzione è concessa se, e solo se, lo stato risultante in cui si verrebbe a trovare il
sistema sia sicuro, ovvero soddisfi tutte le proprietà del modello.
Il modello definisce due regole obbligatorie del controllo accessi (MAC) e una regola discrezionale di controllo
accessi (DAC) con tre proprietà sulla sicurezza:
1. Il Simple Security Property (SS-property): dichiara che è possibile che un soggetto possa accedere ad un oggetto
solo se il suo livello di sicurezza è maggiore od uguale a quella dell'oggetto; (quindi: no read up);
2. Il Star-Property (S-property): dichiara che un soggetto può accedere all'oggetto solo per operazioni di append se
ha un livello inferiore (rispetto all'oggetto), per operazioni di write se ha un livello uguale e per operazioni di read
se ha un attuale livello di sicurezza superiore a quello dell'oggetto; (quindi no write-down);
Modello Bell-LaPadula 113
3. Il Discretionary Security Property (DS-property): utilizza una matrice di accesso per specificare il controllo
accessi discrezionale; cioè ogni soggetto può esercitare solo gli accessi per cui ha la necessaria autorizzazione.
Queste regole insieme servono ad evitare che le informazioni possano propagarsi senza controllo da parte del
proprietario, e sono lo strumento per impedire che il sistema possa essere espugnato da un trojan horse (Cavallo di
Troia: virus nascosto in un programma che penetra tramite il programma in un computer).
Il trasferimento di informazioni da un paragrafo high-sensitivity a un documento lower-sensitivity può avvenire nel
modello Bell-LaPadula per mezzo del concetto di soggetti di fiducia. Subjects di fiducia non sono limitati dalla
proprietà.
A Subjects di fiducia deve essere mostrato e testato affinché possa essere dichiarato affidabile in merito alla politica
di sicurezza.
Con Bell-LaPadula, gli utenti possono creare contenuto solo sopra il loro personale livello di sicurezza (i ricercatori
Secret possono creare file Secret o Top-Secret ma non possono creare file Public): nessun write-down.
Al contrario, gli utenti possono esaminare contenuto solo sotto il loro personale livello di sicurezza (i ricercatori
Secret possono esaminare file Public o Secret, ma non possono esaminare file Top-Secret): nessun read-up.
Transizioni di stato
Attraverso specifiche operazioni lo stato del sistema può subire delle transizioni. Le transizioni di stato consentite
all'interno del modello di Bell-LaPadula sono:
• Create object: attiva un oggetto inattivo rendendolo accessibile;
• Delete object: disattiva un oggetto attivo. È l'operazione inversa alla precedente;
• Get access: quando un soggetto guadagna l'accesso ad un oggetto;
• Release access: quando il soggetto termina l'accesso bisogna. È l'operazione inversa alla precedente;
• Give access: permette che i diritti di accesso ad un oggetto possano essere propagati da un soggetto ad un altro.
L'operazione viene eseguita solo se rispetta le politiche di sicurezza;
• Rescind access: revoca un accesso precedentemente garantito con l'operazione precedente. Affinché questa
operazione possa essere eseguita, il soggetto richiedente deve avere il permesso di scrittura sul genitore
dell'oggetto interessato;
• Change subject security level: cambia l'attuale livello di sicurezza. Il nuovo livello deve essere inferiore della
clearance attribuita inizialmente al soggetto;
• Change object security level: ha l'effetto di attribuire un nuovo valore alla funzione 'f' dell'oggetto inattivo; tale
livello può solo essere aumentato, e non deve mai superare la clearance del soggetto richiedente il cambiamento.
Voci correlate
• Modello Biba
• Modello Clark-Wilson
• Modello Brewer e Nash
Modello Bell-LaPadula 114
Collegamenti esterni
AIPSI [1]
Note
[1] http:/ / aipsi. org/
Modello Biba
Il modello di integrita Biba venne sviluppato nel 1977 da K.J. Biba del M.I.T., per aggirare le debolezze del modello
di protezione per sistemi operativi di computer denominato modello di riservatezza di Bell-LaPadula quale non
prevedeva la possibilità di eliminazione implicita degli oggetti di sicurezza scritti da loro.
Il modello di Biba comprendeva tre politiche, di cui una era il doppio matematico del modello Bell-LaPadula, ed il
sistema consiste in una serie di soggetti, oggetti e livelli di integrità. In generale, preservare l'integrità aveva tre
obbiettivi:
• Prevenire la modifica dei dati da oggetti non autorizzati;
• Prevenire modifiche non autorizzate ai dati da oggetti autorizzati;
• Mantenere la consistenza interna ed esterna (es.: dati che rispecchino il mondo reale).
Il modello Biba implementa le protezioni definendo una serie ordinata di livelli di integrità per i soggetti e gli
oggetti, rispettando la regola del: leggere sopra e scrivere sotto:
• Questo significa che un soggetto che si trova al livello di integrità X può leggere solo oggetti allo stesso livello o
superiore (assioma di integrità semplice);
• Similarmente, un soggetto al livello di integrità X può scrivere solo oggetti allo stesso livello o di livello più basso
(assioma di integrità "*");
• Un soggetto al livello di integrità X può chiamare solo un altro soggetto che si trovi allo stesso livello di integrità
o più basso.
Voci correlate
• Modello Bell-LaPadula
• Modello Clark-Wilson
• Modello Brewer e Nash
Modello Brewer e Nash 115
Lettura
Un soggetto S può leggere un oggetto O se:
• l'oggetto O è in un CD di cui il soggetto ha già letto qualcosa, oppure
• l'oggetto O appartiene ad una COI di cui il soggetto non ha letto ancora niente, oppure
• l'oggetto O appartiene alla stessa COI di un altro CD ma è di tipo pubblico.
In parole povere il soggetto S può leggere tutti gli oggetti O appartenenti a COI diverse.
Scrittura
Un soggetto S può scrivere un oggetto O se:
• l'oggetto O, appartenente ad un determinato CD, può essere anche letto;
• il soggetto S non ha mai letto altri O di altri CD nello stesso COI.
In parole povere il soggetto S, una volta che scrive in un CD, non può più leggere O di altri CD nello stesso COI;
allo stesso modo, nel momento in cui legge oggetti O appartenenti a diversi COI, non può più scrivere nei COI letti.
Modello Brewer e Nash 116
Voci correlate
• Modello Bell-LaPadula
• Modello Biba
• Modello Clark-Wilson
Modello Clark-Wilson
Il modello Clark-Wilson venne sviluppato nel 1987 da due studiosi: David D. Clark e David R. Wilson. Questo
modello rappresenta un'alternativa al Modello Biba dell'integrità.
Scenario
L'integrità del modello è definita tramite un insieme di vincoli, e questo è in uno stato consistente se il modello
soddisfa i vincoli. Clark-Wilson identifica due meccanismi principali per rafforzare l'integrità e il controllo degli
accessi:
Transazioni
Le transazioni ben formate preservano l'integrità di dati e prevengono che utenti li manipolino arbitrariamente. Una
transazione di questo tipo è costituita da una serie di operazioni che muovono il sistema da uno stato consistente ad
un altro stato consistente.
In questo ambito le transazioni sono una serie di operazioni che consentono di far passare da uno stato consistente ad
uno consistente, anche se questa non è andata a buon fine, in quanto deve essere presente un meccanismo di rollback.
Il modello
Alla base del sistema abbiamo quattro entità di base:
• CDI: entità o dati soggetti a vincoli d'integrità (constrained data item);
• UDI: entità o dati non soggetti a vincoli d'integrità (unconstrained data item);
• IVP: procedure che controllano i vincoli d'integrità (integrity verification procedures);
• TP: procedure di trasformazione che portano il sistema da uno stato valido ad un altro stato valido
(transformation procedures).
Modello Clark-Wilson 117
Le regole
In questo contesto vengono indicate regole di certificazione (Certification rules) e regole di rinforzo (Enforcement
rules):
• CR1: Se un IVP è eseguito, deve assicurarsi che tutti i CDI siano in uno stato valido.
• CR2: Una TP deve trasformare un insieme di CDI da uno stato valido ad uno stato valido.
• ER1: Il sistema deve garantire che solo le TP certificate ad operare su determinati CDI svolgano operazioni su di
essi.
• ER2: Il sistema deve associare ad ogni TP il CDI su cui può lavorare e l'utente per conto del quale può lavorare su
tale CDI.
• CR3: Le relazioni di permesso devono essere basate sulla separazione dei compiti.
• ER3: Il sistema deve autenticare ogni utente che vuole utilizzare una TP.
• CR4: Tutte le TP devono scrivere in appositi CDI di solo accodamento, tutte le operazioni sufficienti a ricostruire
le operazioni svolte.
• CR5: Ogni TP che prende in input un UDI può eseguire solo trasformazioni valide, oppure nessuna
trasformazione.
• ER4: Solo chi certifica un TP può cambiare la liste delle entità associata a tale TP.
Voci correlate
• Modello Bell-LaPadula
• Modello Biba
• Modello Brewer e Nash
MS-CHAP
In informatica l' MS-CHAP (acronimo di Microsoft Challenge-Handshake Authentication Protocol) è un protocollo
di autenticazione.
MS-CHAP è un protocollo sviluppato da Microsoft deriva direttamente dal CHAP ed è stato modificato per integrare
la funzionalità di autenticazione basate sulla cifratura, tra Pc in reti windows.
MS-CHAP eredita dal CHAP il meccanismo di challenge-response per autenticare attraverso una password il client
verso il server. Il server di autenticazione diversamente dal CHAP non ha necessità di memorizzare la password
neanche in formato cifrato, e gli algoritmi utilizzati per il processo di cifratura e per quello di hashing sono
rispettivamente il DES (Data Encryption Standard) e l'MD4 (Message Digest 4).
Microsoft, in questo [1] articolo, ha dichiarato obsoleto questo protocollo, escludendolo di fatto dai protocolli
presenti in Windows Vista, sostituendolo con la nuova versione dello stesso.
MS-CHAP 118
Voci correlate
• MS-CHAPv2
Collegamenti esterni.
• RFC 1994 "PPP Challenge Handshake Authentication Protocol".
• RFC 2433 "Microsoft PPP CHAP Extensions"
• RFC 1320 "MD4 Message Digest Algorithm".
Note
[1] http:/ / support. microsoft. com/ kb/ 926170/ en-us
MS-CHAPv2
MS-CHAP versione 2 deriva dal protocollo MS-CHAP. In MS-CHAPV2 il processo di autenticazione è reciproco,
il client e il server si presentano e il server deve dimostrare al client che è in grado di accedere al database dove è
contenuta la password dell'utente che sta tentando la connessione.
In linea di massima i passi compiuti dal processo di autenticazione sono:
1. Il client contatta il server e stabilisce una sessione.
2. Il server di autenticazione invia al client un messaggio composto da:
1. un identificatore della sessione(IdS)
2. una stringa pseudocasuale (A).
3. Il client riceve il messaggio dal server e invia una risposta composta da:
1. Username
2. Una stringa fittizia(B).
3. La stringa pseudocasuale(A), l’identificativo di sessione (IdS), la password utente tutto cifrato.
4. Il server riceve il messaggio dal client lo verifica e invia la relativa risposta composta da:
1. L’esito del tentativo di connessione.
2. La stringa fittizia(B) e la password utente tutto cifrato.
5. Il client riceve la risposta e se è avvenuta l’autenticazione utilizza la sessione altrimenti interrompe la
connessione.
Rispetto al MS-CHAP l’MS-CHAP v2 è più sicuro, questo perché:
1. Ogni volta che l'utente si collega è generata una chiave per crittografare i dati basata sia sulla password utente sia
su una stringa casuale. Nella versione v1 essendo la chiave generata solo a partire dalla password la chiave di
crittografia è sempre la stessa.
2. I dati inviati e quelli trasmessi sono cifrati con chiavi generate separatamente e non come nella versione v1 dove
la chiave era sempre la stessa.
Collegamenti esterni
• RFC 2759 "Microsoft PPP CHAP Extensions, Version 2"
Negazione plausibile 119
Negazione plausibile
Negazione plausibile, tradotto dall'inglese plausible deniability, è il termine usato per indicare un'azione o un dato
non riconducibile al proprio autore.
Viene usata in due contesti: nel contesto politico e nel contesto di sicurezza informatica.
Negazione d'esistenza
Per proteggere gli utilizzatori di filesystem cifrati da attacchi basati sulla tortura, il software FreeOTFE crea volumi
cifrati in due modalità: utilizzando un file dedicato all'interno del filesystem o utilizzando dello spazio non
inizializzato all'interno di un disco.
La prima modalità è analoga ad altri sistemi di filesystem cifrati: loop-aes, dm-crypt, filevault. L'utente decide di
creare un disco cifrato di una certa dimensione, questa dimensione viene allocata in un file su filesystem. Il file è
cifrato, e il software di cifratura decifra il file come se fosse un disco fisico. in questo modo l'utente puo' accedere al
filesystem solo quando il software viene sbloccato da password.
La seconda modalità non utilizza un file allocato, ma dello spazio non allocato sul disco. Questo causa che ad
un'analisi dei settori non utilizzati, risulti una porzione di dati cifrati, facendo quindi intuire all'analista la presenza di
un disco cifrato nascosto.
Quando un disco cifrato viene inizializzato, gli spazi non utilizzati vengono riempiti di dati random, così un utente
può creare un disco cifrato sul proprio filesystem utilizzando un file allocato, mettere dei dati, e nello spazio non
utilizzato creare un disco nascosto. In questo modo un'analisi dei settori non utilizzati all'interno del disco cifrato non
darà alcun risultato differente da quello aspettato, perché le proprietà statistiche di un file cifrato e di dati random
sono pari.
L'utente gode di negazione plausibile nei confronti di chi, una volta chiesta la password (e consegnatagli dall'utente)
necessaria per accedere al primo filesystem, non potrà dire con certezza che altri dati sono cifrati nei settori nascosti.
I dati inseriti nel primo filesystem saranno acceduti.
Negazione plausibile 120
Ripudiabilità di creazione
Questo tipo di protezione è stato implementato da OTR (Off The Records) riferito alla terminologia giornalistica.
OTR è un protocollo di cifratura per Instant Messaging, una volta scambiata la chiave tra i due utenti, che possono
autenticarsi reciprocamente, i dati non sono più firmati digitalmente. In questo modo si può comunicare con
riservatezza, e nel caso l'attaccante dovesse decifrare il contenuto dei messaggi, l'autore potrebbe sostenere di non
essere stato lui a produrli, ma un terzo in possesso della chiave.
Netcraft
Netcraft è una società di monitoraggio della rete internet con sede a Bath in Inghilterra.
Netcraft fornisce analisi sui server web e il mercato dell'hosting, inclusi la rilevazione di web server e sistemi
operativi, e il loro servizio in alcuni casi consiste nel monitorare l'uptime. Offre anche verifiche di sicurezza e
pubblica novità sullo stato di varie reti che compongono internet. Queste statistiche sono ampiamente considerate e
ritenute rilevanti dalla stampa internet. La società è famosa per la sua barra gratuita anti-phishing per Firefox e
Internet Explorer. Uno studio commissionato da Microsoft concluse che la barra di Netcraft è tra i più efficaci
strumenti per combattere il phishing su Internet.
Collegamenti esterni
• Sito di Netcraft [1]
• La barra di Netcraft per Firefox o Internet Explorer per Windows 2000/XP [2]
Note
[1] http:/ / www. netcraft. com
[2] http:/ / toolbar. netcraft. com/
Network intrusion detection system 121
Funzionamento
Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in:
• Pattern Matching: l'abilità del NIDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli
prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto è IPv4, TCP,
la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme".
• Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e
algoritmi matematici che si rifanno alle RFC e ai loro standard. Se uno o più flussi non rispettano gli standard,
il sistema segnala l'errore con il consueto allarme.
Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticità, ad esempio Low, Medium,
High; spesso si presentano dei falsi positivi, ovvero eventi che in realtà non costituiscono un pericolo per i sistemi
informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. In genere i sensori di rete
che comunicano con il server centralizzato del NIDS effettuano un monitoring full-duplex passivo della rete,
posizionati dietro un network tap, brutalmente definibile come un 'rubinetto' che regola il traffico e che si preoccupa
di far rimanere la sonda invisibile sulla rete. Affinché i sensori lavorino correttamente devono essere sottoposti ad un
continuo aggiornamento delle signatures per contrastare le vulnerabilità più recenti.
I moderni NIDS lavorano sempre con dei Firewall, a tal scopo stanno prendendo sempre più piede nel settore
commerciale gli IPS, intrusion prevention system, che oltre a fornire il controllo sui flussi, procedono ulteriormente
bloccando quelli non autorizzati.
Pro e Contro
In un sistema informatico che implementa valide politiche di sicurezza, un buon sistema di incident response e che
adotta firewall, antivirus e tutte le più moderne misure di sicurezza, i NIDS giocano un ruolo fondamentale, in
quanto:
• analizzano il payload dei pacchetti identificando il traffico anomalo;
• danno informazioni sulle scansioni che la rete ha ricevuto;
• permettono di ricevere allarmi real-time;
• evidenziano eventuali errori nella configurazione del sistema;
• evidenziano eventuali vulnerabilità della rete;
• permettono di monitorare il comportamento degli utenti interni alla rete;
• segnalano se qualche altra misura di sicurezza, come il firewall o l’antivirus, non ha funzionato correttamente;
• rilevano eventuali attacchi provenienti dalla rete interna verso la rete esterna;
• rilevano la presenza di eventuali worm che cercano di inviare informazioni all’esterno della rete;
• effettuano il monitoraggio delle risorse condivise utilizzate;
• permettono di capire quali misure preventive adottare al fine di evitare eventuali attacchi futuri;
• sono difficili da rilevare in quanto agiscono passivamente.
Network intrusion detection system 122
Le ampie funzionalità descritte hanno portato alcuni amministratori di rete a pensare che i NIDS siano in grado di
segnalare e risolvere qualsiasi problema di sicurezza. Paradossalmente, pensare che i NIDS garantiscano totale
sicurezza date le loro enormi potenzialità, può risultare controproducente in quanto ciò genererebbe un falso senso di
sicurezza. Non esiste, infatti, né totale sicurezza, né un unico prodotto che permetta di essere totalmente sicuri.
Anche se i NIDS sono sicuramente necessari a garantire un buon livello di sicurezza del sistema, da soli non
sarebbero sufficienti in quanto:
• non sostituiscono l’esistente staff di sicurezza in quanto necessitano di costante monitoraggio;
• non individuano attacchi che sfruttano vulnerabilità non ancora rese pubbliche detti 0-day;
• agiscono passivamente, ovvero non bloccano il traffico dannoso anche se possono essere configurati per
interagire con un firewall;
• quando c’è una grande quantità di traffico da processare, è possibile che vengano persi dei pacchetti, con
conseguente fallimento nella rilevazione di un attacco;
• non possono analizzare informazioni criptate;
• identificano un tentativo d’attacco ma non rilevano se questo è riuscito;
• presentano problemi nel gestire attacchi che utilizzano pacchetti frammentati;
• incrementando il numero delle firme, può essere ridotta l’efficenza del NIDS;
• richiedono notevoli risorse in termini di spazio per l’archiviazione dei log;
• non sostituiscono gli altri meccanismi di protezione.
Da quanto detto, emerge che i NIDS sono necessari ad aumentare il controllo sull’attività dei sistemi ma non sono
sufficienti a garantire la continuità del servizio in quanto agiscono passivamente.
NIDS vs Firewall
Sia i firewall che i NIDS collaborano al fine di prevenire accessi abusivi ad una rete. Entrambi sono fondamentali ma
nessuno è sufficiente a garantire da solo un elevato livello di sicurezza. A parte queste analogie, ci sono delle
sostanziali differenze tecniche che li caratterizzano. I firewall hanno funzione di filtraggio dei pacchetti allo scopo di
bloccare il traffico non conforme alle loro politiche. I pacchetti vengono filtrati in base all’indirizzo IP sorgente o di
destinazione e alle corrispettive porte. Difficilmente i log memorizzati riguardano il traffico permesso, in quanto
ritenuto affidabile. Se alcuni dei pacchetti dannosi riuscissero a superare il firewall a causa di una configurazione
non corretta dello stesso, o di una qualsiasi vulnerabilità sfruttata, non solo sarebbe possibile portare a termine un
attacco con successo ma, soprattutto, non verrebbe memorizzata alcuna informazione in merito. Per ovviare a questo
problema, entrano in gioco i NIDS, i quali analizzano il contenuto di tali pacchetti e segnalano con un allarme ogni
attività anomala individuata, indipendentemente dal successo o dall’insuccesso della stessa. Inoltre nel caso in cui un
attacco provenisse dall’interno della rete, il firewall non avrebbe utilità alcuna. Esso infatti, pur essendo capace di
filtrare il traffico verso e dalla rete esterna, non ha alcun potere sul traffico interno alla rete. Altra debolezza dei
firewall è dovuta al fatto che talvolta gli utenti per ingenuità o impazienza si collegano a Internet creando
connessioni non autorizzate tramite modem. Questo comportamento mette a rischio l’intera rete perché il traffico
generato, anche in questo caso, non sarà filtrato dal firewall. I NIDS, pertanto, pur monitorando il traffico interno
alla rete, non eliminano i firewall.
Network intrusion detection system 123
Il numero di falsi negativi può essere limitato solo con una costante manutenzione del NIDS e con un frequente
aggiornamento delle firme. Per trovare il giusto equilibrio tra falsi positivi e falsi negativi, è opportuno analizzare
approfonditamente la topologia della rete ed eliminare la causa che genera falsi allarmi. Procedere eliminando
radicalmente la regola corrispondente ad un attacco, potrebbe essere una scelta troppo ingenua e superficiale che
talvolta può comportare il rischio di non rilevare attacchi reali.
Posizionamento
Una delle attività maggiormente critiche nella configurazione e messa in opera di un IDS è il suo posizionamento
all’interno della rete da monitorare. In base alla topologia della rete, possono presentarsi diversi casi. Quando in un
segmento di rete gli host sono collegati da un hub, l’implementazione di un NIDS è relativamente semplice perché
l’hub è una componente di rete che si occupa di replicare ogni singolo pacchetto su tutte le porte. In questo modo è
sufficiente collegare il NIDS a una porta qualsiasi dell’hub per poter leggere tutto il traffico passante.
In presenza di uno switch, invece, la situazione è diversa e l’implementazione dei NIDS è maggiormente complicata.
Gli switch, infatti, lavorano ad un livello superiore della pila ISO/OSI rispetto agli hub e quando devono inviare un
pacchetto, lo inviano solo verso la relativa porta di destinazione. Una soluzione per poter leggere tutto il traffico del
segmento di rete è il port mirroring che consiste nel monitorare una o più porte dello switch, copiandone il traffico su
un’altra porta detta mirror port. Tale porta dovrà necessariamente avere una capacità di banda possibilmente pari alla
somma della capacità di banda di tutte le porte monitorate. Solo in questo modo il traffico potrà essere gestito in
modo opportuno.
Come detto, la scelta del posizionamento degli IDS è un’attività molto delicata che deve tener conto delle esigenze
della rete e delle risorse di cui si dispone.
Un’altra variabile da considerare nel posizionamento di un IDS è la sua collocazione rispetto ad un firewall.
Posizionando l’Intrusion Detection System all’esterno del firewall, si identificheranno tutte le attività anomale
incluse quelle che non avranno accesso alla rete in quanto bloccate dal firewall. Un IDS disposto in questo modo
sarà più esposto agli attacchi provenienti dall’esterno perché privo di protezione. Le risorse richieste sono ingenti in
quanto la quantità di traffico analizzato e di log memorizzati sarà rilevante. Una soluzione più economica consiste
nel posizionare l’IDS all’interno del firewall per monitorare solo il traffico che accede alla rete. In tal modo saranno
generati meno allarmi e ci saranno meno log da analizzare.
Se invece, l’obiettivo dell’IDS è la protezione dei server, una valida alternativa è installare il sistema di intrusion
detection nella Demilitarized Zone (DMZ). Tuttavia, gli altri segmenti di rete rimarrebbero privi di monitoraggio.
Network intrusion detection system 125
Pertanto, nel caso in cui le risorse a disposizione siano elevate, la soluzione più robusta consiste nell’installare un
IDS per ogni segmento di rete. Questo permette di tenere sotto controllo l’intera rete, di configurare ciascun Intrusion
Detection System in maniera diversa in base alle esigenze del singolo segmento e di evitare eventuali sovraccarichi
dei sistemi. Inoltre, se un IDS dovesse venire meno per una qualsiasi ragione (come ad esempio errori
hardware/software o attacchi di vario tipo), gli altri segmenti di rete continuerebbero ad essere monitorati.
Log Analysis
L’analisi dei log è di fondamentale importanza nel processo di intrusion detection sia nel caso ci siano stati dei
tentativi di intrusione, che nel caso si sia verificato un incidente informatico. I log memorizzano record contenenti
informazioni sul timestamp, sul protocollo utilizzato, sull’indirizzo IP sorgente e di destinazione e sulle porte
utilizzate da qualsiasi attività anomala monitorata. Possono anche essere contenuti dati aggiuntivi come una
descrizione testuale dell’evento o il numero della regola che ha generato l’allarme. Quando vengono generati log
causati da eventi di una certa entità, è opportuno memorizzare anche il payload del pacchetto che ha generato
l’allarme per avere maggiori dettagli sull’evento. Facciamo un esempio considerando una richiesta DNS. In
corrispondenza di questo evento, verrà generato un log dove sarà riportato che il potenziale attaccante con indirizzo
IP 100.200.100.200 ha inviato un pacchetto UDP al destinatario 90.80.70.60, sulla porta 53. Ciò non sarà sufficiente
a capire se la richiesta DNS è stata dannosa o meno. La situazione sarebbe differente nel caso in cui si potesse
analizzare anche il payload del pacchetto.
Uno dei problemi maggiori nell’analisi dei log è l’eterogeneità intrinseca degli stessi, in quanto variano a seconda del
firewall, del router o dell’IDS utilizzato. Non esistono tool che sincronizzano cronologicamente i log prodotti da
sistemi differenti. Può talvolta capitare che la time zone differisca da sistema a sistema, rendendo ancora più
complicata l’analisi; tuttavia, per sincronizzare sistemi diversi, possono essere usati protocolli come NTP. Inoltre, di
estrema importanza è la capacità di reazione di fronte ad un’intrusione. Intervenire tempestivamente quando si
identifica un’intrusione, spesso è essenziale per evitare che l’attaccante possa alterare o eliminare i log. Gli
amministratori di rete, tuttavia, dovrebbero prestare attenzione non solo alla possibile manipolazione dei log ma
anche alle molteplici attività anomale che possono presentarsi, come quelle che si stanno per analizzare.
• Il calo delle performance della rete dovuto alla saturazione della banda, che si verifica perché spesso l’attaccante
utilizza le macchine compromesse per archiviare programmi, mp3 e film da mettere illegalmente in condivisione
con gli altri utenti della rete.
• Il traffico sospetto verso indirizzi IP sconosciuti o su protocolli non utilizzati comunemente. Se si rilevano
connessioni in uscita provenienti da un server web, questo può significare che il server sia stato compromesso.
• Se si identificano pacchetti malformati, c’è il rischio che un attaccante sia alla ricerca di vulnerabilità sulle varie
macchine del sistema o stia tentando di aggirare un firewall.
• La perdita di connettività, che potrebbe essere associata ad un attacco DoS.
• Un numero elevato di tentativi di login falliti, i quali sono comuni quando l’attaccante cerca di ottenere maggiori
privilegi di quelli realmente concessi.
• Un’attività inusuale del modem, che potrebbe indicare la probabile presenza di dialer.
• Le ‘Scansioni’ verso le macchine della rete, che sono utilizzate dall’attaccante per raccogliere informazioni sui
sistemi operativi installati, i servizi attivi, le porte aperte e la topologia della rete. Tali informazioni saranno poi
usate per effettuare un attacco.
• L’alta quantità di traffico generata in orari non di lavoro, indice di utenti non autorizzati che stanno usufruendo
della rete. Nel caso in cui nella rete attaccata fosse presente uno switch, una volta introdottosi, l’attaccante
potrebbe intercettare il traffico utilizzando due attacchi.
• L’attacco ARP-POISONING, dove vengono alterate le tabelle ARP degli host appartenenti allo stesso segmento
di rete, in modo che la macchina sul quale risiede lo sniffer veda anche il traffico generato dagli altri host.
Network intrusion detection system 126
• L’attacco DHCP-POISONING, dove l’attaccante fa in modo che un host della rete interna simuli di essere il
server DHCP e invii delle risposte ad-hoc alle DHCP-REQUEST che gli arrivano, specificando l’indirizzo IP
dell’attaccante come default gateway. In tal modo tutto il traffico, prima di arrivare all’esterno, passerà per la
macchina controllata dall’attaccante.
Aspetti Legali
Qualsiasi attività di monitoraggio della rete deve rispettare le normative in vigore nello stato in cui si trova il sistema
informatico e le politiche interne aziendali. In caso contrario esiste il rischio di essere perseguiti penalmente per
violazione della privacy degli utenti della rete e per intercettazione abusiva di comunicazione informatica. Non sarà,
inoltre, possibile utilizzare i dati raccolti per intraprendere azioni legali nei confronti di un intruso. È pertanto
opportuno:
• informare gli utenti che la loro attività di rete sarà monitorata;
• indicare lo scopo del monitoraggio;
• specificare le tipologie di traffico monitorate;
• specificare il responsabile a cui saranno inviate le segnalazioni di eventuali compromissioni.
Dal punto di vista burocratico tali accorgimenti possono essere tradotti in una lettera informativa da far firmare a
tutti gli utenti della rete per presa visione. Dal punto di vista tecnico è possibile implementare un “Message of the
Day” (MOTD) che consiste in un messaggio iniziale che informa gli utenti dell’attività di logging della rete. In caso
di incidente informatico i log rappresentano prove preziose, ed in quanto tali, devono essere ottenute in modo
conforme alla normativa vigente ed essere tali da poter illustrare dettagliatamente lo svolgimento dei fatti. È pertanto
opportuno fare in modo che la prova ottenuta sia:
• autentica ed inalterata anche in caso di spostamenti dei dispositivi che contengono la prova stessa;
• completa, in quanto non deve mostrare l’incidente dall’unica prospettiva riconducibile alle azioni compiute
dall’attaccante, ma deve valutare anche prospettive che potrebbero dare adito a contraddizioni;
• comprensibile e credibile, ovvero rappresentata in un formato leggibile da chiunque e non ad uso esclusivo degli
esperti del settore.
Scelta di un NIDS
Per concludere questa panoramica, vengono discussi gli elementi da tenere in considerazione durante la scelta di un
NIDS.
• Costo: deve, ovviamente, essere proporzionato alle risorse che si vogliono proteggere.
• Capacità del la banda supportata: è la quantità di traffico che il sensore può analizzare in un’unità di tempo. Si
misura in Mb/s o in pacchetti/s.
• Aggiornamento delle firme: i NIDS da questo punto di vista funzionano esattamente come gli antivirus. Per poter
identificare i nuovi attacchi devono avere nel loro database le firme recenti. Per questa ragione è di estrema
importanza che gli aggiornamenti vengano rilasciati in modo tempestivo e venga data la possibilità di aggiornare
il database in modo automatico. Importante è anche la possibilità di utilizzare firme personalizzate create ad-hoc
per le proprie esigenze.
• Attività di logging: è opportuno verificare la chiarezza dei log e valutare se l’output viene salvato in formato
standard o proprietario.
• Scalabilità: La possibilità di ampliare le funzionalità del NIDS in caso di esigenze future è di estrema importanza,
in partiolare andrebbe valutato il numero di sensori supportati e la possibilità di gestire il sistema in maniera
centralizzata tramite un’apposita console.
Network intrusion detection system 127
Voci correlate
• Sicurezza informatica
• Intrusion detection system (IDS)
• Host-based intrusion detection system (HIDS)
Collegamenti esterni
• (EN) Snort [4] - Popolare NIDS Open Source
• (EN) ISS RealSecure Network IDS [2]
• (EN) The RFC Archive [1]
Note
[1] http:/ / www. faqs. org/ rfcs/
Network tap
Tap è un dispositivo hardware inserito in reti informatiche che permette il monitoraggio non invasivo del flusso dati
in transito.
Il significato del nome in lingua inglese è rubinetto, e rappresenta in modo figurato lo scopo del dispositivo. Tuttavia
è anche un retro-acronimo, in quanto consiste nelle iniziali di Test Access Port.
Si presenta come una scatola con almeno tre connettori: A, B e Monitor. Il segmento di rete sottoposto a
monitoraggio viene derivato tra A e B mentre il connettore Monitor è collegato ai dispositivi di monitoraggio, spesso
attraverso una rete indipendente. Il flusso dati tra A e B è assicurato senza alcuna alterazione fisica o temporale (pass
through) e ricopiato integralmente sulla porta Monitor.
Le reti informatiche, inclusa Internet, sono collezioni di dispositivi, quali computer, router e switch che sono
interconnessi attraverso diverse tecnologie al livello 2 della pila ISO/OSI. A questo livello, un dispositivo Tap è
virtualmente invisibile.
L'uso virtuoso di questo dispositivo è in sistemi di amministrazione remota delle reti o del monitoraggio delle
intrusioni ai fini della sicurezza informatica. È pertanto importante che il livello fisico della rete sia adeguatamente
protetto (ad esempio, l'accesso ai locali di un datacenter non deve essere consentito agli estranei), ad evitare
l'inserzione indesiderata ed un uso maligno di questo dispositivo.
Lo svantaggio principale di questa soluzione sta nel costo addizionale che esso comporta, pertanto in diversi casi gli
viene preferita una soluzione software quale il packet sniffer.
Network tap 128
Voci correlate
• Packet sniffer
Collegamenti esterni
• Comcraft [1]
• Datacom Systems [2]
• Net Optics/NPC [3]
• Telena SPA [4]
Note
[1] http:/ / www. lan-wan-tap. com
[2] http:/ / www. datacomsystems. com/
[3] http:/ / www. network-taps. it/
[4] http:/ / www. telena. eu/
Applicazioni
Architettura del NGSCB
Le applicazioni progettate per NGSCB sarebbero state divise in due
parti: lo NCA, un modulo "fidato" in grado di accedere a un insieme ristretto di API, e una parte "non fidata" che
sarebbe stato in grado di accedere a tutte le API di Windows. Ciò al fine di evitare che il modulo "fidato" fosse in
grado di effettuare delle chiamate ad API che avrebbero potuto contenere delle falle di sicurezza (ossia che non siano
'fidate'); il codice fidato avrebbe dovuto usare solo API che fossero state attentamente esaminate al fine di chiudere
ogni possibile falla di sicurezza.
Next-Generation Secure Computing Base 129
Critiche
L'NGSCB ed il Trusted Computing furono criticati soprattutto in quanto considerati inefficaci nel risolvere la
maggior parte degli odierni problemi di sicurezza informatica, quali ad esempio virus informatici e trojans. Ciò
nonostante, Microsoft aveva affermato in passato che l'NGSCB è una tappa necessaria propria nella lotta ai virus[1] .
Tuttavia, in seguito Microsoft non ha più aggiunto nulla circa l'effettiva capacità dell'NGSCB di risolvere questi
problemi[2] .
Disponibilità
Quando fu annunciato, ci si aspettava che l'NGSCB facesse parte del nuovo sistema operativo Windows, Windows
Vista (precedentemente denominato Longhorn). Nel maggio 2004 fu riportato che la Microsoft aveva accantonato il
progetto NGSCB[3] . La notizia fu repentinamente smentita dalla Microsoft, che rilasciò alla stampa la dichiarazione
di star al contrario "riprendendo" il progetto.
Voci correlate
• Trusted computing
• BitLocker Drive Encryption
Note
[1] (http:/ / archives. linuxfromscratch. org/ mail-archives/ lfs-chat/ 2003-August/ 016683. html)
[2] (http:/ / www. microsoft. com/ technet/ archive/ security/ news/ ngscb. mspx)
[3] (http:/ / www. crn. com/ sections/ breakingnews/ dailyarchives.
jhtml;jsessionid=STLRITJUXF2YCQSNDBCCKH0CJUMEKJVN?articleId=18841713& _requestid=350195)
[4] (EN) System Integrity Team Official Blog (http:/ / blogs. msdn. com/ si_team/ archive/ 2006/ 03/ 02/ 542577. aspx)
Collegamenti esterni
• (EN) Microsoft's NGSCB page (http://www.microsoft.com/resources/ngscb/default.mspx)
• (EN) Blog del system integrity team (http://blogs.msdn.com/si_team/default.aspx)
• Articolo di Ross Anderson sul palladium (http://www.complessita.it/tcpa/)
• Richard Stallman's Can You Trust Your Computer? (http://www.gnu.org/philosophy/can-you-trust.it.html)
• (EN)Bruce Schneier's analysis (http://www.schneier.com/crypto-gram-0208.html#1) of Palladium/TCPA
• (EN) Register story: MS security patch EULA gives Bill Gates admin privileges on your box (http://www.
theregister.co.uk/content/4/25956.html)
• (EN) The Trojan Palladium (http://homepage.mac.com/cparada/GML/Palladium.html)
• (EN) News.com story: What's in a name? Not Palladium (http://news.com.com/2100-1001-982127.
html?tag=fd_top)
Next-Generation Secure Computing Base 130
Nmap
Nmap
S.O. Multi-piattaforma
Nmap è un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning,
cioè mirato all'individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da
determinare quali servizi di rete siano disponibili.
È in grado di ipotizzare quale sistema operativo sia utilizzato dal computer bersaglio, tecnica conosciuta come
fingerprinting. Nmap è divenuto uno degli strumenti praticamente indispensabili della "cassetta degli attrezzi" di un
amministratore di sistema, ed è usato per test di penetrazione e compiti di sicurezza informatica in generale.
Come molti strumenti usati nel campo della sicurezza informatica, Nmap può essere utilizzato sia dagli
amministratori di sistema che dai cracker o script kiddies. Gli amministratori di sistema possono utilizzarlo per
verificare la presenza di possibili applicazioni server non autorizzate, così come i cracker possono usarlo per
analizzare i loro bersagli.
Nmap è spesso confuso con strumenti per la verifica di vulnerabilità come Nessus. Nmap può essere configurato per
evadere dagli IDS (Intrusion Detection System) ed interferire il meno possibile con le normali operazioni delle reti e
dei computer che vengono scanditi.
Nmap 131
Curiosità
Nel film Matrix Reloaded Trinity usa Nmap per penetrare nel sistema della centrale elettrica, tramite la forzatura dei
servizi SSH e il bug CRC32[1] (scoperto nel 2001).
Note
[1] BBC News: Matrix mixes life and hacking (http:/ / news. bbc. co. uk/ 1/ hi/ technology/ 3039329. stm)
Voci correlate
• Port scanning
• hping
• Nessus
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Nmap
Collegamenti esterni
• (EN) The Nmap Security Scanner (http://www.insecure.org/nmap/)
• Guida in Italiano per Nmap (http://www.shishii.com/dummy/index.php?id=99)
One-time password
Una One-Time Password (password usata una sola volta) è una password che è valida solo per una singola sessione
di accesso o una transazione. La OTP evita una serie di carenze associate all'uso della tradizionale password (statica).
Il più importante problema che viene risolto da OTP è che, al contrario della password statica, esso non è vulnerabile
agli attacchi con replica. Ciò significa che, se un potenziale intruso riesce ad intercettare una OTP che è stata già
utilizzata per accedere a un servizio o eseguire una transazione, non sarà in grado di riutilizzarla, in quanto non sarà
più valida. D'altra parte, una OTP non può essere memorizzata da una persona. Essa richiede quindi una tecnologia
supplementare per poter essere utilizzata.
messaggistica SMS. Infine, in alcuni sistemi le OTP sono stampate su carta, che l'utente è tenuto a portare con sé.
OpenID
OpenID è un meccanismo di identificazione creato da Brad Fitzpatrick di LiveJournal. Si tratta di un network
distribuito e decentralizzato, nel quale la propria identità è un URL, e può essere verificata da qualunque server
supporti il protocollo.
Su un sito che supporta OpenID, gli utenti Internet non hanno bisogno di creare ed amministrare un nuovo account
per accedervi. Al contrario essi effettuano una autenticazione col proprio provider OpenID, che fornisce la
dichiarazione di identità al sito che supporta l'OpenID.
È al momento supportato da LiveJournal e dai suoi fork (come GreatestJournal. InsaneJournal, LiveJournal e
DeadJournal), così come da Plone (versione 3.0) [1](EN), LifeWiki, SupportOffice e Schtuff.
Fondazione OpenID
La fondazione OpenID, così come la sua controparte europea OpenID Europa, è una struttura, senza scopo di lucro,
impegnata nello sviluppo della rete OpenID, fondata nel 2007[2] .
Adozione di OpenID
• America Online
• Bitbucket
• Orange
• VeriSign
• Simptropolis.com
• Six Apart
• Springnote
• WordPress.com
• Wikitravel, Ma.gnolia, ClaimID, IconBuffet, UserStyles.org, e Basecamp
• Yahoo!
• SourceForge
• Google
• Facebook
• Identi.ca
• Virgilio (portale)
• Ikariam
• Embarcadero Developer Network
OpenID 133
Voci correlate
• Identity Centric Architecture
• Light-Weight Identity
• Single sign-on
• LiveJournal
• DataPortability
• Google Friend
Note
[1] http:/ / plone. org/ products/ plone/ roadmap/ 173
[2] (EN) OpenID Foundation (http:/ / openid. net/ foundation/ ). OpenID Foundation. URL consultato il 26-06-2008.
Collegamenti esterni
• (EN) OpenID Europe Foundation (http://openideurope.eu/)
• OpenID Italia (http://www.openid.it/) - Progetto Open Source per OpenID in Italia
• Video: cos'è OpenID (http://www.ictv.it/file/vedi/355/openid/)
• (EN) Home Page di OpenID (http://www.openid.net/)
• (EN) OpenID Site Directory: una lista di siti che usano OpenID (https://www.myopenid.com/directory)
• (EN) The OpenID Directory: un'altra lista di siti che usano OpenID (http://openiddirectory.com/)
OpenSSL
OpenSSL
Linguaggio C
Genere Sicurezza
OpenSSL è un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C)
eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure
che permettono di accedere alle funzioni della libreria OpenSSL.
È disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e Mac OS X, ed anche per
Microsoft Windows. OpenSSL è originariamente basato sulle librerie SSLeay di Eric Young e Tim Hudson.
OpenSSL 134
Versioni principali
• OpenSSL 1.0.0 rilasciata il 29 marzo 2010
• OpenSSL 0.9.8 rilasciata il 5 luglio 2005 (annuncio) [1]
• OpenSSL 0.9.7 rilasciata il 31 dicembre 2002
• OpenSSL 0.9.6 rilasciata il 25 settembre 2000
• OpenSSL 0.9.5 rilasciata il 28 febbraio 2000
• OpenSSL 0.9.4 rilasciata il 9 agosto 1999
• OpenSSL 0.9.3 rilasciata il 25 maggio 1999.
Algoritmi implementati
OpenSSL supporta diversi algoritmi crittografici:
Cifrari
Blowfish, Camellia, CAST, DES, RC2, RC4, RC5, IDEA, AES
funzioni hash crittografiche
MD5, MD2, SHA, MDC-2
Crittografia a chiave pubblica
RSA, DSA, Scambio di chiavi Diffie-Hellman
Funzioni di Autenticazione dei messaggi
HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA
Certificati
X.509
Licenza
OpenSSL utilizza una sistema dual-license (doppia licenza), la OpenSSL License e la SSleay License. Normalmente
in un sistema a doppia licenza è possibile scegliere quale delle due licenze adottare; nel caso della OpenSSL occorre
seguire entrambe. La licenza risultante è simile a quella di Apache.
La licenza richiede che la frase "This product includes software developed by the OpenSSL Project for use in the
OpenSSL Toolkit" appaia come clausola pubblicitaria, che la rendono incompatibile con la licenza GPL. Non è ben
chiaro se la OpenSSL rientri nella eccezione della GPL riguardo alle librerie di sistema. Alcuni autori preferiscono
inserire una esplicita GPL linking exception per permettere l'utilizzo della OpenSSL nel loro software. Altri hanno
preferito sostituirla con la GnuTLS.
OpenSSL 135
Alternative
• GnuTLS della Free Software Foundation è una libreria analoga che svolge le stesse funzioni, ma compatibile con
la licenza GNU Lesser General Public License.
Collegamenti esterni
• (EN) Sito web OpenSSL [3]
• (EN) GnuTLS [4]
• Introduzione ed esempi (codice sorgente C) per gli algoritmi: DES, Blowfish, Idea, MD5 [5]
• Introduzione ed esempi (codice sorgente C) per l'algoritmo: RSA [6]
• (EN) Debian Security Advisory del bug nel pacchetto openssl [7]
• Guida alle connessioni tunnel con SSH (forwarding) [8]
Note
[1] http:/ / www. openssl. org/ news/ announce. html
[2] http:/ / www. oss-institute. org/
[3] http:/ / www. openssl. org/
[4] http:/ / www. gnu. org/ software/ gnutls/
[5] http:/ / ardoino. com/ 21-openssl-des-blowfish-idea-md5-implementation/
[6] http:/ / ardoino. com/ 20-openssl-rsa-implementation/
[7] http:/ / www. debian. org/ security/ 2008/ dsa-1571
[8] http:/ / www. compago. it/ index. php/ manuali/ 34-linux/ 166-connessioni-tunnel-con-ssh
OSSIM 136
OSSIM
OSSIM è uno strumento per il security monitoring (si basa, tra l'altro, su Nessus, Snort, Ntop): il nome rappresenta
l'acronimo di "Open Source Security Information Manager".
Correlazione
OSSIM è un correlatore, in un contesto in cui correlare implica la capacità di osservare tutti gli eventi in tutti i
sistemi in un posto e nella stessa disposizione, e da questa posizione di vantaggio privilegiata confrontare e valutare
le informazioni, permettendo così di migliorare la possibilità di rilevazione.
L'idea di correlazione è inoltre implicita nella visione del progetto, inteso come unione di più prodotti e con la
possibilità di integrare diverse fonti dati. Nel quadro generale di OSSIM, sono stati integrati in un unico prodotto una
serie di software sviluppati negli ultimi anni, che generano nuove possibilità quando le loro funzionalità sono
correlate.
Valutazione di rischio
Per decidere se o non realizzare un'azione si valuta il report di minaccia.
Strumenti di cui OSSIM è il correlatore:
• Nessus
• snort
• ntop
• p0f
• Pads
• Spade
• Tcptrack
• Nagios
• Osiris
• Arpwatch
Password authentication protocol 137
Voci correlate
• Autenticazione
• CHAP
Penetration Test
In informatica, il penetration test è il processo operativo di valutazione della sicurezza di un sistema o di una rete
che simula l'attacco di un utente malintenzionato. L'analisi comprende più fasi ed ha come obiettivo evidenziare le
debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilità che ne hanno permesso
l'accesso non autorizzato. L'analisi è condotta dal punto di vista di un potenziale attaccante e consiste nello
sfruttamento delle vulnerabilità rilevate al fine di ottenere più informazioni possibili per accedere indebitamente al
sistema.
Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme ad una valutazione del loro impatto
nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di migrazione e
mitigazione del sistema.
Il penetration test fornisce una stima chiara sulle capacità di difesa e del livello di penetrazione raggiunto nei
confronti:
• delle vulnerabilità interne al sistema;
• delle vulnerabilità esterna al sistema;
• della sicurezza fisica.
Procedimenti di analisi
L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attività è chiamato penetration
tester o auditor e oggi anche con il più moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le
stesse logiche utilizzate da un hacker. Un gruppo di penetration tester è chiamato anche tiger team.
I processi di penetration test possono essere effettuati in diverse modalità. La differenza consiste sulla quantità e
qualità delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test Black Box non presuppongono
precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e
servizi dei sistemi prima di iniziare l'analisi.
Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di
schemi di rete, codice sorgente delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a
queste metodologie definibili Grey Box.
I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate
fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della
Penetration Test 138
piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo,
consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale
dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilità, incluse quelle più recenti e alcune
ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze,
o prove, che certificano l'esistenza delle problematiche stesse.
L'attività si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al
management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per
l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata
dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle
piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza
di ciò che si espone.
Certificazioni Professionali
Nell'ambito del penetration test è possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute
caratteristiche tecniche e di affidabilità degli operatori nonché quello di fornire una metodologia che renda il test di
per se replicabile, valutabile e misurabile nel tempo:
ISECOM - OSSTMM Professiona Security Tester (OPST)
International Council of E-Commerce Consultants - Certified Ethical Hacker (CEH)
Offensive Security (offensive-security.com)- Offensive Security Certified Professional (OSCP)
Piano di contingenza
Il piano di contingenza (o piano emergenziale) è un programma operativo che delinea preventivamente le azioni di
determinati soggetti od enti per il caso che si verifichi un evento dannoso o comunque pericoloso per la collettività.
Il piano, cioè, prevede in genere linee guida più o meno dettagliate su cosa ciascuno dei soggetti od enti che devono
dargli esecuzione debba fare al verificarsi dell'evento.
Altri significati
Nella programmazione aziendale, ad esempio per la redazione di studi di fattibilità, i piani di contingenza sono le
analisi dei problemi potenzialmente ostanti al corretto raggiungimento degli obiettivi di impresa (generali o specifici)
Piano di contingenza 140
Note
[1] Linee guida per la pianificazione di contingenza per emergenze sanitarie (http:/ / www. asl3. liguria. it/ doc/ pdf/ LG_piano_contingenza. pdf)
[2] Linee guida per la pianificazione di contingenza per la gestione di un laboratorio (http:/ / www. medicalsystems. it/ editoria/ GALA/
Gala7_1_3. pdf)
[3] Michael E. Whitman, Herbert J. Mattord, Management of Information Security, 2/E ISBN 1-4239-0130-4
[4] NIST IT Contingency Planning Guide (http:/ / csrc. nist. gov/ publications/ nistpubs/ 800-34-rev1/ sp800-34-rev1. pdf)
Voci correlate
• Business continuity plan
• Esigenza Triangolo
• Piano Solo
Port knocking
In informatica, il port knocking è un sistema per aprire delle porte su un firewall dall'esterno inviando tentativi di
connessione ad una sequenza prestabilita di porte chiuse; una volta che ciò sia stato fatto le regole del firewall
vengono aggiornate dinamicamente per consentire all'host che ha inviato la giusta sequenza di connettersi alla porta
voluta.
Questo scopo viene ottenuto principalmente impiegando un demone che controlli continuamente i log del firewall in
cerca della sequenza corretta e in tal caso ne modifichi la configurazione, ma si può usare anche uno sniffer che
esamini direttamente i pacchetti ricevuti, usando in questo caso delle porte già aperte su cui ricevere la bussata.
L'utente invece utilizzerà un piccolo programma, che può essere un semplice script netcat o un ping modificato sino
ad un generatore di hash, da lanciare prima della normale connessione alla macchina di destinazione.
Il port knocking viene frequentemente impiegato per consentire l'accesso sulla porta TCP 22, usata da SSH, in
quanto questo servizio è spesso l'obiettivo di attacchi a forza bruta in seguito a port scan. La bussata è analoga ad una
stretta di mano segreta e può consistere in qualsiasi quantità di pacchetti TCP, UDP, ICMP diretti a porte numerate
sulla macchina di destinazione. La complessità della bussata può variare da una semplice lista di porte da contattare
sequenzialmente ad uno schema temporizzato che discrimini l'indirizzo IP e impieghi tecniche crittografiche.
Molte implementazioni sono vere e proprie macchine a stati che consentono di non rivelare alcuna informazione
circa lo stato attuale, in altre parole se la parte iniziale della bussata è stata ricevuta correttamente, mentre quella
finale no, l'utente non ha nessun modo di saperlo in quanto l'unico effetto osservabile è l'eventuale apertura della
porta a cui si vuole connettere quando la sequenza inviata è corretta.
Benefici
Se un malintenzionato non conosce la corretta bussata, scoprire una sequenza anche molto semplice richiede un
attacco a forza bruta piuttosto impegnativo. Ad esempio una bussata su tre porte richiederebbe all'attaccante di
provare ogni loro possibile combinazione nell'intervallo che va da 1 a 65535 e quindi controllare se per caso si sia
aperta la porta desiderata; questo equivale approssimativamente all'invio di 655354 (18,445,618,199,572,250,625 o
18 milioni di miliardi circa) pacchetti per una singola porta, statisticamente ne sarebbero necessari 9 milioni di
miliardi. Generalmente, quando una bussata ha successo, le regole del firewall sono modificate in modo da
consentire l'accesso solo all'indirizzo IP da cui è stata generata; in questo modo diversi utenti potranno effettuare la
procedura senza che questa venga influenzata da altri e possono anche essere definite distinte bussate per ogni IP.
Questo approccio è paragonabile ad una sorta di whitelist dinamica: la porta potrà essere chiusa dall'utilizzatore,
senza l'intervento di un amministratore di sistema, con un'altra bussata, oppure sarà previsto un timeout.
Le prime implementazioni del port knocking consistevano in semplici liste di porte a cui connettersi in sequenza,
questa semplicità ha ingenerato un certo sospetto nella comunità di esperti di sicurezza informatica, soprattutto a
causa dell'inefficacia di questo approccio verso i replay attack, ma l'introduzione di primitive crittografiche (quali ad
esempio gli hash) ha consentito di superare anche questa limitazione. Ad ogni modo, anche se un malintenzionato
venisse a conoscenza della corretta bussata, il servizio sotto attacco avrebbe ancora a sua difesa i suoi usuali
meccanismi di autenticazione.
Il port knocking può essere utilizzato anche per scopi che esulano dall'apertura porte; in effetti una bussata potrebbe
fare partire una qualsiasi azione sulla macchina, ad esempio il lancio di un programma.
Voci correlate
• Firewall
Collegamenti esterni
• (EN) PORTKNOCKING - A system for stealthy authentication across closed ports. [1]
• (EN) Linux Journal: Port Knocking [2]
• (EN) A Netfilter module for port knocking. [3]
• Il portknocking: implementazione su Linux e Windows [4]
• Howto port knocking sul Linux User Group di Perugia [5]
Note
[1] http:/ / www. portknocking. org/
[2] http:/ / www. linuxjournal. com/ article/ 6811
[3] http:/ / portknocko. berlios. de/
[4] http:/ / www. areanetworking. it/ esempio-di-topologia-complessa. html
[5] http:/ / www. ptlug. org/ wiki/ Howto_port_knocking
Privoxy 142
Privoxy
Privoxy
Sviluppatore [1]
Privoxy Developers
S.O. Multipiattaforma
Linguaggio C
Privoxy è un programma di proxy web, spesso usato in combinazione con Tor e Squid. Ha funzionalità di filtro per
la protezione della privacy, per la modifica dei dati delle pagine web, per la gestione dei cookies, per il controllo
degli accessi, e per la rimozione selettiva di contenuti come annunci, banner e pop-up. Può essere personalizzato e
può essere usato sia per sistemi stand-alone che per reti multi-utente.
Il programma è un progetto associato di Software in the Public Interest e si basa sull'Internet Junkbuster; è rilasciato
con licenza GNU General Public License. È disponibile per sistemi GNU/Linux, Windows, Mac OS X, OS/2,
AmigaOS, BeOS e la maggior parte delle varianti Unix. Quasi tutti i browser web sono in grado di usarlo.
Privoxy combinato con Tor viene utilizzato anche in tutto il mondo per aggirare la censura di Internet.
Voci correlate
• Proxy server
Collegamenti esterni
• privoxy.org [2]
• Privoxy su Sourceforge [3]
Note
[1] http:/ / www. privoxy. org/ user-manual/ copyright. html
[2] http:/ / www. privoxy. org/
[3] http:/ / sourceforge. net/ projects/ ijbswa
Procedura GIANOS 143
Procedura GIANOS
Il GIANOS (generatore indici di anomalia per operazioni sospette) è una procedura informatica di selezione delle
operazioni potenzialmente sospette diffusa nelle banche. È stata realizzata da un gruppo di lavoro interbancario
coordinato dall'ABI con il supporto di esperti legali, informatici, organizzativi e statistici. Attualmente è in uso la
versione 1.006 e presto sarà operativa la versione 1.007 completa di una extention relativa ai generatori di profili di
rischio antiriciclaggio (GIANOS 2007 GPR)
Protezione
Protezione ha diversi significati a seconda del contesto.
Informatica
Nell'informatica la protezione consiste nel prevenire, attraverso opportuni controlli a tempo di esecuzione, che
vengano eseguite operazioni illegittime sugli oggetti di un sistema.
I meccanismi di protezione vengono usati per due scopi distinti:
• come prevenzione dagli errori dovuti ai guasti, e in questo caso si parla di tolleranza ai guasti;
• come salvaguardia da condotte maliziose, per garantire principalmente la confidenzialità, l'integrità e la
disponibilità delle informazioni, e in questo caso si parla di sicurezza informatica.
Per le finalità della sicurezza informatica sono fondamentali sia le tecniche usate per la tolleranza ai guasti, sia
tecniche aggiuntive come la crittografia e l'autenticazione.
Meccanismo di protezione
Il compito di un meccanismo di protezione è quello di verificare che ogni volta che un certo soggetto (ad esempio un
modulo di elaborazione) invoca una operazione su un certo oggetto (ad esempio una struttura dati), esista in
quell'istante un diritto che gli consente tale comportamento.
Nel caso in cui il diritto esiste, l'operazione verrà eseguita, altrimenti verrà generata un'eccezione di violazione di
protezione.
In un sistema di protezione un tale meccanismo è presente a tutti i livelli di astrazione dell'architettura,
eventualmente utilizzando i meccanismi dei livelli sottostanti.
Elettrotecnica
In elettrotecnica la protezione è quel dispositivo che evita la folgorazione della persona o per la protezione dei
carichi o linee annesse. Di queste protezioni esistono molte forme e variabili a seconda del tipo di servizio e utilità.
Telecomunicazioni
Nelle reti di telecomunicazione, il termine protezione indica quei meccanismi di intervento automatico o
semi-automatico che garantiscono la continuità della trasmissione a fronte di guasti o degradi dei nodi della rete, del
mezzo trasmissivo o del segnale trasmesso.
Protezione 144
Sicurezza
Nel campo della sicurezza le misure di protezione servono a ridurre le conseguenze di un incidente (incendio,
allagamento, crollo, ecc.) nel momento in cui si verifica. A differenza delle misure di prevenzione che riducono la
probabilità di accadimento di un evento, esse non riducono le occasioni di incidente ma ne contengono
esclusivamente le conseguenze e ne limitano i danni (a persone e cose).
Nel campo della sicurezza antincendio si distinguono in:
• Misure di protezione passiva, che non richiedono l'azione dell'uomo o l'azionamento di un impianto:
• adeguate compartimentazioni e porte antincendio;
• uscite di sicurezza, vie d'esodo, scale protette e a prova di fumo;
• adeguata segnaletica di sicurezza
• Misure di protezione attiva, che richiedono l'intervento umano o l'azionamento di un impianto:
• impianti di rilevamento incendi e di allarme;
• estintori, idranti, naspo, reti sprinkler;
• luci di emergenza;
• presidi e attrezzature antincendio;
• adeguata squadra di emergenza e di pronto soccorso;
Pagine correlate
• Protezione della memoria, per quanto riguarda il meccanismo di protezione al livello di astrazione dei processi
• Affidabilità
Requisiti di protezione
Per una base di dati, i requisiti di protezione rispetto agli attacchi sono:
• Protezione da accessi impropri;
• Protezione da inferenza;
• Integrità della base di dati: uso di tecniche di backup e recovery del sistema operativo e del DBMS;
• Integrità semantica: uso di vincoli semantici e di software del tipo concurrency manager del DBMS
• Accountability e auditing;
• Autenticazione degli utenti;
• Identificazione, protezione e gestione dei dati sensibili;
• Protezione multilivello, adatta per basi di dati altamente sensitive, quali quelle militari e governative, in cui i dati
sono etichettati e gli utenti identificati e autorizzati mediante clearance;
• Sconfinamento: si tratta di confinare i programmi all’esecuzione entro precisi domini di esecuzione in modo che
gli eventuali danni siano limitati a quel dominio. Si attuano per evitare il trasferimento di informazioni lungo
canali autorizzati (ad esempio, nella scrittura di variabili condivise fra moduli software), canali di memoria (sia
centrale sia di massa, ad esempio monitorando quando l’I/O sta svolgendo un programma si possono inferire
Protezione del database 145
informazioni), canali covert (si tratta di canali di flusso dati di cui i gestori, o i progettisti di sistema, sono a
conoscenza; ad esempio, flussi di dati tra zone di memoria, che si scoprono solamente mediante una tecnica
apposita detta covert channel analysis).
Controlli di sicurezza
I controlli per una base di dati, rispetto agli attacchi, sono principalmente i seguenti:
• Controlli di flusso. Si tratta di controllare le sequenze di operazioni del tipo READ X, WRITE Y che avvengono
da un oggetto X (supponiamo autorizzato) verso un oggetto Y (supponiamo non autorizzato). Infatti, il valore
contenuto in X viene copiato in Y.
• Controlli di inferenza. Con operazioni di assegnamento tipo Y = f(X), in cui l’ insieme di dati Y (supponiamo non
autorizzato) è ricavato applicando la funzione f all’insieme X (supponiamo autorizzato). Si possono allora
verificare tre tipi di inferenza: accesso diretto, dati correlati, dati mancanti.
• Controlli di accesso. Sono i tipi di controllo più diffusi per applicativi e dati e si basano sul controllo dell’identità
dei soggetti, della modalità di accesso della richiesta (ad esempio scrittura, lettura), e dell’oggetto cui il soggetto
chiede di accedere. Le modalità di accesso vengono anche dette privilegi di accesso e privilegi amministrativi, che
permettono ad alcuni soggetti speciali di concedere e revocare privilegi di accesso alle risorse. I privilegi
amministrativi vengono realizzati pressoché tutti in sistemi mediante le due operazioni GRANT e REVOKE.
I meccanismi di controllo dell’accesso sono parte del sistema operativo, del DBMS e di alcuni pacchetti add-on per
la sicurezza, quali RACF o TOP-SECRET che, aggiunti al sistema operativo, permettono un controllo dell’accesso
alle risorse più specifico. Questi controlli, se opportunamente personalizzati in un sistema, permettono di attuare
varie politiche di controllo di accessi ai dati, quali la politica mondatoria, discrezionale, di autorizzazione
cooperativa ecc.
Politiche di autorizzazione
Le principali politiche di autorizzazione per una base di dati si possono riassumere come segue.
• Privilegio minimo (need-to-know): ogni soggetto possiede i minimi privilegi sulle risorse, che gli permettono di
portare avanti le proprie mansioni organizzative.
• Privilegio massimo: in ambienti in cui la condivisione di informazioni deve essere massima, questa politica
fornisce a tutti i soggetti la massima visibilità e il massimo accesso alle risorse; è nata con i primi sistemi Unix,
sistemi rivolti allo sviluppo di applicazioni (in ambiente universitario).
• Amministrazione centralizzata: esiste un unico amministratore di sistema che ha tutti i privilegi di accesso e
amministrativi sulle risorse, e che può concedere in via temporanea, alcuni privilegi ad altri soggetti su specifiche
risorse, e successivamente revocarli.
• Amministrazione decentralizzata (ownership): ogni utente è proprietario delle proprie risorse e può concedere
temporaneamente alcuni privilegi ad altri soggetti su risorse, e successivamente revocarli.
• Autorizzazione cooperativa: è necessaria l’autorizzazione da parte di più soggetti per ottenere un privilegio di
accesso.
• Amministrazione gerarchica: esistono gerarchie di amministratori, ciascuno responsabile di una porzione della
base di dati, collegati fra loro da privilegi GRANT/REVOKE di amministrazione.
• Sistemi chiusi/aperti: in un sistema chiuso tutti i privilegi che non sono esplicitamente autorizzati sono negati,
mentre in un sistema aperto a tutti i privilegi che non sono esplicitamente negati sono autorizzati. I sistemi chiusi
forniscono un maggior grado di sicurezza e sono più adatti per basi di dati con requisiti di protezione elevati.
• Controllo di accesso discrezionale: i soggetti possiedono l’ownership degli oggetti da loro creati e possono
concedere e revocare a loro discrezione alcuni privilegi ad altri soggetti;
• Controllo di accesso obbligatorio: i soggetti non possono propagare i privilegi di accesso. I controlli sono rigidi e
basati sulla etichettatura dei dati (labeling) e sull’assegnamento di clearance.
Protezione del database 146
Modelli di sicurezza
I modelli di sicurezza o più propriamente di autorizzazione per le basi di dati, servono per esprimere formalmente le
politiche di protezione di un dato sistema e verificare alcune proprietà di sicurezza che devono essere rispettate dal
sistema che si implementa. I modelli si distinguono in due categorie:
• modelli discrezionali, per sistemi con politiche di propagazione privilegi e di ownership (GRANT/REVOKE);
• modelli mandatori, per sistemi con dati altamente sensitivi. Sono caratterizzati da soggetti con clearance, oggetti
con etichettatura (label), procedure per la gestione sicura di classificazioni ed etichettature (uso di software
trusted).
Protezione del database 147
Distribuzione e sicurezza
La distribuzione dei dati può avvenire mediante partizionamento dei dati orizzontale e/o verticale, oppure mediante
replicazione dei dati. I vantaggi della distribuzione sono una maggiore disponibilità e affidabilità del sistema e
migliori tempi di accesso ai dati. Altri aspetti della distribuzione e quindi della sicurezza, sono:
• molteplicità di amministratori locali;
• eterogeneità e sicurezza.
Protocollo AAA
In telematica, e in particolare nelle reti di telecomunicazione o di computer, un protocollo AAA è un protocollo che
realizza le tre funzioni di autenticazione (authentication), controllo degli accessi (authorization) e tracciamento del
consumo delle risorse da parte degli utenti (accounting).
L'espressione protocollo AAA non si riferisce dunque a un particolare protocollo ma a una famiglia di protocolli che
offrono, anche in modi diversi, i servizi citati.
Requisiti
• (EN)RFC 2194 Review of Roaming Implementations
• (EN)RFC 2477 Criteria for Evaluating Roaming Protocols
• (EN)RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model
• (EN)RFC 2903 Generic AAA Architecture
• (EN)RFC 2904 AAA Authorization Framework
• (EN)RFC 2905 AAA Authorization Application Examples
• (EN)RFC 2906 AAA Authorization Requirements
• (EN)RFC 3169 Criteria for Evaluating Network Access Server Protocols
• (EN)RFC 3539 AAA Transport Profile
Protocollo Kerberos
Kerberos è un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di
comunicare su una rete informatica insicura provando la propria identità e cifrando i dati. Kerberos previene
l'intercettazione e i replay attack, e assicura l'integrità dei dati. I suoi progettisti mirarono soprattutto ad un modello
client-server, e fornisce una mutua autenticazione — sia l'utente che il fornitore del servizio possono verificare
l'identità dell'altro.
Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.
Storia e sviluppo
Il Massachusetts Institute of Technology (MIT) sviluppò Kerberos per proteggere i servizi di rete forniti dal Project
Athena. Il protocollo fu battezzato come il personaggio mitologico Cerbero, che nella mitologia greca era il cane a
tre teste posto a guardia dell'Ade. Ci sono diverse versioni del protocollo; le versioni dalla 1 alla 3 furono utilizzate
solo all'interno del MIT.
Steve Miller e Clifford Neuman, i principali sviluppatori di Kerberos versione 4, pubblicarono questa versione alla
fine degli anni Ottanta, anche se era stata sviluppata principalmente per il Project Athena.
La versione 5, progettata da John Kohl e Clifford Neuman, venne formalizzata nella RFC 1510 nel 1993 (resa
obsoleta dalla RFC 4120 nel 2005), con l'intenzione di risolvere i limiti e i problemi di sicurezza della versione 4.
Il MIT mette a disposizione una implementazione di Kerberos libera, sotto una licenza simile alla BSD
Le autorità degli USA classificarono Kerberos come arma e ne vietarono l'esportazione poiché utilizzava l'algoritmo
di crittazione DES (con chiavi da 56 bit). Una implementazione di Kerberos non statunitense, KTH-KRB [1]
sviluppata in Svezia, rese il sistema disponibile anche al di fuori degli Stati Uniti, prima che questi cambiassero la
propria legge sull'esportazione degli algoritmi crittografici (attorno al 2000). L'implementazione svedese del
protocollo era basata su una versione di Kerberos detta eBones. eBones era basata sulla versione MIT Bones (in
pratica una versione di Kerberos priva delle funzioni crittografiche e delle loro chiamate) ricavata da Kerberos 4
patchlevel 9. L'australiano Eric Young, autore di diverse librerie crittografiche, reinserì le chiamate alle funzioni
crittografiche utilizzando la propria libreria libdes. Questa versione limitata di Kerberos fu chiamata eBones. Una
implementazione della versione 5 di Kerberos, Heimdal [2], fu rilasciata essenzialmente dallo stesso gruppo che creò
KTH-KRB.
Windows 2000, Windows XP e Windows Server 2003 usano una variante di Kerberos come sistema predefinito di
autenticazione. Alcune aggiunte di Microsoft a Kerberos sono documentate nella RFC 3244 "Microsoft Windows
2000 Kerberos Change Password and Set Password Protocols" (trad.: "Protocolli Kerberos di impostazione
password e cambio password in Microsoft Windows 2000"). Anche Mac OS X di Apple utilizza Kerberos sia nella
versione client sia in quella server.
Nel 2005 il gruppo di lavoro su Kerberos dello IETF ha aggiornato le specifiche [3]. Recenti aggiornamenti
includono:
• "Encryption and Checksum Specifications" (trad.: "Specifiche di crittazione e calcolo checksum") (RFC 3961)
• "Advanced Encryption Standard (AES) Encryption for Kerberos 5" (trad.: "Crittazione con AES in Kerberos 5")
(RFC 3962),
• Una nuova edizione delle specifiche di Kerberos 5 "The Kerberos Network Authentication Service (V5)" (trad.:
"Servizio Kerberos per l'Autenticazione su Reti") (RFC 4120). Questa versione rende obsoleta la RFC 1510,
chiarifica alcuni aspetti del protocollo e il suo utilizzo in modo più dettagliato e chiaro,
• Una nuova edizione delle specifiche per GSS-API (RFC 4121)
Protocollo Kerberos 150
Descrizione
Kerberos si basa sul protocollo di Needham-Schroeder. Utilizza una terza parte affidabile per centralizzare la
distribuzione delle chiavi detta Key Distribution Center (KDC), che consiste di due parti separate logicamente:
l'Authentication Server (AS) e il Ticket Granting Server (TGS). Kerberos funziona utilizzando dei "biglietti" (detti
ticket) che servono per provare l'identità degli utenti.
L'AS mantiene un database delle chiavi segrete; ogni entità sulla rete — che sia un client o un server — condivide la
chiave segreta solo con l'AS. La conoscenza di questa chiave serve per provare l'identità di un'entità. Per
comunicazioni tra due entità, Kerberos genera una chiave di sessione, che può essere utilizzata dai due terminali per
comunicare.
Utilizzi
Il seguente software è in grado di usare Kerberos per l'autenticazione:
• OpenSSH (con Kerberos 5 o successivo)
• NFS (a partire dalla versione NFSv4)
• PAM (con il modulo pam_krb5)
• SOCKS (a partire da SOCKS5)
Il protocollo
Il protocollo può essere definito come segue utilizzando la notazione per protocolli di sicurezza, dove Alice (A) si
autentica presso Bob (B) usando il server S:
La sicurezza del protocollo si basa fortemente sui timestamp T e sui tempi di vita L come indicatori affidabili della
creazione recente della comunicazione per evitare replay attack (vedi logica BAN).
È importante notare come il server S qui stia sia come Authentication Service (AS) che come Ticket Granting
Service (TGS).
Operazioni di Kerberos
Quella che segue è una descrizione semplificata del protocollo. Saranno utilizzate le seguenti abbreviazioni: AS =
Authentication Server, TGS = Ticket Granting Server, SS = Service Server.
In breve: il client si autentica presso AS che gli fornisce un ticket di sessione per accedere a TGS, si autentica presso
TGS e riceve il ticket per aprire una sessione di comunicazione con SS.
In dettaglio:
Protocollo Kerberos 151
Client: Autenticazione AS
1. Il client manda un messaggio non crittato all'AS richiedendo i servizi per l'utente. ("L'utente XYZ vorrebbe
richiedere dei servizi"). Né la chiave segreta né la password vengono inviate all'AS.
2. L'AS controlla se il client è nel suo database. Se lo è invia due messaggi al client:
• Messaggio A: Chiave di sessione client-TGS crittata usando la chiave segreta dell'utente.
• Messaggio B: Ticket-Granting Ticket (che include l'identificativo del client, l'indirizzo di rete, il tempo di
validità del ticket e la chiave di sessione client-TGS) crittata utilizzando la chiave segreta di TGS.
3. Quando il client riceve i messaggi A e B, decritta il messaggio A ottenendo la chiave di sessione client-TGS.
Questa chiave è utilizzata per le successive comunicazioni con TGS. (Nota: il client non può decrittare il
Messaggio B, che è stato crittato con la chiave segreta di TGS). A questo punto il client possiede i mezzi per
autenticarsi presso TGS.
Client: Autenticazione SS
1. Ricevendo i messaggi E e F dal TGS, il client può autenticarsi presso il SS. Il client si connette al SS e invia i
seguenti due messaggi:
• Messaggio G: Ticket client-server crittato usando la chiave segreta di SS.
• Messaggio H: un nuovo autenticatore, che include l'identificativo del client, il timestamp e è crittato usando la
chiave di sessione client-server.
2. Il server decritta il ticket usando la sua chiave segreta e invia il seguente messaggio al client per confermare la
propria identità e la volontà di fornire il servizio al client:
• Messaggio I: il timestamp trovato nell'autenticatore incrementato di uno, crittato utilizzando la chiave di
sessione client-server.
3. Il client decritta la conferma usando la chiave di sessione client-server e controlla che il timestamp sia
correttamente aggiornato. Se lo è, il client può considerare affidabile il server e iniziare a effettuare le richieste di
servizio.
4. Il server fornisce i servizi al client.
Protocollo Kerberos 152
Voci correlate
• Single sign-on
• SPNEGO
• S/Key
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Kerberos
Collegamenti esterni
• Pagina di Kerberos del MIT [4]
• FAQ di Kerberos [5]
• Tutorial Kerberos [6]
• Kerberos 5 - autenticazione utente [7]
Bibliografia
• B. Clifford Neuman e Theodore Ts'o, Kerberos: An Authentication Service for Computer Networks, IEEE
Communications, 32(9) pp33–38. Settembre 1994. [8]
• John T. Kohl, B. Clifford Neuman, e Theodore Y. T'so, The Evolution of the Kerberos Authentication System.
Distributed Open Systems, pp78–94. IEEE Computer Society Press, 1994. [9] (Formato postscript)
Note
[1] http:/ / www. pdc. kth. se/ kth-krb/
[2] http:/ / www. pdc. kth. se/ heimdal/
[3] http:/ / www. ietf. org/ html. charters/ krb-wg-charter. html
[4] http:/ / web. mit. edu/ kerberos/
[5] http:/ / www. faqs. org/ faqs/ kerberos-faq/ general/
[6] http:/ / www. zeroshell. net/ kerberos/
[7] http:/ / xoomer. alice. it/ sigma83/ kerberos5/ index. html
[8] http:/ / gost. isi. edu/ publications/ kerberos-neuman-tso. html
[9] ftp:/ / athena-dist. mit. edu/ pub/ kerberos/ doc/ krb_evol. PS
RADIUS 153
RADIUS
RADIUS (Remote Authentication Dial-In User Service) è un protocollo AAA (authentication, authorization,
accounting) utilizzato in applicazioni di accesso alle reti o di mobilità IP. RADIUS è attualmente lo standard
de-facto per l’autenticazione remota, prevalendo sia nei sistemi nuovi che in quelli già esistenti.
0 1 2 3
0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Code | Identifier | Length |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| |
| Authenticator |
| |
| |
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
| Attributes...
+-+-+-+-+-+-+-+-+-+-+-+-+-
Funzionamento
L’intero processo ha inizio quando un client crea un pacchetto RADIUS Access-Request, includendo almeno gli
attributi User-Name e User-Password, e generando il contenuto del campo identificatore. Il processo di generazione
del campo identificatore non è specificato nel protocollo RADIUS, ma è solitamente implementato come un
semplice contatore incrementato ad ogni richiesta.
Il campo authenticator contiene una Request-Authenticator, ovvero una stringa di 16 byte scelta in modo casuale.
L'intero pacchetto è trasmesso in chiaro, a parte per l’attributo User-Password, che è protetto nel modo seguente: il
client e il server condividono una chiave segreta. Tale chiave viene unita con la Request Authenticator, e l'intera
stringa viene sottoposta a una funzione hash MD5 per la creazione di un valore di 16 ottetti, sottoposto a sua volta a
RADIUS 154
un XOR con la password immessa dall’utente (e se tale password è più lunga di 16 ottetti, vi è un calcolo MD5
addizionale, utilizzando il testo cifrato anziché la Request Authenticator).
Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il client. In caso negativo, il
pacchetto viene silenziosamente ignorato. Poiché anche il server è in possesso del segreto condiviso, è possibile
utilizzare una versione modificata del processo di protezione del client per ottenere la password in chiaro. Quindi il
server consulta il database per convalidare username e password; se la password è valida, il server crea un pacchetto
Access-Accept da rimandare al client. In caso contrario, crea un pacchetto Access-Reject e lo invia al client.
Entrambi i pacchetti Access-Accept e Access-Reject utilizzano lo stesso valore identificatore del pacchetto
Access-Request del client, e hanno una Response Authenticator nel campo Authenticator. La Response
Authenticator è la funzione hash MD5 del pacchetto di risposta con l’associata Request Authenticator, concatenata
con il segreto condiviso.
Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una precedente richiesta utilizzando
il campo identificatore. Se non esiste alcuna richiesta con lo stesso identificatore, la risposta è silenziosamente
ignorata. Quindi il client verifica la Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed
infine comparando il risultato con il campo Authenticator. Se la Response Authenticator non coincide, il pacchetto è
silenziosamente ignorato.
Se il client riceve un pacchetto Access-Accept verificato, username e password sono considerati corretti, e l’utente è
autenticato. Se invece riceve un pacchetto Access-Reject verificato, username e password sono scorretti, e di
conseguenza l’utente non è autenticato.
Utilizzo di RADIUS
RADIUS è un protocollo ampiamente utilizzato negli ambienti distribuiti. È comunemente usato per dispositivi di
rete integrati come router, server modem, switch ecc., per svariate ragioni:
• I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con informazioni di
autenticazione distinte, poiché questo richiederebbe molta più memoria di massa di quanta ne possiedano la
maggior parte di essi.
• RADIUS facilita l’amministrazione utente centralizzata, che è importante per diverse applicazioni. Molti ISP
hanno decine di migliaia, centinaia di migliaia o anche milioni di utenti, aggiunti e cancellati di continuo durante
una giornata, e le informazioni di autenticazione cambiano costantemente. L’amministrazione centralizzata degli
utenti è un requisito operativo.
• RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione
remota offrono una protezione intermittente, inadeguata o addirittura inesistente.
• Un supporto RADIUS è quasi onnipresente. Altri protocolli di autenticazione remota non hanno un consistente
supporto da parte dei fornitori di hardware, quando invece RADIUS è uniformemente supportato. Poiché le
piattaforme sulle quali è implementato RADIUS sono spesso sistemi integrati, vi sono limitate possibilità di
supportare protocolli addizionali. Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una
compatibilità minima con client e server RADIUS preesistenti (e non modificati).
Nonostante ciò, è stato messo a punto un nuovo protocollo, DIAMETER, candidato a rimpiazzare RADIUS: utilizza
infatti TCP anziché UDP ed è di conseguenza considerato più sicuro ed affidabile.
RADIUS 155
Standard
Il protocollo RADIUS è definito in:
• RFC 2865 Remote Authentication Dial In User Service (RADIUS)
• RFC 2866 RADIUS Accounting
Altre RFC rilevanti sono:
• RFC 2548 Microsoft Vendor-specific RADIUS Attributes
• RFC 2607 Proxy Chaining and Policy Implementation in Roaming
• RFC 2618 RADIUS Authentication Client MIB
• RFC 2619 RADIUS Authentication Server MIB
• RFC 2620 RADIUS Accounting Client MIB
• RFC 2621 RADIUS Accounting Server MIB
• RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS
• RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support
• RFC 2868 RADIUS Attributes for Tunnel Protocol Support
• RFC 2869 RADIUS Extensions
• RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices
RADIUS 156
Collegamenti esterni
• (EN) An Analysis of the RADIUS Authentication Protocol [1]
• (EN) List of RADIUS attributes [2]
• (EN) The History of the RADIUS Server [3]
Note
[1] http:/ / www. untruth. org/ ~josh/ security/ radius/ radius-auth. html
[2] http:/ / www. freeradius. org/ rfc/ attributes. html
[3] http:/ / www. interlinknetworks. com/ resources. htm
Voci correlate
• Recovery Time Objective (RTO)
• Disaster recovery
• Tolleranza ai guasti
Recovery Time Objective 157
Ridurre l'RTO
Un'utile misura per la riduzione dell'RTO consiste nell'avere dei backup dei dati disponibili integralmente su siti
secondari qualora il sito primario risulti danneggiato.
Voci correlate
• Business continuity
Restore
Il restore nell'informatica indica l'operazione inversa del backup.
Il backup è l'operazione di salvataggio dati da un supporto di memorizzazione di massa (hard disk, nastro magnetico,
Cd Rom, etc) ad un altro supporto di memorizzazione di massa. Quando, in seguito ad errori umani o guasti
hardware, i dati presenti sul primo supporto non sono accessibili, il recupero (restore) dei dati salvati (backup)
permette di ricostruire la situazione iniziale.
Risk Assessment 158
Risk Assessment
All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si è passati dalla
figura del "computer security technologist" a quella del "professional risk manager" per cercare di definire quanto
sicurezza sia sufficiente a prevenire problemi indesiderabili.
Nozioni di base
Framework
Il framework era basato su diverse fasi :
• Analisi delle minacce : si valutano potenziali minacce (azioni umane, catastrofi naturali, errori involontari) e le
risorse che si vogliono proteggere.
• Analisi della vulnerabilità : si valutano le debolezze nella sicurezza che possono favorire un attacco.
• Analisi degli scenari possibili : richiede una stima accurata delle risorse, delle preoccupazioni sulla sicurezza,
delle minacce e della vulnerabilità. Questi scenari sono utilizzati, poi, nella fase di risk-management per valutare
le conseguenze e per quantificare le dimensioni del rischio.
• Test di accettabilità : si confrontano i rischi misurati per una data risorsa con le esigenze stabilite.
• Decisioni di salvaguardia : vengono prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste.
Il processo verrà poi ripetuto con i nuovi risultati di salvaguardia, facendo risultare un n uovo misuramento del
rischio per ogni risorsa. Questi "risk-measurement", con la stima dei costi di salvaguardia, sono inoltre utilizzati per
generare le analisi di costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che
implementano questo tipo di framework sono @Risk, BDSS, CRAMM.
Fallimento di ALE
La fine del modello ALE venne decretata da tre importanti motivi :
• Il meccanismo di creazione di scenari della metodologia creava una stima dei lavori di dimensioni esagerate.
• I tecnici formularono modelli completamente deterministici a causa della loro visione "binaria" della sicurezza.
• Ale dipendeva troppo dalle informazioni che erano, e restano, scarse.
Metodologie Valuation-Driven
Questo approccio è utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un
piano studiato e valutati attentamente i rischi e le risorse.
Risk Assessment 160
Best practices
Questo tipo di approccio prevede l'instaurazione di precise regole da rispettare al fine di non dover essere costretti a
fronteggiare i rischi. Viene fatta poco lavoro di analisi.
Voci correlate
Sicurezza Informatica Piano di Contingenza
S/KEY
S/KEY è un sistema one-time password sviluppato per l'autenticazione su sistemi operativi Unix-like, in particolare
dai cosiddetti 'dumb terminal' o da computer pubblici nei quali l'utente non vuole scrivere una password a lunga
scadenza. La reale password dell'utente viene combinata in un dispositivo offline con un piccolo insieme di caratteri
e un contatore decrementale in modo da formare una password monouso. Dato che la password è utilizzabile solo per
una sessione, l'utilizzo di sniffer diventa inutile.
L'insieme di caratteri non cambia finché il contatore decrementale non raggiunge lo zero. È così possibile preparare
una lista di password single-use che l'utente può portare con se. Alternativamente, l'utente può presentare la
password, i caratteri e il valore del contatore desiderato ad un calcolatore locale per generare la password appropriata
che può quindi essere trasmessa attraverso la rete in chiaro. Questa seconda opzione è la più comune e si riduce
praticamente ad una forma di autenticazione challenge-response.
S/KEY è supportato in Linux tramite PAM, OpenBSD, NetBSD e FreeBSD. Inoltre una generica implementazione
open source permette l'utilizzo su ogni altro sistema. S/KEY è un marchio commerciale di Telcordia Technologies,
conosciuta comunemente come Bell Communications Research (Bellcore).
Ci si riferisce a S/KEY anche con il nome di 'schema di Leslie Lamport', dal nome dell'autore. È stato sviluppato da
Neil Haller, Phil Karn e John Walden nei laboratori Bellcore sul finire degli anni 80. Al momento della scadenza dei
brevetti sulla crittografia a chiave pubblica e l'ampio utilizzo di SSH e altri protocolli di crittografia che possono
rendere sicura l'intera sessione, non solo la password, S/KEY è caduto in disuso. SecurID è uno schema one-time
password simile che ancora risulta ampiamente utilizzato perché, a differenza di S/KEY, fornisce autenticazione a
due fattori, richiedendo un token fisico che difficilmente può essere riprodotto.
Autenticazione
Dopo la generazione della password, l'utente ha un foglio di carta con n password. La prima è la stessa password che
il server ha memorizzato e che non sarà utilizzata per l'autenticazione. Al suo posto verrà utilizzata la seconda:
• L'utente fornisce al server la seconda password della lista e la cancella.
• Il server tenta di calcolare H(pwd) dove pwd è la password fornita. Se H(pwd) produce la prima password (quella
che il server ha memorizzato, allora l'autenticazione è corretta. Il server memorizzerà quindi pwd come referenza
per la successiva autenticazione.
Più in generale, fornendo la password i, verrà calcolata H(i) con la password memorizzata i-1.
Sicurezza
La sicurezza di S/KEY confida sulla difficoltà di invertire la funzione di hash. Si supponga che un attaccante ottenga
una password i che è stata utilizzata per una precedente autenticazione. Tale password è inutile per le autenticazioni
successive perché ogni password può essere usata una volta soltanto. Se la password i sniffata dall'attaccante fosse
l'ultima utilizzata, si potrebbe tentare di invertire la funzione di hash in modo da ottenere la prossima password. Tale
operazione risulta estremamente difficoltosa.
S/KEY è comunque vulnerabile ad un attacco man in the middle. È anche vulnerabile a certe race conditions, come
nel caso in cui un attaccante utilizzasse uno sniffer per trovare i primi N-1 caratteri per poi utilizzare rapidamente un
bruteforce per scoprire il restante carattere. Questo tipo di vulnerabilità possono essere evitate utilizzando ssh, SSL,
SPKM o un altro metodo di trasmissione crittata.
SANS
Il SANS Institute (SysAdmin, Audit, Networking, and Security) è una organizzazione dedita a fornire educazione
informatica ed addestramento in materia di sicurezza informatica. È stata fondata nel 1989. Nella loro strutturazione
originale, le Conferenze di SANS erano simili alla maggior parte delle conferenze tecniche tradizionali: incontri per
presentazioni cartacee. Dalla metà degli anni novanta, si sarebbero evolute in un forum di istruzione su argomenti di
sicurezza e audit. La maggior parte dell'istruzione disponibile è focalizzata al raggiungimento di una delle numerose
certificazioni di sicurezza GIAC.
SANS mantiene i seguenti siti Web:
• Internet Storm Center
• GIAC Security Certification [1]
• S.C.O.R.E. (Security Consensus Operational Readiness Evaluation) [2]
I docenti SANS hanno contribuito alla redazione di molti libri sulla sicurezza:
• Hackers Beware: The Ultimate Guide to Network Security (ISBN 0735710090)
• Hiding in Plain Sight : Steganography and the Art of Covert Communication (ISBN 0471444499)
• Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers,
and Intrusion Detection Systems (ISBN 0735712328)
• Malware: Fighting Malicious Code (ISBN 0131014056)
• Network Intrusion Detection (ISBN 0735712654)
• Network Intrusion Detection: An Analyst's Handbook (ISBN 0735710082)
SANS 162
Collegamenti esterni
• SANS Institute [3]
• SANS Internet Storm Center [4]
Note
[1] http:/ / www. giac. org/
[2] http:/ / www. sans. org/ score
[3] http:/ / www. sans. org/
[4] http:/ / isc. sans. org/
Security descriptor
I security descriptor (in italiano: descrittori di sicurezza) sono strutture che forniscono informazioni di sicurezza
per gli oggetti dei sistemi operativi Windows; questi oggetti sono identificati da un nome univoco. I Security
Descriptor possono essere associati ad ogni tipo di oggetto (file, cartelle, chiavi di registro e altro) e contengono
anche informazioni sul proprietario dell'oggetto (l'utente creatore) e anche quali utenti possono avere accesso
all'oggetto e in che modo (lettura, lettura/scrittura, esecuzione...).
È possibile modificare un Security Descriptor utilizzando vari strumenti come CACLS, uno strumento a riga di
comando di Windows.
Voci correlate
• Lista di controllo degli accessi (ACL)
• Audit
• Token
• CACLS
Security Management 163
Security Management
Con Security management si indicano tutte quelle attività gestionali di individuazione, valorizzazione e analisi di
un rischio che può provocare danni patrimoniali e non (furti, frodi, divulgazione di informazioni,...) in un'azienda,
ente o raggruppamento di beni e persone. La persona che si occupa di tale lavoro normalmente viene chiamato
security manager o responsabile della sicurezza.
Tipologie
Nella normalità, essendo il termine "sicurezza" capace di racchiudere molteplici eventi gestionali, si possono
distinguere tre diverse tipologie di Security Management con il relativo responsabile:
• Sicurezza patrimoniale: il loss prevention & security manager è il responsabile aziendale per la sicurezza
patrimoniale. Si occupa di tutte le attivita di vigilanza ed investigazione per far fronte alle continue perdite di
un'azienda legata a furti, frodi o truffe.
• Sicurezza informatica: il IT Security Manager è colui che deve garantire la sicurezza dei sistemi informatici in
modo da non subire attacchi da esterni con la relativa protezione delle informazioni e dei dati aziendali o da virus.
• Sicurezza sul lavoro ed ambiente: l'RSA è colui che deve garantire la vivibilità dei posti di lavoro, individuare
eventuali pericolosità e trovarne rimedio (legge 626).
Attività
L'attività viene svolta in punti ben definiti che non vadano ad incidere negativamente sulla produzione e/o il
commercio dell'azienda; sono attività che devono essere condivise da tutte le divisioni dell'azienda. Tali punti si
possono riassumere come segue:
• Valori Aziendali: individuazione del campo di attività dell'azienda e riconoscimento dei responsabili delle varie
strutture.
• Definizione degli obiettivi:
• Obiettivi strategici: non devono intralciare le strategie e le politiche aziendali.
• Obiettivi operativi: devono essere efficaci ed efficienti sul piano attuativo delle primarie attività aziendali.
• Obiettivi di conformità: devono rispettare pienamente le leggi civili e penali dello Stato e/o i regolamenti
aziendali.
• Obiettivi di reporting: deve essere assicurata una piena distribuzione e un'attività di informazione delle
politiche da emanare.
• Identificazione del problema: identificazione dei rischi.
• Risk Assestment: analisi dei rischi individuati precedentemente e valutazione del loro impatto tenedo conto dei
rischi potenziali e dei rischi effettivi.
• Risk Response: individuazione delle attività di contenimento e/o di contrasto da svolgere per la riduzione dei
rischi analizzati.
• Control Activities: stabilire e rendere pubbliche le politiche, le attività e le procedure attuative.
• Information & Communication: attività di audit interno, divulgazione e spiegazione delle procedure emanate
facendole comprendere e sentire necessarie anche a chi le deve applicare.
• Monitoring: attività di controllo continuo nell'applicazione delle procedure.
L'attività di Security Management in generale è ancora poco utilizzata all'interno delle aziende che la considerano un
costo e non un investimento, ma il trend sta cambiando.
Security Operation Center 164
Fault Management
Obiettivo principale del Fault Management è garantire il funzionamento continuo ed ottimale dell’infrastruttura di
sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. L’attività comprende:
- Il monitoraggio costante degli apparati di sicurezza del Cliente attraverso il SOC.
- Rilevazione e segnalazione Fault (apertura trouble ticket).
- Identificazione delle rispettive azioni di rimedio.
- Implementazione delle rispettive azioni di rimedio.
- Il ripristino delle configurazioni in caso di loro perdita a seguito di un fault.
Configuration Management
Obiettivo principale del Configuration Management è garantire il costante allineamento delle regole di firewalling
alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le
attività di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una
sorgente esterna ed una fonte interna (o viceversa) definite in base a:
- Indirizzo sorgente.
- Indirizzo di destinazione.
- Protocollo di rete.
- Protocollo di servizio.
- Logging del traffico.
Reporting
I Log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati
accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica è particolarmente
importante perché, oltre a fornire il dettaglio di eventuali tentatitivi di intrusione da parte di soggetti non autorizzati o
di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, può permettere al cliente di
intraprendere delle azioni preventive.
Security Alert
Il servizio di security alert è volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilità in
modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle
nuove vulnerabilità.
DDos mitigation
Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial
of Service" indirizzato verso un servizio critico facente parte dell’infrastruttura di rete di un cliente. Il compito del
servizio è quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure
necessarie per risolvere l’incidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo
di "pulitura" e di reinstradamento del traffico. Segue notifica del termine dell’attacco.
Security Operation Center 166
Security Assessment
Alcuni elementi di servizio che solitamente fanno parte delle attività di Security Assessment sono:
- Vulnerability Assessment.
- Penetration Test.
Vulnerability Assessment
Il vulnerability assessment è volto ad individuare vulnerabilità note dei sistemi e dei servizi installati sugli stessi.
Tale attività è svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni
assessment.
Penetration test
Il Penetration Test è volto ad individuare e sfruttare vulnerabilità note o ancora sconosciute dei sistemi, dei servizi e
degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilità, è in grado di
evidenziare in maniera più efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli
impatti. Tale attività è svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate
per ogni assessment, sia tramite attività manuali specifiche per ogni servizio, sistema ed applicativo analizzato.
Assistenza tecnica
In genere il SOC può fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a
problemi di funzionalità, violazioni di sistema, aggiornamento e configurazione di software e hardware per la
sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche può essere fornita da remoto o on-site a
seconda delle problematiche e del contratto stipulato tra le parti.
Voci correlate
• Sicurezza informatica
• Vulnerabilità
• Vulnerability Assessment and Mitigation
• Buffer overflow
• Exploit
• Tiger team
• Hacker
• Firewall
• Antivirus
• Polizia Postale e delle Comunicazioni
• Computer Security Incident Response Team (CSIRT) o CERT (Computer Emergency Response Team)
Security Operation Center 167
Collegamenti esterni
• Open Web Application Security Project (OWASP) [1]
• Unità di prevenzione e gestione degli incidenti informatici governativa (CERT-SPC) nel Sistema Pubblico di
Connettività (SPC) [2]
Note
[1] http:/ / www. owasp. org/ index. php/ Main_Page
[2] http:/ / www. cert-spc. it
Voci correlate
• Anomaly based intrusion detection system
Single sign-on
Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) è un sistema specializzato
che permette ad un utente di autenticarsi una sola volta e di accedere a tutte le risorse informatiche alle quali è
abilitato.
Obiettivi
Gli obiettivi sono multipli:
• semplificare la gestione delle password: maggiore è il numero della password da gestire, maggiore è la possibilità
che vengano utilizzate password simili le une alle altre e facili da memorizzare, abbassando così il livello di
sicurezza;
• semplificare la gestione degli accessi ai vari servizi;
• semplificare la definizione e la gestione delle politiche di sicurezza.
Architettura
Vi sono tre approcci per la creazione di un sistema di SSO: l'approccio centralizzato, l'approccio federativo e
l'approccio cooperativo.
Approccio centralizzato
Il principio è di disporre di un database globale e centralizzato di tutti gli utenti e di centralizzare allo stesso modo la
politica della sicurezza. Questo approccio è destinato principalmente ai servizi dipendenti tutti dalla stessa entità, per
esempio all'interno di una azienda.
Single sign-on 169
Approccio federativo
Con questo approccio differenti gestori ("federati" tra loro) gestiscono dati di uno stesso utente. L'accesso ad uno dei
sistemi federati permette automaticamente l'accesso a tutti gli altri sistemi.
Un viaggiatore potrebbe essere sia passeggero di un aereo che ospite di un albergo. Se la compagnia aerea e l'albergo
usassero un approccio federativo avrebbero un accordo reciproco sull'autenticazione dell'utente. Il viaggiatore
potrebbe ad esempio autenticarsi per prenotare il volo e essere autorizzato, in forza di quella sola autenticazione, ad
effettuare la prenotazione della camera d'albergo.
Questo approccio è stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni
gestore federato mantiene il controllo della propria politica di sicurezza.
Approccio cooperativo
L'approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori
cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l'autenticazione viene effettuata dal
gestore che ha in carico l'utente per l'accesso alla rete.
Come per l'approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica
di sicurezza. L'approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono
dipendenti da una entità, come ad esempio in università, laboratori di ricerca, amministrazioni, etc.
usando un web proxy server o installando un componente su ogni web server stabilito. Gli utenti non autorizzati,
che tentano di accedere a una risorsa, vengono deviati verso un servizio di autenticazione e ritornano solo dopo
aver effettuato con successo un single sign-on. I Cookies sono usati molto spesso per tracciare lo stato di
autenticazione dell'utente; l'infrastruttura Web-SSO estrae le informazioni dell'identificazione dell'utente dagli
stessi cookies, passandole in ogni risorsa web.
6. Kerberos è un meccanismo conosciuto alle applicazioni e serve per estrarre interamente le autenticazioni. Gli
utenti si registrano sul server Kerberos, il quale rilascia un "biglietto da visita", che il loro client software
presenterà ai server a cui loro tenteranno di accedere. Kerberos è disponibile per Unix, per Windows e per
piattaforme di elaborazione dati, ma richiede ampie modifiche al codice dell'applicazione client/server, perciò non
è usato da molte "legacy application".
7. Federation è un nuovo approccio, anche per applicazioni web, che usa un protocollo basato su degli standard che
permette a una applicazione di accertare una sola volta l'identità di un utente di servizi diversi, in modo tale da
evitare il bisogno di autenticazioni ridondanti. Gli standard per supportare Federation includono SAML e
WS-Federation (http://www-128.ibm.com/developerworks/library/specification/ws-fed).
8. Light-Weight Identity e Open ID, sotto la protezione di YADIS, offrono SSO ripartiti e decentralizzati, dove
l'identità è legata a una URL eseguita facilmente, che può essere verificata da qualsiasi server che usi uno dei
protocolli condivisi.
9. JOSSO o Java Open Single Sign-On è un'infrastruttura SSO open source basata su J2EE, che punta a trovare
una soluzione per piattaforme centralizzate di autenticazione dell'utente neutrale. JOSSO usa i servizi web per
accertare l'identità dell'utente, permettendo l'integrazione di applicazioni non-Java (cioè PHP, Microsoft ASP,
ecc.) al Servizio Single Sign-On usando il protocollo SOAP sopra il protocollo HTTP.
10. Shibboleth System è un pacchetto software opensource, basato su standard, per il we SSO tra organizzazioni o
all'interno di un'organizzazione (sistema sviluppato da Internet2).
Cenni Storici
Il primo metodo d'identificazione scientifico biometrico fu sviluppato nei laboratori del carcere di Parigi da
Alphonse Bertillon (23 aprile 1853 - 13 febbraio 1914). Bertillon era figlio dello statistico Louis Bertillon e fratello
del demografo - statistico Jacques. Nel 1870 venne nominato fotografo di servizio presso la prefettura di Parigi:
annotando tutte le caratteristiche fisiche dei detenuti, fonda così il primo laboratorio di polizia scientifica e
d’identificazione dei criminali, inventa l’antropologia giudiziaria chiamata appunto Sistema Bertillon o Bertillonage
un sistema di identificazione rapidamente adottato in tutta l’Europa continentale e inseguito anche a Londra. Il suo
metodo consisteva nella rilevazione delle misure fisiche dei detenuti in quanto l’ossatura umana non cambia più dopo
il ventesimo anno d’età ed ogni scheletro è diverso per ciascun individuo. Il nome del detenuto, le descrizioni e le
misure fisiche del corpo di un individuo (cranio, lunghezza degli arti, lunghezza delle dita e dei piedi, lunghezza del
naso, caratteristiche dell’orecchio) e una foto segnaletica, frontale e laterale dell'individuo a mezzo busto, venivano
annotate su una scheda detta "Osservazioni Antropometriche".
Sistema di riconoscimento biometrico 171
L’archivio cresce molto velocemente, è così possibile riconoscere un soggetto nuovamente arrestato che presentava
una falsa identità. Il problema maggiore che si evidenziò era per le misure, dovevano essere effettuate con grande
accuratezza, solo lo scopritore di questo sistema di classificazione era in grado di effettuare i rilievi con la dovuta
precisione. Bertillon organizzò corsi di formazione per numerosi esponenti di polizie europee a Londra e Parigi, ma
le misure prese da altri soggetti, pure addestrati erano imprecise e non così affidabili come quelle del francese. La
tecnica cadde gradualmente in disuso nel frattempo vi fu la scoperta dell'impronta digitale. Diversi sono i nomi legati
a questa invenzione[1] anche se i due nomi più significativi sono quello di Galton e di sir Henry, che impostarono in
modo sistematico la classificazione delle impronte digitali e che, all'inizio di questo secolo, contribuirono a dare alle
impronte digitali il valore criminologico che oggi ricoprono. In Italia questo metodo fu messo a punto da un
funzionario di polizia, Giovanni Gasti.
Un'autentica rivoluzione nell’utilizzo delle impronte digitali, soprattutto a fini criminologici, si è avuta una dozzina
di anni fa, quando la crescente potenza dei sistemi di elaborazione permise alla polizia americana di mettere a punto
il primo sistema AFIS - automatic fingerprint identification system. Solo grazie all'utilizzo di questo dispositivo
informatico, collegato ad un capiente database, l'impronta digitale ha raggiunto l’attuale importanza criminologica.
Introduzione
La biometria permette di stabilire che ogni individuo ha caratteristiche:
1. Universali = tutti devono averla;
2. Uniche = due o più individui non possono avere la stessa uguale caratteristica;
3. Permanenti = questa non varia nel tempo;
4. Collezionabili = deve essere misurata quantitativamente.
Caratteristiche
Le caratteristiche prese in considerazione dal sistema di riconoscimento biometrico possono essere:
Fisiologiche
• le impronte digitali,
• l’altezza,
• il peso,
• il colore e la dimensione dell’iride,
• la retina,
• la sagoma della mano,
• il palmo della mano,
• la vascolarizzazione,
• la forma dell’orecchio,
• la fisionomia del volto.
Sistema di riconoscimento biometrico 172
Comportamentali
Ossia azioni che normalmente l’individuo compie
• l’impronta vocale,
• la scrittura grafica,
• la firma,
• lo stile di battitura sulla tastiera,
• i movimenti del corpo.
Le caratteristiche fisiologiche di un individuo sono abbastanza stabili, soggette solo a piccole variazioni nel tempo,
le componenti comportamentali invece possono essere influenzate dalla situazione psicologica dell’individuo,
proprio per questo devono essere aggiornate spesso. Questo sistema vuole garantire l’unicità della persona, infatti
codici segreti e carte di identificazione verificano solo ciò che una persona conosce e/o possiede, come ad esempio
una password o un codice pin od il badge ma non l’identità della persona stessa. Le applicazioni biometriche possono
essere utilizzate da sole o integrate con altre tecnologie come ad esempio smart card, chiavi crittografiche, RFID e
firma digitale.
Verifica e identificazione
I sistemi biometrici possono operare in due diverse modalità: verifica e identificazione.
Il processo di verifica (1 to 1 matching, uno ad uno) si ha quando il soggetto dichiara la sua identità. Il sistema
quindi effettua un confronto tra l’immagine rilevata in tempo reale e quella corrispondente del template presente
nell’archivio.
L’identificazione (1 to many matching, verifica uno a molti) si ha quando l’immagine acquisita in tempo reale viene
confrontata con tutte le immagini presenti nel database del sistema e viene poi associata a quella con le
caratteristiche più simili.
Sistema di riconoscimento biometrico 173
Sicurezza e Privacy
Come per molti altri sistemi informatici provvisti di database e dati sensibili di utenti, un sistema di riconoscimento
biometrico può essere soggetto ad attacchi che possono minare uno o più dei tre requisiti classici della sicurezza
informatica ovvero la confidenzialità dei dati, l'integrità dei dati e la disponibilità dei dati minando quindi anche il
funzionamento stesso del sistema di riconoscimento.
Mercati di Applicazione
I sistemi di riconoscimento biometrico vengono utilizzati in diversi tipi di mercato, sia in ambito governativo
(Militare, Sanità, Giustizia, enti e istituzioni pubbliche) e sia in quello commerciale (turismo, trasporti, banche,
assicurazioni, hi-tech, telecomunicazioni, industria), per assicurare una maggiore sicurezza ai sistemi, alle
transazioni e alla tutela dei dati. Le applicazioni maggiormente in uso sono:
• autenticazione degli accessi fisici in locali protetti,
• sicurezza nelle transazioni finanziarie,
• prevenzione delle frodi,
• proteggere e tutelare l’attività bancaria via internet,
• identificazione di soggetti,
• sicurezza negli aeroporti,
• investigazione,
• schedatura dei criminali.
Sistema di riconoscimento biometrico 174
Note
[1] Per esempio, quello di Edward Henry.
Voci correlate
• AFIS (Sistema di identificazione automatica delle impronte digitali)
• Impronte digitali
• Edward Henry
Snort
Snort
S.O. Multi-piattaforma
SNORT è un applicativo open source con funzioni di tipo IDS distribuito con la licenza GPL.
Voci correlate
• OSSIM
Altri progetti
• Wikibooks contiene testi o manuali: http://it.wikibooks.org/wiki/Snort
Collegamenti esterni
• (EN) Sito Ufficiale [4]
• (EN) Guide all'uso di Snort [1]
• (EN) Snort Virtual Machine [2]
• (IT, EN) Snortattack Snort guide, tips and tricks [3]
Note
[1] http:/ / www. snort. org/ docs/
[2] http:/ / www. internetsecurityguru. com/
[3] http:/ / www. snortattack. org/
Social Network Poisoning 175
Introduzione
Alla stessa maniera delle "route poisoning" (che interessano le reti di telecomunicazione), le "poisoning action" sono
condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili
artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato
conseguente è la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire
a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare
profilo.
Tassonomia
Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e
sicura dell'Identità digitale, è possibile introdurre i principali strumenti di poisoning attualmente praticabili ed
ipotizzarne di nuovi in uno scenario futuro:
Strumenti attuali
• sostituzione di identità, ovvero la possibilità di impersonare un altro utente per gli scopi più vari
dall'intelligence al social engineering[5] .
• simulazione di identità[6] , la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per
fini malevoli o semplicemente per mantenere l'anonimato.
• profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i
sistemi di intelligence, impedire attività di OSINT[7] o per altre forme di vantaggio personale.
• Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri
interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale.
Strumenti futuri:
• personae / social bots[8] , creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili)
gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalità verosimile, modificando così il
"sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations
sensate sui dati.
• black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole
modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (Search engine optimization[9] )
già in uso sui motori di ricerca.
Social Network Poisoning 176
Note
[1] Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley.
[2] Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press.
[3] Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer.
[4] David Birch (2007). "Digital Identity Management", David Birch Editor.
[5] Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley.
[6] Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress.
[7] Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag.
[8] Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications.
[9] Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in
Practice)", O'Reilly Media.
Bibliografia
• Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker più famoso del mondo, Feltrinelli Editore (2005),
ISBN 8807818418
• Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing,
Ltd. (2008), ISBN 0566087731
• Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress
(2002), ISBN 1931836515
• Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications
Ltd (2011), ISBN 1847873952
• Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X
• Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI
Publishing (2007), ISBN 159904207X
• Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social
Media, Sites O'Reilly Media (2007), ISBN 1449388345
• Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071
• John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010),
ISBN 0470583894
Voci correlate
• Sicurezza Informatica
• Social engineering
• Rete sociale
• Social media
• New economy
• Identità digitale
• Hacking
• Black hat
• White hat
• Furto d'identità
• Defense Advanced Research Projects Agency
• Servizio di social network
Social Network Poisoning 177
Collegamenti esterni
• Reato falsa identità in rete (Cassazione 46674/2007) (http://www.cittadinolex.kataweb.it/article_view.
jsp?idCat=311&idArt=81355)
• Furto di identità (http://www.professionisti.it/enciclopedia/voce/2384/Furto-d_identita)
• (http://www.cnipa.gov.it/) Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA)
• (http://www.interlex.it/Testi/dlg05_82.htm) Decreto legislativo 5 marzo 2005, n. 82 Codice
dell'Amministrazione Digitale su Interlex.it
• Identity theft (http://www.identitytheft.org.uk/)
• Identity Theft Resouce Center (http://www.idtheftcenter.org/)
• Theft and Identity Fraud (Department of Justice US) (http://www.justice.gov/criminal/fraud/websites/idtheft.
html/)
• Social Media Poisoning (http://www.seomoz.org/blog/
social-media-poisoning-possibly-the-most-insiduous-negative-tactic-in-smm)
• Spy Operation on social network (http://www.guardian.co.uk/technology/2011/mar/17/
us-spy-operation-social-networks)
• HBGary and social media manipulation (http://www.infosecisland.com/blogview/
12250-HBGary-Federal-Document-on-Manipulating-Social-Media.html)
• Darpa Project & social network monitoring (http://www.wired.com/dangerroom/2011/07/
darpa-wants-social-media-sensor-for-propaganda-ops/)
• Social media & National Security (http://www.rawstory.com/rs/2011/07/20/
pentagon-looks-to-social-media-as-new-battlefield/)
• A Practical Attack to De-Anonymize Social Network Users (http://iseclab.org/papers/sonda-tr.pdf)
• A Standards-based, Open and Privacy-aware Social Web (http://www.w3.org/2005/Incubator/socialweb/
XGR-socialweb-20101206/)
• Threat of malware targeted at extracting information about the relationships in a real-world social network -
Massachusetts Institute of Technology, Cambridge (http://www.scribd.com/doc/39006379/Stealing-Reality)
• The Socialbot Network:When Bots Socialize for Fame and Money (http://lersse-dl.ece.ubc.ca/record/264/
files/ACSAC_2011.pdf)
Spam 178
Spam
Lo spamming, detto anche fare spam o spammare, è il susseguirsi
ripetuto di una parola/frase (generalmente commerciali). Può essere
attuato attraverso qualunque sistema di comunicazione, ma il più usato
è internet, attraverso messaggi di posta elettronica, chat, tag board o
forum.
Lo Spam volendo può anche definirsi una forma di flood, in quanto
ripetendo più volte un parola/frase magari in una chat crea un effetto Una cartella di messaggi spam di KMail
flood, ovvero lo scorrere veloce delle righe. anche detto in gergo
flooddare.
I Monty Python prendono in giro la carne in scatola Spam per Spam (carne in scatoletta)
l'assidua pubblicità che la marca era solita condurre. Nel periodo
immediatamente successivo alla seconda guerra mondiale, questo alimento costava poco ed era parte integrante della
dieta della famiglia tipica inglese, specialmente nella prima colazione per l'English breakfast. Il contenuto e l'origine
della carne Spam era un mistero. Ma sicuramente, in un certo periodo la Spam era ovunque, da qui lo sketch dei
Pythons e successivamente l'adattamento informatico alla pubblicità non desiderata. Notate l'ambientazione dello
sketch a conferma dell'epoca in questione e il livello sociale. Infatti, John Cleese, intellettuale che legge alla fine,
viene cacciato in malo modo (il personaggio in questione non è un intellettuale, bensì l'ungherese col vocabolario
pieno di sconcezze, protagonista di un altro famoso sketch dei Monty Python).
Si ritiene che il primo spam via email della storia sia stato inviato il 1 maggio 1978 dalla DEC per pubblicizzare un
nuovo prodotto, e inviato a tutti i destinatari ARPAnet della costa ovest degli Stati Uniti.[2]
Nella terminologia informatica le spam possono essere designate anche con il sintagma di junk-mail, che
letteralmente significa posta-spazzatura, a rimarcare la sgradevolezza prodotta da tale molestia digitale.
Scopi
Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a
proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica,
da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cioè l'individuo autore dei messaggi
spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono
spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi
programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.
Spam 179
Per definizione lo spam viene inviato senza il permesso del destinatario ed è un comportamento ampiamente
considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre
questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi
del traffico generato dall'invio indiscriminato.
Sondaggi hanno indicato che al giorno d'oggi lo spam è considerato uno dei maggiori fastidi di Internet; l'invio di
questi messaggi costituisce una violazione del contratto "Acceptable Use Policy" (condotta d'uso accettabile) di
molti ISP e pertanto può portare all'interruzione dell'abbonamento (account) del mittente. Un gran numero di
spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come
nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Per fare questo vengono usate
informazioni anagrafiche false o rubate, in modo da ridurre ulteriormente i loro costi. Questo permette di muoversi
velocemente da un account a un altro appena questo viene scoperto e disattivato dall'ISP. Gli spammer usano
software creato per osservare connessioni Internet con scarsa sicurezza, che possono essere facilmente dirottate in
modo da immettere i messaggi di spam direttamente nella connessione dell'obiettivo con il proprio ISP. Questo rende
più difficile identificare la posizione dello spammer e l'ISP della vittima è spesso soggetto di aspre reazioni e
rappresaglie da parte di attivisti che tentano di fermare lo spammer. Entrambe queste forme di spamming "nascosto"
sono illegali, tuttavia sono raramente perseguiti per l'impiego di queste tattiche.
I mittenti di e-mail pubblicitarie affermano che ciò che fanno non è spamming. Quale tipo di attività costituisca
spamming è materia di dibattiti, e le definizioni divergono in base allo scopo per il quale è definito, oltre che dalle
diverse legislazioni. Lo spamming è considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati è
soggetto a sanzioni.
Altri termini
I termini unsolicited commercial email, UCE (email commerciale non richiesta) e unsolicited bulk email, UBE
(email non richiesta in grandi quantità) sono usati per definire più precisamente e in modo meno gergale i messaggi
e-mail di spam. Molti utenti considerano tutti i messaggi UBE come spam, senza distinguere il loro contenuto, ma i
maggiori sforzi legali contro lo spam sono effettuati per prendere di mira i messaggi UCE. Una piccola ma evidente
porzione di messaggi non richiesti è anche di carattere non commerciale; alcuni esempi comprendono i messaggi di
propaganda politica e le catene di Sant'Antonio
I costi
Lo spamming è a volte definito come l'equivalente elettronico della posta-spazzatura (junk mail). Comunque, la
stampa e i costi postali di questa corrispondenza sono pagati dal mittente - nel caso dello spam, il server del
destinatario paga i costi maggiori, in termini di banda, tempo di elaborazione e spazio per immagazzinamento. Gli
spammer usano spesso abbonamenti gratis, in modo tale che i loro costi siano veramente minimi. Per questa ricaduta
di costi sul destinatario, molti considerano questo un furto o un equivalente di crimine. Siccome questa pratica è
proibita dagli ISP, gli spammer spesso cercano e usano sistemi vulnerabili come gli open mail relay e server proxy
aperti. Essi abusano anche di risorse messe a disposizione per la libera espressione su internet, come remailer
anonimi. Come risultato, molte di queste risorse sono state disattivate, negando la loro utilità agli utenti legittimi.
Molti utenti sono infastiditi dallo spam perché allunga i tempi che usano per leggere i loro messaggi di e-mail.
Economia
Siccome lo spam è economico da inviare, un ristretto numero di spammer può saturare Internet con la loro
spazzatura. Nonostante solo un piccolo numero dei loro destinatari sia intenzionato a comprare i loro prodotti, ciò
consente loro di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per una azienda rispettabile una via
economicamente non attuabile per fare business, è sufficiente per gli spammer professionisti convincere una piccola
porzione di inserzionisti ingenui che è efficace per fare affari.
DNSBL
Una specifica tecnica di bloccaggio comprende le DNSBL (DNS-based blackhole lists), nella quale un server
pubblica liste di indirizzi ip, in modo che un server di posta possa essere facilmente impostato per rifiutare la posta
che proviene da questi indirizzi. Ci sono diverse liste di DNSBL, che hanno politiche diverse: alcune liste
contengono server che emettono spam, altre contengono open mail relay, altre elencano gli ISP che supportano lo
spam.
Tecniche miste
Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono più tecniche di riconoscimento dello
spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per
spam), dall'altro per aumentare l'efficienza del filtraggio. Si può quindi pensare di combinare il filtraggio per
DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare così in modo di unire i
pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.
Address munging
Un modo in cui gli spammer ottengono gli indirizzi e-mail è il setaccio del Web e di Usenet per stringhe di testo che
assomigliano a indirizzi. Perciò se l'indirizzo di una persona non è mai apparso in questi posti, non potrà essere
trovata. Un sistema per evitare questa raccolta di indirizzi è falsificare i nomi e indirizzi di posta. Gli utenti che
vogliono ricevere in modo legittimo posta riguardante il proprio sito Web o i propri articoli di Usenet possono
alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per
esempio, joe@example.net potrebbe venir modificato in joeNOS@PAM.example.net. Questo sistema è
detto address munging, dalla parola "munge" tratta dal Jargon File che significa rompere. Questo sistema,
comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che
potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.
Spam 182
Bug e Javascript
Molti programmi di posta incorporano le funzionalità di un Web browser come la visualizzazione di codice HTML e
immagini. Questa caratteristica può facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle
e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente
ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni
casi, messaggi del genere contenevano attacchi ad alcune vulnerabilità che permettevano l'installazione di
programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti
possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da
non visualizzarli di default.
Evitare di rispondere
È ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" -
come conferma che l'indirizzo è valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi
o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte
persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione
dell'indirizzo, ma comportano uno spam ancora maggiore.
Denunciare spam
Agli ISP
La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono
espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura
dell'abbonamento. Sfortunatamente, questo può essere difficile e anche se ci sono degli strumenti che possono
aiutare, non sempre sono accurati. Tre di questi servizi sono SpamCop [4],Network Abuse Clearinghouse [5] e [6]
Essi forniscono mezzi automatici o semi automatici per denunciare spam agli ISP. Alcuni li considerano imprecisi
rispetto a ciò che può fare un esperto di posta elettronica, ma molti utenti non sono così esperti.
Gli ISP spesso non mettono in atto misure preventive per impedire l'invio di spam, quali un limite massimo agli
indirizzi di posta ai quali inoltrare la stessa e-mail, e un limite dell'ordine delle migliaia di unità alla posta elettronica
inviabili in un giorno.
Talora, oltre all'accesso viene disattivata la connessione Internet. La disconnessione può essere permanente se
l'abbonamento è ADSL a IP statico, bloccando l'indirizzo IP.
Alle Autorità
Il metodo più efficace per fermare gli spammer è di sporgere reclamo alle autorità competenti. Questo richiede
maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge e pagano eventuali multe e
risarcimenti, in questo modo per loro si annulla il vantaggio economico, anzi l'azione illecita si traduce in una perdita
economica.
Le procedure da intraprendere:
[4]
1. Individuare gli indirizzi in rete da dove proviene lo spam tramite per esempio: SpamCop o Network Abuse
Clearinghouse [5]
2. Individuare lo stato dal quale è stato spedito lo spam per esempio tramite MostraIP [7]
3. Verificare se lo stato in oggetto mette a disposizione un indirizzo di posta elettronica per esempio dalle liste
pubblicate su OECD Task Force on Spam [8], Spam Reporting Adresses [9] o Spam Links [10].
Spam 183
WikiWikiWeb
Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che dà ampie possibilità a un visitatore di
modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di
un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che
impediscono la pubblicazione di determinati link proprio per arginare questo fenomeno. In molti casi lo scopo è
quello di ottenere un miglioramento della visibilità del proprio sito sui motori di ricerca.
Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo
"nofollow" che indica ai motori di ricerca di non seguire il link, le pagine vengono ripristinate alla loro versione
precedente all'intervento e in caso di reiterati inserimenti l'indirizzo IP viene bloccato in scrittura.
Messaging spam
I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il
profilo degli utenti, includendo informazioni demografiche come l'età e il sesso. Coloro che fanno pubblicità possono
impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ciò, alcuni utenti scelgono di
ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di
messaging integrato in Microsoft Windows, winpopup, che non è "MSN Messenger", ma piuttosto una funzione
progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come
delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte
provocate da un firewall comprende le porte da 135 a 139 e 445.
Usenet
Le vecchie convenzioni di Usenet definiscono erroneamente lo spamming come "eccessivo invio multiplo di
messaggi" (messaggi sostanzialmente simili la quale definizione esatta è flooding). Nei primi anni '90 ebbe luogo
una notevole controversia tra gli amministratori di server news sull'uso dei messaggi di cancellazione per il controllo
dello spam. Un messaggio di cancellazione è un'istruzione ad un server delle news per cancellare un messaggio, in
modo da renderlo inaccessibile a chi lo volesse leggere. Alcuni lo considerano un cattivo precedente, incline alla
censura, mentre altri lo ritengono uno strumento giusto per controllare la crescita del problema dello spam. In quel
periodo, dovunque il termine spam su Usenet era usato per riferirsi all'invio di messaggi multipli. Furono coniati altri
termini per comportamenti simili, come un cross-posting eccessivo o pubblicità non in tema con il manifesto del
newsgroup, comunque più recentemente anche questi casi sono stati catalogati con il termine spam per analogia al
ben più conosciuto fenomeno della posta elettronica.
Spam 184
Forum
Nei forum (o BBS) spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto
spesso è possibile caricare la medesima discussione nello stesso forum per attirare ancora più utenti. Altre volte si
intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo
caso, tuttavia, il termine più adatto sarebbe "flood".
L'utente che pratica spam nei forum, soprattutto nel secondo caso, viene tipicamente definito con il termine gergale
spammone.
Il termine è dispregiativo, un utente considerato spammone viene spesso giudicato anche inaffidabile o incompetente
dagli altri. A volte però il termine può avere un tono più scherzoso e goliardico, soprattutto nei forum dove c'è
abbastanza tolleranza nei confronti dello spam.
Blog
Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche
questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo
spammer vuole pubblicizzare, esistono due tecniche, ben più evolute: lo spammer fa uso di una sorta di
query-bombing dei sistemi multipiattaforma più noti come WordPress[11] o b2evolution[12] , attaccando i database
con l'inserimento continuo di messaggi pubblicitari. Le componenti di un blog più vulnerabili sono quindi quelle che
sono esposte all'utilizzo pubblico: i commenti (per i quali i vari creatori dei sistemi multipiattaforma forniscono con
periodicità plug-in di protezione) e gli hitlogs, ovvero il sistema di tracking dei referer (i siti che linkano la pagina in
questione).
Keyword spamming
Il keyword spamming è il termine dato all'eccessivo uso di keyword o parole chiave in una pagina web al fine di
incrementarne la visibilità per i motori di ricerca. Questa tecnica è considerata una cattiva SEO.
Le nuove tecniche ed algoritmi hanno però introdotto delle funzionalità che permettono ai motori di controllare
l'utilizzo ripetitivo degli stessi termini e quindi penalizzare i siti web che adottano questa forma di spam.
Aspetti giuridici
Lo spam è un reato in innumerevoli paesi, inquisito anche all'estero con richieste di estradizione. Tra gli spammer
più famosi, si ricordano Laura Betterly, Brian Haberstroch, Leo Kuvayevo, Jeremy Jaynes e Sanford Wallacer.
Italia
La disciplina italiana concernente l’invio di posta elettronica a fini commerciali è disciplinata dall’art. 130 Codice
Privacy, rubricato “Comunicazioni indesiderate”. L’ambito di applicazione di detto articolo è proprio quello dello
spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente
non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla
Comunità Europea) è quello dell’opt-in, che prevede la possibilità di avvalersi del trattamento dei dati personali solo
dopo aver ottenuto il consenso del soggetto interessato.
È inoltre vietato, sempre dall’art. 130 Codice Privacy, l’invio di comunicazioni a scopi pubblicitari, per la vendita
diretta o per ricerche di mercato effettuato camuffando o celando l’identità del mittente o ancora senza fornire un
idoneo recapito presso il quale l’interessato possa esercitare i propri diritti. È però prevista una deroga ai dettami di
tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dall’interessato nel contesto della
vendita di un prodotto o servizio, per l’invio di ulteriori messaggi promozionali aventi ad oggetto simili beni o
servizi, senza dover nuovamente chiederne il consenso.
Spam 185
Vi è poi nel nostro ordinamento un’ulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul
commercio elettronico. L’art. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un
prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal
momento in cui il destinatario le riceve e devono altresì contenere l’indicazione che il destinatario del messaggio può
opporsi al ricevimento in futuro di tali comunicazioni.
Va da ultimo esaminato l’impianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma
6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste
in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai
fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei
confronti di un certo indirizzo di posta elettronica.
Di ben maggiore deterrenza appare poi l’art. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non
costituisca più grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel
Codice stesso, al fine di trarne un profitto o recare ad altri un danno, è punito, se dal fatto deriva nocumento, con la
reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione
da sei a ventiquattro mesi. L’attività di spamming espone, infine, ai sensi dell’art. 161 Codice Privacy, alla sanzione
amministrativa di omessa informativa (di cui all’art 13), la quale va da un minimo di tremila euro ad un massimo di
diciottomila euro. La sanzione viene erogata dall’autorità Garante per la protezione dei dati personali a seguito di un
apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non può essere proposto se, per il
medesimo oggetto e tra le medesime parti, è già stata adita l’autorità giudiziaria.
La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche
meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a
quella giudiziaria. La prima controversia italiana avente ad oggetto attività di spamming è stata risolta dal Giudice di
Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto l’illiceità di tale attività, condannando il titolare
del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare
della casella di posta elettronica.
L’assetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data
protection, qualifica dunque il nostro come un sistema improntato al cosiddetto “opt-in” (necessità del consenso
preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di “propri prodotti
o servizi analoghi”, ispirato ad un sistema che potremmo definire di “soft opt-out”. Con particolare riferimento al
tema delle comunicazioni commerciali,, l’art. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo
integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti
ove prevede particolari limiti all’impiego di alcune tecniche di comunicazione a distanza: 1.l’impiego da parte di un
professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza l’intervento di un
operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse
da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal
fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema
pienamente assimilabile all’opt-in, il secondo è invece apertamente ispirato ai meccanismi dell’opt-out. Questa
regolamentazione comportava già alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne
derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dall’art. 58,
comma 1, del Codice del consumo? Il tema è ancora oggi fortemente dibattuto, fermi però alcuni punti di riferimento
che devono costituire i criteri guida per la soluzione di questo problema esegetico: a)si tratta di due consensi aventi
natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla
correttezza del comportamento del professionista dall’altro); b)comuni sono le sanzioni che derivano dalla violazione
delle norme, come evidentemente dimostrato dall’art. 62 del Codice del consumo, che espressamente prevede la
trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei
diritti dei consumatori, affinché il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi
Spam 186
scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben
presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virtù di quanto prima
sostenuto in tema di sanzioni debba ritenersi più significativo l’orientamento del Garante Privacy il quale, in
numerosi provvedimenti, ha dichiarato l’illegittimità di qualsiasi comunicazione non preventivamente autorizzata:
RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il
consenso preventivo degli interessati è richiesto anche per l'invio di una sola comunicazione mediante posta
elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento
di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata
volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).
Stati Uniti
Dal 1997 in poi si registra negli Stati Uniti un’intensa attività a livello legislativo statale in risposta ai problemi creati
dal crescente fenomeno della posta indesiderata.
Trentasei stati hanno emanato una legislazione ad hoc sul tema. Le previsioni legislative dei singoli stati sono le più
disparate, alcuni dispongono che vi debbano necessariamente essere informazioni atte ad identificare il mittente,
unanime è poi la previsione della possibilità per l’utente di vedere cancellato il proprio indirizzo dalla banca dati
dello spammer. Gli Stati Uniti infatti aderiscono al modello di regolazione opt-out (fatta eccezione per lo stato della
California e del Delaware), che di fatto rende lecito lo spamming ma consente all’utente di esprimere in ogni
momento la propria volontà a che cessi l’attività di spamming sulla sua casella di posta elettronica.
Altre previsioni legislative statali generalmente condivise riguardano il divieto di porre in essere, mediante lo
spamming, attività ingannevoli, falsificando alcune parti del messaggio o l’oggetto stesso. Dal momento che la quasi
totalità dei messaggi è spedita in maniera transfrontaliera all’interno della federazione, si è resa necessaria
un’armonizzazione tra le varie legislazioni. Alcune legislazioni statali contengono infatti delle previsioni atte ad
individuare l’ordinamento competente a regolare i vari casi di spamming che coinvolgono più stati.
L’intervento più significativo e uniformante però è avvenuto a livello federale, con il Can-Spam Act del 2003
(entrato in vigore il primo gennaio 2004). Con questo provvedimento si rimette al Dipartimento di Giustizia, lo FTC,
all’attourney general statale e agli ISP la facoltà di tutelare i diritti dei privati, stabilendo per coloro che violano le
previsioni dello statute (tra le quali, ancora, l’inserimento di informazioni e oggetti fuorvianti o l’omissione
dell’apposita etichetta prevista per i messaggi a contenuto sessuale) sanzioni pecuniarie fino a $ 2.000.000, con la
possibilità di triplicare la pena nel caso in cui la violazione sia stata commessa intenzionalmente e consapevolmente.
Sono previste inoltre sanzioni penali per gli spammer che inviano messaggi commerciali illeciti, a contenuto osceno,
pedo-pornografico o l’identità del cui mittente è falsa o rubata. Il Can-Spam Act prevale sulle disposizioni normative
statali, ma di fatto, è stato tacciato dalla dottrina come statute per lo più “simbolico” alla luce del suo scarso impatto
pratico.
• Sophos
• Stevtech
• SPAMfighter
• Symantec
• Antispameurope
• Abaca Technology Corporation
Note
[1] http:/ / it. youtube. com/ watch?v=anwy2MPT5RE Lo sketch originale su YouTube.
[2] http:/ / www. templetons. com/ brad/ spamreact. html Pagina che riporta le reazioni al primo spam, e una trascrizione di quest'ultimo; notare
come, non essendo in grado il programma di invio di posta elettronica di supportare più di un certo numero di indirizzi email, parte di questi
ultimi siano finiti nel corpo della mail.
[3] http:/ / www. aol. com
[4] http:/ / spamcop. net
[5] http:/ / www. abuse. net/
[6] http:/ / www. spammer. org/ spammer
[7] http:/ / www. mostraip. it/ Default. aspx
[8] http:/ / www. oecd-antispam. org/ sommaire. php3
[9] http:/ / banspam. javawoman. com/ report3. html
[10] http:/ / spamlinks. net/ track-report-addresses. htm#country
[11] WordPress › Blog Tool and Publishing Platform (http:/ / wordpress. org)
[12] b2evolution.org (http:/ / b2evolution. org)
Bibliografia
• "Diritto dell'informatica e della comunicazione", A.M. Gambino, A. Stazi, con la collaborazione di D. Mula,
Giappichelli editore, 2009 (http://www.dimt.it/Segnalazioni editoriali.html)
Voci correlate
• E-mail
• Mailbombing
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Electronic spam
• Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/Spam
Collegamenti esterni
• Trascrizione della scenetta dei Monty Python (http://www.spamterminator.it/orig_it.asp)
• Progetto Spamhaus (http://www.spamhaus.org)
• Spam Laws - Leggi sullo spam di diverse nazioni (http://www.spamlaws.com/)
• Un filtro antispam intelligente in Java (http://www2.mokabyte.it/cms/article.
run?articleId=STS-3CY-GIV-6HP_7f000001_14191084_d2ba6e6c)
Spim 188
Spim
Con l'espressione spim o messaging spam [1] [2] [3] si indica l'invio di grandi quantità di messaggi indesiderati,
generalmente commerciali, attraverso software di messaggistica in tempo reale (noti anche con l'acronimo IM cioè
instant messaging).
Applicazioni IM
Sistemi di messaggistica immediata come Yahoo! Messenger, AIM, Windows Live Messenger, Tencent QQ, ICQ,
Skype, XMPP e le chat rooms di Myspace sono tutti afflitti dallo spim. Molti di questi sistemi offrono un servizio di
directory mediante il quale si può accedere all'elenco degli utenti, comprensivo di dati sensibili quali età e sesso. Gli
spammer possono raccogliere queste informazioni, accedere al sistema e spedire messaggi non richiesti, inclusi
scam-ware, virus e collegamenti a siti truffaldini (click fraud).
Microsoft ha annunciato che la versione 9.0 di Windows Live Messenger avrà speciali caratteristiche dedicate alla
lotta allo spim.[4] In molti sistemi tuttavia gli utenti già possono bloccare la maggioranza della messaggistica
indesiderata, tramite l'uso di una white-list.
Contromisure
• Molti utenti scelgono di poter ricevere messaggi solo da persone presenti nella propria lista di contatti (white-list).
• AOL Instant Messenger (AIM) consente agli utenti di "ammonire" altri utenti. Gli ammonimenti fanno decrescere
il numero di messaggi che un utente può spedire, diminuendo lo spam; inoltre l'utente ammonito è visibile come
tale dagli altri utenti che hanno quindi una percezione immediata delle reali intenzioni dell'utente.
• Skype consente di bloccare gli utenti indesiderati.
• In ambito aziendale, lo spim è bloccabile mediante prodotti quali Akonix, ScanSafe, Symantec, e CSC.
Voci correlate
• Spam
Note
[1] CNET: Spim, splog on the rise (http:/ / www. news. com/ Spim,-splog-on-the-rise/ 2100-7349_3-6091123. html)
[2] New Scientist: Spam being rapidly outpaced by spim (http:/ / www. newscientist. com/ article/
dn4822-spam-being-rapidly-outpaced-by-spim. html)
[3] Spamfo: SPIM, your new spam (http:/ / www. spamfo. co. uk/ component/ option,com_content/ task,view/ id,153/ Itemid,2/ )
[4] Jeremy Kirk. Microsoft to clamp down on spam over IM (http:/ / www. computerworlduk. com/ technology/ security-products/ prevention/
news/ index. cfm?RSS& NewsId=6359). IDG News. URL consultato il 24 novembre 2007.
[5] Messenger Service window that contains an Internet advertisement appears (http:/ / support. microsoft. com/ kb/ 330904). Microsoft. URL
consultato il 1º dicembre 2007.
Stamping Authority
La Stamping authority è quell'ente che appone una marca temporale durante le firme di documenti elettronici e le
comunicazioni via PEC (Posta Elettronica Certificata).
Spesso la Stamping Authority è parte integrante della Certification Authority, tuttavia assolve un compito totalmente
diverso.
Il riferimento temporale usato per comunicare è UTC, concordato a livello internazionale.
Voci correlate
• Certification Authority
• UTC
Standard di sicurezza informatica 190
Storia
Gli standard di sicurezza informatica sono una recente invenzione perché oggi informazioni sensibili sono spesso
memorizzate su computer che sono collegati a Internet. Inoltre molte attività che prima erano condotte manualmente
oggi sono svolte dai computer e perciò c'è maggiore bisogno di affidabilità e sicurezza dei sistemi informatici. La
sicurezza informatica è importante anche per gli individui che devono proteggersi dal cosiddetto furto di identità. Le
aziende hanno bisogno di sicurezza perché devono proteggere i loro segreti industriali e le informazioni sui dati
personali dei clienti. Il governo inoltre ha la necessità di assicurare le sue informazioni. Questo crea particolari
critiche poiché alcuni atti di terrorismo sono organizzati e facilitati usando Internet.
Uno degli standard di sicurezza più ampiamente usati oggi è l'ISO 27002 del 2007. Questo standard deriva dallo
standard BS 7799-1, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al BS 7799-1 si
affiancava il BS 7799-2, ora a sua volta sostituito dall'ISO 27001. Quest'ultimo è la base per la certificazione, mentre
l'ISO 27002 può essere inteso come un manuale pratico (Security Code of Practice), in quanto è privo di valore
normativo. È quindi una delle svariate metodologie adottabili per soddisfare i requisiti della norma ISO 27001, anche
se sicuramente quella più naturalmente compatibile.
Negli Stati Uniti il National Institute of Standards and Technology (NIST) ha pubblicato diversi documenti speciali
per la sicurezza del cyberspazio. In particolare tre di questi: l'800-12 ("Computer Security Handbook"), l'800-14
("Generally Accepted Principals and Practices for Securing Information Technology") e la 800-26 ("Security
Self-Assessment Guide for Information Technology Systems").
ISO 27002:2007
Lo standard ISO 27002 stabilisce che la sicurezza dell'informazione è caratterizzata da integrità, riservatezza e
disponibilità. È stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard
britannico BS7799 nel 1995, anche attraverso l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo
documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni.
Il documento è organizzato in 10 aree di controllo, ogni sezione è dedicata ad una parte specifica:
• politiche di sicurezza (Security Policy):
• forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza.
• sicurezza organizzativa (Security Organization):
• controllo della sicurezza delle informazioni in seno all'azienda;
• mantenere la sicurezza e la facilità dei processi organizzativi delle informazioni anche quando accedono le
terze parti;
• monitorare la sicurezza delle informazioni quando la responsabilità dell'elaborazione dell'informazione è stata
conferita in outsource.
• controllo e classificazione dei beni (Asset Classification and Control):
Standard di sicurezza informatica 191
• mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un
appropriato livello di protezione.
• sicurezza del personale (Personnel Security):
• Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori;
• accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle
informazioni e siano dotati a sostenere la politica della società sulla sicurezza nel corso del loro lavoro
normale;
• per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti.
• sicurezza fisica e ambientale (Physical and Environmental Security):
• impedire l'accesso, il danneggiamento e l'interferenza dei non autorizzati all'interno del flusso delle
informazioni del business;
• impedire perdita, danni o l'assetto del sistema e la interruzione delle attività economiche;
• impedire la manomissione o il furto delle informazioni.
• gestione di comunicazioni e operazioni (Communications and Operations Management):
• accertarsi del corretto funzionamento e facilità di elaborazione dell'informazione;
• minimizzare il rischio di guasti dei sistemi;
• proteggere l'integrità dei software e delle informazioni;
• mantenere l'integrità e la validità dei processi di elaborazione dell'informazione e della comunicazione;
• garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto;
• prevenire danni ai beni e le interruzioni alle attività economiche;
• impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.
• controllo di accesso (Access Control):
• per controllare l'accesso alle informazioni;
• per impedire l'accesso non autorizzato ai sistemi d'informazione;
• per accertare la protezione dei servizi in rete;
• per impedire l'accesso non autorizzato nel calcolatore;
• per rilevare le attività non autorizzate;
• per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.
• sviluppo e manutenzione di sistemi (System Development and Maintenance):
• accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema;
• per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di
applicazione;
• per proteggere riservatezza, autenticità e l'integrità delle informazioni;
• per accertarsi che le attività di progetto e supporto alle attività siano condotte in modo sicuro; e) per mantenere
la sicurezza del software e dei dati di sistema.
• gestione continuità operativa (Business Continuity Management):
• neutralizzare le interruzioni alle attività economiche ed ai processi critici degli affari, dagli effetti dei guasti.
• adeguatezza (Compliance):
• evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza;
• per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.
Standard di sicurezza informatica 192
ISO 27001:2005
Lo Standard ISO 27001:2005 è una norma internazionale che fornisce i requisiti di un Sistema di Gestione della
Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Lo standard è stato
creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC
17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la
sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che
sinora è stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle
informazioni.
Vedi anche Standard_ISO_27001:2005.
NERC
Il North America Electric Reliability Council (NERC) ha creato molti standard. Quello maggiormente riconosciuto è
il NERC 1300 che è una modifica/aggiornamento del NERC 1200. La versione più recente del NERC 1300 viene
chiamata CIP-002-1 dal CIP-009-1 (dove CIP significa Critical Infrastructure Protection). Questi standard sono
utilizzato per rendere sicuri dei sistemi elettrici molto grandi sebbene il NERC abbia creato standard anche in altre
aree. Gli standard per i sistemi elettrici forniscono anche sicurezza nell'amministrazione di rete nonostante
supportino ancora i processi industriali.
Il North America Electric Reliability Council ha creato molti standard. Il più conosciuto è NERC 1300 che è una
modifica di NERC 1200. La più rencete versione di NERC 1300 è definita CIP-002/CIP-009. Questi standard sono
usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard
per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice
industriali.
NIST
1) La pubblicazione speciale 800-12 fornisce un'ampia panoramica sulla sicurezza informatica e le aree di controllo.
Inoltre pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. Inizialmente questo
documento era indirizzato al governo federale sebbene molte pratiche contenuto in questo documento possono essere
applicate anche nel settore privato. Nello specifico, era stato scritto per i responsabili, all'interno del governo
federale, della gestione di sistemi sensibili. [1]
2) La pubblicazione speciale 800-14 descrive i comuni principi di sicurezza utilizzati. Fornisce una descrizione di
alto livello di ciò che dovrebbe essere implementato all'interno di una politica di sicurezza informatica. Descrive
cosa può essere fatto per migliorare la sicurezza già esistente e come sviluppare nuove pratiche di sicurezza. In
questo documento sono descritti otto principi e quattordici pratiche. [2]
3) La pubblicazione speciale 800-26 fornisce dei consigli sulla gestione della sicurezza informatica. Questo
documento pone enfasi sull'importanza dell'auto valutazione e sulla valutazione dei rischi. [3]
Standard di sicurezza informatica 193
ISO 15408
Questo standard è stato sviluppato come test di verifica comune, viene definito in inglese Common Criteria.
Dorvrebbe permettere a molte e differenti applicazioni software di essere integrate e testate in modo sicuro. Questo
standard non fornisce una lista di requisiti di sicurezza o funzionalità che il sistema deve possedere. Al contrario
descrive solo un quadro concettuale al cui interno gli utilizzatori di un sistema informatico possono specificare i loro
requisiti di sicurezza, i produttori possono implementare e pubblicizzare le caratteristiche dei loro sistemi e i
laboratori di test possono valutare i sistemi per determinare se effettivamente soddisfano i requisiti dichiarati. In altri
termini i Common Criteria assicurano che il processo di specificazione, implementazione e valutazione di un sistema
rispetto alla sicurezza informatica venga condotto in una maniera rigorosa e standardizzata.
Note
[1] National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer
Security: The NIST Handbook, Special Publication 800-12.
[2] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce.,
Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996)
[3] Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security
Self-Assessment Guide for Information Technology Systems (800-26).
Steganografia
La steganografia è una tecnica che si prefigge di nascondere la comunicazione tra due interlocutori, infatti il termine
è composto appunto dalle parole greche στεγανός (nascosto) e γραφία (scrittura). Tracce di questa tecnica si hanno
già nell'antica Grecia: Erodoto narra l'episodio di Demarato che per avvisare i compatrioti di una possibile invasione
persiana scrive su di una tavoletta un messaggio da nascondere, poi copre la tavoletta di cera e sulla cera scrive un
messaggio innocuo. Poiché nell'antichità le tavolette di cera erano normalmente usate per scrivere testi provvisori,
non destò sospetti.[1] Per una teorizzazione completa di questa tecnica bisogna però attendere il 1499, quando la
steganografia viene teorizzata dall'abate Tritemio nell'omonimo libro.
Steganografia 194
Libri
La "Steganographia" di Tritemio si proponeva di poter inviare messaggi
tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza
l'utilizzo di simboli o messaggeri. L'opera iniziò a circolare in corrispondenze
private e suscitò reazioni così allarmate che l'autore decise di non darla alle
stampe e ne distrusse addirittura larghe parti, ritenendo che non avrebbero
mai dovuto vedere la luce. Continuò comunque a circolare in forma di minuta
e fu pubblicata postuma nel 1606[2] .
Uso
La steganografia può trovare uso in ogni forma di comunicazione, è
sufficiente che mittente e destinatario abbiano concordato un codice non
Frontespizio del primo libro sulla
vincolato ai normali simboli alfabetici. Ad esempio: Alice e Bob si accordano
steganografia
sull'uso di un sistema steganografico: il numero di virgole presente in una
singola pagina sarà tra 1 e 21, questo numero corrisponderà ad una lettera
dell'alfabeto. Qualora A e B dovessero trovarsi in un regime di comunicazione controllata, potrebbero scrivere
pagine di copertura narrando informazioni prive di valore per loro, ma facendo un uso accurato delle virgole,
riuscirebbero a nascondere il vero messaggio con questa tecnica steganografica.
Caratteristiche
La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non conosce la chiave atta ad
estrarli, mentre per la crittografia è non rendere accessibili i dati nascosti a chi non conosce la chiave. La crittanalisi
è l'attacco alla crittografia, che mira ad estrarre i dati cifrati senza chiave. L'obiettivo della steganalisi non è quindi
quello di estrarre i dati nascosti, ma semplicemente di dimostrarne l'esistenza.
Chi analizzerà S avrà davanti a sé un'immagine plausibile, e pur conoscendo l'algoritmo avrà bisogno di K per
verificare se c'è un messaggio nascosto. È sempre possibile un attacco di tipo forza bruta, avendo chiaro l'algoritmo e
il dato da forzare, come avviene nella crittografia.
In alcuni algoritmi di steganografia, K viene usato per cifrare D e non nel processo steganografico, che di
conseguenza è sempre uguale per ogni esecuzione dell'algoritmo. Essendo la sicurezza dell'algoritmo vincolata a
parametri umani, non si può generalizzare dicendo che questo approccio è insicuro, ma l'uso della chiave per finalità
crittografiche e quindi un uso della distribuzione steganografica non dipendente da chiave, può diventare una
vulnerabilità.
L'esempio portato con le immagini può essere replicato su altri dati multimediati (file audio e video), perché tutti
condividono la caratteristica di tollerare distorsioni plausibili, lasciando fruibile il contenuto originale.
Questa tecnica steganografica viene generalizzata dicendo che si basa sul rumore di fondo. Tutte quelle porzioni di
dati contenenti dettagli inessenziali per la trasmissione del contenuto possono essere utilizzate come contenitore
steganografico, una volta trovato un codice adeguato a non causare incoerenze evidenti all'analista.
Tools Steganografici
• OpenPuff: BMP, JPG, PNG, TGA, Mp3, WAV, 3gp, Mp4, MPEG-1, MPEG-2, VOB, SWF, FLV, PDF
• S-Tools: BMP, GIF, Wav, unused floppy disk space
• MP3Stego: Mp3
• Invisible Secrets: BMP, PNG, JPG, WAV, Html
• StegFS: File system steganografico
Steganalisi
La steganalisi è il processo mediante il quale è possibile dire che un dato contiene dati steganografati o fa parte di
una trasmissione steganografica.
Questa considerazione non può essere solo di carattere discreto, ma deve essere contestualizzata nell'uso e nei modi .
Distorsione
Un attacco a distorsione è portato quando la terza parte che osserva le comunicazioni può modificare il dato in modo
automatico al fine di cambiarne alcune caratteristiche. Un attacco di distorsione applicato a dei contenuti
multimediali con steganografia LSB si realizza diminuendo la definizione del contenuto: infatti qualunque tecnica
steganografica sia stata applicata, la ridefinizione dell'immagine danneggia il messaggio nascosto nel dato.
Steganografia 196
Note
[1] Nicola Cocchiaro. Steganografia (http:/ / cocchiar. web. cs. unibo. it/ steg/ intro. html). cocchiar.web.cs.unibo.it, 2005. URL consultato il 4
novembre 2011.
[2] Graziella Montemarani, op. cit., p.16
[3] http:/ / www. spammimic. com
[4] http:/ / www. delirandom. net/ 20070407/ steganalysis-attack-against-spammimic/
Voci correlate
• Watermark
• Crittografia negabile
Altri progetti
• Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/
Category:Steganography
Collegamenti esterni
• Dmoz - Tools Steganografici (http://search.dmoz.org/Computers/Security/Products_and_Tools/
Cryptography/Steganography/)
• Tritemio e la Steganografia (http://www.pazuzu.it/tritemio/)
• Esempio in C di steganografia LSB su file BMP (http://mamo139.altervista.org/index.php?tipo=c&id=100)
• Graziella Montemarani. Steganografia - L’arte della scrittura nascosta (http://www.dia.uniroma3.it/
~dispense/merola/critto/tesine/stega/stega2.pdf) (pdf). Università degli Studi Roma Tre - Dipartimento di
Informatica e Automazione, 5 giugno 2005. URL consultato il 17/08/2011.
• (LA) Testo completo della Steganographia (http://books.google.fr/books?id=bQdCAAAAcAAJ&
printsec=frontcover&dq=Johannes+Trithemius&hl=it&ei=_QQyTquxCsmLswbi0pTpBg&sa=X&
oi=book_result&ct=result&resnum=4&ved=0CDgQ6AEwAw#v=onepage&q&f=false) di Trithemius
scaricabile da Google Libri
Strong authentication 197
Strong authentication
Una autenticazione a due fattori (o autenticazione a più fattori o strong authentication) è un metodo di
autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.
Metodi di autenticazione
Per autenticarsi a sistemi digitali (es. computer o bancomat) vengono distinte tre diverse metodologie:
• "Una cosa che conosci", per esempio una password o il PIN.
• "Una cosa che hai", come un telefono cellulare, una carta di credito un oggetto fisico come un token.
• "Una cosa che sei", come una impronta digitale, la retina o l'iride, o altre caratteristiche di riconoscimento
attraverso caratteristiche uniche del corpo umano (biometria).
Strong authentication
Quando viene utilizzato più di un fattore di autenticazione si parla di strong authentication (autenticazione forte);
l'uso di un solo fattore, ad esempio la sola password, viene considerato una autenticazione debole. Una strong
authentication si basa su più fattori di autenticazione che possano tutti essere utilizzati online (ciò comporta di non
usare i fattori di tipo fisico o di utilizzarli in modo diverso).
Voci correlate
• Autenticazione
• Token
TACACS 198
TACACS
TACACS è l’acronimo di Terminal Access Controller Access Control System ed è un protocollo per
l'autenticazione e l'autorizzazione remota (non quindi AAA, in quanto manca la funzionalità di Account), nato e
usato principalmente nelle reti UNIX, progettato per la rete ARPANET. Esso permette a un server ad accesso remoto
di comunicare (nella maggior parte dei casi un NAS) con un server per autenticazione allo scopo di determinare se
l’utente ha accesso alla rete. È stato specificato nella RFC 1492.
TACACS permette ad un client avente un nome utente e una password, e di inviare una richiesta al server di
autenticazione TACACS, che viene anche chiamato TACACS Daemon o semplicemente TACACSD. Tale server è
nella maggior parte dei casi un programma eseguito in un determinato calcolatore, il quale elaborando la richiesta del
client, permette o nega l’accesso.
In questo modo il processo di decisione è di tipo aperto, cioè l’algoritmo e i dati usati per stabilire il permesso è
implementato nel TACACS daemon da parte dell’amministratore. Il protocollo solo si interessa della comunicazione
della richiesta e dell’esito della stessa.
Il protocollo sfrutta la comunicazione con pacchetti UDP, e usa di default la porta 49. I dati vengono scambiati tra
client e server attraverso i pacchetti TACACS (aventi una lunghezza tra 6 e 516 byte), che sono inseriti nel campo
dati dei pacchetti UDP. Username e password vengono inviati senza criptazione e vengono valutati in modalità
case-insensitive. [RFC 1492]
Una modifica all’originale protocollo è stata introdotta da CISCO nel 1990, con XTACACS (Extended TACACS), il
quale aggiunge la funzionalità di Accounting, rendendo quindi il protocollo di tipo AAA. Un’altra aggiunta è la
possibilità di operare con più server XTACACS, la quale aumenta la robustezza del sistema, evitando
malfunzionamenti generali dell’intera rete generati da un singolo server non funzionante.
Tecniche euristiche
Le analisi (o tecniche) euristiche sono dei tipi di analisi del computer utilizzate dai programmi antivirus per
individuare minacce sconosciute o non presenti nel database di virus dell'antivirus.
Tuttavia, questo tipo di analisi è a volte poco attendibile, se programmi normali si comportano con modalità che
secondo i parametri di comportamento dell'antivirus sono tipici dei virus (falso positivo).
Le analisi euristiche sono simili alle ricerche proattive, ma le prime, anche se meno attendibili, sono più sicure delle
seconde poiché le analisi euristiche analizzano un file solo "osservandolo", mentre le ricerche proattive lo eseguono:
cosa che potrebbe dare luogo a infezioni nella macchina.
Tiger team 199
Tiger team
Il termine Tiger Team era usato originariamente con riferimento militare per quelle squadre il cui scopo era di
penetrare la sicurezza di installazioni "amiche", e in questo modo di testare le loro misure di sicurezza.
Esempi
I loro membri sono professionisti che lasciano traccia dei loro successi, come ad es. lasciare cartelli di segnalazione
con scritto "bomba" in installazioni difensive di importanza critica, oppure note manoscritte recanti la dicitura "i
vostri codici sono stati rubati" (cosa che non fanno mai) all'interno di luoghi sicuri, ecc. Alle volte, dopo
un'intrusione portata a termine con successo, un membro della sicurezza di alto livello si presenta per un "controllo
di sicurezza", e "scopre" le tracce dell'intrusione. Successi di alto livello conseguiti dalle Tiger Teams hanno alle
volte portato a pensionamenti anticipati di comandanti di basi o ufficiali addetti alla sicurezza.
Oggi
Il termine è ormai obsoleto, ed è adesso più comune riferirsi a loro come Penetration Tester o Ethical Hacker e il
processo di valutazione di un computer o di una infrastruttura informatica come Penetration Test.
Il termine è diventato noto in Italia in seguito alle vicende sorte intorno al tigerteam di Telecom Italia, dei suoi
dirigenti Giuliano Tavaroli e Fabio Ghioni[1] e i suoi collegamenti con il cosiddetto Scandalo Telecom-Sismi.
Secondo la stampa facevano parte del tigerteam anche Andrea Pompili (l'autore di Catalypse), Rocco Lucia (messo
ai domiciliari per il caso RCS), Andrea Bodei (nipote del filosofo Remo Bodei), Roberto Preatoni (figlio del
finanziere di Sharm el-Sheikh Ernesto Preatoni). Il gruppo è indagato per intrusione informatica a danno di RCS[2] in
particolare per le intercettazioni illegali verso Massimo Mucchetti, varie responsabilità riguardo lo scandalo
Telecom-Sismi, il rapimento del Caso Abu Omar (Imam di Milano), l'istigazione al suicidio che ha causato la morte
di Adamo Bove e in Brasile per spionaggio internazionale ai danni di Kroll Inc. (agenzia investigativa privata legata
alla CIA) nel contesto della scalata di Telecom Italia a Brasil Telecom[3] .
Bibliografia
• 2007 - Massimo Mucchetti. Il Baco del Corriere. Milano, Feltrinelli, 2007 (vedi su http://www.feltrinellieditore.
it/SchedaLibro?id_volume=5000741)
• 2008 - Giorgio Boatti, Giuliano Tavaroli: Spie, 241 pp, Mondadori, Collana Frecce, ISBN 978-88-04-58072-0
• 2008 - Sandro Orlando: La repubblica del ricatto - Dossier segreti e depistaggi nell'Italia di oggi (prefazione di
Furio Colombo, 299 pp, Chiarelettere editore srl, Milano, ISBN 978-88-6190-004-2
• 2008 - Emilio Randacio: Una vita da spia - 007 si nasce o si diventa?, 182 pp, Rizzoli, Collana Futuropassato,
ISBN 978-88-17-02057-2
• 2009 - Andrea Pompili. Le Tigri di Telecom. Roma, 2009. ISBN 978-88-6222-068-2
Tiger team 200
Voci correlate
• Security Operation Center
• Hacker
• Penetration Test
• Sicurezza informatica
• Scandalo Telecom-Sismi
• Caso Abu Omar
• Caso Adamo Bove
Note
[1] Articolo sull'Espresso - Dio, patria e spioni (http:/ / espresso. repubblica. it/ dettaglio/ Dio-patria-e-spioni/ 1503447/ 16/ 0)
[2] Articolo sul Corriere - Sala Mara, il bunker delle tigri di Ghioni (http:/ / archiviostorico. corriere. it/ 2007/ gennaio/ 21/
Sala_Mara_bunker_delle_tigri_co_9_070121163. shtml)
[3] Articolo sul Corriere della Sera - Giornalisti spiati. Il Tiger team rubava email (http:/ / www. corriere. it/ Primo_Piano/ Cronache/ 2007/
01_Gennaio/ 28/ ferrarella. html)
Time Machine in esecuzione con Quick Look che mostra l'anteprima di un file
Sviluppatore Apple Inc.
Ultima versione - (2007)
S.O. Mac OS X
Genere Backup
Time Machine è un programma di backup automatico annunciato il 7 agosto 2006 da Apple Inc. durante il
Worldwide Developers Conference. Il programma è incluso con la nuova versione del sistema operativo Mac OS X
10.5 Leopard.
Time Machine crea delle copie di ogni file utente in modo che se il file dovesse venir sovrascritto o cancellato
l'utente possa tornare alla versione precedente. Il programma può recuperare la versione precedente di un singolo file
o di gruppi di file. Time Machine non funziona unicamente con i file del Finder ma è in grado di recuperare
Time Machine (software) 201
precedenti versioni di programmi. Il programma per esempio è in grado di recuperare album fotografici cancellati da
iPhoto o schede cancellate dalla Rubrica Indirizzi. Il programma effettua il backup dei file modificati ogni ora per le
ultime 24 ore. Dei backup più vecchi di un giorno viene mantenuto solo uno per la giornata al fine di non occupare
inutilmente spazio. Quindi l'utente può aver accesso alle modifiche effettuate nell'ultimo giorno con passi di un'ora o
nell'arco del periodo precedente con il passo di un backup al giorno. Quando il sistema termina lo spazio disponibile
sul disco il programma provvede a rimuovere i backup più vecchi. Time machine permette di recuperare l'intero
sistema operativo e non solo i file dell'utente. Quindi se l'utente lo desidera può utilizzare il programma per riportare
l'intero computer allo stato presente in uno dei backup o per migrare il sistema su un nuovo computer Apple.
Interfaccia grafica
Il programma è dotato di un'interfaccia grafica coreografica. Una volta selezionato l'elemento che conteneva i file da
recuperare (cartelle, programmi, ecc) si attiva il programma. Il programma fa scomparire il Finder e mostra uno
sfondo stellato che si muove, in primo piano la finestra o il programma selezionato e dietro la finestra mostra in
prospettiva le precedenti versioni temporali dell'elemento da recuperare, in fondo viene mostrato quello che sembra
una specie di nucleo stellare. A destra viene mostrata una linea del tempo scorribile, che permette di "navigare" tra le
varie copie temporali della finestra selezionata. Quindi è come se le singole finestre acquisissero una dimensione
temporale e questo spiega il nome del programma ("Time Machine" in inglese significa "macchina del tempo"). La
rappresentazione grafica del programma è ottenuta tramite il sistema Core Animation inclusa nel sistema operativo.
L'utente può utilizzare Quick Look per visualizzare i file e decidere se recuperare il file.
Tecnologia
Il programma genera per ogni backup una cartella sul volume destinato al backup. I file che non sono stati modificati
vengono collegati alle versioni precedenti con degli hard link mentre i file modificati vengono copiati integralmente.
Il programma non effettua un backup incrementale ma copia ogni volta l'intero file modificato. Quindi anche una
piccola modifica in un file costringe il sistema a effettuare una copia completa del file durante il backup. Apple ha
reso disponibili delle API per poter utilizzare Time Machine all'interno di programmi di terze parti, questa API si
chiamano Backup Core. Il programma per funzionare correttamente richiede un secondo hard disk con una partizione
non avviabile o un computer con Mac OS X Server nella rete locale.
La gestione delle revisioni a livello di file system si trova anche nei file system di OpenVMS, in Microsoft Windows
2003 e in Windows Vista.
Configurazione
Gli utenti possono modificare alcune impostazioni di Time Machine riguardanti il backup, tra le quali:
• è possibile modificare il volume dove Time Machine salverà i backup e le impostazioni
• si possono escludere alcune tipologie di file
• l'impostazione di default di Time Machine, prevede un backup ogni ora. Tuttavia, conserverà i backup orari delle
ultime 24 ore, quelli giornalieri dell'ultimo mese e quelli settimanali fino a quando non si esaurirà lo spazio su
disco. Al verificarsi di questo evento, si verrà avvisati che i backup più vecchi saranno rimossi.
• Nel keynote del 15 gennaio 2008, Jobs ha presentato Time Capsule: esteticamente simile all'AirPort Extreme,
oltre a integrare le medesime funzioni di quest'ultimo, contiene un hard disk da 1 TB o da 2 TB a seconda del
modello scelto, che permette a Time Machine di effettuare backup di qualsiasi Mac. Il backup potrà avvenire sia
via LAN che via Wi-Fi.
Time Machine (software) 202
Collegamenti esterni
• Pagina di Time Machine sul sito web Apple Italia [1]
Note
[1] http:/ / www. apple. com/ it/ macosx/ what-is-macosx/ time-machine. html
Token (sicurezza)
Un token per la sicurezza (chiamato anche token hardware, token
per l'autenticazione, token crittografico, o semplicemente token) è
un dispositivo fisico necessario per effettuare un'autenticazione
(tipicamente una autenticazione a due fattori).
Un token si presenta spesso sotto forma di dispositivo elettronico
portatile di piccole dimensioni, alimentato a batteria con autonomia
nell'ordine di qualche anno, dotato di uno schermo e talvolta di una
Token della RSA Security
tastiera numerica. Alcuni token possono essere collegati ad un
computer tramite una porta USB per facilitare lo scambio di dati.
Un token può anche essere di tipo software, ove le informazioni
necessarie risiedono direttamente nel computer dell'utente, e non in un
oggetto esterno.
Funzionamento
Un token è tipicamente un generatore di numeri pseudocasuali ad
intervalli regolari (nell'ordine di poche decine di secondi) secondo un Token della VeriSign
algoritmo che, tra i vari fattori, tiene conto del trascorrere del tempo
grazie ad un orologio interno. Altri fattori che influenzano l'algoritmo possono essere il numero di serie del token, o
altri codici numerici associati al possessore all'atto della consegna del token.
Lo stesso algoritmo è anche implementato su di un server di autenticazione, che è stato inizialmente sincronizzato
con il token e che, quindi, genera la stessa sequenza di numeri pseudocasuali del token negli stessi momenti, pur non
essendoci alcuna comunicazione tra i due oggetti.
Tale numero viene combinato con una password nota all'utente ed al sistema di autenticazione per generare una
password temporanea, o di sessione, che può essere usata per effettuare l'autenticazione entro la scadenza
dell'intervallo temporale.
Di conseguenza, la password temporanea per l'autenticazione sarà diversa in momenti diversi della stessa giornata.
L'autenticazione a due fattori è data dal fatto che per generare la password temporanea corretta è necessario:
• possedere lo specifico token che, in un dato istante, genera lo stesso numero pseudocasuale generato dal server di
autenticazione;
• conoscere la password di partenza con cui il numero va combinato.
Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza
dovrebbe non solo indovinare quella valida (cosa che presuppone la conoscenza dell'algoritmo, dei valori che lo
influenzano e anche della password nota all'utente) per il particolare istante, ma dovrebbe anche usarla prima che
essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza.
Token (sicurezza) 203
Voci correlate
• Phishing
• Keylogger
• Sniffing
Tolleranza ai guasti
La tolleranza ai guasti (o fault-tolerance, dall'inglese) è la capacità di un sistema di non subire fallimenti (cioè
intuitivamente interruzioni di servizio) anche in presenza di guasti. La tolleranza ai guasti è uno degli aspetti che
costituiscono l'affidabilità. È importante notare che la tolleranza ai guasti non garantisce l'immunità da tutti i guasti,
ma solo che i guasti per cui è stata progettata una protezione non causino fallimenti.
I controlli di protezione (che vengono effettuati a tempo di esecuzione), assieme a controlli analoghi effettuati
staticamente (come a tempo di progettazione o di compilazione), sono una metodologia molto efficace per ottenere
un'elevata robustezza (rapida rilevazione degli errori e loro confinamento) in un sistema.
La tolleranza ai guasti può portare al peggioramento di altre prestazioni, per cui nella progettazione di un sistema è
necessario trovare adeguate ottimizzazioni e compromessi.
Robustezza
La robustezza è la proprietà di quei sistemi che assicurano una rapida rilevazione degli errori e che ne consentono il
confinamento.
Studi statistici hanno mostrato che almeno due errori su tre sono dovuti a richieste illegali di operazioni su oggetti,
cioè proprio a quelle richieste che i controlli di protezione prevengono.
Esempi di applicazioni
La fault-tolerance varia per tipologia a seconda dell'aspetto al quale viene applicata e può avere tipi di
implementazione molto differenti fra loro.
Apparati elettronici
Si può andare da un semplice sistema di fault-tolerance nell'alimentazione di apparati elettronici, utilizzando un
gruppo di continuità o UPS: in caso di assenza della tensione di alimentazione, gli apparati continueranno a
funzionare per un periodo dipendente dalla capacità del sistema di backup.
Un sistema più complesso, sempre relativo alle alimentazioni degli apparati attivi, consiste nella replicazione
dell'alimentatore; se l'alimentatore principale si dovesse guastare, l'apparato continuerà a funzionare grazie ad uno o
più alimentatori posti in ridondanza. La fault-tolerance ovviamente corrisponderà al numero di alimentatori
ridondanti utilizzati nel sistema: banalmente, se un apparato dispone di tre alimentatori e si guastano tutti
contemporaneamente, l'apparato si ferma.
Tolleranza ai guasti 204
Sistemi multiprocessore
Nel campo dei microprocessori, la tecnica SMP permette di utilizzare più microprocessori contemporaneamente,
sfruttando la potenza di calcolo complessiva e, nel caso uno dei processori si dovesse fermare, il funzionamento
passerà al/ai processore/i ancora in funzione.
Voci correlate
• Protezione della memoria
• Variabile casuale esponenziale
• Triple Modular Redundancy
• Indice di fragilità
Tor (software di anonimato) 205
Ultima versione [1]
0.2.2.33 (settembre 2011)
S.O. Multipiattaforma
Linguaggio C
Tor (The Onion Router) è un sistema di comunicazione anonima per Internet basato sulla seconda generazione del
protocollo di onion routing.
Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da
volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. Originariamente
sponsorizzato dalla US Naval Research Laboratory, è stato un progetto della Electronic Frontier Foundation ed ora è
gestito da The Tor Project, una associazione senza scopo di lucro.
Panoramica
Lo scopo di Tor è quello di rendere difficile l'analisi del traffico e proteggere così la privacy, la riservatezza delle
comunicazioni, l'accessibilità dei servizi. Il funzionamento della rete Tor è concettualmente semplice: i dati che
appartengono ad una qualsiasi comunicazione non transitano direttamente dal client al server, ma passano attraverso
i server Tor che agiscono da router costruendo un circuito virtuale crittografato a strati.
Le comunicazioni via Tor sono a bassa latenza e questo lo rende adatto alla navigazione web, alla posta, instant
messaging, SSH, IRC etc. Tor supporta esclusivamente il protocollo TCP.
La rete Tor fornisce essenzialmente due servizi:
1. Connessioni anonime in uscita
2. Fornitura di servizi nascosti
Connessioni anonime
Gli utenti della rete Tor eseguono il software Tor sulla loro macchina. Questo software periodicamente negozia un
circuito virtuale attraverso più nodi Tor, fino alla destinazione finale. L'uso della crittografia a strati (per analogia
con onion, che in inglese significa cipolla), permette di ottenere una perfetta segretezza in avanti. Più in particolare,
ogni onion router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per
spedire i dati in modo sicuro, cifrandoli. In questo modo, nessun osservatore posto in un punto qualsiasi del circuito,
è in grado di conoscere l'origine o la destinazione della connessione.
Le comunicazioni tra i nodi Tor del circuito sono cifrate, tranne il tratto tra l'ultimo nodo Tor (detto exit node) e la
destinazione finale, che è normalmente in chiaro. Se la destinazione è a sua volta un relay Tor, l'intera
Tor (software di anonimato) 206
comunicazione è cifrata e sfugge all'analisi di un eventuale osservatore posto nella tratta finale del circuito.
Il software Tor fornisce un'interfaccia SOCKS tramite la quale qualsiasi software di rete che la supporti (browser
web, client IRC...) può comunicare in forma anonima, attraverso un proxy SOCKS locale configurato ad hoc, come
Polipo (software) o Privoxy.
Client
In questa configurazione normale di base, Tor gestisce unicamente le connessioni dell'utente permettendogli di
collegarsi alla rete Tor.
Middleman relay
È un nodo Tor che gestisce traffico di terzi da e per la rete Tor, senza collegarsi direttamente all'esterno. Nel caso
funga anche da client, esso gestisce anche le connessioni dell'utente, garantendo un maggiore anonimato. Tutti i relay
sono pubblicamente noti, per scelta progettuale.
Exit relay
È un nodo Tor che gestisce traffico di terzi da e per la rete Tor, e verso l'esterno. È possibile definire una exit policy
sulle connessioni in uscita all'esterno della rete Tor. Come il caso precedente, offre una protezione maggiore
all'utente che lo usi per le proprie connessioni. Come tutti i relay Tor, essi sono pubblicamente noti.
Bridge relay
I bridge relay [3] sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor
anche in presenza di un filtraggio efficace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche
dei nodi noti ma devono venire richiesti esplicitamente.
Tor (software di anonimato) 207
Problemi
L'8 settembre 2006, comincia una serie di sequestri[4] di server Tor in Germania da parte delle autorità. La
motivazione ufficiale è quella di controllare l'eventuale presenza di materiale illegale, contenuto presumibilmente in
alcuni servizi nascosti. Questo fatto costituisce il primo vero test per l'intera rete Tor.
Etiquette e abuso
Gli eventuali abusi della rete Tor vengono mitigati dalla possibilità, per ciascun nodo Tor di uscita (exit node), di
definire una politica d'uscita (exit policy) che definisca quale tipo di traffico può uscire o meno attraverso l'exit
node. Usando una combinazione di indirizzi e porte, è possibile combattere la maggior parte degli abusi. I potenziali
abusi includono:
Esaurimento della banda
È considerato scortese e improprio trasferire grandi quantità di dati attraverso la rete Tor, ad esempio con
software peer to peer, dato che gli onion router sono mantenuti da volontari che donano la propria banda.
E-mail
L'uso anonimo del protocollo SMTP (per esempio: l'email), può portare allo Spam. Di conseguenza, la politica
di uscita di default dei nodi Tor rifiuta le connessioni in uscita verso la porta 25, cioè quella usata per SMTP.
Vandalismo
Sicuri del fatto di non poter essere rintracciati, alcuni utenti Tor scrivono messaggi ritenuti impropri su Forum,
wiki, o chatroom. Come risultato, molti grandi provider di questi servizi impediscono agli utenti anonimizzati
di utilizzare i propri servizi. Wikipedia, ad esempio, inibisce la modifica delle proprie pagine agli utenti
anonimi che si collegano via Tor tramite un'estensione chiamata TorBlock. L'uso da parte di utenti registrati
resta comunque soggetto a dei limiti.
Limiti
Richieste DNS
È importante notare che molti software continuano a effettuare richieste DNS dirette, senza usare il proxy Tor. Ciò
compromette l'anonimato perché rivela ad un osservatore le richieste DNS fatte, e quindi le destinazioni delle
connessioni. Possibili soluzioni a questo problema sono l'uso di Privoxy, o del comando 'tor-resolve' fornito con Tor.
In più, le applicazioni che usano SOCKS 4a (quindi supportano le richieste basate sul nome al proxy) possono
veicolare le richieste DNS attraverso la rete anonima, e ottenere che le richieste vengano fatte dal nodo di uscita
ottenendo così lo stesso livello di anonimizzazione del resto del traffico Tor.
ISP ostile
Alcuni ipotizzano che un Internet Service Provider ostile potrebbe costruire una propria rete Tor privata e ridirigere
lì il traffico dei propri utenti Tor sorvegliandone interamente il traffico. Per evitare questo scenario di attacco tuttavia
il software Tor dell'utente contiene cablate di default le credenziali (l'indirizzo e le chiavi crittografiche) dei 7
directory authority della rete Tor[6] [7] ; al primo tentativo di collegamento in questa rete ostile l'utente avrebbe un
errore di autenticazione crittografica e non potrebbe proseguire. In questo scenario di attacco quindi l'ISP dovrebbe
anche distribuire agli utenti una propria versione modificata del software Tor, con le credenziali delle proprie
directory authority ostili. Per questo motivo il software Tor viene distribuito tramite diversi canali (il sito web
ufficiale, siti web mirror, per email) e si raccomanda la verifica dell'integrità del software tramite le firme
crittografiche dei rilasci.
Piattaforme
Tor è disponibile per Windows, Linux/BSD/Unix, Mac OS X ed è software libero basato sulla licenza BSD.
Note
[1] https:/ / blog. torproject. org/ blog/ iran-blocks-tor-tor-releases-same-day-fix
[2] https:/ / www. torproject. org/
[3] https:/ / bridges. torproject. org/
[4] Germania, crackdown contro la rete Tor (http:/ / punto-informatico. it/ p. aspx?id=1641461) da Punto Informatico
[5] Low-Cost Traffic Analysis of Tor (http:/ / www. cl. cam. ac. uk/ users/ sjm217/ papers/ oakland05torta. pdf) (PDF). 19-01-2006. URL
consultato il 21-05-2007.
[6] Tor FAQ: Key management (https:/ / www. torproject. org/ faq. html. en#KeyManagement)
[7] Tor directory protocol, version 3 (https:/ / gitweb. torproject. org/ tor. git?a=blob_plain;hb=HEAD;f=doc/ spec/ dir-spec. txt)
Voci correlate
• Anonimato
• Anonymous remailer
• Crittografia
• Freenet
• Identificazione
• Netsukuku
• Sicurezza informatica
Tor (software di anonimato) 209
Collegamenti esterni
• Sito ufficiale (https://www.torproject.org/)
• Tor Browser (https://www.torproject.org/projects/torbrowser), browser senza necessità di installazione e già
predisposto per la navigazione tramite Tor
• Check page (https://check.torproject.org/), verifica l'indirizzo IP
• TorCheck (https://torcheck.xenobite.eu/), verifica l'indirizzo IP e i potenziali problemi del browser per
l'anonimizzazione
• Tor: lezioni di guida ( 1 (http://punto-informatico.it/2070093/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 2 (http://punto-informatico.it/2099433/PI/Commenti/
cassandra-crossing-tor-lezione-teoria.aspx), 3 (http://punto-informatico.it/2104131/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 4 (http://punto-informatico.it/2110219/PI/Commenti/
cassandra-crossing-tor-lezioni-teoria-4.aspx), 5 (http://punto-informatico.it/2116209/PI/Commenti/
cassandra-crossing-tor-lezioni-server.aspx), 6 (http://punto-informatico.it/2122739/PI/Commenti/
cassandra-crossing-tor-lezioni-guida.aspx), 7 (http://punto-informatico.it/2141287/PI/Commenti/
cassandra-crossing-tor-lezione-freenet-7.aspx)) da Punto Informatico
Realizzazione di un voter
Nel caso in cui il sistema in esame da ridondare sia un sistema digitale in cui ingresso ed uscita sono costituiti da un
unico bit, si può pensare di utilizzare come voter un full-adder, che prenda in ingresso come operandi e riporto
entrante le uscite dei tre sistemi costituenti il TMR. La decisione di maggioranza sarà costituita dal bit di riporto
uscente (l'uscita relativa alla somma può essere trascurata), in quanto il segnale di riporto di un full-adder è alto
quando almeno due dei tre ingressi sono alti ed è basso quando almeno due dei tre ingressi sono bassi.
Triple Modular Redundancy 210
Voci correlate
• Tolleranza ai guasti
• Dual modular redundant
• Codici a ripetizione
Note
[1] http:/ / www. apmcsta. org/ File/ doc/ Conferences/ 6th%20meeting/ Chen%20Zhenyu. doc
[2] Sspc Mpc (http:/ / www. omnisys. se/ projects/ smart/ power-control/ sspc_mpc. htm)
[3] Actel engineers use triple-module redundancy in new rad-hard FPGA - Military & Aerospace Electronics (http:/ / mae. pennnet. com/
Articles/ Article_Display. cfm?Section=OnlineArticles& SubSection=Display& PUBLICATION_ID=32& ARTICLE_ID=111934)
[4] SEU Hardening of Field Programmable Gate Arrays (FPGAs) For Space Applications and Device Characterization (http:/ / klabs. org/
richcontent/ Papers/ Synopses/ nsrec94. htm)
[5] FPGAs in Space (http:/ / www. fpgajournal. com/ articles/ 20040803_space. htm)
[6] Commercial Microelectronics Technologies for Applications in the Satellite Radiation Environment (http:/ / radhome. gsfc. nasa. gov/
radhome/ papers/ aspen. htm)
TruPrevent Technologies
TruPrevent Technologies, sono una serie di tecnologie sviluppate da Panda Software per una protezione proattiva a
casa e nelle aziende, in opposizione ai prodotti tradizionali come gli antivirus che offrono una protezione reattiva.
Truprevent Technologies offre una generica protezione contro molte tecniche comunemente usate dal nuovo
malware, e politiche e regole sviluppate sulle nuove vulnerabilità che appaiono ogni giorno.
Collegamenti esterni
• Sito di Panda Security [1]
Note
[1] http:/ / www. pandasecurity. com/
Trusted computing 211
Trusted computing
L'espressione inglese Trusted Computing (TC, letteralmente
informatica fidata o calcolo fidato) si riferisce ad una tecnologia
nascente, derivata da specifiche del Trusted Computing Group (TCG)
– che ha ereditato quelle del Trusted Computing Platform Alliance
(TCPA) – con l'obiettivo dichiarato di rendere dispositivi come
computer o telefoni cellulari più sicuri mediante l'uso di opportuni
Il logo del Trusted Computing Group, gruppo di
hardware e software. Il raggiungimento di tale scopo viene ottenuto aziende promotore del Trusted Computing
inserendo in ogni dispositivo un chip (denominato Trusted Platform
Module o più brevemente TPM) dotato di una coppia di chiavi crittografiche (univoca per ogni chip), impossibili da
modificare anche per il proprietario, e capace di generare altre chiavi per la crittografia di dati o dispositivi[1] . La
controversia attorno a tale tecnologia nasce dal fatto che tali dispositivi sarebbero sicuri sia da manomissioni esterne
che da eventuali utilizzi, definiti impropri, dell'utente.
I principali sviluppatori di tale tecnologia sono i Membri Promotori del Trusted Computing Group, ovvero AMD,
HP, IBM, Infineon, Intel, Lenovo, Microsoft e Sun Microsystems[2] . Attualmente soltanto alcuni computer portatili
e telefoni cellulari destinati all'utenza business sono dotati del TPM, che li rende pronti per tale tecnologia, mentre
diversi produttori di schede madri rendono disponibili prodotti compatibili con l'installazione opzionale del TPM[3] .
Concetti Chiave
Alla base del Trusted Computing vi sono i meccanismi di crittografia asimmetrica. Questi vengono applicati per i
seguenti scopi:
• Ogni singolo dispositivo è identificato univocamente da una sorta di passaporto elettronico, ovvero da un numero
di serie e una chiave di cifratura
• Le informazioni possono essere cifrate con la chiave della macchina
• Le informazioni possono essere firmate con la chiave della macchina
• La cifratura delle informazioni viene eseguita a livello hardware in modalità sicura
L'implementazione di tali meccanismi avviene essenzialmente per mezzo del Trusted Platform Module (TPM), un
microchip costruito secondo le specifiche del Trusted Computing Group. Le direttive del Trusted Computing Group
specificano che esso debba essere caratterizzato principalmente da un co-processore crittografico per la crittografia
asimmetrica, un generatore di chiavi asimmetriche, un generatore di numeri casuali, un motore crittografico HMAC,
un motore crittografico SHA-1, un chip di memoria volatile per la memorizzazione di chiavi, utilizzabile anche
dall'utente e da un chip di memoria non volatile[4] .
L'unità TPM, secondo le specifiche del Trusted Computing Group, avrà cinque principali funzionalità. Ognuna ha
uno scopo diverso, anche se possono essere usate insieme. Perché siano attive, però, è necessario che anche il
software in utilizzo ne implementi il supporto. Queste caratteristiche sono:
• Endorsement Key (chiave di approvazione)
• Secure I/O (Input/Output sicuro)
• Memory curtaining (separazione della memoria)
• Sealed storage / Trusted storage (memoria sigillata / memoria fidata)
• Remote attestation (attestazione remota)
Trusted computing 212
Endorsement Key
L'integrità del sistema viene protetta da manomissioni e falsificazioni grazie a
una sofisticata tecnica crittografica che impedisce a emulatori software (ad
esempio driver) di avviare una transazione sicura con un programma, un
dispositivo hardware o un sistema remoto. Ciò sarà realizzabile mediante una
coppia di chiavi RSA a 2048 bit che identifica univocamente ogni TPM. Tale
coppia di chiavi, detta Endorsement Key (chiave di approvazione), è diversa per
ogni chip e viene generata al momento della produzione del chip. In alcuni casi,
ma non sempre, è revocabile (e dunque modificabile) solo con una password
fornita dal produttore. Il TPM è realizzato in modo che non esistano funzioni in
grado di estrarre in alcun modo tale chiave, e lo stesso dispositivo hardware
(secondo le specifiche) riconoscerà di essere stato manomesso. All'atto dell'instaurazione di una transazione sicura, i
TPM coinvolti dovranno firmare un numero casuale per certificare la loro identità e la propria adesione alle
specifiche TCG. Ciò potrà, ad esempio, impedire la falsificazione dell'IMEI di un cellulare rubato.
Le credenziali di Approvazione, Conformità e Piattaforma possono generare, su richiesta del proprietario, una
Attestation Identity Key (AIK, "chiave di attestazione dell'identità") univoca da sottoporre a una Autorità di
Certificazione Questa funzionalità potrà estendersi fino alla creazione di una vera e propria infrastruttura a chiave
pubblica (PKI) hardware e all'identificazione univoca di ogni dispositivo conforme alle specifiche TCG.
Secure I/O
Le operazioni di input/output vengono rese sicure (da qui il nome di "secure
I/O") con l'utilizzo dei meccanismi di cifratura a chiave asimmetrica. Tutte le
informazioni che transitano sui bus del sistema sono cifrate: in questo modo è
impossibile da parte di appositi programmi o meccanismi hardware carpire le
informazioni scambiate tra la tastiera e un'applicazione, tra l'applicazione e lo
schermo, ...
Sul bus di collegamento tra CPU e TPM (se esterno al processore), i dati
viaggiano sempre e comunque cifrati.
Principali indicazioni:
• Un sistema di autenticazione biometrico potrà garantire all'utente che nessun
programma spia intercetti, memorizzi e ritrasmetta i dati di accesso (impronte digitali, iride...). Vedi in seguito per
ulteriori approfondimenti.
• In infrastrutture semplici, si potrà garantire l'inefficacia di un keylogger (programma che monitora i caratteri
digitati su tastiera) a carpire le chiavi (password) di accesso al sistema.
• Si potrà impedire a programmi di cattura delle immagini visualizzate su schermo di tentare la lettura di un
CAPTCHA o il salvataggio di immagini non copiabili, ad es. protette da copia non autorizzata[5] [6] .
Trusted computing 213
Memory curtaining
Il memory curtaining (separazione della memoria) prevede che l'hardware
impedisca a ogni programma la lettura e la scrittura delle zone di memoria (lo
spazio in cui normalmente i programmi parcheggiano i dati che stanno
elaborando in quel momento) utilizzate dagli altri applicativi in esecuzione.
Nemmeno il kernel del sistema operativo sarà in grado di accedere a tali zone di
memoria, anche perché i dati in esse sono cifrati, quindi le informazioni saranno
al sicuro anche nel caso in cui un intruso riuscisse a prendere il controllo
dell'intero sistema.
Qualcosa di molto simile può essere ottenuto anche con il software, ma
l'approccio hardware fornisce una soluzione più elegante e affidabile. Questo
meccanismo può però anche rendere impossibili alcuni metodi di debugging (correzione degli errori di applicazioni
difettose).
Sealed storage
Il sealed storage (memoria sigillata), o trusted storage (memoria fidata),
protegge le informazioni per mezzo della cifratura, usando una chiave che deriva
dallo stato del sistema, ovvero dal software utilizzato e dall'hardware su cui esso
è in esecuzione. Questo significa che tali informazioni possono essere fruibili
solo con la stessa combinazione di software e hardware. Per esempio, gli utenti
che tengono un proprio diario privato sul proprio computer non vogliono che
altri programmi o altri computer siano in grado di leggerlo. Oggi, un virus
(Sircam faceva qualcosa di simile) può cercare il diario, leggerlo e inviarlo a
qualcun altro. Una volta caduto nelle mani sbagliate, anche se fosse protetto da
una password, un cracker potrebbe tentare di accedere al diario per mezzo di un
attacco basato su un dizionario. Si potrebbe accedere alle informazioni contenute nel diario dell'utente anche
modificando il software di scrittura dello stesso: usando il sealed storage, il diario viene cifrato in modo sicuro
cosicché soltanto il programma per la sua gestione (non modificato) presente in quel computer è in grado di
accedervi.
Questo metodo di cifratura dei dati impedisce anche di rimuovere un disco da un computer e utilizzarlo, con i dati in
esso contenuti, in un altro computer.
Nel trusted storage il compito di decidere chi sia autorizzato ad accedere ai dati fidati ricade sullo stesso dispositivo
di memorizzazione, e non sull'applicazione che ha creato i dati. Ciò permette ad esempio di assegnare della memoria
del disco alle applicazioni fidate di cui le altre applicazioni ignorano l'esistenza, o di creare un disco rigido i cui dati
siano leggibili solo da un certo computer. Un disco rigido trusted deve contenere un processore crittografico, per
essere in grado di garantire prestazioni elevate nella crittazione del disco, e si pone come radice ((EN): root) di una
catena di fiducia ((EN): chain of trust) in cui controlla e firma le periferiche a cui l'utente decide di garantire l'accesso
al computer[7] [8] .
Trusted computing 214
Remote attestation
La remote attestation (attestazione remota) permette a terzi di interrogare il
sistema e di conoscerne lo stato, ovvero di rilevarne le sue variazioni. In questo
modo si può evitare che informazioni riservate siano inviate da un computer
compromesso o non sicuro, o che da questo siano ricevuti comandi "pericolosi". Il
meccanismo si basa sul protocollo di Direct Anonymous Attestation, ovvero
utilizzando un certificato digitale generato dall'hardware che garantisce l'anonimità
del processo. Il sistema può presentare tale certificato ad altri sistemi remoti per
mostrare che esso non è stato compromesso.
Inoltre lo stesso server, mediante AIK e Remote Attestation, potrà distinguere se l'utente sta operando dal proprio PC
di casa o da un'altra postazione (es. imponendo un tetto massimo alle operazioni, contattando telefonicamente per
conferma) qualora egli abbia preso accordi in merito con la propria banca.
Trusted computing 217
Sostenitori e detrattori
I sostenitori del TC sono oltre 170 aziende[19] tra le più grandi dell'industria informatica mondiale, come AMD, hp,
IBM, Intel, Microsoft e Sun Microsystems e lo presentano come la soluzione per ottenere computer più sicuri,
affidabili e meno attaccabili da virus e programmi nocivi. Microsoft Windows Vista fa uso del Trusted Computing
per implementare la tecnologia BitLocker Drive Encryption per la crittografia dell'hard disk, mentre Intel ha lanciato
una tecnologia chiamata Trusted Execution Technology per garantire un avanzato supporto hardware del Trusted
Computing.
L'esercito USA richiede che tutti i suoi computer ne siano dotati[20] [21] ; dal 3 luglio 2007 tutti i computer acquistati
dal dipartimento della Difesa Americano devono essere dotati di chip TPM di versione 1.2[22] . La Commissione
Europea finanzia un progetto open source per lo sviluppo del Trusted Computing chiamato OpenTC, che lavora a
stretto contatto sia con diversi membri del gruppo, quali AMD, Hewlett-Packard e IBM, sia con importanti istituti
accademici europei, tra cui l'Università di Cambridge e il Politecnico di Torino[23] .
La più grossa critica al Trusted Computing Group viene invece dalla comunità legata al software libero. La Free
Software Foundation nei propri articoli fa spesso riferimento al Trusted Computing come "Treacherous Computing",
ovvero "informatica infìda"[24] . In Italia No1984, un gruppo il cui nome si ispira al noto romanzo di G. Orwell
"1984", si pone fermamente contro questa nuova tecnologia e, ad oggi, ha tradotto in italiano un breve filmato
divulgativo di critica al Trusted Computing[25] ed ha pubblicato vari articoli sull'argomento, assieme ad un elenco dei
computer che contengono al proprio interno un chip TPM[26] .
Critiche
Le voci critiche sul Trusted Computing sostengono che un suo effetto
indesiderabile potrebbe essere quello di imporre restrizioni immotivate
all'uso del computer da parte dei legittimi proprietari. Il livello di
fiducia e sicurezza è, infatti, garantita dall'amministratore; molti utenti
desktop non hanno tuttavia l'esperienza e le capacità d'amministrazione
necessarie per operare politiche di sicurezza efficaci sulla propria
stazione di lavoro, e le funzionalità del Trusted Computing hanno
come obiettivo quello di sopperire alle carenze tecniche del
proprietario del PC; l'implicazione denunciata dai critici è quella di
Fotogramma di un famoso video di informazione
privare il proprietario del diritto di decidere quale software usare per
contro il Trusted Computing
accedere a servizi offerti da altri computer in rete.
La disapprovazione del TC da parte di alcuni esperti di sicurezza[27] deriva dal fatto che tale tecnologia potrebbe
aumentare la capacità di controllo dei sistemi da parte dei produttori hardware e software, in maniera che essi
possano imporre quello che gli utenti hanno il diritto di fare con i propri dispositivi, e approfittarne per attuare
meccanismi che minaccerebbero la libera competizione del mercato dell'Information and Communication
Technology ed il libero sviluppo del software da parte dei singoli individui, come invece attualmente accade.
I critici inoltre sono preoccupati del fatto che non si può essere sicuri che l'hardware che implementa il TC sia
realizzato correttamente e non contenga delle backdoor (meccanismi in grado di garantire l'accesso non autorizzato a
chi ne conosce presenza e uso) o funzioni nascoste che possono rappresentare un rischio per la sicurezza del sistema
e quindi, dipendentemente dall'ambito nel quale il sistema viene utilizzato, per la riservatezza o per la sicurezza di
un'azienda o per la sicurezza nazionale. La paura nasce dal fatto che le specifiche del TC sono pubbliche ma non lo
sono le relative implementazioni. Allo stesso modo, molti sono preoccupati che i modelli crittografici ed i relativi
algoritmi utilizzati diventino obsoleti. Ciò potrebbe portare ad un'obsolescenza forzata dei computer con TC. Per
esempio, nelle nuove versioni delle specifiche TC è stato aggiunto, e richiesto, l'algoritmo crittografico AES.
Trusted computing 219
Mentre i sostenitori affermano che il Trusted Computing aumenta la sicurezza, i critici ribattono che non solo la
sicurezza non ne trarrà alcun beneficio, ma il TC faciliterà anche la realizzazione di Digital Rights Management
(DRM) di nuova generazione, lederà il diritto alla riservatezza e imporrà altre restrizioni agli utenti (legittimi
proprietari del dispositivo). Affidare la gestione dei computer in rete ad autorità di controllo piuttosto che ai singoli
individui potrebbe creare fenomeni di censura informatica. Per i critici, bisognerà dunque contrastare il Trusted
Computing con il secure computing (informatica sicura), in cui la principale preoccupazione sia quella
dell'anonimato piuttosto che della trasparenza. I sostenitori del secure computing sostengono che è possibile ottenere
della sicurezza addizionale senza passare il controllo dei computer dagli utenti a dei super-utenti.
Come risposta a ciò, i sostenitori del TC ritengono che le preoccupazioni sulla riservatezza siano prive di basi,
poiché i consumatori manterranno la scelta tra sistemi basata sulle loro necessità individuali. I sostenitori del TC
asseriscono che alcune necessità richiedano dei cambiamenti a livello hardware per permettere al computer di agire
come un sistema fidato, ricordando anche che, nel caso in cui non si intenda utilizzare tale tecnologia, il modulo
TPM è rimovibile da un computer oppure completamente disattivabile attraverso il BIOS.
C'è chi teme che Microsoft o altri produttori di software possa usare questa funzionalità per impedire a programmi di
automazione per l'ufficio come OpenOffice.org di leggere file prodotti con il pacchetto proprietario Office. La
diffusione, ad esempio, di documenti Word in Rete da parte di una Pubblica Amministrazione o azienda dove Office
è in uso da anni, costringerebbe tutti coloro che necessitano di leggere tali documenti ad acquistare una regolare
licenza del pacchetto (ed eventualmente del sistema operativo Microsoft Windows).[28] Ciò, tuttavia, seppur
Trusted computing 220
tecnicamente possibile per Microsoft, non sarebbe legale, in quanto verrebbero violate le norme antitrust, atte a
impedire il monopolio di un soggetto nel mercato.
essere ritenute più sicure grazie all'attestazione remota, questa schedatura potrebbe causare la perdita dell'aspettativa
di anonimato da parte dell'utente durante l'utilizzo di Internet.
L'unico dubbio che gli scettici si pongono è quello delle modalità di utilizzo effettive dei dati personali ottenuti,
specie in paesi come l'Italia dove la normativa sul trattamento dei dati personali è molto severa.
Owner Override
Una delle principali polemiche nasce perché il Trusted Computing protegge il sistema da tutte le interferenze,
persino dal controllo del proprietario. Una semplice soluzione a questo problema è quella di lasciare al proprietario
dell'elaboratore la possibilità di controllare queste protezioni. Questa operazione è denominata Owner Override ed
attualmente è abbozzata soltanto come un suggerimento di modifica. Prevede la possibilità da parte del proprietario
di "scavalcare" le protezioni imposte dal dispositivo TPM sui dati sensibili. Quando la Owner Override viene
attivata, l'elaboratore utilizza il percorso sicuro di I/O per assicurarsi che ci sia fisicamente una persona presente e
che tale persona sia il proprietario dell'elaboratore.
L'utente proprietario potrebbe decidere quindi di:
• impedire l'attivazione del Trusted Platform Module;
• alterare la propria identità, cioè la Attestation Identity Key;
• generare false attestazioni;
• gestire le proprie chiavi (non la Endorsement Key, ovviamente) salvate all'interno del TPM.
La prima funzionalità è disponibile su tutte le piattaforme dotate di TC. Attraverso il tool di configurazione del
BIOS, il proprietario della macchina può disattivare completamente il TPM in modo che il computer si comporti
come una macchina di vecchia generazione. Ciò potrebbe ovviamente incidere sulla possibilità di utilizzare software
che ha come requisito minimo un TPM genuino, ossia un TPM che abbia una Endorsement Key riconosciuta come
genuina dal server cui ci si vuole collegare. Con l'Attestazione Remota scavalcata, sarebbe possibile forzare
l'elaboratore a generare false attestazioni – per esempio, certificati che indicano che si sta usando Internet Explorer
quando in realtà si usa Mozilla Firefox. Invece di riportare quando il software è stato modificato, l'attestazione
remota indicherebbe al contrario quando il software è stato cambiato senza il permesso del proprietario[32] .
Alcuni membri del TCG hanno però contestato questa modifica, presentandola come la potenziale rovina del
movimento TC . L'Owner Override, se permettesse al proprietario di manipolare le informazioni di sicurezza,
farebbe cadere l'intera idea di fiducia nei confronti degli elaboratori degli altri utenti, ossia il compito stesso
dell'Attestazione Remota. La Owner Override continuerebbe a fornire tutti i benefici di sicurezza e di esecuzione
sulla propria macchina, ma perderebbe tutta la capacità di accertare che un altro proprietario non abbia modificato le
regole o le restrizioni sulla sua macchina durante le transazioni in Rete.
Voci correlate
• Trusted Computing Group
• Trusted Network Connect
• Trusted Platform Module
• Trusted Software Stack
• Sicurezza informatica
• Crittografia
Note
[1] (EN) TPM Design Principles - Specification Version 1.2 - Level 2, Revision 103 (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/
mainP1DPrev103. zip), sezione 38, "Revoke Trust"
[2] (EN) Trusted Computing Fact Sheet (https:/ / www. trustedcomputinggroup. org/ about/ FACTSHEET_revised_sept_07. pdf)
[3] Asus presenta la nuova linea di schede madri compatibili con Windows Vista (http:/ / it. asus. com/ news_show. aspx?id=5996)
[4] (EN) TCG TPM Specification Design Principles, versione 1.2, revisione 103, pagina 16 e successive (https:/ / www. trustedcomputinggroup.
org/ specs/ TPM/ mainP1DPrev103. zip)
[5] (EN) Intel ® Trusted Execution Technology Architectural Overview (http:/ / www. intel. com/ technology/ security/ downloads/
arch-overview. pdf) - Pagina 3, Protected Graphics
[6] (EN) OpenTC -D02.2 Requirements Definition and Specification (http:/ / www. opentc. net/ deliverables2006/ OTC_D02.
2_Requirements_Definition_and_Specification_update. pdf) - Pagina 90
[7] (EN) Slide sul Trusted Storage (https:/ / www. trustedcomputinggroup. org/ groups/ storage/ TCG_storage_spec_avail_slides_FINAL. pdf)
[8] (EN) The Register - Trusted Storage Specs near to completion (http:/ / www. theregister. co. uk/ 2007/ 06/ 21/
trusted_computing_drafts_hdd_security/ )
[9] (EN) Registro dei cambiamenti in Linux 2.6.13 (http:/ / www. kernel. org/ pub/ linux/ kernel/ v2. 6/ ChangeLog-2. 6. 13)
[10] Infineon Security Platform nel Sony Vaio TX3XP (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1549/
sony-vaio-tx3xp-10-ore-di-autonomia-e-tpm-12_3. html)
[11] Utility per la sicurezza nei notebook Acer (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1600/ utility-per-la-sicurezza-dei-notebook-acer_5.
html)
[12] (EN) Trusted Computing for the Java Platform (http:/ / trustedjava. sourceforge. net/ )
[13] (EN) Trousers Home Page (http:/ / trousers. sourceforge. net/ )
[14] (EN) TrustedGrub su SourgeForge.net (http:/ / sourceforge. net/ projects/ trustedgrub)
[15] (EN) Trusted Network Connect FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TNCFAQ/ )
[16] Ferguson, Niels. AES-CBC + Elephant: A Disk Encryption Algorithm for Windows Vista (http:/ / download. microsoft. com/ download/ 0/ 2/
3/ 0238acaf-d3bf-4a6d-b3d6-0a0be4bbb36e/ BitLockerCipher200608. pdf). Microsoft TechNet, August 2006
[17] (EN) Enforcer Home Page (http:/ / enforcer. sourceforge. net/ )
[18] (EN) Turaya.Crypt Device Encryption Information (http:/ / www. emscb. com/ content/ pages/ turaya. crypt. htm)
[19] (EN)https:/ / www. trustedcomputinggroup. org/ about/ members/
[20] (EN) U.S. Army requires trusted computing (http:/ / www. securityfocus. com/ brief/ 265)
[21] (EN) strategic goal n. 3 , "deliver a joint netcentric information that enables warfighter decision superiority", October 2006 (http:/ / www.
army. mil/ ciog6/ news/ 500Day2006Update. pdf)
[22] (EN)http:/ / iase. disa. mil/ policy-guidance/ dod-dar-tpm-decree07-03-07. pdf
[23] (EN) OpenTC Partners (http:/ / www. opentc. net/ index. php?option=com_content& task=view& id=5& Itemid=37)
[24] Richard Stallman - Puoi fidarti del tuo computer? (http:/ / www. gnu. org/ philosophy/ can-you-trust. it. html)
[25] Filmato di critica sul Trusted Computing (http:/ / www. no1984. org/ Trusted_Computing_movie)
[26] Hardware TC-compliant - no1984.org (http:/ / www. no1984. org/ Hardware_TC-compliant)
[27] (EN) Trusted Computing' Frequently Asked Questions - Ross Anderson (http:/ / www. cl. cam. ac. uk/ ~rja14/ tcpa-faq. html)
[28] (EN) Electronic Frontier Foundation - Meditations on Trusted Computing (http:/ / www. eff. org/ wp/ meditations-trusted-computing)
[29] (EN) Authenticated Booting, Remote Attestation, Sealed Memory aka “Trusted Computing” (http:/ / os. inf. tu-dresden. de/ Studium/ DOS/
SS2007/ 02_Booting. pdf)
[30] (EN) Digital Rights Management Demonstrator (http:/ / www. emscb. com/ download/ Turaya. FairDRM_req_design_070313. pdf) -
Requirements, Analysis, and Design
[31] Trusted Computing - The RTM and the TPM Infrastructure Group Working Activity (http:/ / www. isg. rhul. ac. uk/ files/
IY5608_-_Lecture_4_Infrastructure_WG. pdf), Royal Holloway University of London
[32] (EN) Trusted Computing: Promise and Risk (http:/ / www. eff. org/ wp/ trusted-computing-promise-and-risk) - Electronic Frontier
Foundation
[33] (EN) Cosa succede ai miei dati se il TPM si rompe? (http:/ / trousers. sourceforge. net/ faq. html#2. 3) ,Trousers FAQ
Trusted computing 223
Altri progetti
• Wikisource contiene opere originali: http://it.wikisource.org/wiki/Puoi fidarti del tuo computer?
Collegamenti esterni
Architettura
Le specifiche pubblicate dal Trusted Computing Group[4] definiscono quale dev'essere l'architettura del processore e
quali funzionalità minime esso deve offrire.
Ogni TPM deve offrire determinate minime funzioni[5] , ovvero:
• generazione di numeri pseudo-casuali;
• generazione e memorizzazione di chiavi crittografiche (RSA);
• cifratura e decifratura di informazioni con RSA;
• generazione e verifica di hash SHA1.
A tale scopo, ogni Trusted Platform Module deve essere dotato di specifiche componenti, connesse tra loro
attraverso un bus interno e capaci di interagire con il resto del calcolatore con un bus esterno. Tali componenti
devono essere i seguenti:
Dispositivo di Input/Output
Il componente di I/O deve essere in grado di gestire le comunicazioni sui bus interni ed esterni, crittografando e
decodificando le informazioni quando necessario. Deve garantire l'accesso al dispositivo in associazione col
dispositivo Opt-In.
Coprocessore Crittografico
Ogni dispositivo deve essere dotato di un processore in grado di eseguire le seguenti operazioni:
• Generazione asimmetrica di chiavi
• Crittazione e decrittazione asimmetrica
• Generazione di numeri casuali
• Hashing SHA-1
Tale processore può utilizzare anche la crittografia asimmetrica per comunicazioni interne al modulo, ma non deve
esporre dati generati con algoritmi simmetrici all'esterno dello stesso. Per l'emissione di firme digitali, viene
utilizzato l'algoritmo asimmetrico RSA con chiave di dimensione di 2048 bytes, sebbene il modulo debba supportare
anche chiavi da 512 e 1024 byte. Tali chiavi possono essere note solo al modulo o in congiunzione tra un'entità
Trusted Platform Module 225
Motore HMAC
Il motore HMAC deve essere in grado di fornire due importanti funzioni:
• Provare la correttezza dei dati di identificazione
• Provare che i dati in ingresso nel modulo sono autorizzati e non hanno subito modifiche durante la trasmissione.
A tale scopo viene utilizzato l'algoritmo crittografico HMAC con una dimensione di chiave di 20 bytes e una
dimensione di blocco dati di 64 bytes. Le peculiarità dell'algoritmo lo rendono adatto a tali scopi: HMAC utilizza
infatti una combinazione del messaggio originale e della chiave segreta per la crittografia dei dati, garantendo la
massima sicurezza.
Motore SHA-1
Il modulo deve integrare un dispositivo in grado di gestire hash SHA-1 di 160 bits di dimensione. Tali hash vengono
utilizzati per la firma digitale dei file.
Gestore di Alimentazione
Il Trusted Platform Module deve essere fornito di un componente in grado di gestire l'alimentazione del modulo e di
informare il modulo stesso sullo stato di alimentazione dei dispositivi disponibili sulla macchina in cui è installato.
Queste informazioni vengono utilizzate dal modulo per rilevare la presenza fisica di utilizzatori della macchina per
fare in modo, per esempio, che alcune specifiche operazioni sul modulo siano eseguibili solo attraverso
l'autorizzazione o, in caso di gestione remota, della presenza di un operatore.
Trusted Platform Module 226
Opt-In
Il componente Opt-In deve essere in grado di fornire i meccanismi e le protezioni necessarie per accendere,
spegnere, attivare o disattivare il TPM. È inoltre il componente deputato al controllo della presenza fisica di
operatori sulla macchina sui cui è installato il Trusted Platform Module. Il componente Opt-In deve garantire che il
modulo possa essere acceso, spento, attivato o disattivato solo da utenti che detengono il controllo del TPM, definiti
come TPM Owner, o, nel caso di Owner remoto, se vi sono operatori presenti sulla macchina.
Motore di Esecuzione
Il motore di esecuzione esegue il codice esterno, ottenuto dal modulo di Input/Output, per utilizzare le funzionalità
del Trusted Platform Module. Deve essere in grado di garantire la trasparenza delle operazioni e la protezione dei
dati sensibili.
Utilizzo
Per essere utilizzato, ogni Trusted Platform Module richiede l'utilizzo di uno specifico Trusted Software Stack,
anch'esso determinato dalle specifiche del Trusted Computing Group. Se usato insieme ad tale software, il TPM può:
• attestare l'identità e lo stato fidato della piattaforma di cui fa parte (attestazione remota);
• cifrare le informazioni che vengono inviate sui bus del sistema o salvate sulla memoria di massa (data sealing,
lett. "sigillamento dei dati", e data binding. lett. "collegamento dei dati" al TPM);
La tecnica di sealing dei dati corrisponde al salvataggio dei dati cifrati usando una chiave che dipende dallo stato del
sistema, ossia una la combinazione dell'hardware e del software in esecuzione. La decifratura degli stessi dati sarà
possibile soltanto per mezzo della stessa chiave, cioè utilizzando la stessa configurazione del sistema all'atto del
salvataggio (lo stesso hardware e lo stesso software in esecuzione).
Il binding si riferisce alla cifratura dei dati usando una chiave di approvazione detta Endorsement Key, ovvero una
chiave RSA che identifica univocamente il TPM stesso inserita nel chip durante la sua fabbricazione garantendo così
che tali dati siano decifrabili soltanto dallo stesso modulo che li ha criptati.
L'attestazione remota viene effettuata per mezzo di apposite chiavi di cifratura, dette AIK (Attestation Identity Key),
generate all'occorrenza dal TPM .In alternativa dalla versione 1.2 delle specifiche TCG per autenticarsi su rete è
possibile utilizzare il protocollo di Direct Anonymous Attestation [6] [7] , che consente l'autenticazione remota della
macchina preservando la riservatezza del sistema autenticato.
Il chip, in sostanza, ha una funzione di controllo passivo sull'hardware ed il software installato sulla macchina su cui
è presente. Per mezzo di speciali registri al suo interno, detti PCR (Platform Configuration Register), il TPM tiene
traccia dell'evoluzione dello stato del sistema, misurandolo (si tratta praticamente dell'elaborazione di un hash delle
informazioni prelevate dai dispositivi e del software in esecuzione) secondo la seguente formula
ovvero, il contenuto dell'i-esimo PCR viene aggiornato (al tempo ) con l'hash SHA1 (US Secure Hash Algorithm
[8]
1, RFC 3174 ) calcolato sul contenuto precedente dello stesso registro (al tempo ) e sulle informazioni prelevate
attualmente (al tempo ) dal sistema (all'avvio del sistema, il contenuto dei PCR è impostato a 0).
Trusted Platform Module 227
Il software (il boot loader, il sistema operativo, i programmi applicativi), realizzato opportunamente per interfacciarsi
con il TPM, potrà quindi decidere, in base alle informazioni correntemente contenute nei PCR ed in base alla propria
logica programmata, quali operazioni intraprendere.
Critiche
Molte opposizioni all'adozione di questo tipo di chip si sono levate dall'ambito del software libero e dei sostenitori
del fair use. I detrattori sostengono che tale sistema possa essere usato non solo per rendere più sicura una macchina,
anche se rimane da chiarire chi è che stabilisce le regole in base alle quali ritenere sicuro un determinato stato del
sistema, ma anche per decidere quali programmi possano accedere a certi dati, creando od amplificando una sorta di
monopolio da parte dei sostenitori del Trusted Computing. Il microchip, secondo le specifiche pubblicate dal Trusted
Computing Group, ha però solo un controllo passivo sul software, ovvero non è in grado di decidere ciò che un
utente può utilizzare; al contrario, però, un software basato sul Trusted Platform Module potrebbe decidere di non
eseguire operazioni considerate non sicure come, per esempio, la connessione a una rete considerata non affidabile.
Critiche si sono sollevate contro il sistema di attestazione remota[9] , mentre taluni ritengono che il sealing abbia
come funzione essenziale la creazione di nuovi e più efficaci sistemi di Digital Rights Management, piuttosto che
una protezione delle informazioni in sé.
Bug
Nell'ottobre 2007 è stata scoperta una falla di sicurezza basata sul buffer overflow nei servizi forniti dal modulo
TPM installati sui Notebook IBM ThinkPad che permetterebbe l'esecuzione di codice arbitrario attraverso pacchetti
HTTP[10] . IBM ha consegnato tutti i dati relativi alla falla a Lenovo[11] per la risoluzione del problema. A dicembre
2007 non sono disponibili ulteriori informazioni al riguardo.
Voci correlate
• Trusted Computing
• Trusted Computing Group
• Trusted Software Stack
• Hengzhi chip
Bibliografia
• (EN) Specifiche del Trusted Platform Module [12], versione 1.2, revisione 103
Note
[1] (EN) FAQ sul Trusted Platform Module (https:/ / www. trustedcomputinggroup. org/ faq/ TPMFAQ/ )
[2] (EN) Trusted Computing: come rendere i vostri dati e sistemi veramente sicuri (https:/ / www. trustedcomputinggroup. org/ news/ events/
pastevents/ presentations/ GovSec_Presentation_052505. pdf)
[3] Microsoft's leaner approach to Vista security (http:/ / m. news. com/ Microsofts+ leaner+ approach+ to+ Vista+ security/
2163-7355_3-5843808. html)
[4] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/
[5] (EN) Specifiche del Trusted Computing (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), versione 1.2,
revisione 103, pagine 16 e successive.
[6] (EN) Direct Anonymous Attestation (http:/ / eprint. iacr. org/ 2004/ 205. pdf)
[7] (EN) Direct Anonymous Attestation -versione ridotta (http:/ / www. zurich. ibm. com/ ~jca/ papers/ brcach04. pdf)
[8] http:/ / www. faqs. org/ rfcs/ rfc3174. html
[9] (http:/ / www. oceanidigitali. it/ drupal/ DAA)
[10] (EN) http:/ / en. securitylab. ru/ nvd/ 305875. php
[11] (EN) http:/ / www. irmplc. com/ index. php/ 111-Vendor-Alerts
Trusted Platform Module 228
Principali Funzionalità
Quelle che seguono sono solo alcune delle funzionalità che il trusted software stack fornisce: In pratica, qualsiasi
applicazione che sfrutti le funzionalità offerte dal trusted computing deve usare un trusted software stack per
accedere alle funzioni offerte dal TPM .Le funzionalità elencate di seguito vanno quindi considerate come delle
funzionalità che potrebbero essere offerte da applicazioni funzionanti su una trusted platform che sfruttino le API
fornite dal Trusted software stack. Le funzionalità di dette applicazioni infatti non sono state standardizzate dal TCG.
Policy Translation
Implementazione di tutte le politiche di sicurezza che vengono imposte dai programmi all'utente o ai programmi
dall'utente
Privacy Protection
Difesa dell' utente dagli abusi del TC (nessun software deve ad esempio fare il sealing dei dati o inviare la parte
pubblica dell' Endorsement Key a terze parti senza il consenso del proprietario del TPM )
Trusted GUI
Garantisce la protezione dei dati considerati sensibili dalle applicazioni che sfruttano il TSS sia in input che in output
Compartment Manager
Gestisce le partizioni di esecuzione; alcune applicazioni possono essere avviate in una partizione di esecuzione
protetta che sfrutta le funzionalità offerte dal trusted computing per garantire l'integrità dell'applicazione e la privacy
dei dati da essa elaborati
Note
[1] https:/ / www. trustedcomputinggroup. org/ faq/ TSSFAQ/ (EN) FAQ sul Trusted Software Stack
[2] https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ (EN) FAQ sul Trusted Software Stack versione 1.2
Voci correlate
• Trusted Computing
• Trusted Computing Group
• Trusted Platform Module
Trusted Software Stack 229
Collegamenti esterni
• (EN) Specifiche del Trusted Software Stack (https://www.trustedcomputinggroup.org/specs/TSS/
TSS_1_2_Errata_A-final.pdf)
• (EN) FAQ di Trousers (http://trousers.sourceforge.net/faq.html), un TSS open source
• (EN) Architettura di una "trusted platform" (http://www.perseus-os.org/content/pages/Overview.htm)
• (EN) Introduzione al trusted software stack (http://www.perseus-os.org/content/pages/Trusted Software.htm)
• (EN) Presentazione dell'architettura del trusted computing , sezione 4.5.3 (https://www.trustedcomputinggroup.
org/groups/TCG_1_4_Architecture_Overview.pdf)
DataBase
Al terzo livello si trovano i Database (Oracle, SQL Server, Sybase SQL Server…). Queste banche dati verranno
analizzate automaticamente da strumenti in grado di rilevare eventuali debolezze nel campo della sicurezza. È noto
come un DataBase contenga una gran mole di informazioni critiche ed indispensabili per un'azienda e data l'enorme
complessità venutasi a creare durante la loro organizzazione, si vengono facilmente a creare vulnerabilità
comodamente sfruttabili da un malintenzionato, molto più di quanto possa accadere con le falle presenti nei Sistemi
Operativi.
Rete Telefonica
Il quarto possibile portale di accesso risulta essere la rete telefonica, vera e propria alternativa agli attacchi tramite
IP, che solitamente sono difesi dall'uso di firewall. Nel caso specifico verranno valutati i possibili bachi presenti nei
Sistemi RAS e saranno scansionati anche modem e centralini, alla ricerca di possibili vie di accesso per eventuali
attacchi. Tale attività viene chiamata WarDial.
Applicazioni
L'ultimo punto della nostra lista prevede l'External Application Assessment e l'Internal Application Assessment. Il
primo caso analizza un'applicazione web dal punto di vista dell'utente senza competenze specifiche, ovvero senza
che questo sia a conoscenza dell'architettura dell'applicazione. Vengono incluse nell'analisi anche le eventuali sezioni
protette da username e password presenti nell'applicazione, che può offrire servizi tramite protocolli HTTP o
HTTPS. Nello specifico vengono verificati i seguenti campi relativi alla sicurezza:
• information leakage, ovvero scansione dei dati sensibili inviati tramite l'applicativo e che potrebbero essere
esposti al rischio di venire intercettati da un malintenzionato tramite l'esame del codice HTML, degli script o di
Vulnerability Assessment and Mitigation 230
Conclusioni
Ogni attività elencata qui sopra andrebbe eseguita a cadenza periodica (4-6 volte durante l'arco dei 365 giorni) e
costituisce una risorsa irrinunciabile nella continua ricerca di affidabilità dei sistemi di sicurezza aziendali. Grazie al
loro impiego è possibile instaurare un'efficace politica di difesa che garantisca investimenti volti al potenziamento
dell'Infrastruttura IT.
Fonti e autori delle voci 231
Accountability Fonte:: http://it.wikipedia.org/w/index.php?oldid=45556773 Autori:: Avesan, Daniele Forsi, Koeman77, Luisa, 5 Modifiche anonime
Anomaly based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=38058501 Autori:: Abisys, Alleborgo, Avesan, Guignol, Hellis, 4 Modifiche anonime
Anonimato Fonte:: http://it.wikipedia.org/w/index.php?oldid=44512507 Autori:: Beatrice, Blaumeer, Davide, Djechelon, Dread83, Elbloggers, Elcairo, Erinaceus, Hellis, Iron Bishop, Joana,
Littoria, Luckyz, Micione, Olando, Pequod76, Sailko, Sbisolo, Senza nome.txt, Skywolf, Suisui, Tofi s, Twice25, Una giornata uggiosa '94, Wiskandar, 9 Modifiche anonime
Antivirus Fonte:: http://it.wikipedia.org/w/index.php?oldid=45789016 Autori:: .snoopy., Abisys, Airon90, Albertop81, Alleborgo, Amux, Ary29, Avesan, ChemicalBit, Comune mortale,
Cruccone, Davide, DostoHouskij, Drugonot, Ekerazha, Eth000, Eumolpo, Fiaschi, Gdevitis, Giuseppe129, Goemon, Hashar, Hellis, Ianezz, Ignlig, Iron Bishop, Joebigwheel, Leonardi Paolo, M7,
Marco Plassio, Marcok, Marcuscalabresus, Mark250594, Massic80, Mcoletti, MikyT, Mirko92, Misi91, Morgan Sand, Neq00, Osk, Otrebor81, Paginazero, Pastore Italy, Phantomas, Pickblack,
Pracchia-78, R0tAbLe, RanZag, Rollopack, Sailko, Salvatore Ingala, Sassospicco, Sbisolo, Senpai, Stemby, Strech, Strutsi, Teletrasporto, ThomasL, Tommaso Ferrara, Troels Nybo, Vipera,
Zippit, 138 Modifiche anonime
Application-level gateway Fonte:: http://it.wikipedia.org/w/index.php?oldid=29310329 Autori:: Abisys, Avesan, Davide21, Frieda, Marcuscalabresus
Architettura di reti sicure Fonte:: http://it.wikipedia.org/w/index.php?oldid=43764909 Autori:: AnjaManix, AttoRenato, Avesan, Jacklab72, La vale84, 10 Modifiche anonime
L'arte dell'inganno Fonte:: http://it.wikipedia.org/w/index.php?oldid=45717283 Autori:: Alexander VIII, Avesan, Azrael555, Bultro, Ciovo, Crypto, Fragolino, Ilario, Mauro742, Mess,
Mk178, Schickaneder, The Doc, Truman Burbank, Twice25, 3 Modifiche anonime
ASLR Fonte:: http://it.wikipedia.org/w/index.php?oldid=41166366 Autori:: Aushulz, Avesan, Balfabio, Dbiagioli, Dispe, Eberk89, Gliu, Hellis, Instigate cjsc (Narine), Kormoran, Luisa,
Realtebo, Tatufan, Terame, 8 Modifiche anonime
Audit Fonte:: http://it.wikipedia.org/w/index.php?oldid=45740849 Autori:: AttoRenato, Avesan, Azrael555, Cisco79, F l a n k e r, LoReNicolò, Marcuscalabresus, Ppiero, Rago, 7 Modifiche
anonime
Autenticazione Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461719 Autori:: Abisys, Alberto da Calvairate, Arriano60, Ary29, Avesan, B3t, Calibro, Davide, FrAnCiS, Frieda, Hellis,
Joana, Leo72, Loriscuba, Mac9, Melissa85, No2, Paulatz, Perteghella, Pigr8, Quadrispro, Roberto.catini, Sassospicco, Valepert, 18 Modifiche anonime
Backup Fonte:: http://it.wikipedia.org/w/index.php?oldid=44998538 Autori:: Andreasosio, Antonell, Apollo13, Arriano60, Ary29, Avesan, DJ JJ, Dry Martini, Eumolpo, Giorasta, Hellis, Iron
Bishop, Lorenzo Fratti, Loroli, M4gnum0n, M7, Mr buick, Porta seriale, Pracchia-78, Prinzimaker, Sbisolo, Stefano Boldrini, Stemby, Suisui, Taueres, Wikit2006, 31 Modifiche anonime
BitLocker Drive Encryption Fonte:: http://it.wikipedia.org/w/index.php?oldid=45554122 Autori:: Abisys, Aka-Red, Ary29, Avesan, Dbiagioli, Hellis, Jenaplinskin, No2, Olando, Phantomas,
Playstation, Saint-Just, Simo ubuntu, VisedNetGhost, 4 Modifiche anonime
Capability Fonte:: http://it.wikipedia.org/w/index.php?oldid=38655998 Autori:: Abisys, Alby One Kenoby, Avesan, DnaX, Gizm0
CAPTCHA Fonte:: http://it.wikipedia.org/w/index.php?oldid=45741272 Autori:: .anaconda, Abisys, AnyFile, Arroww, Ary29, Avesan, B3t, Beta16, Biopresto, Christiandes00, Cochrane,
Danno, Dantadd, Djechelon, ElfQrin, Eumolpo, Gacio, Hellis, Ignlig, Jacopo, Joe mentina, Llorenzi, Lorello, Loroli, Lp, LucAndrea, Marcel Bergeret, Marco Plassio, Marcok, Martin Mystère,
Melefabrizio, Mikelima, O--o, Otrebor81, Rogledi, Sandrobt, Sannita, Sassospicco, SbiellONE, Sesquipedale, ShadowMario, Tank00, Tecya1994, Timendum, Wikit2006, 47 Modifiche anonime
Carta d'identità elettronica italiana Fonte:: http://it.wikipedia.org/w/index.php?oldid=45798523 Autori:: Airon90, Alblefter, AnjaManix, Atram85, Avesan, Balfabio, Dantadd, Doc.mari,
FSoft, Fantasma, Fra610, Frigotoni, Gamia, Guimar, Hellis, Kar.ma, L736E, Larry Yuma, Lecter, Marcok, Marcus89, Matteo Pedani, Neq00, Paolosub, Phantomas, Pietrodn, Resoli, Salento81,
Simone, Skydrake, Ultracold, Urzyken, Vale maio, 35 Modifiche anonime
CCleaner Fonte:: http://it.wikipedia.org/w/index.php?oldid=45786803 Autori:: (E = MC²), .snoopy., Abisys, Antonell, Avesan, Biscionecanale5, BlackLukes, ChemicalBit, Cochrane, Exorcist
Z, Gdevitis, Gliu, Hellis, IceHawk, Invision2.0, Italink, Ivan2912, Madaki, Marce79, Marcko, Massic80, Massimiliano Sconda, Mixer1, Nick91, Patrias, Rocker85, Rojelio, Snake303, Sonic89,
Tommaso Ferrara, Yoruno, Zippit, 39 Modifiche anonime
Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche Fonte:: http://it.wikipedia.org/w/index.php?oldid=43022126 Autori:: Kaspo, Michele.V, Nicola
Romani, Ogoorcs, Trikke, Z0n3, 3 Modifiche anonime
Certificate authority Fonte:: http://it.wikipedia.org/w/index.php?oldid=46005702 Autori:: .anaconda, Abisys, Ary29, AttoRenato, Avesan, Brownout, Eumolpo, Gianfranco, Lara Casadei,
Leo72, Melissa85, MitRouting, Osmosis, Pigr8, Pracchia-78, Senza nome.txt, 24 Modifiche anonime
Certificate revocation list Fonte:: http://it.wikipedia.org/w/index.php?oldid=41604272 Autori:: Alleborgo, Hrundi V. Bakshi, Larry Yuma, Melissa85, Porta seriale, 5 Modifiche anonime
Certificato digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=45005913 Autori:: Abisys, Avesan, Giaros, Golan, Hellis, LapoLuchini, Leo72, Lukius, Melissa85, Orso della campagna,
Paginazero, Papesatan, Simo ubuntu, Snowdog, TierrayLibertad, 10 Modifiche anonime
Checksum Fonte:: http://it.wikipedia.org/w/index.php?oldid=44957599 Autori:: .anaconda, Abisys, Avesan, Buzz lightyear, Cotton, Drugonot, IngDani, Jotar, Melknix, Miguelsan, Nalegato,
Vittoealloggio, 10 Modifiche anonime
chroot Fonte:: http://it.wikipedia.org/w/index.php?oldid=44152924 Autori:: .anaconda, Avesan, Cappra, Ddonato, Djechelon, EndelWar, Fale, Luisa, Paulatz, Sonic, Stemby, SuperSecret, 8
Modifiche anonime
Clickjacking Fonte:: http://it.wikipedia.org/w/index.php?oldid=44495091 Autori:: Abisys, Angus73, Azrael555, Bol2030, Embyte, Gamon2, Massimo874, Onjacktallcuca, Phantomas, Ticket
2010081310004741, 8 Modifiche anonime
Confidenzialità Fonte:: http://it.wikipedia.org/w/index.php?oldid=45130878 Autori:: Al Pereira, Avesan, BMF81, Fbuccolieri, Gestas, Johnlong, Maurinap, Maximix, Rodamaker, Simo82, 1
Modifiche anonime
Contactless smartcard Fonte:: http://it.wikipedia.org/w/index.php?oldid=22169544 Autori:: .jhc., Abisys, Avesan, Ermanon, Kaus, Lenore
Data mining e sicurezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=36930592 Autori:: Ary29, Avesan, Fabio.gastone, Helios, Jalo, Sentruper, Simonepedemonte, Truman Burbank, 4
Modifiche anonime
Demilitarized zone Fonte:: http://it.wikipedia.org/w/index.php?oldid=45501387 Autori:: .anaconda, Abisys, Avesan, DnaX, Guidomac, Paolosub, Pap3rinik, Saint-Just, Sassospicco, 8
Modifiche anonime
Dependability Fonte:: http://it.wikipedia.org/w/index.php?oldid=38625374 Autori:: Avesan, ErBabbuino, Maurizio.Cattaneo, O.Taris, Truman Burbank, 18 Modifiche anonime
Digital Signature Algorithm Fonte:: http://it.wikipedia.org/w/index.php?oldid=45649311 Autori:: Abisys, Airon90, Avesan, Brownout, Dinwath, Leo72, Maxi83, 12 Modifiche anonime
Direct Anonymous Attestation Fonte:: http://it.wikipedia.org/w/index.php?oldid=45129027 Autori:: Abisys, Aka-Red, AndreaFox, Dbiagioli, Larry Yuma, Sesquipedale, Valepert
Disaster prevention Fonte:: http://it.wikipedia.org/w/index.php?oldid=40419803 Autori:: Comune mortale, Lauraventurini, Sandr0, 1 Modifiche anonime
Fonti e autori delle voci 232
Disaster recovery Fonte:: http://it.wikipedia.org/w/index.php?oldid=45354794 Autori:: Alleborgo, Arriano60, Ary29, Avesan, Condor33, Giampfrank, Guam, Hellis, Ignlig, Joana, Marius,
Pracchia-78, Protarkus, Qbert88, Sassospicco, Veneziano, 29 Modifiche anonime
Dll injection Fonte:: http://it.wikipedia.org/w/index.php?oldid=40407340 Autori:: Abisys, Avemundi, Fabio.gastone, Filippof, Luckyz, 12 Modifiche anonime
Documento programmatico sulla sicurezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=39471322 Autori:: Abisys, Arriano60, Avesan, Condor33, Dabbia, Guidomac, H2o, Mcicogni,
Zerounobit, 7 Modifiche anonime
Extensible Authentication Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=45939326 Autori:: Abisys, Alleborgo, Amux, Ary29, Avesan, Digemall, Dinwath, EffeX2, Gwenda,
PsYLo, Salvatore Ingala, 5 Modifiche anonime
False acceptance rate Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047619 Autori:: Centrodiurnomilano, Hicks, Porta seriale, Valepert
FileVault Fonte:: http://it.wikipedia.org/w/index.php?oldid=43690177 Autori:: Abisys, Fask, Hellis, Kiado, Nuovoastro, Pietrodn, Senpai, WikiKiwi, 3 Modifiche anonime
Filtro bayesiano Fonte:: http://it.wikipedia.org/w/index.php?oldid=45417413 Autori:: Arodichevski, Barbaking, Beta16, Cataldoc, Daniele Forsi, Desmodromico, EdoM, ICEAGE, IUserMac,
IlPasseggero, Iron Bishop, Mark91, No2, Piddu, Pullus In Fabula, Ssspera, Viscontino, 11 Modifiche anonime
Fingerprint Fonte:: http://it.wikipedia.org/w/index.php?oldid=44493219 Autori:: %Pier%, Abisys, Alfio, Avesan, Chessstoria, Gabriele85, Lucas, Marcuscalabresus, Theferro, 5 Modifiche
anonime
Firma digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856070 Autori:: 2csolution, Abisys, Alezk90, Alfio, AnjaQantina, Avesan, Beta16, Brownout, Ciano, Condor33,
Danielefrongia, Danielemarongiu, DarkAp, Draco3565, Dsig, Elbloggers, Eleinad, Eumolpo, Fasselle, Firiwizzo, Freddynofear, Gac, Gchiavacci, GiaGar, GiorgioCha, Giottone, Guidomac,
Hashar, Henrykus, Icestorm82, LapoLuchini, Lara sette, Leo72, Lucas, Lucas Malor, M7, Marcok, Maupag, MaxDel, Melissa85, Mike.lifeguard, Mizardellorsa, Next, Orso della campagna,
Paulatz, Phantomas, Piddu, Pietrodn, Pracchia-78, Raistolo, Rojelio, Rudd84, Segnali dallo spazio, Senza nome.txt, SiGMa83, Smart, Snowdog, Soccerboy, Stemby, Superchilum, Taueres,
Template namespace initialisation script, Tommaso Ferrara, Trixt, Twice25, ZioNicco, 191 Modifiche anonime
Firma elettronica Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856112 Autori:: Ampsicora, Diuturno, Freddynofear, Lucas, Mizardellorsa, Raistolo, Redirete, S.fontana, S141739,
Sanremofilo, Soccerboy, 11 Modifiche anonime
Gestione della continuità operativa Fonte:: http://it.wikipedia.org/w/index.php?oldid=45355070 Autori:: Arriano60, Avesan, Condor33, Eumolpo, Giampfrank, Pastore Italy, Squattaturi,
Stefanuzz1986, Theirrulez, Veneziano, 11 Modifiche anonime
Greylisting Fonte:: http://it.wikipedia.org/w/index.php?oldid=40133889 Autori:: Avesan, No2, Pracchia-78, Triquetra, 9 Modifiche anonime
Hash Fonte:: http://it.wikipedia.org/w/index.php?oldid=45527891 Autori:: .mau., Abisys, Alberto da Calvairate, Alez, Amux, Avesan, Biopresto, Brownout, Caresia, Danielefrongia, Drugonot,
Elbloggers, ErBabbuino, GiacomoV, Guidomac, Hellis, IlGino, Kotik, LapoLuchini, Leo72, Livedrop, Nickname, Paginazero, Painlord2k, Paulatz, Piddu, Qualc1, Sandr0, Sassospicco, Sbisolo,
Seics, Shivanarayana, Sirabder87, Snowdog, Wiso, Wizard, 58 Modifiche anonime
Hengzhi chip Fonte:: http://it.wikipedia.org/w/index.php?oldid=20969868 Autori:: Aka-Red, Avesan, Cobb, Dbiagioli, Fabio.gastone, Halfmount, Sannita, 1 Modifiche anonime
Honeypot Fonte:: http://it.wikipedia.org/w/index.php?oldid=45327575 Autori:: Abisys, Akash, Avesan, Edo, FrAnCiS, Gvf, Moongateclimber, 7 Modifiche anonime
Host-based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=22170948 Autori:: Abisys, Avesan, Elcairo, Emilio2005, Hellis, IlGino, Nalegato, 1 Modifiche
anonime
Identity management Fonte:: http://it.wikipedia.org/w/index.php?oldid=33847429 Autori:: %Pier%, Abisys, Avesan, Caulfield, Frieda, Ilafra, Kal-El, Koji, Lucas, Paginazero, Paolosub, 2
Modifiche anonime
Identità digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461689 Autori:: Abisys, Ary29, Avesan, Blacksoul, Bonasia Calogero, CavalloRazzo, EdoM, Federica73, Hellis,
Joebigwheel, L736E, Larry Yuma, No2, Reputation Manager, Salento81, Sbisolo, Silvalbar, Simone, 3 Modifiche anonime
Integrità dei dati Fonte:: http://it.wikipedia.org/w/index.php?oldid=44245373 Autori:: Avesan, Bultro, Hellis, 2 Modifiche anonime
Internet Security Policy Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849540 Autori:: AnjaManix, Condor33, Defa, Javier80, LaseriumFloyd, Maurizio.Cattaneo, Mekgen, Phantomas,
Tirinto, 8 Modifiche anonime
Intrusion Countermeasures Electronics Fonte:: http://it.wikipedia.org/w/index.php?oldid=33884127 Autori:: Abisys, Ary29, Avesan, Chem, Fstefani, Hauteville, Hellis, Laz (riassegnato),
Rollopack, 1 Modifiche anonime
Intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=45852268 Autori:: .anaconda, Abisys, Air swan, Avesan, Burattone, ChemicalBit, Daniele Forsi, Daphiel, Helios,
Hellis, Marcuscalabresus, Marti 171285, Mrlele, Veneziano, 42 Modifiche anonime
Intrusion prevention system Fonte:: http://it.wikipedia.org/w/index.php?oldid=44561693 Autori:: Abisys, Avesan, DanGarb, Daphiel, Formica rufa, Guignol, Hellis, Lusum, 3 Modifiche
anonime
IS auditing Fonte:: http://it.wikipedia.org/w/index.php?oldid=36448547 Autori:: Abisys, Avesan, Fabio.gastone, Jacklab72, Joram, Mcicogni, Torsolo, Vulkano, 16 Modifiche anonime
ISO/IEC 27001 Fonte:: http://it.wikipedia.org/w/index.php?oldid=45723000 Autori:: Alejo2083, Antarello, Ary29, Avesan, Beta16, Biopresto, Claudio Pace, Condor33, DnaX, Elifb, Gacio,
Gamon2, Mario1952, Mattiacrespi, Mcicogni, Metralla, Miao, Microsoikos, No2, Riccardov, Roberto.atzeni, 21 Modifiche anonime
IT Baseline Protection Manual Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849615 Autori:: Avesan, Bultro, Condor33, Eumolpa, Larry Yuma, Maurizio.Cattaneo, Phantomas,
Sentruper
Jingjing e Chacha Fonte:: http://it.wikipedia.org/w/index.php?oldid=44543011 Autori:: Avesan, Nicola Romani, RanZag, 1 Modifiche anonime
Key server Fonte:: http://it.wikipedia.org/w/index.php?oldid=41838130 Autori:: Abisys, Alfio, Avesan, LapoLuchini, Laurentius, MM, Osmosis, Piddu, Porta seriale, Unriccio, 1 Modifiche
anonime
Lista di controllo degli accessi Fonte:: http://it.wikipedia.org/w/index.php?oldid=44331384 Autori:: %Pier%, Abisys, Atheist, Avesan, BMF81, Delas, Enzotib, Hce, Hellis, Losògià, MaxDel,
Perteghella, Poweruser, Simone, Tux75, Twice25, Windowsuninstall, 8 Modifiche anonime
Login Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228533 Autori:: Abisys, Ancelli, Avesan, B3t, Giovannigobbin, Guidomac, Jaqen, Lorito, Moloch981, Phantomas, Pietrodn, Pigr8,
Xag Knoj, 10 Modifiche anonime
Metodo Gutmann Fonte:: http://it.wikipedia.org/w/index.php?oldid=43417033 Autori:: Abisys, Absolwent, Avesan, Cristiano70, Gdevitis, Hellis, O--o, Pcdazero, Pracchia-78, Turbovets
Christina, 11 Modifiche anonime
Metodologia Octave Fonte:: http://it.wikipedia.org/w/index.php?oldid=38418743 Autori:: Avesan, Defa, Jollyroger, Marcol-it, Nevepois, No2
Microsoft Strider Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047033 Autori:: %Pier%, Alleborgo, Ary29, Avesan, EffeX2, Hellis, Lusum, Mfisk, Phantomas, Simo ubuntu, Teocrito,
Theferro, 3 Modifiche anonime
Fonti e autori delle voci 233
Modello Bell-LaPadula Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461977 Autori:: %Pier%, Abisys, Ary29, Avesan, Calabash, Francesco Betti Sorbelli, Ippatsu, No2, Serenella
Canepa, Tommaso Ferrara, 5 Modifiche anonime
Modello Biba Fonte:: http://it.wikipedia.org/w/index.php?oldid=45729568 Autori:: Abisys, Alexander VIII, Ary29, Avesan, Elcairo, Francesco Betti Sorbelli, Serenella Canepa, Squattaturi, 12
Modifiche anonime
Modello Brewer e Nash Fonte:: http://it.wikipedia.org/w/index.php?oldid=36415125 Autori:: Ary29, Avesan, Francesco Betti Sorbelli, 2 Modifiche anonime
Modello Clark-Wilson Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699772 Autori:: Abisys, Avesan, Francesco Betti Sorbelli, WK, 1 Modifiche anonime
MS-CHAP Fonte:: http://it.wikipedia.org/w/index.php?oldid=29360958 Autori:: Abisys, Avesan, BLeonardo, Beta16, Dinwath, Giorasta, Krdan, Piero Montesacro, Vulkano, 5 Modifiche
anonime
MS-CHAPv2 Fonte:: http://it.wikipedia.org/w/index.php?oldid=29273785 Autori:: Abisys, Avesan, BLeonardo, Beta16, Daniele Forsi, Littoria, 2 Modifiche anonime
Negazione plausibile Fonte:: http://it.wikipedia.org/w/index.php?oldid=43955453 Autori:: Bramfab, F.cristarella, Guznadar, Rago, ZipoBibrok5x10^8, 4 Modifiche anonime
Network intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=42907856 Autori:: Abisys, Ary29, Avesan, Bultro, ChemicalBit, Daniloviz, Daphiel, Fale, Formica rufa,
Guignol, Hellis, Joana, Johnlong, Massimiliano Lincetto, Nalegato, No2, Phantomas, Senza nome.txt, Sesquipedale, 7 Modifiche anonime
Network tap Fonte:: http://it.wikipedia.org/w/index.php?oldid=45642974 Autori:: Abisys, Alleborgo, Avesan, Beta16, CavalloRazzo, Ducatimonster, Leleco, Simo82, 8 Modifiche anonime
Next-Generation Secure Computing Base Fonte:: http://it.wikipedia.org/w/index.php?oldid=44443887 Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, Ary29, Avesan, Barbaking, Dbiagioli,
Ft1, Gacio, Hellis, Jenaplinskin, Leoman3000, Moongateclimber, Nanae, Orion21, R0tAbLe, Sailko, Saint-Just, Simo ubuntu, Skywolf, Tanarus, Trikky, Vichingo, Zago84, 18 Modifiche
anonime
Nmap Fonte:: http://it.wikipedia.org/w/index.php?oldid=45510522 Autori:: Abisys, Alfio, Alleborgo, Ary29, Avesan, Brownout, Elitre, Fale, Frieda, Giacomo Ritucci, Hce, Iron Bishop,
Patrias, Shishii, Stemby, Sumail, TetsuyO, The Blinder Grunt, 13 Modifiche anonime
One-time password Fonte:: http://it.wikipedia.org/w/index.php?oldid=39222466 Autori:: Alby1987, DnaX, Marioquark, Mastermirko, 1 Modifiche anonime
OpenID Fonte:: http://it.wikipedia.org/w/index.php?oldid=41521680 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Archenzo, Ary29, Avesan, Bebabi34, Davide89v, ElSaxo, Elbloggers,
FiloSottile, Gigasoft, Gvf, Hellis, Lelli Gabriele, PRONTOMAMMA, Paulox, PiKey, Snowdog, Superchilum, TheDRaKKaR, Vermondo, 23 Modifiche anonime
OpenSSL Fonte:: http://it.wikipedia.org/w/index.php?oldid=44847743 Autori:: Abisys, Ary29, Avesan, Eumolpo, Hellis, IlGino, Leo72, Lucabon, MaEr, Morningfrost, Piddu, Salvatore Ingala,
Stefano-c, 7 Modifiche anonime
OSSIM Fonte:: http://it.wikipedia.org/w/index.php?oldid=37367730 Autori:: Abisys, Avesan, CavalloRazzo, Dr Zimbu, Franganghi, Frieda, Mess, Saro-bs, Veneziano, 3 Modifiche anonime
Password authentication protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=41945471 Autori:: AKappa, Abisys, Ary29, Avesan, Dinwath, Dommac, FrAnCiS, Nikimast85
Penetration Test Fonte:: http://it.wikipedia.org/w/index.php?oldid=38337673 Autori:: Alez, Andrea.Lazzari, Avesan, Ermanon, Eumolpo, Melancholyblues, Mgirolami, Pacochan, 7 Modifiche
anonime
Piano di contingenza Fonte:: http://it.wikipedia.org/w/index.php?oldid=45411573 Autori:: Edipo, Eumolpo, L736E, No2, Pastore Italy, Piero Montesacro, Rago, 1 Modifiche anonime
Port knocking Fonte:: http://it.wikipedia.org/w/index.php?oldid=39472278 Autori:: Abisys, Ary29, Avesan, Brownout, Calabash, No2, Saint-Just, Salvatore Ingala, 2 Modifiche anonime
Procedura GIANOS Fonte:: http://it.wikipedia.org/w/index.php?oldid=33860223 Autori:: %Pier%, Avesan, Frieda, Massimiliano Lincetto, No2, Sbisolo, 2 Modifiche anonime
Protezione Fonte:: http://it.wikipedia.org/w/index.php?oldid=43387792 Autori:: A7N8X, Avesan, BMF81, Barbaking, CavalloRazzo, Davide.it, Dch, Grigio60, Lombardelli, Marcol-it, No2,
Pipep, Rago, SusannaGr, 3 Modifiche anonime
Protezione del database Fonte:: http://it.wikipedia.org/w/index.php?oldid=43104340 Autori:: Abisys, Ary29, Avesan, Bultro, Capinca, Dedda71, Faberh, Mauro742, No2, Quatar, Remulazz,
Sentruper, 7 Modifiche anonime
Protocollo AAA Fonte:: http://it.wikipedia.org/w/index.php?oldid=33853658 Autori:: .snoopy., Abisys, Ary29, Avesan, EffeX2, Elitre, Hellis, Massimiliano Lincetto, Moongateclimber, Shaka,
Vulkano, 3 Modifiche anonime
Protocollo Kerberos Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228918 Autori:: Abisys, Amux, Avesan, Barbaking, Billoilbullocitrullo, DanGarb, Dommac, Endriupizza, Eweriuer,
Frieda, Giacomo Ritucci, Hellis, Ippatsu, Leo72, Marco Ciaramella, Mau db, Senza nome.txt, SiGMa83, Simoz, VincenzoX, Vulkano, Wiso, 23 Modifiche anonime
RADIUS Fonte:: http://it.wikipedia.org/w/index.php?oldid=41364630 Autori:: .anaconda, Abisys, Arriano60, Ary29, Avesan, Diego.demartin, Digemall, Dinwath, Ggp81, Gwenda, Larry
Yuma, Orso della campagna, Pracchia-78, Salvatore Ingala, Theferro, Vito.Vita, Vulkano, 7 Modifiche anonime
Recovery Point Objective Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496090 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Duroy, Lucas, MM, Rojelio, 1 Modifiche
anonime
Recovery Time Objective Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496096 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Daniele Forsi, Duroy, 4 Modifiche anonime
Restore Fonte:: http://it.wikipedia.org/w/index.php?oldid=38440883 Autori:: Abisys, Comune mortale, EH101, 2 Modifiche anonime
Risk Assessment Fonte:: http://it.wikipedia.org/w/index.php?oldid=43588706 Autori:: Ary29, Avesan, Dinwath, Pastore Italy, S2812911, Trikke, Zuzu macumba, 4 Modifiche anonime
SANS Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496121 Autori:: Avesan, Mess, Riccardov, Tizianol, 2 Modifiche anonime
Security descriptor Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496145 Autori:: Avesan, EH101, Marcuscalabresus, No2, Rede23, Rojelio, Simo ubuntu, Stefano Nesti, 3 Modifiche
anonime
Security Management Fonte:: http://it.wikipedia.org/w/index.php?oldid=41645490 Autori:: Basilero, Eumolpo, LucaG83, Remulazz, Stonehead, 6 Modifiche anonime
Security Operation Center Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699710 Autori:: Avesan, Blackberry, Caig, Lusum, Ninja Forever, Pontiniaweb, 12 Modifiche anonime
Sicurezza tramite segretezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=40572867 Autori:: Abisys, Ares, Avesan, CavalloRazzo, Hal8999, LapoLuchini, Leo72, Rael, Senpai, Sliwers, 2
Modifiche anonime
Signature based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=23023424 Autori:: Abisys, Avesan, Guignol, Hellis, 2 Modifiche anonime
Single sign-on Fonte:: http://it.wikipedia.org/w/index.php?oldid=42222767 Autori:: Abisys, Arriano60, AttoRenato, Avesan, Cotton, Cruccone, Klaudio, Larry Yuma, Oplero, Outer root,
Pfalcone, ReliableBeaver, Reny, Wikit2006, Ygriega, 7 Modifiche anonime
Sistema di riconoscimento biometrico Fonte:: http://it.wikipedia.org/w/index.php?oldid=43789545 Autori:: Abisys, Annuale, Ary29, AttoRenato, Avesan, Basilero, Centrodiurnomilano,
Cribegh, Formica rufa, Joebigwheel, Lunasv85, MarcoConsiglio, No2, Patafisik, Phantomas, Piero, Saint-Just, Stampasanti, 12 Modifiche anonime
Fonti e autori delle voci 234
Snort Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766392 Autori:: Abisys, Airon90, AttoRenato, Avesan, Cecco13, Daniele Forsi, Daniloviz, Dr Zimbu, Fale, Freepenguin, Frieda,
Massimiliano Lincetto, Moongateclimber, Pietrodn, Saro-bs, 12 Modifiche anonime
Social Network Poisoning Fonte:: http://it.wikipedia.org/w/index.php?oldid=44534131 Autori:: Bonasia Calogero, Marco Plassio, Paganinip, Sanremofilo, 17 Modifiche anonime
Spam Fonte:: http://it.wikipedia.org/w/index.php?oldid=45836652 Autori:: .anaconda, .jhc., 213.21.175.xxx, Abisys, Alessio, Alessio Ganci, Alkalin, Amux, Ansgarius, ArmandoEdera, Ary29,
Avesan, Beard, Beta16, Biopresto, Bohtont, Bravi Massimiliano, Buggia, Calabash, Caulfield, Cerume, ColdShine, Cruccone, Cyberuly, DarkAp89, DarkBeam, Davide.mula, Dedda71, Dome,
Elbloggers, Eth000, F l a n k e r, F. Cosoleto, Frieda, Gabriel24, Gac, Gacio, Giancarlodessi, Guidomac, Hauteville, Hellis, Ieio78, Ignlig, IlSignoreDeiPC, Iron Bishop, KS, Kahless, Kibira, Kill
off, Kronos, Laurentius, Lbreda, Lilja, Limonadis, Lisergia, Looka, Loroli, LucAndrea, LucaLuca, LuigiPetrella, Luisa, M7, Magnum87, MaiDireChiara, Marchack, Marcok, Marcol-it, MatriX,
Maurice Carbonaro, Max98, Melos, Midnight bird, Minucc, Mizardellorsa, Moongateclimber, Nicoli, Ninja, No2, Pablomoroe, Paginazero, Pallanzese, Paul Gascoigne, Phantomas, Piero
Montesacro, Pierosuper, Pracchia-78, Rachele.zanchetta, Rael, Rollopack, Salvatore Ingala, Sbisolo, Segnali dallo spazio, Senpai, Shanpu, Shivanarayana, Sid-Vicious, Snowdog, Sparko,
Square87, Supernino, Taueres, Ticket 2010081310004741, Ticket OTRS 2011102410007641, Tomfox, Tommaso Ferrara, Torredibabele, Trixt, Twice25, Ulisse0, Umal, Unriccio, Veneziano,
VincenzoX, Vipera, Vituzzu, Wolf, Yoruno, 170 Modifiche anonime
Spim Fonte:: http://it.wikipedia.org/w/index.php?oldid=42375469 Autori:: Ariel, Comune mortale, Continua Evoluzione, Neustradamus, No2, RanZag, Sesquipedale, Ticket
2010081310004741, 32 Modifiche anonime
Stamping Authority Fonte:: http://it.wikipedia.org/w/index.php?oldid=38387757 Autori:: Basilero, DnaX, Martaericaarosio, Sanremofilo, Soccerboy
Standard di sicurezza informatica Fonte:: http://it.wikipedia.org/w/index.php?oldid=45900292 Autori:: Avesan, Bultro, Claudio Pace, Condor33, Dirtydozen, FCom T 65, Hellis, Javier80,
Maurizio.Cattaneo, Mcicogni, Pask666, Phantomas, Pil56, Senpai, Superchilum, Tirinto, 8 Modifiche anonime
Steganografia Fonte:: http://it.wikipedia.org/w/index.php?oldid=44936325 Autori:: .jhc., .snoopy., 213-156-56-135.fastres.net, A7N8X, Abisys, Agnellino, Avesan, Barbaking, Blackvisionit,
Claudio1234567, GiacomoV, Guidomac, Guignol, Hrundi V. Bakshi, Ivo Avido, Jacopo, Jalo, LapoLuchini, Lele giannoni, Leo72, Lilja, Lox, Luckyz, Mamo139, Marcok, Maxx1972, Patafisik,
PersOnLine, Piergiorgio Massari, Piero, Powerlife, Qualc1, Roneda, Sbisolo, Senza nome.txt, Shivanarayana, Snowdog, TierrayLibertad, Tio Sam, Truman Burbank, Twice25, Vanni,
ZipoBibrok5x10^8, 49 Modifiche anonime
Strong authentication Fonte:: http://it.wikipedia.org/w/index.php?oldid=40126131 Autori:: Abisys, Andreabesio, Arriano60, Avesan, B3t, Besioandrea, Brownout, Cochrane, Fabexplosive,
Kaus, Marcus89, Toutoune25, Yerul, 2 Modifiche anonime
TACACS Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461711 Autori:: Abisys, Avesan, Bultro, Buzz lightyear, Diego.demartin, Hellis, Mess, No2, ReliableBeaver, Vulkano
Tecniche euristiche Fonte:: http://it.wikipedia.org/w/index.php?oldid=43731245 Autori:: Comune mortale, Eumolpo, Sanremofilo, Tommaso Ferrara, 2 Modifiche anonime
Tiger team Fonte:: http://it.wikipedia.org/w/index.php?oldid=43834038 Autori:: Abisys, Avesan, Cristante Giulio, Eumolpo, Figiu, Gacio, Ignlig, Jacopo, PersOnLine, Simoz, Spirit, Svello89,
67 Modifiche anonime
Time Machine (software) Fonte:: http://it.wikipedia.org/w/index.php?oldid=44559204 Autori:: .anaconda, Abisys, Ary29, Avesan, G84, Generale Lee, Gerlos, Hellis, Marcok, Pietrodn,
Pracchia-78, 16 Modifiche anonime
Token (sicurezza) Fonte:: http://it.wikipedia.org/w/index.php?oldid=42660207 Autori:: Abisys, Arriano60, Avesan, Ianezz, Marcuscalabresus, Rollopack, 4 Modifiche anonime
Tolleranza ai guasti Fonte:: http://it.wikipedia.org/w/index.php?oldid=41635822 Autori:: Abisys, Avesan, BMF81, Colom, ErBabbuino, Frieda, Giratinatorterra, Hellis, Ilario, Kibira, Larry
Yuma, Lucasasdelli, Maurizio.Cattaneo, Piddu, Pipep, Pppgiuliappp, Restu20, 4 Modifiche anonime
Tor (software di anonimato) Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766264 Autori:: .jhc., Abisys, Amarvudol, Avesan, Barbaking, Blaumeer, Came88, Continua Evoluzione,
Danpro, Elbloggers, Elitre, Fale, Giancarlo Rossi, Iron Bishop, Jacopo, Leo72, Mac'ero, Marc-André Aßbrock, Maskx, Mastrob88, Pap3rinik, Phantomas, Pietrodn, RobertoITA, Rollopack,
Salvatore Ingala, Senpai, Ticket OTRS 2011102410007641, Tomchen1989, Trek00, Vituzzu, WaterPhoenix, 63 Modifiche anonime
Triple Modular Redundancy Fonte:: http://it.wikipedia.org/w/index.php?oldid=43098598 Autori:: Abisys, Ary29, Jaqen, No2, Sbisolo, 10 Modifiche anonime
TruPrevent Technologies Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496201 Autori:: Avesan, Gliu, Marcuscalabresus, Stefano Nesti
Trusted computing Fonte:: http://it.wikipedia.org/w/index.php?oldid=45596121 Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, AmonSûl, Ary29, Austroungarika, Avesan, Blackcat, Broc,
Castagna, Ciovo, Civvì, Cruccone, Dbiagioli, Diego Petrucci, Djechelon, Domenico De Felice, Dommac, Drugonot, Dudo, Eriassa, Faboski, Fdigiuseppe, Felyx, Giacomo Ritucci, Gvf, Hce,
Hellis, IlPisano, Jacopo, Jajo, Jalo, Joevinegar, KrovatarGERO, Leonardoprosperi, Lilja, LoStrangolatore, Lohe, LtWorf, Luckyz, MaXeR, Marcok, Marcuscalabresus, Marzian, Moroboshi,
Nemo bis, No2, Ominolore, Phantomas, Piero, Reddstain, Riccardov, Salvatore Ingala, Snowdog, Ssspera, Tommaso Ferrara, Valepert, 94 Modifiche anonime
Trusted Platform Module Fonte:: http://it.wikipedia.org/w/index.php?oldid=41348630 Autori:: Abisys, Aka-Red, Antilope, Dbiagioli, Eumolpo, Hellis, IlPisano, Larry Yuma, Mickey83,
Phantomas, RanZag, Sergiojoshua, Slim8shady9, Smallpox, SuperSecret, 10 Modifiche anonime
Trusted Software Stack Fonte:: http://it.wikipedia.org/w/index.php?oldid=41506351 Autori:: Abisys, Aka-Red, Ary29, Dbiagioli, IlPisano, Mickey83, No2, Olando
Vulnerability Assessment and Mitigation Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496210 Autori:: Abisys, AnjaManix, Ary29, Avesan, F l a n k e r, Guignol, Lafox, Sbisolo, 2
Modifiche anonime
Fonti, licenze e autori delle immagini 235
Licenza
Creative Commons Attribution-Share Alike 3.0 Unported
//creativecommons.org/licenses/by-sa/3.0/