Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
I principi della crittografia spiegano come i protocolli e gli algoritmi moderni garantiscono la
sicurezza delle comunicazioni. La crittologia è la scienza della creazione e della rottura di
codici segreti. Lo sviluppo e l'uso dei codici è la crittografia. Lo studio e la rottura dei codici è
la crittoanalisi. La società ha usato la crittografia per secoli per proteggere i documenti
segreti. Per esempio, Giulio Cesare ha usato un semplice cifrario alfabetico per crittografare
i messaggi ai suoi generali sul campo. I suoi generali avrebbero avuto conoscenza della
chiave cifrata necessaria per decifrare i messaggi. Oggi, i metodi crittografici moderni
garantiscono comunicazioni sicure.
Il controllo degli accessi è, come suggerisce il nome, un modo per controllare l'accesso a un
edificio, una stanza, un sistema, un database, un file e informazioni. Le organizzazioni
utilizzano una varietà di tecniche di controllo degli accessi per proteggere la riservatezza.
Questo capitolo esamina le quattro fasi del processo di controllo degli accessi: 1)
identificazione, 2) autenticazione, 3) autorizzazione e 4) responsabilità. Inoltre, il capitolo
descrive i diversi modelli di controllo accessi e tipi di controllo accessi.
Il capitolo si conclude discutendo i vari modi in cui gli utenti mascherano i dati.
L'offuscamento dei dati e la steganografia sono due tecniche utilizzate per realizzare il
mascheramento dei dati.
La riservatezza dei dati garantisce la privacy in modo che solo il destinatario previsto possa
leggere il messaggio. Le parti raggiungono questo obiettivo attraverso la crittografia. La
crittografia è il processo di scrambling dei dati in modo che una parte non autorizzata non
possa leggerli facilmente.
Quando si abilita la crittografia, i dati leggibili sono in chiaro o in chiaro, mentre la versione
crittografata è in testo crittografato o in chiaro. La crittografia converte il messaggio leggibile
in testo cifrato, che è il messaggio non leggibile e mascherato. La decrittazione inverte il
processo. La crittografia richiede anche una chiave, che svolge un ruolo critico nella
crittografia e decrittografia di un messaggio. La persona in possesso della chiave può
decrittografare il testo cifrato in chiaro.
4.1.1.2
La storia della crittografia è iniziata negli ambienti diplomatici migliaia di anni fa. Messaggeri
di una corte reale portavano i messaggi criptati in altre corti. Occasionalmente, altri tribunali
non coinvolti nella comunicazione, hanno tentato di rubare i messaggi inviati ad un regno
che consideravano un avversario. Non molto tempo dopo, i comandanti militari iniziarono a
usare la crittografia per proteggere i messaggi.
Nel corso dei secoli, vari metodi di cifratura, dispositivi fisici e aiuti di testo cifrato e decifrato:
Falciatura (Figura 1)
Tutti i metodi di cifratura utilizzano una chiave per cifrare o decifrare un messaggio. La
chiave è un componente importante dell'algoritmo di crittografia. Un algoritmo di crittografia
è valido solo quanto la chiave utilizzata. Maggiore è la complessità, maggiore è la sicurezza
dell'algoritmo. La gestione delle chiavi è una parte importante del processo.
4.1.1.3
Creare il testo cifrato
Ogni metodo di cifratura utilizza un algoritmo specifico, detto cifrario, per cifrare e decifrare i
messaggi. Un cifrario è una serie di passaggi ben definiti utilizzati per crittografare e
decrittografare i messaggi. Esistono diversi metodi per creare un testo cifrato:
● Un pad - testo in chiaro combinato con una chiave segreta crea un nuovo
carattere, che poi si combina con il testo in chiaro per produrre testo cifrato
(Figura 3).
I vecchi algoritmi di cifratura, come il cifrario Caesar o la macchina Enigma, dipendevano
dalla segretezza dell'algoritmo per ottenere la riservatezza. Con la tecnologia moderna,
dove il reverse engineering è spesso semplice, le parti utilizzano algoritmi di dominio
pubblico. Con la maggior parte degli algoritmi moderni, una decrittazione di successo
richiede la conoscenza delle chiavi crittografiche appropriate. Ciò significa che la sicurezza
della crittografia risiede nella segretezza delle chiavi, non nell'algoritmo.
La gestione delle chiavi è la parte più difficile della progettazione di un sistema di crittografia.
Molti sistemi di crittografia hanno fallito a causa di errori nella gestione delle chiavi, e tutti i
moderni algoritmi crittografici richiedono procedure di gestione delle chiavi. In pratica, la
maggior parte degli attacchi ai sistemi crittografici comporta l'attacco al sistema di gestione
delle chiavi, piuttosto che all'algoritmo crittografico stesso.
4.1.1.5
Esistono due approcci per garantire la sicurezza dei dati quando si utilizza la crittografia. Il
primo è quello di proteggere l'algoritmo. Se la sicurezza di un sistema di crittografia dipende
dalla segretezza dell'algoritmo stesso, l'aspetto più importante è custodire l'algoritmo a tutti i
costi. Ogni volta che qualcuno scopre i dettagli dell'algoritmo, ogni parte interessata
dovrebbe cambiare l'algoritmo. Questo approccio non sembra molto sicuro o gestibile. Il
secondo approccio è quello di proteggere le chiavi. Con la moderna crittografia, gli algoritmi
sono pubblici. Le chiavi crittografiche garantiscono la segretezza dei dati. Le chiavi
crittografiche sono password che fanno parte dell'immissione in un algoritmo di crittografia
insieme ai dati che richiedono la crittografia.
Algoritmi asimmetrici - Gli algoritmi di crittografia asimmetrica utilizzano una chiave per
crittografare i dati e una chiave diversa per decrittografare i dati. Una chiave è pubblica e
l'altra privata. In un sistema di crittografia a chiave pubblica, qualsiasi persona può
crittografare un messaggio utilizzando la chiave pubblica del destinatario, e il destinatario è
l'unico che può decrittografarlo utilizzando la sua chiave privata. Le parti si scambiano
messaggi sicuri senza bisogno di una chiave pre-condivisa, come mostrato nella figura 2. Gli
algoritmi asimmetrici sono più complessi. Questi algoritmi richiedono molte risorse e sono
più lenti da eseguire.
4.1.2.1
4.1.2.2
Tipi di crittografia
I tipi più comuni di crittografia sono la cifratura a blocchi e la cifratura a flusso. Ogni metodo
differisce nel modo in cui raggruppa i bit di dati per crittografarli.
Cifre a blocchi
I cifratori a blocchi di solito producono dati di output più grandi dei dati di input, perché il
testo cifrato deve essere un multiplo della dimensione del blocco. Ad esempio, Data
Encryption Standard (DES) è un algoritmo simmetrico che codifica i blocchi in blocchi a 64
bit utilizzando una chiave a 56 bit. Per fare questo, l'algoritmo di blocco prende i dati uno alla
volta, ad esempio, 8 byte per pezzo, fino a quando l'intero blocco è pieno. Se ci sono meno
dati in ingresso di un blocco completo, l'algoritmo aggiunge dati artificiali, o spazi vuoti, fino
a che non utilizza tutti i 64 bit, come mostrato in Figura 1 per i 64 bit a sinistra.
Cifre di flusso
A differenza dei cifratori di blocco, i cifratori di flusso cifrano il testo in chiaro un byte o un bit
alla volta, come mostrato nella Figura 2. Pensate ai codici a flusso come un codice a blocchi
con una dimensione del blocco di un bit. Con un cifratore a flusso, la trasformazione di
queste unità di testo in chiaro più piccole varia a seconda di quando vengono incontrate
durante il processo di crittografia. I codici a flusso possono essere molto più veloci dei codici
a blocchi e generalmente non aumentano la dimensione del messaggio, perché possono
crittografare un numero arbitrario di bit.
Sistemi crittografici complessi possono combinare blocco e flusso nello stesso processo.
4.1.2.3
Numerosi sistemi di crittografia utilizzano una crittografia simmetrica. Alcuni degli standard di
crittografia comuni che utilizzano la crittografia simmetrica sono i seguenti:
3DES (Triple DES): Il Digital Encryption Standard (DES) è una codifica a blocchi simmetrica
con dimensione del blocco a 64 bit che utilizza una chiave a 56 bit. È necessario un blocco
di testo in chiaro a 64 bit come input e un blocco di testo cifrato a 64 bit come output.
Funziona sempre su blocchi di uguale dimensione e utilizza sia permutazioni che sostituzioni
nell'algoritmo. Una permutazione è un modo di disporre tutti gli elementi di un insieme.
Triple DES cripta i dati tre volte e utilizza una chiave diversa per almeno uno dei tre
passaggi, dandogli una dimensione cumulativa della chiave di 112-168 bit. 3DES è
resistente agli attacchi, ma è molto più lento di DES.
AES: L'Advanced Encryption Standard (AES) ha una dimensione del blocco fisso di 128 bit
con una dimensione della chiave di 128, 192 o 256 bit. Il National Institute of Standards and
Technology (NIST) ha approvato l'algoritmo AES nel dicembre 2001. Il governo degli Stati
Uniti utilizza AES per proteggere le informazioni classificate.
AES è un potente algoritmo che utilizza chiavi di lunghezza maggiore. AES è più veloce di
DES e 3DES, quindi fornisce sia una soluzione per applicazioni software che per l'uso
dell'hardware in firewall e router.
Altri codici a blocchi includono Skipjack (sviluppato dalla NSA), Blowfish e Twofish.
4.1.3.1
Il processo di crittografia asimmetrica
La cifratura asimmetrica, detta anche cifratura a chiave pubblica, utilizza per la cifratura una
chiave diversa da quella utilizzata per la decifratura. Un criminale non può calcolare la
chiave di decrittazione in base alla conoscenza della chiave di crittografia e viceversa, in un
lasso di tempo ragionevole.
Ad esempio, nella Figura 1, Alice richiede e ottiene la chiave pubblica di Bob. Nella Figura 2,
Alice usa la chiave pubblica di Bob per criptare un messaggio utilizzando un algoritmo
concordato. Alice invia il messaggio criptato a Bob, e Bob usa la sua chiave privata per
decriptare il messaggio, come mostrato nella Figura 3.
4.1.3.2
Algoritmi di crittografia asimmetrica
Gli algoritmi asimmetrici utilizzano formule che chiunque può cercare. La coppia di chiavi
non correlate è ciò che rende questi algoritmi sicuri. Gli algoritmi asimmetrici includono:
RSA (Rivest-Shamir-Adleman) - utilizza il prodotto di due numeri primi molto grandi con una
lunghezza uguale tra 100 e 200 cifre. I browser utilizzano RSA per stabilire una connessione
sicura.
ElGamal - utilizza lo standard governativo statunitense per le firme digitali. Questo algoritmo
è gratuito perché nessuno è titolare del brevetto.
Ellittica Curve Cryptography (ECC) - utilizza curve ellittiche come parte dell'algoritmo. Negli
Stati Uniti, la National Security Agency utilizza l'ECC per la generazione di firme digitali e lo
scambio di chiavi.
4.1.4.1
Gestione delle chiavi
La gestione delle chiavi è la parte più difficile della progettazione di un sistema di crittografia.
Molti sistemi di crittografia hanno fallito a causa di errori nelle loro procedure di gestione
delle chiavi. In pratica, la maggior parte degli attacchi ai sistemi crittografici riguarda il livello
di gestione delle chiavi, piuttosto che lo stesso algoritmo crittografico.
Come mostrato in figura, ci sono diverse caratteristiche essenziali della gestione delle chiavi
da considerare.
All'aumentare della lunghezza della chiave, lo spazio chiave aumenta in modo esponenziale.
Lo spazio chiave di un algoritmo è l'insieme di tutti i possibili valori di chiave. Le chiavi più
lunghe sono più sicure, ma sono anche più impegnative in termini di risorse. Quasi ogni
algoritmo ha delle chiavi deboli nel suo spazio chiave che consentono a un criminale di
rompere la crittografia tramite una scorciatoia.
4.1.4.2
Confronto dei tipi di crittografia
Il mantenimento della riservatezza è importante sia per i dati a riposo che per i dati in
movimento. In entrambi i casi, la crittografia simmetrica è favorita dalla sua velocità e dalla
semplicità dell'algoritmo. Alcuni algoritmi asimmetrici possono aumentare significativamente
la dimensione dell'oggetto crittografato. Pertanto, nel caso di dati in movimento, utilizzare la
crittografia a chiave pubblica per scambiare la chiave segreta, e quindi la crittografia
simmetrica per garantire la riservatezza dei dati inviati.
4.1.4.3
Applicazioni
Un token che genera una sola password è un dispositivo hardware che utilizza la crittografia
per generare una password una tantum. Una password una tantum è una stringa di caratteri
numerica o alfanumerica generata automaticamente che autentica un utente per una sola
transazione di una sola sessione. Il numero cambia ogni 30 secondi circa. La password di
sessione appare su un display e l'utente inserisce la password.
L'industria dei pagamenti elettronici utilizza 3DES. I sistemi operativi utilizzano DES per
proteggere i file utente e i dati di sistema con password. La maggior parte dei sistemi di
crittografia dei file, come NTFS, utilizza AES.
● Secure Shell (SSH), che è un protocollo che fornisce una connessione sicura
di accesso remoto ai dispositivi di rete.
● Pretty Good Privacy (PGP), che è un programma per computer che fornisce
la privacy e l'autenticazione crittografica per aumentare la sicurezza delle
comunicazioni e-mail.
Una VPN è una rete privata che utilizza una rete pubblica, solitamente Internet, per creare
un canale di comunicazione sicuro. Una VPN collega due endpoint come due uffici remoti su
Internet per formare la connessione.
Le VPN utilizzano IPsec. IPsec è una suite di protocolli sviluppati per ottenere servizi sicuri
sulle reti. I servizi IPsec consentono l'autenticazione, l'integrità, il controllo degli accessi e la
riservatezza. Con IPsec, i siti remoti possono scambiare informazioni crittografate e
verificate.
I dati in uso sono una preoccupazione crescente per molte organizzazioni. Quando sono in
uso, i dati non hanno più alcuna protezione perché l'utente deve aprire e modificare i dati. La
memoria di sistema contiene i dati in uso e può contenere dati sensibili come la chiave di
crittografia. Se i criminali compromettono i dati in uso, avranno accesso ai dati a riposo e ai
dati in movimento.
I controlli fisici di accesso sono vere e proprie barriere che impediscono il contatto diretto
con i sistemi. L'obiettivo è quello di impedire agli utenti non autorizzati di accedere
fisicamente alle strutture, alle attrezzature e ad altre risorse organizzative.
Il controllo degli accessi fisici determina chi può entrare (o uscire), dove possono entrare (o
uscire) e quando possono entrare (o uscire).
4.2.1.2
Controlli di accesso logici
I controlli logici degli accessi sono le soluzioni hardware e software utilizzate per gestire gli
accessi a risorse e sistemi. Queste soluzioni tecnologiche comprendono strumenti e
protocolli che i sistemi informatici utilizzano per l'identificazione, l'autenticazione,
l'autorizzazione e la responsabilità.
La crittografia è il processo che consiste nel prendere testo in chiaro e creare testo
cifrato.
Gli Access Control Lists (ACLs) definiscono il tipo di traffico consentito su una rete.
I protocolli sono un insieme di regole che regolano lo scambio di dati tra dispositivi.
I sistemi di rilevamento delle intrusioni monitorano una rete per attività sospette
I Livelli di Clipping sono determinate soglie consentite per gli errori prima di
innescare un flag rosso.
Fare clic su ogni tipo di controllo logico di accesso nella figura per ulteriori informazioni.
4.2.2.1
Controllo d'accesso obbligatorio
Il controllo d'accesso obbligatorio (MAC) limita le azioni che un soggetto può eseguire su un
oggetto. Un soggetto può essere un utente o un processo. Un oggetto può essere un file,
una porta o un dispositivo di input/output. Una regola di autorizzazione impone se un
soggetto può accedere o meno all'oggetto.
Nei sistemi che utilizzano controlli discrezionali di accesso, il proprietario di un oggetto può
decidere quali soggetti possono accedere a quell'oggetto e quale accesso specifico possono
avere. Un metodo comune per raggiungere questo obiettivo è quello dei permessi, come
mostrato in figura. Il proprietario di un file può specificare quali permessi
(lettura/scrittura/esecuzione) possono avere gli altri utenti.
Le liste di controllo degli accessi sono un altro meccanismo comune utilizzato per
implementare il controllo discrezionale degli accessi. Un elenco di controllo accessi utilizza
delle regole per determinare quale traffico può entrare o uscire da una rete.
4.2.2.3
Controllo degli accessi basato sui ruoli
Il controllo degli accessi basato sui ruoli (RBAC) dipende dal ruolo del soggetto. I ruoli sono
funzioni di lavoro all'interno di un'organizzazione. Ruoli specifici richiedono autorizzazioni
per eseguire determinate operazioni. Gli utenti acquisiscono i permessi attraverso il loro
ruolo.
RBAC può lavorare in combinazione con DAC o MAC applicando le politiche di uno di essi.
RBAC aiuta a implementare l'amministrazione della sicurezza in grandi organizzazioni con
centinaia di utenti e migliaia di possibili autorizzazioni. Le organizzazioni accettano
ampiamente l'uso di RBAC per gestire le autorizzazioni informatiche all'interno di un
sistema, o applicazione, come best practice.
4.2.2.4
Controllo dell'accesso basato su regole
Il controllo degli accessi basato su regole utilizza liste di controllo degli accessi (ACL) per
determinare se concedere o meno l'accesso. Una serie di regole è contenuta nell'ACL, come
mostrato in figura. La decisione se concedere o meno l'accesso dipende da queste regole.
Un esempio di tale regola è quella che stabilisce che nessun dipendente può avere accesso
al file del libro paga dopo l'orario di lavoro o nei fine settimana.
Come per il MAC, gli utenti non possono modificare le regole di accesso. Le organizzazioni
possono combinare il controllo degli accessi basato su regole con altre strategie per
implementare le restrizioni di accesso. Ad esempio, i metodi MAC possono utilizzare un
approccio basato su regole per l'implementazione.
4.2.3.1
Che cos'è l'identificazione?
Un identificatore univoco assicura che un sistema possa identificare ogni singolo utente,
consentendo quindi ad un utente autorizzato di eseguire le azioni appropriate su una
particolare risorsa.
4.2.3.2
Controlli di identificazione
4.2.4.1
Cosa sai
Le password, le passphrase o i PIN sono tutti esempi di qualcosa che l'utente conosce. Le
password sono il metodo più usato per l'autenticazione. I termini passphrase, passcode,
passkey o PIN sono genericamente chiamati password. Una password è una stringa di
caratteri usata per provare l'identità di un utente. Se questa stringa di caratteri si riferisce a
un utente (come nome, data di nascita o indirizzo), sarà più facile per i criminali informatici
indovinare la password di un utente.
Alcune pubblicazioni raccomandano che la password sia composta da almeno otto caratteri.
Gli utenti non devono creare una password così lunga da rendere difficile da memorizzare o,
al contrario, così corta da renderla vulnerabile all'incrinatura della password. Le password
dovrebbero contenere una combinazione di lettere maiuscole e minuscole, numeri e caratteri
speciali. Clicca qui per testare le password correnti.
Gli utenti devono utilizzare password diverse per sistemi diversi, perché se un criminale
incrina la password dell'utente una volta, il criminale avrà accesso a tutti gli account di un
utente. Un gestore di password può aiutare un utente a creare e ricordare password forti.
4.2.4.2
Cosa hai
Le smart card e i portachiavi di sicurezza sono entrambi esempi di qualcosa che gli utenti
hanno in loro possesso.
Smart Card Security (Figura 1) - Una smart card è una piccola carta di plastica, delle
dimensioni di una carta di credito, con un piccolo chip incorporato. Il chip è un supporto dati
intelligente, in grado di elaborare, memorizzare e salvaguardare i dati. Le smart card
memorizzano informazioni private, come i numeri di conto corrente bancario, l'identificazione
personale, le cartelle cliniche e le firme digitali. Le carte intelligenti forniscono
l'autenticazione e la crittografia per mantenere i dati al sicuro.
4.2.4.3Chi sei
Una caratteristica fisica unica, come un'impronta digitale, una retina o una voce, che
identifica un utente specifico è chiamata biometria. La sicurezza biometrica confronta le
caratteristiche fisiche con i profili memorizzati per autenticare gli utenti. Un profilo è un file di
dati contenente le caratteristiche note di un individuo. Il sistema garantisce all'utente
l'accesso se le sue caratteristiche corrispondono alle impostazioni salvate. Un lettore di
impronte digitali è un comune dispositivo biometrico.
La biometria sta diventando sempre più popolare nei sistemi di pubblica sicurezza,
nell'elettronica di consumo e nelle applicazioni nei punti vendita. L'implementazione della
biometria utilizza un lettore o un dispositivo di scansione, un software che converte le
informazioni scansionate in forma digitale e un database che memorizza i dati biometrici per
il confronto.
4.2.4.4
Autenticazione multifattoriale
L'autenticazione multi-fattore può ridurre l'incidenza del furto di identità online perché
conoscere la password non consentirebbe ai cybercriminali di accedere alle informazioni
dell'utente. Ad esempio, un sito di online banking potrebbe richiedere una password e un
PIN che l'utente riceve sul proprio smartphone. Come mostrato in figura, il prelievo di
contanti da un bancomat è un altro esempio di autenticazione multifattoriale. L'utente deve
avere la carta di credito e conoscere il PIN prima che il bancomat possa erogare contante.
4.2.5.1
Che cos'è l'autorizzazione?
L'autorizzazione controlla ciò che un utente può e non può fare in rete dopo
un'autenticazione riuscita. Dopo che un utente dimostra la propria identità, il sistema verifica
quali risorse di rete a cui l'utente può accedere e cosa l'utente può fare con le risorse. Come
mostrato in figura, l'autorizzazione risponde alla domanda: "Quali privilegi di lettura, copia,
creazione e cancellazione ha l'utente?
L'autorizzazione utilizza un insieme di attributi che descrivono l'accesso dell'utente alla rete.
Il sistema confronta questi attributi con le informazioni contenute nel database di
autenticazione, determina un insieme di restrizioni per quell'utente e lo consegna al router
locale a cui l'utente è connesso.
L'autorizzazione è automatica e non richiede agli utenti di eseguire ulteriori passi dopo
l'autenticazione. Implementare l'autorizzazione immediatamente dopo l'autenticazione
dell'utente.
4.2.5.2
Uso dell'autorizzazione
La definizione di regole di autorizzazione è il primo passo per il controllo degli accessi. Una
politica di autorizzazione stabilisce queste regole.
Una politica di gruppo definisce l'autorizzazione in base all'appartenenza ad un gruppo
specifico. Ad esempio, tutti i dipendenti di un'organizzazione dispongono di una carta di
accesso alla struttura. Se il lavoro di un dipendente non richiede l'accesso alla sala server,
la sua scheda di sicurezza non le permetterà di entrare in quella stanza.
Una politica a livello di autorità definisce le autorizzazioni di accesso in base alla posizione
di un dipendente all'interno dell'organizzazione. Ad esempio, solo i dipendenti di livello
superiore di un reparto IT possono accedere alla sala server.
4.2.6.1
4.2.6.2
4.2.7.1
Controlli preventivi
4.2.7.2
Un deterrente è l'opposto di una ricompensa. Una ricompensa incoraggia gli individui a fare
la cosa giusta, mentre un deterrente li scoraggia dal fare la cosa sbagliata. I professionisti
della sicurezza informatica e le organizzazioni utilizzano i deterrenti per limitare o attenuare
un'azione o un comportamento, ma i deterrenti non li fermano. I deterrenti di controllo
dell'accesso scoraggiano i criminali informatici dall'ottenere l'accesso non autorizzato ai
sistemi informativi e ai dati sensibili. I deterrenti di controllo dell'accesso scoraggiano gli
attacchi ai sistemi, il furto di dati o la diffusione di codice dannoso. Le organizzazioni
utilizzano i deterrenti di controllo dell'accesso per applicare le politiche di sicurezza
informatica.
I deterrenti fanno sì che i potenziali criminali informatici ci pensino due volte prima di
commettere un reato. La figura elenca i deterrenti comuni per il controllo degli accessi
utilizzati nel mondo della sicurezza informatica.
4.2.7.3
Controlli Correttivi
4.2.7.5
Controlli di recupero
Il recupero è il ritorno allo stato normale. I controlli degli accessi di ripristino ripristinano
risorse, funzioni e capacità dopo una violazione di un criterio di sicurezza. I controlli di
ripristino possono riparare i danni, oltre ad arrestare qualsiasi altro danno. Questi controlli
dispongono di capacità più avanzate rispetto ai controlli correttivi degli accessi.
4.2.7.6
Controlli compensativi
4.3.1.1
Il mascheramento dei dati può sostituire i dati sensibili in ambienti non di produzione per
proteggere le informazioni sottostanti.
Esistono diverse tecniche di mascheramento dei dati in grado di garantire che i dati
rimangano significativi ma sufficientemente modificati per proteggerli.
● La sostituzione dei dati sostituisce i dati con valori dall'aspetto autentico per
applicare l'anonimato ai record di dati.
4.3.2.1
La steganografia nasconde i dati (il messaggio) in un altro file grafico, audio o altro file di
testo. Il vantaggio della steganografia rispetto alla crittografia è che il messaggio segreto non
attira alcuna attenzione particolare. Nessuno saprebbe mai che un'immagine conteneva
effettivamente un messaggio segreto visualizzando il file sia elettronicamente che in formato
cartaceo.
Ci sono diversi componenti coinvolti nel nascondere i dati. In primo luogo, ci sono i dati
incorporati, che è il messaggio segreto. Il testo di copertina (o cover-image o cover-audio)
nasconde i dati incorporati che producono il testo stego (o stego-image o stego-audio). Un
tasto stego controlla il processo di occultamento.
4.3.2.2
Tecniche di steganografia
La figura mostra tre pixel di un'immagine a colori a 24 bit. Una delle lettere del messaggio
segreto è la lettera T, e inserendo il carattere T cambia solo due bit del colore. L'occhio
umano non può riconoscere le modifiche apportate ai bit meno significativi. Il risultato è un
carattere nascosto.
In media, non più della metà dei bit di un'immagine dovrà cambiare per nascondere
efficacemente un messaggio segreto.
4.3.2.4
Steganografia sociale
Gli individui nei paesi che censurano i media usano anche la steganografia sociale per far
uscire i loro messaggi, sbagliando di proposito le parole o facendo riferimenti oscuri. In
effetti, essi comunicano simultaneamente a pubblici diversi.
4.3.2.5
Rilevamento
Confrontando un'immagine originale con l'immagine stego, un analista può rilevare modelli
ripetitivi visivamente.
4.3.3.1
L'offuscamento
L'offuscamento dei dati è l'uso e la pratica delle tecniche di mascheramento dei dati e di
steganografia nella professione della sicurezza informatica e della cyber intelligence.
L'offuscamento è l'arte di rendere il messaggio confuso, ambiguo o più difficile da capire. Un
sistema può volutamente rimescolare i messaggi per impedire l'accesso non autorizzato alle
informazioni sensibili.
4.3.3.2
Applicazioni
4.4.1.1
Il capitolo spiega come il controllo degli accessi impedisce l'accesso non autorizzato ad un
edificio, stanza, sistema o file utilizzando l'identificazione, l'autenticazione, l'autorizzazione e
la responsabilità. Inoltre, il capitolo descriveva anche i diversi modelli di controllo accessi e
tipi di controllo accessi.
Il capitolo si è concluso discutendo i vari modi in cui gli utenti mascherano i dati.
L'offuscamento dei dati e la steganografia sono due tecniche utilizzate per mascherare i dati.