You are on page 1of 240

Indice

Voci
Tecniche di difesa informatica
Access token Accountability Anomaly based intrusion detection system Anonimato Antivirus Application-level gateway Architettura di reti sicure L'arte dell'inganno L'arte dell'intrusione ASLR Audit Autenticazione Backup BitLocker Drive Encryption Capability CAPTCHA Carta d'identit elettronica italiana CCleaner Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche Certificate authority Certificate revocation list Certificato digitale Checksum chroot Clickjacking Confidenzialit Contactless smartcard Data mining e sicurezza Demilitarized zone Dependability Digital Signature Algorithm Direct Anonymous Attestation 1 1 1 2 3 4 11 11 13 14 14 15 16 19 23 25 25 29 32 33 35 38 39 41 42 43 44 44 45 48 49 51 53

Disaster prevention Disaster recovery Dll injection Documento programmatico sulla sicurezza Extensible Authentication Protocol False acceptance rate FileVault Filtro bayesiano Fingerprint Firma digitale Firma elettronica Gestione della continuit operativa GnuTLS Greylisting Hardening Hash Hengzhi chip Honeypot Host-based intrusion detection system Identity management Identit digitale Integrit dei dati Internet Security Policy Intrusion Countermeasures Electronics Intrusion detection system Intrusion prevention system IS auditing ISO/IEC 27001 IT Baseline Protection Manual Jingjing e Chacha Key server Lista di controllo degli accessi Login Metodo Gutmann Metodologia Octave Microsoft Strider Modello Bell-LaPadula Modello Biba

54 54 57 58 59 61 62 63 63 64 70 73 74 75 76 77 81 82 83 85 86 88 89 91 91 95 96 97 100 101 102 103 104 107 110 111 112 114

Modello Brewer e Nash Modello Clark-Wilson MS-CHAP MS-CHAPv2 Negazione plausibile Netcraft Network intrusion detection system Network tap Next-Generation Secure Computing Base Nmap One-time password OpenID OpenSSL OSSIM Password authentication protocol Penetration Test Piano di contingenza Port knocking Privoxy Procedura GIANOS Protezione Protezione del database Protocollo AAA Protocollo Kerberos RADIUS Recovery Point Objective Recovery Time Objective Restore Risk Assessment S/KEY SANS Security descriptor Security Management Security Operation Center Sicurezza tramite segretezza Signature based intrusion detection system Single sign-on Sistema di riconoscimento biometrico

115 116 117 118 119 120 121 127 128 130 131 132 133 136 137 137 138 140 142 143 143 144 148 149 153 156 157 157 158 160 161 162 163 164 167 168 168 170

Snort Social Network Poisoning Spam Spim Stamping Authority Standard di sicurezza informatica Steganografia Strong authentication TACACS Tecniche euristiche Tiger team Time Machine (software) Token (sicurezza) Tolleranza ai guasti Tor (software di anonimato) Triple Modular Redundancy TruPrevent Technologies Trusted computing Trusted Platform Module Trusted Software Stack Vulnerability Assessment and Mitigation

174 175 178 188 189 190 193 197 198 198 199 200 202 203 205 209 210 211 224 228 229

Note
Fonti e autori delle voci Fonti, licenze e autori delle immagini 231 235

Licenze della voce


Licenza 236

Tecniche di difesa informatica


Access token
Un Access token (in italiano: Token d'accesso) un oggetto dei sistemi operativi Microsoft Windows che contiene la sessione di accesso (logon) e identifica l'utente, i suoi privilegi e il gruppo di utenti al quale appartiene. Il sistema associa il token a ciascun processo avviato dall'utente. La combinazione di processo e token viene chiamata soggetto. I soggetti operano sugli oggetti di Windows richiamando i servizi di sistema. Ad ogni accesso a una risorsa il sistema richiama una routine di convalida dell'accesso che confronta il token del soggetto con l'elenco di controllo degli accessi ACL (Access Control List) per decidere se l'operazione pu essere effettuata; se l'accesso consentito non si ota niente, se negato in genere vine mostrato un messaggio.

Tipi di Token
Primary token Impersonation token

Accountability
Nell'ambito della sicurezza informatica Accountability la capacit di un sistema di identificare un singolo utente, di determinarne le azioni e il comportamento all'interno del sistema stesso. Per fare ci supportato dall' audit delle tracce e dal sistema di autenticazione (login).

Descrizione
L'accountability un aspetto del controllo di accesso e si basa sulla concezione che gli individui siano responsabili delle loro azioni all'interno del sistema. Tale aspetto supportato dall'audit delle tracce degli eventi registrati all'interno del sistema e nella rete. L'audit delle tracce pu essere utilizzato per il rilevamento di intrusioni e per il rilevamento di eventi passati.

Anomaly based intrusion detection system

Anomaly based intrusion detection system


Un Anomaly Based Intrusion Detection System una tipologia di Intrusion detection system che rileva violazioni alla sicurezza informatica attraverso un'analisi del sistema e un'identificazione e classificazione delle anomalie. Le anomalie possono essere rilevate tramite un'analisi comportamentale del traffico osservato in precedenze (euristica), contrariamente a quanto accade nei sistemi signature based dove la ricerca viene fatta tramite regole, tramite la ricerca di pattern o di firme caratteristiche delle violazioni di sicurezza. I sistemi ADS sono un miglioramento dei sistemi basati sull'individuazione delle violazioni tramite regole. Per poter individuare un'anomalia il sistema deve conoscere il comportamento normale del sistema. Per far ci possono essere utilizzati sistemi differenti: sistemi derivati dall'intelligenza artificiale come le reti neurali che vengono addestrate a classificare il traffico di rete come normale o sospetto tramite l'utilizzo di un modello matematico che rappresenti il comportamento atteso del sistema. Studiando le deviazioni dal modello l'Anomaly Based Intrusion Detection System in grado di individuare le anomalie e di segnalarle. Il problema pi grosso dei sistemi ADS l'addestramento. Sono possibili due approcci: addestramento continuo: il sistema si addestra non appena parte e utilizza i nuovi dati che riceve per rimodellare la sua conoscenza. Il vantaggio di questo approccio che il sistema pu "assorbire" eventuali modifiche nel profilo. Per esempio se aumentano gli utenti di una rete il sistema sollever un allarme, fino al momento in cui capisce che il nuovo schema diventato il traffico regolare. Lo svantaggio di questo approccio che se la durata dell'attacco pari all'inerzia del sistema un attaccante pu essere in grado di addestrare il sistema dall'esterno. addestramento preventivo: il sistema viene addestrato con quello che viene ritenuto del traffico corretto. Qualunque tipo di analisi viene effettuata come un discostamento da questo traffico (modello). Questo approccio ha lo svantaggio di richiedere che venga identificato un certo tipo di traffico che certamente privo di attacchi. Ha il vantaggio che un attaccante non pu riaddestrare il sistema dall'esterno. Infine, rispetto ad un IDS un anomaly detection ha il vantaggio che non deve essere aggiornato il suo database (come avviene anche per gli antivirus).

Voci correlate
Signature based intrusion detection system Intrusion detection system

Collegamenti esterni
(EN) Un modello rigoroso per la rilevazione delle anomalie [1]

Note
[1] http:/ / www. phrack. org/ show. php?p=56& a=11

Anonimato

Anonimato
L'anonimato (o anche anonima) lo stato di una persona anonima, ossia di una persona di cui l'identit non conosciuta. Questo pu accadere per diversi motivi: una persona riluttante a farsi conoscere, oppure non lo vuole per motivi di sicurezza come per le vittime di crimini e di guerra, la cui identit non pu essere individuata. Nascondere la propria identit pu essere una scelta, per legittime ragioni di privacy e, in alcune occasioni, per sicurezza personale: un esempio ne sono i criminali, i quali, solitamente, preferiscono rimanere anonimi, in particolare nelle lettere ricattatorie. Un'opera si dice anonima quando non si conoscono i suoi autori. Lo possono essere i prodotti del folclore o della tradizione, tramandati oralmente; oppure lo sono i dati riguardanti il nome di un autore andati perduti o intenzionalmente nascosti.

Anonimato e Internet
Verso la fine del XX secolo, Internet ha consentito la divulgazione e la pubblicazione di informazioni in forma parzialmente anonima. Tuttavia, la diffusione delle comunicazioni via Internet ha spinto governi e multinazionali a sviluppare metodi di sorveglianza senza precedenti: Echelon, Total Information Awareness e Carnivore sono soltanto alcuni esempi. Su Internet frequente l'uso di pseudonimi (nickname in inglese) anche per nascondere la propria identit; questo necessario ma non sufficiente a garantire il proprio anonimato. Tuttavia, secondo la legge italiana, non consentita l'assunzione di false identit: si veda la voce "Pseudonimo". Gli Anonymous remailer e gli pseudonymus remailer utilizzano sistemi di crittografia per rendere estremamente difficile individuare l'identit reale del mittente di un messaggio di posta elettronica. Protocolli di rete come Tor e Freenet permettono di leggere e pubblicare informazioni con un alto grado di anonimato.

Anonimato e diritto d'autore


Lautore di un'opera considerato chi "' in essa indicato come tale, nelle forme d'uso, ovvero annunciato come tale, nella recitazione, esecuzione, rappresentazione e radiodiffusione dell'opera stessa."(art.8, 633/41) [1] Si intende per forme duso il modo in cui nelle varie opere si scrive o si mostra il nome dellautore, sia una copertina di un libro o un titolo in un'opera cinematografica. Lautore, inoltre, pu essere identificato, oltre che con il nome civile, anche con uno pseudonimo secondo il sopra citato art. 8: Valgono come nome lo pseudonimo, il nome d'arte, la sigla o il segno convenzionale, che siano notoriamente conosciuti come equivalenti al nome vero. La legge riconosce il diritto sia pubblicare unopera anonima, sia di rivendicarne successivamente il diritto. L'autore di un'opera anonima o pseudonima ha sempre il diritto di rivelarsi e di far riconoscere in giudizio la sua qualit di autore.(21, 633/41) [2] Il diritto dautore, nella sua accezione come diritto allutilizzazione, ha delle limitazioni nella durata. In regola generale per l'art. 25 [3]: I diritti di utilizzazione economica dell'opera durano tutta la vita dell'autore e sino al termine del settantesimo anno solare dopo la sua morte. Per le opere anonime, invece, secondo l'articolo 27 [4]: la durata dei diritti di utilizzazione economica di settant'anni a partire dalla prima pubblicazione, qualunque sia la forma nella quale essa stata effettuata. Se, quindi, la paternit dellopera non viene rivelata entro i 70 anni dalla prima pubblicazione lopera diventa automaticamente di dominio pubblico. La S.I.A.E., differenzia luso di pseudonimo o anonimato alluso del nome darte; in quanto questultimo notoriamente, per fama dellautore, conosciuto come il nome vero.

Anonimato

Voci correlate
Tor Privoxy

Altri progetti
Wikisource contiene opere originali: http://it.wikisource.org/wiki/Autore:Anonimo Wikiquote contiene citazioni: http://it.wikiquote.org/wiki/Anonimo

Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Anonymus Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/anonimato

Note
[1] [2] [3] [4] http:/ / www. interlex. it/ testi/ l41_633. htm#8 http:/ / www. interlex. it/ testi/ l41_633. htm#21 http:/ / www. interlex. it/ testi/ l41_633. htm#25 http:/ / www. interlex. it/ testi/ l41_633. htm#27

Antivirus
Un antivirus un software atto a rilevare ed eliminare virus informatici o altri programmi dannosi (malware) come worm, trojan e dialer.

Funzionamento
Uno dei principali metodi di funzionamento degli antivirus si basa sulla ricerca nella memoria RAM e/o all'interno dei file presenti in un computer di uno schema tipico di ogni virus (in pratica ogni virus composto da un numero ben preciso di istruzioni (codice) che possono essere viste come una stringa di byte, il programma non fa altro che cercare se questa sequenza presente all'interno dei file o in memoria). Uno schema viene anche detto "firma del virus". Il successo di questa tecnica di ricerca si basa sul costante aggiornamento degli schemi che l'antivirus in grado di riconoscere, aggiornamento effettuato solitamente da un gruppo di persone in seguito alle segnalazioni degli utenti e da gruppi specializzati nell'individuazione di nuovi virus. Esiste anche un'altra tecnica di riconoscimento detta "ricerca euristica" che consiste nell'analizzare il comportamento dei vari programmi alla ricerca di istruzioni sospette perch tipiche del comportamento dei virus (come la ricerca di file o routine di inserimento all'interno di un altro file) o ricercare piccole varianti di virus gi conosciuti (variando una o pi istruzioni possibile ottenere lo stesso risultato con un programma leggermente differente).

Antivirus

Parti che compongono l'antivirus


Con il termine antivirus in realt si intendono pi parti differenti, alcune indipendenti tra di loro: 1. il file (o i file) delle firme: file che contiene tutte le firme dei virus conosciuti. Questa parte fondamentale ed essenziale per il funzionamento corretto di qualsiasi altro componente 2. il binario in grado di ricercare il virus all'interno dell'elaboratore. Questo componente l'antivirus vero e proprio 3. il binario che rimane residente e richiama l'antivirus ogni qual volta viene creato/modificato un nuovo file o viene modificata una zona di memoria per controllare che il computer non sia stato infettato con questa operazione 4. il binario che effettua gli update (aggiornamento) del file delle firme e di tutti i binari dell'antivirus Nota: alcuni software antivirus possono essere sprovvisti di una o di entrambe le parti 3 e 4

Limiti di un antivirus
Bisogna ricordare che l'antivirus in grado di eliminare prima di tutto soltanto i virus che riconosce, quindi tutti i nuovi virus (per nuovi si intende sia virus che il proprio antivirus non riconosce, sia quelli che non sono ancora stati scoperti) possono passare completamente inosservati ed agire senza che l'antivirus intervenga. Inoltre l'antivirus riesce ad intercettare il virus soltanto quando questo entrato all'interno del computer e quindi ha gi infettato un file o la memoria; a questo punto, a seconda del virus, pu "disinfettare" il file o la memoria eliminando completamente il virus o in alcuni casi costretto a mettere in "quarantena" il file contagiato ed eliminarlo per l'impossibilit di recuperare il file originario. Occorre aggiornare continuamente il proprio antivirus per evitare che malware gi riconosciuti (cio gi immessi nella lista del database online del software) non siano riconosciuti e quindi possano infettare il proprio PC. L'antivirus inoltre un grande utilizzatore delle risorse del computer e se viene avviato in background ogni volta che viene acceso il computer pu comportare un forte rallentamento soprattutto nelle fasi iniziali (perch controlla prima tutta la memoria e poi tutti i file, che rientrano nella ricerca selezionata durante la fase configurazione, su disco); tale rallentamento presente anche in tutte le fasi in cui si scrive su disco, bench ci possa risultare pi trascurabile. Per tali motivi l'antivirus accelera l'obsolescenza del proprio computer, creando la necessit di aggiornarne alcune parti o prenderne uno nuovo per ottenere delle prestazioni che siano accettabili per l'utente. La scelta di un antivirus una cosa molto complessa, anche perch antivirus diversi possono riuscire a rintracciare e quindi a controllare i nuovi virus prima di altri. La scoperta di un nuovo virus dipende molto da quanto "infettivo": pi un virus si propaga velocemente, pi veloce e semplice risulta essere la sua identificazione e quindi l'aggiornamento delle firme; se invece il virus tende ad essere molto poco "infettivo" ed a rimanere localizzato soltanto in una certa area, pu passare molto tempo prima che venga intercettato e aggiunto alle firme. Succede pi volte che un antivirus consideri dei file o programmi come virali anche se in realt non lo siano (falso positivo). Questo dovuto al fatto che un insieme di istruzioni che compongono un virus (o una sua parte) pu essere presente anche in programmi e file "normali" o possono essere ottenuti come combinazione casuale in un file di dati salvati non in formato testo. Il problema principale che si pu non riuscire ad eseguire questo programma od aprire il file rilevato come infetto se prima non si disabilita l'antivirus, sempre che l'antivirus non lo abbia cancellato o rovinato in modo irreparabile nel frattempo. Ci sono numerosi metodi per criptare e compattare un codice malware rendendolo cos non rintracciabile da un antivirus; su questo fronte molti antivirus non sono attrezzati e riescono a fare ben poco, ma anche gli altri possono non essere in grado di rilevare un file infetto se non quando questo entra in esecuzione: il virus viene scompattato in RAM per essere eseguito e solo in questo momento l'antivirus sar in grado di rintracciarlo. Infine le compagnie che creano i software antivirus possono avere un incentivo finanziario molto forte a far s che nuovi virus vengano creati continuamente e che il panico nel pubblico generi un continuo ricorso all'aggiornamento

Antivirus dei loro software. Questa una delle accuse avanzate da varie parti ai produttori di antivirus, bench in realt non vi sia attualmente alcuna prova che convalidi tale tesi.

Tecnologia euristica
La tecnologia euristica un componente di alcuni antivirus che consente di rilevare alcuni programmi maligni non noti all'antivirus, cio non contenuti nel suo database dei malware. Questa tecnologia non sempre presente all'interno di un antivirus e non sempre garantisce buoni risultati.

Modi per implementare la tecnologia euristica


La tecnologia euristica pu essere implementata in pi modi, anche operanti in contemporanea. I metodi pi utilizzati sono, in ordine crescente di efficacia: Analisi dei file: Ogni file a cui l'utente o il sistema fanno accesso viene analizzato per verificare che non abbia una struttura sospetta o contenga istruzioni potenzialmente pericolose. Se impostata ad un livello troppo sensibile, questo tipo di euristica pu causare riconoscimenti errati di file "puliti" come pericolosi ("falsi positivi"). Allo stesso modo se impostata ad un livello troppo permissivo pu rivelarsi pressoch inutile. Questo approccio utilizzato praticamente da tutti gli antivirus moderni. Analisi comportamentale: Ogni processo eseguito nel computer viene monitorato e si segnalano all'utente le azioni potenzialmente pericolose, come gli accessi al registro di sistema dei computer Windows o le comunicazioni con altri processi. Questo approccio utilizzato da vari antivirus e firewall. Sand-Box: Gli antivirus che utilizzano questa tecnica eseguono ogni processo del computer all'interno di un'area protetta, chiamata Sand-Box, e monitorano il comportamento del programma: se non vengono effettuate azioni pericolose il processo viene eseguito sulla macchina fisica, altrimenti il processo viene terminato e il relativo file eliminato o messo in quarantena. Questo approccio viene utilizzato da pochi antivirus in quanto degrada molto le prestazioni del computer ma garantisce i risultati migliori.

Il firewall: ulteriore protezione contro i virus


Per quello che si detto si capisce che per avere un sistema sicuro l'antivirus non affatto sufficiente, occorre una protezione ulteriore: il firewall. Un firewall permette, se ben configurato ed usato correttamente, di bloccare i virus, anche se non conosciuti, prima che questi entrino all'interno del proprio computer e volendo permette anche di bloccare all'interno alcuni virus presenti nel proprio computer evitando cos che essi possano infettare la rete a cui si collegati. Un firewall quindi pu essere uno strumento aggiuntivo che impedisce ad un virus di infettare la macchina prima che possa essere individuato dall'antivirus (con la possibile perdita del file infetto). Inoltre permette di nascondere parzialmente o totalmente la macchina sulla rete evitando attacchi dei cracker o degli stessi virus.

Aggiornamenti automatici Live-Update


Una delle funzionalit aggiuntive dei software AntiVirus, che ultimamente sta prendendo sempre pi piede, il modulo degli aggiornamenti automatici Live-Update. Con tale modulo il software AntiVirus si aggiorner automaticamente non appena sia disponibile una connessione Internet. Gli aggiornamenti possono riguardare le firme di autenticazione dei virus e/o anche i motori di scansione e i motori euristici (funzionalit non sempre rilasciata). Il primo software AntiVirus ad introdurre gli aggiornamenti automatici Live-Update stato Norton Antivirus della Symantec.

Antivirus

Antivirus e Sistemi Operativi


Con l'avvento di internet l'antivirus diventato uno strumento quasi indispensabile e quasi esclusivo per i sistemi operativi rilasciati da Microsoft, mentre gli altri sistemi risultano quasi immuni da virus; per questo motivo la maggior parte degli antivirus realizzata per i sistemi operativi Microsoft. Negli ultimi anni sono stati prodotti antivirus anche per altri sistemi, di solito usati come server, per poter controllare il flusso di dati, soprattutto e-mail, che poi finiranno sui computer desktop degli utenti che usano prodotti Microsoft. Con altri Sistemi operativi basati Linux e Mac OS, la diffusione dei virus molto pi ostacolata soprattutto dalla diversa politica gestionale; i programmi utenti hanno attivit pi strettamente specificate e soprattutto con privilegi molto ridotti, cos sono molto difficili le attivita dei virus, e sono altrettanto limitati i danni che da questi potrebbero scaturire nell'esecuzione; risulta quindi molto difficile causare una compromissione del sistema operativo, come invece accade spesso nei sistemi Microsoft.

Antivirus e programmi
I programmi che maggiormente permettono la diffusione dei virus sono i client di posta elettronica ed i browser, questo perch questi due programmi sono l'accesso diretto a due funzionalit indispensabili in internet: la posta e la navigazione web. Un'altra tipologia di software informatico molto colpito dai virus quella composta dai file di dati ricavati con Microsoft Office. Con questa suite possibile creare all'interno dei file delle istruzioni (macro) che eseguono date funzionalit in modo automatico o sulla pressione di una determinata combinazione di tasti. Molti virus writer sfruttano questa potenzialit per allegare delle macro che sono in realt dei virus. In generale i virus sfruttano delle vulnerabilit nei sistemi informatici, usando a volte - in modo automatico tecniche di penetrazione sviluppate dai cracker. Diverse organizzazioni, oltre ai produttori di software antivirus, si occupano di raccogliere le segnalazioni di vulnerabilit o attacchi, e renderle pubblicamente disponibili; tali organizzazioni sono normalmente note con l'acronimo di CERT ("Computer Emergency Response Team", squadra di risposta alle emergenze informatiche).

Client di posta
Tra i client di posta spicca l'uso di Outlook Express, preinstallato, nella versione base, su tutti i sistemi operativi Microsoft; naturalmente anche altri client di posta, se funzionanti su sistema Microsoft, non sono immuni o totalmente immuni dall'essere un veicolo usato dai virus. Outlook Express unito all'inesperienza dell'utente, forse la prima forma di diffusione di alcuni tipi di malware. Outlook Express per default memorizza tutti gli indirizzi E-Mail dai contatti prelevati in modo automatico da tutte le mail ricevute o spedite, questo fa s che se un utente si iscrive, per esempio, ad una mailing list pu alla fine avere un insieme di indirizzi di dimensioni considerevoli; questa base di dati viene sfruttata dai virus per spedire delle mail e per cercare di espandere l'infezione. I virus di ultima generazione sfruttano questi elenchi di indirizzi per nascondere il vero mittente, prendendo a caso due indirizzi, uno da usare come destinatario e l'altro da far risultare come mittente. Il problema di base dovuto all'utente che apre ed esegue gli allegati anche di mail che sono palesemente portatrici di virus, ma anche i buchi presenti in questi software hanno la loro parte. Per esempio Outlook Express ha sofferto di svariati buchi molto critici che permettevano, per esempio, l'esecuzione del virus appena la mail era ricevuta all'interno del proprio client (quindi senza aprirla) o appena la si apriva (nella firma possibile inserire delle istruzioni, istruzioni usate per attivare il virus). La prima causa di diffusione dei virus tramite i client di posta l'esecuzione degli allegati e qui non esiste un client di posta che possa impedire la diffusione del virus se l'antivirus non riesce ad intercettarlo prima.

Antivirus

Browser
Anche i browser possono essere un veicolo per l'infezione, basta che vi sia un buco di sicurezza (vulnerabilit) sfruttato da un sito WEB che si visita. Come per i client di posta si ha che su tutti i sistemi operativi di Microsoft l'utente si trova installato Internet Explorer e, anche a causa della sua diffusione, risulta proprio questo browser il pi soggetto a questi tipi di attacchi, tanto che ultimamente stato consigliato da pi fonti di usare altri browser[1] soprattutto se si fanno delle transazioni a rischio (per esempio se si accede al proprio conto corrente).

Client IRC e IM
I clienti dei sistemi di messaggistica immediata posseggono la capacit di inviare e ricevere file ed inoltre spesso sono dotati di un linguaggio di scripting che stato spesso sfruttato per diffondere virus, backdoor e dialer. L'uso di questi programmi deve tenere in gran conto che l'utente che offre un file non corrisponde sempre necessariamente ad una persona reale, dal momento che molti virus si diffondono automaticamente. consigliabile rifiutare gli invii a meno che non si abbia effettivamente richiesto o si desideri qualcosa da un utente conosciuto e non si abbia la protezione di un antivirus che effettua l'esame dei file, anche compressi, in tempo reale.

Possibile strategia per limitare al minimo i rischi di contagio


La strategia che si pu suggerire pu essere suddivisa nei seguenti punti: informarsi su cosa un virus, un antivirus ed un firewall; consultare vari manuali reperibili anche on-line per capire abbastanza a fondo il problema informarsi su come funziona il proprio sistema operativo, il proprio client di posta ed il proprio browser in caso di "attacco" di virus, per poter capire quali sono le operazioni che permettono di limitare al minimo i rischi di contagio quando si naviga in internet evitare di scaricare file eseguibili e soprattutto di eseguirli senza avere la certezza assoluta che la fonte sia attendibile. Se l'antivirus dichiara che non ha rilevato nessun virus sul binario scaricato, questo non vuol dire che non contagiato, ma semplicemente che l'antivirus non ne ha rilevato nessuno: infatti potrebbe contenere un nuovo virus o magari il vostro antivirus non aggiornato quando si naviga su internet evitare di scaricare add-on ai propri programmi di navigazione se non si pi che sicuri della fonte quando si naviga in internet evitare di andare su siti che soprattutto offrono gratis cose che in realt sono a pagamento, perch molte volte queste pagine cercano di sfruttare buchi presenti nel proprio browser per: installarvi un virus, reperire informazioni salvate sul vostro PC (esempio la carta di pagamento se fate acquisti on-line) o semplicemente permettere al cracker che ha costruito quel sito di prendere possesso da remoto del vostro computer quando si riceve una e-mail da uno sconosciuto, soprattutto se ha un allegato, sempre meglio eliminarla e mai aprire l'allegato od eseguirlo; se la mail arriva da un vostro conoscente ed ha un allegato non previsto o inaspettato magari chiedere conferma se l'ha spedito effettivamente lui quando si ricevono mail con file eseguibili, magari spedite da un proprio conoscente, conviene sempre evitare di eseguirli. meglio perdersi un filmato od un giochino divertente che vedere il proprio computer compromesso e doverlo reinstallare o far reinstallare da zero, magari perdendo tutti i lavori in esso contenuti quando si spediscono e-mail evitare di includere messaggi in formato ms-office, ma spedirli in formato testo o altro formato non contenente macro; richiedere che anche i propri conoscenti facciano lo stesso quando spediscono delle mail a voi abilitare, in ms-office, la richiesta per l'esecuzione delle macro; in questo modo sar possibile sapere se il file contiene delle macro ed impedirne l'esecuzione. evitare di eseguire programmi non originali o per cui non possibile controllarne la non compromissione (per esempio per tutti i file possibile associare vari codici di protezione che permettono di identificare se il pacchetto

Antivirus stato modificato da altri. Il pi semplice di questi l'MD5) informarsi di quali sono i prodotti che nella storia recente hanno mostrato maggiori falle e permesso un pi semplice contagio da parte degli ultimi virus e se possibile sostituirli all'interno del proprio elaboratore con programmi simili, ma che risultano pi sicuri controllare costantemente gli aggiornamenti di sicurezza per tutti i prodotti che si affacciano direttamente alla rete (sistema operativo, browser, client di posta, client irc, ...) mantenere sempre aggiornati antivirus, firewall ed altri programmi per la sicurezza.

Elenco di programmi antivirus


Compagnie produttrici di prodotti antivirus
AVAST Software - avast! AVG - AVG AntiVirus Avira - Avira Antivirus aVtomic BullGuard - BullGuard Antivirus ClamAV Comodo - Comodo Antivirus Computer Associates (CA) Emsisoft Anti-Malware Eset - NOD32 Frisk Software F-Secure G Data Software AG GeCAD Grisoft - AVG Anti-Virus Hauri H+BEDV Kaspersky McAfee Microsoft - Microsoft Security Essentials Mks Norman Panda Software - Panda (antivirus) PC Tools Quick Heal SafeNet - eSafe, Aladdin Knowledge Systems SOFTWIN - BitDefender SOIM Srl - aVtomic AntiVirus Sophos Symantec - Norton Antivirus TG Soft - VirIT eXplorer Trend Micro Vipre

VirusBlokAda - VBA32 ANTI-VIRUS ZoneAlarm - ZoneAlarm AntiVirus

Antivirus

10

Organizzazioni che forniscono test


Queste organizzazioni pubblicano test comparativi tra i pi diffusi e conosciuti software antivirus. Alcune consentono la scansione di virus e programmi correlati. Esse hanno diversi livelli che indicano la protezione che il software installato fornisce al sistema. AV-Comparatives [2] Virus.gr [3] AV-Test GmbH [4] ICSA Labs [5] Virus Bulletin [6]

Note
[1] [2] [3] [4] [5] [6] Francia e Germania sconsigliano Internet Explorer (http:/ / www. zeusnews. com/ index. php3?ar=stampa& cod=11672) http:/ / www. av-comparatives. org/ http:/ / virus. gr/ portal/ en/ http:/ / av-test. org/ http:/ / www. icsalabs. com/ icsa/ icsahome. php http:/ / www. virusbtn. com/ index

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Antivirus software

Collegamenti esterni
centro di coordinazione CERT di Carnegie Mellon (http://www.cert.org/other_sources/viruses.html) eicar - Istituto Europeo per la ricerca degli Antivirus per Computer (http://www.eicar.org)

Application-level gateway

11

Application-level gateway
Un Application-level gateway o ALG una componente di sicurezza dei firewall in una rete di computer. Permette ai filtri NAT personalizzati di essere aggiunti al gateway per fornire l'indirizzo e la porta di traduzione per certi protocolli del livello applicazione come FTP, BitTorrent, SIP, RTSP, trasferimento file e applicazioni IM.

Architettura di reti sicure


Per architettura di rete sicura si intende la struttura pianificata di un determinato sistema informatico che abbia la sicurezza in primo piano. Quando si costruiscono sistemi informatici possibile conferire una certa importanza all'architettura generale e pianificarne la sicurezza come uno dei costrutti fondamentali. Allo stesso modo la struttura di una rete pu avere un aspetto significativo sulla sua sicurezza. Dopo la costruzione di un'architettura di rete ci si occupa anche di controllarne l'operato e il funzionamento, cos da monitorare le attivit di ogni funzione. Esistono diverse tipologie di controllo nelle architetture: segmentazione, ridondanza, singoli punti di errore.

Segmentazione
La segmentazione un controllo di protezione potente nei sistemi operativi, che pu limitare i danni potenziali in una rete; essa riduce il numero di minacce e limita la quantit di danni permessa da una singola vulnerabilit. La segmentazione consiste nel segmentare le parti fondamentali di una rete, cos da evitare compromissioni o malfunzionamenti. Una struttura sicura utilizza pi segmenti. Oltre che all'utilizzo di pi segmenti vi si pu aggiungere l'utilizzo di server separati riducendo il danno potenziale dovuto alla compromissione di qualsiasi sistema secondario. L'accesso separato un modo di dividere la rete in segmenti.

Ridondanza
Un altro controllo architetturale fondamentale la ridondanza, che permette di eseguire su pi nodi una funzione. La struttura ideale deve presentare due server e utilizzare la cosiddetta modalit failover. In questa modalit i server comunicano con gli altri periodicamente determinando se sono ancora attivi o se uno dei server ha problemi, in tal caso gli altri si occupano dell'elaborazione al suo posto. Cos facendo le prestazioni vengono ridotte alla met in presenza di malfunzionamento, ma l'elaborazione continua ad essere svolta.

Singoli punti di errore


Per assicurarsi che l'archittettura faccia tollerare al sistema malfunzionamenti in modo accettabile (per esempio rallentando l'elaborazione senza interromperla, oppure recuperando e riavviando le transazioni incomplete) si adotta la modalit di cercare i singoli punti di errore, ovvero occorre chiedersi se esiste un singolo punto della rete, che in caso di errore, potrebbe negare l'accesso a tutta la rete o a una parte significativa di essa.

Crittografia
La crittografia lo strumento pi importante per un esperto di sicurezza delle reti, serve a fornire privacy, autenticit, integrit e accesso limitato ai dati. Nelle applicazioni di reti, la crittografia pu essere applicata sia tra due host (crittografia di collegamento) sia tra due applicazioni (crittografia end-to-end). Per qualsiasi forma di crittografia le chiavi devono essere consegnate al mittente e al destinatario in modo sicuro.

Architettura di reti sicure

12

Crittografia end-to-end
Questo tipo di crittografia garantisce la sicurezza da una capo della trasmissione all'altro. Pu essere applicata da un dispositivo hardware tra l'utente e l'host o da software in esecuzione sul computer host. La crittografia precede l'elaborazione di trasmissione e instradamento dello strato e affronta potenziali difetti negli strati inferiori. Nel caso in cui uno strato inferiore dovesse fallire nel mantenimento della sicurezza e dovesse rendere noti i dati ricevuti, la riservatezza di questi non sarebbe comunque in pericolo. Quando si utilizza la crittografia end-to-end i messaggi inviati attraverso diversi host sono protetti, i dati contenuti nel messaggio sono crittografati e allo stesso modo lo anche il messaggio mentre in transito. Di conseguenza anche quando un messaggio deve passare attraverso nodi potenzialmente insicuri, esso comunque protetto dalla divulgazione durante il suo transito.

Voci correlate
Crittografia Crittografia di collegamento Host Server Sistema operativo

Sicurezza informatica Privacy Internet

Collegamenti esterni
architettura di rete [1]

Note
[1] http:/ / nem01. altervista. org/ source/ Il_modello_ISO_OSI. html/

L'arte dell'inganno

13

L'arte dell'inganno
L'arte dell'inganno Titolooriginale Autore 1ed.originale Genere Sottogenere The Art of Deception Kevin Mitnick 2002 Saggio Sicurezza informatica

L'arte dell'inganno un libro sull'ingegneria sociale scritto da Kevin David Mitnick insieme a William Simon nel 2001, pubblicato nel 2002 col titolo originale The art of deception e uscito in Italia nel 2003. Tratta in modo approfondito e meticoloso dei differenti modi per ottenere informazioni e chiavi di accesso ai sistemi informativi. L'inganno in s, rappresentato dal social engineering utilizzato dai protagonisti delle storie raccolte nel libro. In pratica evidenzia la facilit con cui molte persone, nonostante siano consapevoli dei rischi e dell'importanza di password e dati sensibili, sono disposti a svelarle. Spesso le vittime arrivano a credere che rivelare una password via telefono, ad una persona sconosciuta che dice di essere un tecnico che fa manutenzione informatica, o un collega in difficolt, non solo sia innocuo ma anzi credono di aver dato una mano ad un lavoratore come loro. A differenza di ci che si potrebbe aspettare, il libro non un manuale su come ingannare un sistema informatico, ma al contrario offre molti aspetti riflessivi che spingeranno il lettore a capire il vero valore dei propri dati sensibili. Tutto questo grazie anche ad analisi complete su ogni singolo attacco, con relativi consigli su come non cadere in trappole simili. Infine osserva da vicino il fenomeno dell'ingegneria sociale, mostrando alla gente cosa pu fare una qualsiasi persona anche senza un livello elevato di conoscenze informatiche. La scelta di non trattare l'hacking solo dal punto di vista tecnologico, stata una scelta forse dettata dalla consapevolezza dell'uscita del seguito The Art of Intrusion - The Real Stories Behind the Exploits of Hackers, Intruders & Deceivers, che invece inquadra questo aspetto pi tecnologico e meno "psicologico". In italia il libro uscito nel 2005 con il titolo L'arte dell'intrusione.

L'arte dell'intrusione

14

L'arte dell'intrusione
L'arte dell'intrusione Titolooriginale Autore 1ed.originale Genere Sottogenere The Art of Intrusion Kevin Mitnick 2005 Saggio Sicurezza informatica

L'arte dell'intrusione un libro su diversi casi di hacking scritto da Kevin David Mitnick insieme a William Simon, pubblicato nel 2005 col titolo originale The art of intrusion e uscito in Italia nel maggio del 2006. Mitnick esamina dieci casi di hacking realmente accaduti, intervistandone gli autori. Assicur a tutti loro l'anonimato assoluto, salvo quelli gi condannati dalle autorit. Per ogni caso Mitnick analizza il lato tenico e quello sociale, descrivendone anche le modalit d'attacco. Inoltre lo commenta e spiega le contromisure per difendersi da attacchi del genere, oltre a fornire gli sviluppi recenti della vicenda se necessario.

ASLR
La ASLR (Address Space Layout Randomization, casualizzazione dello spazio degli indirizzi) una misura di protezione contro buffer overrun e exploit che consiste nel rendere (parzialmente) casuale l'indirizzo delle funzioni di libreria e delle pi importanti aree di memoria. In questo modo un attacco informatico che cerca di eseguire codice malevolo su un computer costretto a cercare gli indirizzi del codice e dei dati che gli servono prima di poterli usare, provocando una serie di crash del programma vettore (infettato o apertamente malevolo). Normalmente, se durante l'esecuzione di codice si accede a una struttura dati con l'indirizzo sbagliato si ottengono dati errati, e se si chiama una funzione con l'indirizzo errato si provoca una eccezione, che porta alla terminazione del programma da parte del sistema operativo; un programma malevolo sfrutter per l'eccezione generata (legittimamente: non possibile n consigliabile impedire ai programmi di generare eccezioni) per tenere traccia di quale tentativo fallito, raccogliendo cos sempre maggiori informazioni ad ogni fallimento, fino a conoscere prima o poi con precisione l'indirizzo di memoria delle risorse che gli servono. Questa attivit di raccolta di informazioni genera per una serie ripetuta di crash del programma in questione, che quindi ben visibile all'utente o ai programmi antivirus.

Efficacia
Questa tecnica tanto pi efficace quanto pi l'indirizzo delle librerie, dello stack, dello heap e delle varie strutture dati di sistema variabile; in genere per possibile variare tali indirizzi solo entro un certo spazio, o perch devono essere allineate all'inizio di una pagina di memoria, o perch devono risiedere in una particolare zona della memoria. Quindi pi efficace su sistemi a 64 bit, che hanno uno spazio di indirizzamento pi vasto, e lo meno sui sistemi a 32 bit. presente in Windows Vista, Windows 7, Mac OS X 10.5 Leopard (in modo non completo), Mac OS X 10.6 Snow Leopard, Mac OS X 10.7 Lion, iOS 4.3 e in alcune distribuzioni di Linux, oltre che in OpenBSD. Tale tecnica consiste nel caricare in memoria programmi e librerie a indirizzi casuali; in questo modo l'attaccante obbligato a indovinare dove potrebbe essere la funzione che egli ha deciso di attaccare. Un attacco effettuato usando una previsione errata generalmente manda in crash l'applicazione oggetto dell'attacco stesso, trasformando cos un

ASLR attacco che mirava a eseguire codice potenzialmente maligno sulla macchina bersaglio in un semplice attacco di tipo denial-of-service . L' ASLR ovviamente molto pi efficace sulle macchine a 64 bit che hanno uno spazio degli indirizzi molto pi grande delle macchine a 32 bit. Le macchine a 32 bit rendono disponibili solo 16 bit da modificare casualmente.

15

Collegamenti esterni
(EN)PaX documentation on ASLR [1] (EN)ASLR for Windows Vista beta 2 [2] (EN)ASLR for Windows 2000/XP/2003 (WehnTrust) [3] (EN)Bypassing PaX ASLR protection [4] (EN)On the effectiveness of address space layout randomization [5] (EN)Microsoft Finds (Random) Way to Secure Vista [6] (EN)Windows Vista Randomization Gets OEM Thumbs Up [7]

Note
[1] http:/ / pax. grsecurity. net/ docs/ aslr. txt [2] http:/ / blogs. msdn. com/ michael_howard/ archive/ 2006/ 05/ 26/ 608315. aspx [3] [4] [5] [6] [7] http:/ / www. wehnus. com http:/ / www. phrack. org/ archives/ 59/ p59-0x09. txt http:/ / portal. acm. org/ citation. cfm?id=1030124& dl=ACM& coll=& CFID=15151515& CFTOKEN=6184618 http:/ / www. eweek. com/ article2/ 0,1895,1969505,00. asp http:/ / www. eweek. com/ article2/ 0,1895,2071746,00. asp

Audit
Un audit una valutazione o controllo di dati o procedure, spesso ricorrente nei bilanci aziendali (audit contabili). Il concetto di audit pu essere applicato a molte altre attivit, come per esempio in sanit: audit clinico

Gestione aziendale
Le audit sono delle attivit atte a misurare la conformit di determinati processi, strutture o procedure a determinate caratteristiche richieste e a verificarne l'applicazione. esistono principalmente tre tipi di audit: audit interno; audit esterno di seconda parte; audit esterno di terza parte; i primi, gli audit interni, sono delle verifiche effettuate direttamente dai soggetti interni all'azienda. i secondi, gli audit di seconda parte, sono delle verifiche eseguite da societ partner della societ richiedente l'audit (ad esempio un audit richiesto da un'azienda ad un suo fornitore). I terzi, gli audit di terza parte, a differenza dei secondi, che comunque sono eseguiti da soggetti esterni all'azienda, vengono invece condotti da organizzazioni specializzate in questo genere di controlli che, oltretutto, al termine di questa rilasciano un apposito certificato attestante il livello di qualit. Le tipologie di valutazione comunemente usate sono generalmente le seguenti: audit di conformit; audit di conformit ed efficacia; valutazione della qualit dell'organizzazione;

Audit

16

In sicurezza informatica
Nell'ambito della sicurezza informatica, l'audit una valutazione tecnica manuale o sistematica misurabile di un sistema o un'applicazione. La valutazione manuale prevede domande allo staff, esecuzione delle analisi di vulnerabilit, revisione e controllo degli accessi al sistema operativo, e analisi dell'accesso fisico a sistemi. Le valutazioni automatiche o CAAT, includono rapporti audit generati dal sistema o uso di software per monitorare e riportare cambiamenti a file e impostazioni del sistema. I sistemi possono includere pc, server, mainframe, rete di router, switch. Le applicazioni possono includere servizi Web e basi di dati.

Collegamenti esterni
Audit Civico [1]

Note
[1] http:/ / www. cittadinanzattiva. it/ progetti-salute/ audit-civico. html

Autenticazione
Nel campo della sicurezza informatica, si definisce autenticazione (in greco: , da 'authentes'='autore') il processo tramite il quale un sistema informatico, un computer, un software o un utente, verifica la corretta, o almeno presunta, identit di un altro computer, software o utente che vuole comunicare attraverso una connessione ed usufruire dei relativi servizi associati.

Identificazione dell'utente
Durante una connessione/comunicazione in Internet o l'accesso ad alcuni servizi messi a disposizione dal Web importante per l'utente definire in modo univoco la propria identit, essere riconosciuto e per questo ottenere l'accesso ai propri servizi. Allo stesso modo fondamentale anche conoscere l'identit di chi si trova dall'altra parte della "linea" della comunicazione ed essere certi che l'interlocutore con il quale si stanno scambiando delle informazioni sia veramente chi dice di essere e non un impostore.

Login
Il problema dell'autorizzazione spesso identificato con quello dell'autenticazione: i protocolli per la sicurezza standard, ad esempio, si basano su questo presupposto. Comunque, vi sono casi in cui questi due problemi vengono risolti con strategie differenti. Un esempio di tutti i giorni la comune procedura di autenticazione che conosciamo come login, presente ad esempio in forum, accesso a servizi di home banking e e-commerce, reti Wi-Fi, telefoni cellulari ecc... Un sistema di elaborazione, progettato per essere usato soltanto da utenti autorizzati, deve essere in grado di rilevare ed escludere i soggetti non autorizzati. L'accesso ad esso, dunque, viene garantito solo dopo aver eseguito con successo una procedura di autenticazione, di solito attraverso una username e/o una password personale.

Autenticazione

17

Limiti tecnologici
Non esistono computer, software o utenti in grado di confermare, con totale certezza, l'identit di altri computer, software e utenti. Dunque, essendo la soluzione "totalmente sicura" irraggiungibile, si pu soltanto cercare di sottoporre l'autenticando a diverse prove, ad esempio delle domande alle quali bisogna rispondere correttamente. Sicuramente estremamente importante che l'identit virtuale sia associata univocamente a quella "fisica" e sia quindi possibile verificare che la persona che fruisce del servizio sia veramente chi afferma di essere, per i servizi pi critici, come quelli che prevedono transazioni finanziarie o comunicazione di dati personali. Il processo di autenticazione avviene diverse volte al giorno, senza magari accorgersene: un timbro di voce al telefono, un volto, bastano per farci riconoscere un conoscente e concedergli l'attenzione.

Chiave hardware
Un contenitore di login/password la chiave hardware. Questi un oggetto che contiene una memoria interna dove possibile memorizzare password, codici, firme digitali. La sicurezza del contenitore si basa sull'affidabilit del proprietario, in quanto logico che se quest'ultimo lascia incustodita la propria chiave, la sicurezza pu essere compromessa. Un esempio di chiave hardware sono le smart card. Alcuni esempi comuni di processi d'autenticazione coinvolti in un controllo d'accesso sono i seguenti: prelievo di denaro da uno sportello Bancomat; controllo remoto di un computer tramite Internet ad esempio tramite protocollo SSH; servizi bancari online.

Metodologie di autenticazione
I metodi tramite i quali un essere umano pu autenticarsi sono divisi in tre classi, in base a: qualcosa che (es. impronte digitali, impronta vocale, modello retinico, sequenza del DNA, calligrafia o altri identificatori biometrici) qualcosa che ha (es. tesserino identificativo) qualcosa che conosce (es. password, parola chiave o numero di identificazione personale (PIN)) Spesso, al posto del singolo metodo, viene usata una combinazione di metodi, i.e. un tesserino identificativo e un PIN che ne aumenta la sicurezza. Questa prende il nome di Strong authentication o autenticazione a due fattori.

Impronte digitali
Le impronte digitali, in passato, erano Visualizzazione di una procedura di autenticazione basata su protocollo SSH da parte di considerate il pi autorevole metodo di un utente su un sistema FreeBSD) autenticazione, ma alcuni recenti casi giudiziari, nei tribunali degli Stati Uniti e di altri paesi, hanno sollevato grossi dubbi sull'affidabilit del suddetto metodo. stato teorizzato l'uso di vari altri metodi biometrici (i.e. scansione della retina), ma per quasi tutti stata dimostrata una possibile ambiguit di risultati.

Autenticazione

18

Metodi crittografici
Nel contesto dell'ICT, sono stati sviluppati dei metodi crittografici (vedi firma digitale) i quali, per ora, non sono raggirabili se (e solo se) la chiave originaria, utilizzata per cifrare l'informazione, non stata compromessa. Questi ottimi metodi sono, almeno per ora, considerati inattaccabili, ma non c', per, la certezza che essi rimangano "sicuri" per sempre. Imprevisti sviluppi matematici futuri potrebbero rendere vulnerabile l'intera generazione moderna di algoritmi di cifratura, mettendo in seria discussione tutto ci che stato autenticato in passato. In particolare, un contratto digitalmente firmato non avrebbe pi alcun valore nel caso in cui il sistema crittografico di base fosse stato 'bucato'. La scelta dei diversi metodi di autenticazione condizionata dai diversi fattori tra cui l'usabilit, l'importanza delle informazione da proteggere ed il costo del sistema. Spesso si assiste anche ad una mutua autenticazione in cui ciascuna parte in causa deve autenticarsi all'altra.

Voci correlate
Autorizzazione (informatica) Biometria Crittografia Crittografia a chiave pubblica Identit digitale Identity management Kerberos Login Password RADIUS Secure shell S/KEY Strong authentication Username

Backup

19

Backup
In informatica con il termine Backup, copia di sicurezza o copia di riserva si indica la conservazione di materiale atta a prevenire la perdita totale dei dati archiviati nella memoria di massa dei computer siano essi stazione di lavoro o server.

Descrizione
L'attivit di backup essere un aspetto fondamentale della gestione di un computer: in caso di guasti, manomissioni, furti, ecc., ci si assicura che esista una copia dei dati. Pertanto se si dispone di un apposito software dedicato o incluso nel proprio sistema operativo, l'esecuzione del backup quasi sempre impostata in maniera automatica e svolta normalmente con una periodicit stabilita (per esempio una volta al giorno o alla settimana), e con altre particolarit avanzate se rese disponibili dal software utilizzato. La maggior parte dei sistemi operativi attuali per personal computer integra un qualche programma di backup da configurare, ma solo i server appositamente equipaggiati contengono normalmente un servizio nativo automatico. Nelle aziende il tipo di backup e la relativa periodicit sono solitamente regolati da una apposita procedura aziendale soggetta a verifica periodica e ad altre procedure che comportano un intervento manuale. Il responsabile della sicurezza tenuto ad annotare i controlli periodici e gli interventi sui sistemi. I supporti su cui viene effettuato il backup normalmente devono essere di tipo e marca approvati nella procedura ed necessario che siano periodicamente verificati e sostituiti. Devono inoltre essere conservati in accordo con le politiche di sicurezza aziendale, per esempio, ma non solo, per questioni legate alla privacy.

Laptop bruciato

naturalmente buona norma eseguire periodiche operazioni di backup anche nei personal computer di uso privato, che di solito vengono eseguite dall'utilizzatore del computer stesso che copier i dati importanti su supporti ottici o magnetici (CD-R, CD riscrivibili, DVD-R, DVD riscrivibili, Digital Audio Tape, cartucce a nastro). Gli hard disk portatili con collegamento esterno USB e le chiavette usb (stick-usb) hanno preso il posto dei floppy disk che sono ormai in disuso per la scarsa affidabilit e la limitata capacit.[1] [2] . possibile anche eseguire il backup in modo continuo usando servizi come il backup online o i backup appliance che sono degli strumenti che permettono questo tipo di operativit attraverso gli agent, che sono dei software che si occupano di individuare, attraverso criteri, i file nuovi da archiviare e immediatamente ne eseguono la copia di sicurezza.

Backup

20

Anche il palmare e lo Smartphone sono diventati importanti strumenti per i lavoratori perch contengono dati fondamentali come la rubrica telefonica e il calendario degli appuntamenti, pertanto diventata buona norma estendere il backup anche a questi strumenti. Diversi nuovi servizi su internet permettono infine di eseguire il backup degli account e dei dati degli utenti di social network.

Funzionalit programmi di backup


Alcune delle principali funzionalit che un programma di backup deve fornire, sono:
Hard Drive di rete compatto

Copia immagine di un disco rigido; Copia selettiva di directory e singoli file; Criteri di selezione per la ricerca dei contenuti salvati e per la scelta di quelli che devono essere oggetto di backup (per data, tipo di file, autore della modifica); Compressione dei contenuti per ridurre la memoria richiesta per la copia; Sicurezza: protezione dei dati copiati attraverso password e crittografia. La progressiva discesa del costo delle memorie informatiche, in base alla legge di Moore, pone in secondo piano l'esigenza di ridurre lo spazio richiesto dai backup, comprimendo i dati; i produttori di sistemi oggi infatti si concentrano su metodi per la riduzione del numero di elementi da copiare e per la riduzione del traffico di dati necessario a trasferire i dati da preservare, in modo da aumentare la frequenza delle copie. Per le aziende una caratteristica importante del backup che questa attivit non vada a sovrapporsi con l'operativit quotidiana, caricando i sistemi informatici e rallentando i tempi di risposta agli utenti. Per questo motivo vari sistemi di backup vengono usati la notte, quando normalmente gli utenti non lavorano. Per aumentare la velocit del backup, solitamente vengono applicati uno o pi delle seguenti pratiche: Backup differenziale il backup differenziale basato su un algoritmo che confronta i dati di un file da copiare con quello gi copiato, registrando soltanto le differenze quando ce ne sono. Il backup differenziale utile, in particolare, per file di grandi dimensioni e che necessitano di un backup completo e quotidiano, come i database aziendali. Compressione la compressione ottenuta tramite algoritmi di compressione dei dati (come quelli usati dai programmi pi famosi come Winzip, WinRar, WinAce) prima che vengano registrati sul supporto di backup, oppure attraverso la deduplicazione. Deduplicazione ottenuta tramite algoritmi di deduplicazione (che significa eliminazione dei duplicati) che possono agire a livello di singolo file o di blocco, inteso come insieme di file. La deduplicazione pu essere eseguita prima, durante o dopo la copia di backup, in contemporanera o in differita rispetto alla normale operativit dei sistemi informatici. La deduplicazione utile, in particolare, per i gruppi di file o le cartelle di file che necessitano di un backup completo e quotidiano. La conservazione dei supporti di backup in posizioni fisicamente distinte e separate dai sistemi in uso strettamente necessaria, per evitare che in caso di furto, incendio, alluvione o altro evento catastrofico, le copie vadano perse insieme agli originali.

Backup Il ripristino dei dati copiati con l'operazione di backup normalmente detto restore. Le operazioni connesse con il recupero dei dati dal backup in caso di guasto o cancellazione di una certa importanza sono abitualmente soggette ad autorizzazione specifica del responsabile della sicurezza. L'amministratore di sistema o gli utenti che hanno diritti di accesso analoghi, provvedono al ripristino dei file richiesti.

21

Glossario di termini legati al backup


Backup a caldo (o Hot backup) backup effettuato mentre il programma che usa il file da copiare attivo. I dati possono quindi risultare modificati mentre il backup in corso. Disk image metodo di backup di un intero disco o filesystem in un'unica immagine. Questo metodo utile per ricreare copie esatte di un disco, esempio per effettuare una installazione aziendale su tanti computer contemporaneamente. Backup completo (o Full backup) un backup di tutti i file del sistema. A differenza della disk image, un full backup non include le tavole di allocazione, le partizioni ed i settori di boot. Backup Differenziale backup cumulativo di tutti i cambiamenti effettuati a partire dall'ultimo backup completo (o full backup). Il vantaggio il minor tempo necessario rispetto ad un backup completo. Lo svantaggio che i dati da salvare aumentano per ogni giorno trascorso dall'ultimo backup. Backup Incrementale backup che contiene tutti i file cambiati dall'ultimo backup (completo e incrementale). Il backup incrementale pi rapido di quello differenziale ma richiede tempi di restore pi lunghi poich necessario partire dall'ultimo backup completo e poi aggiungere in sequenza tutti i backup incrementali. Backup Remoto un servizio di salvataggio dati che esegue copie di backup, attraverso la linea internet, verso appositi server collegati al web. Nella maggioranza dei casi si usa tramite un software apposito. Data recovery o data salvage tentativo di recupero dei dati necessario quando i normali metodi sono impossibili. Per esempio un hard-disk rotto potrebbe ancora contenere dati. L'operazione di data recovery viene effettuata da specialisti con strumenti speciali in ambienti controllati: il disco rotto viene aperto in una stanza senza polveri, viene riparato per quanto possibile e la maggior parte dei dati viene cos spesso recuperata. Disaster recovery il processo di recupero delle funzionalit e dei dati dopo un evento disastroso. Uno degli scopi principali del backup di costituire una base per il disaster recovery. Per ottenere un processo realmente efficace necessario pianificare e effettuare dei test di disaster recovery prima che sorga l'effettiva necessit. Finestra di backup Periodo in cui un sistema disponibile per il backup. Le procedure di backup possono avere effetti di rallentamento sui sistemi e sulla rete; alcune operazioni richiedono che l'uso primario del sistema sia sospeso. Questi effetti possono essere mitigati concordando una finestra di backup con il proprietario del sistema. Politica di Backup

Backup insieme di regole a procedure per assicurare che venga eseguito un backup adeguato alle necessit dell'organizzazione aziendale. Una politica di backup definisce il tipo (es. full o incrementale) di backup, la frequenza (generalmente giornaliera), e include le regole per verificare la rispondenza del processo di restore. Restore time tempo richiesto per effettuare il restore di un certo set di dati. Retention time tempo in cui un certo set di dati rimane disponibile per il restore. Il tempo di retention viene generalmente misurato in giorni. In alcuni casi viene misurata una 'retention' sulla base del numero di copie dei dati di backup, indipendentemente dal tempo a cui esse si riferiscono. Schema di rotazione del backup per effettuare un backup giornaliero vengono di solito fatti ruotare gli stessi media (es. i nastri). Lo schema di rotazione stabilisce appunto il metodo di rotazione e di ritenzione (data retention) dei dati. Vengono utilizzati diversi schemi quali: Incrementale; Nonno, padre e figlio; la torre di Hanoi, ecc. Software per il backup programmi applicativi per effettuare le attivit legate al backup dei dati (es. copie di backup e operazioni di restore). Tape library un sistema che contiene dei nastri per il backup, un lettore di barcode per identificare i nastri e un automatismo per movimentare i nastri all'interno della library. Una tape library pu contenere degli enormi ammontari di dati. Virtual Tape Library un sistema che ha le stesse funzionalit della tape library, ma che effettua il backup in modo diverso. Si utilizza una Virtual Tape Library per effettuare una copia temporanea dei dati in attesa di effettuare un backup sul nastro o in un'altra locazione.

22

Voci correlate
Nastro magnetico Restore

Note
[1] Gianni Rusconi. Il floppy va in pensione (http:/ / www. ilsole24ore. com/ art/ SoleOnLine4/ Editrice/ IlSole24Ore/ 2010/ 04/ 27/ Tecnologia e Business/ 18_B. shtml?uuid=25a12abc-51c0-11df-92be-7a8b1f1c5244& DocRulesView=Libero). Il Sole 24 Ore, 27 04 2010. URL consultato in data 27-04-2010. [2] Giacomo Dotta. Il Floppy non morto, anche se non sta troppo bene (http:/ / blog. webnews. it/ 04/ 05/ 2010/ il-floppy-non-e-morto-anche-se-non-sta-troppo-bene/ ). Webnews blog, 04 05 2010. URL consultato in data 05-05-2010.

BitLocker Drive Encryption

23

BitLocker Drive Encryption


La BitLocker Drive Encryption una funzionalit di protezione dei dati integrata nel sistema operativo Microsoft Windows Vista che permette di crittografare l'intera partizione del sistema operativo. BitLocker incluso nelle edizioni Enterprise ed Ultimate di Vista. Per impostazione di default viene usato l'algoritmo di crittografia AES nella modalit CBC con una chiave di 128 bit.

Descrizione
BitLocker garantisce tre modalit operative. Le prime due modalit richiedono un dispositivo hardware per la cifratura, ovvero un Trusted Platform Module (versione 1.2 o successivo) e un BIOS compatibile: Modo operativo trasparente: questa modalit sfrutta le capacit dell'hardware TPM 1.2 per garantire una esperienza di utilizzo trasparente; l'utente effettua il login al sistema operativo normalmente. La chiave usata per la criptazione del disco rigido viene memorizzata (in forma sempre crittografata) all'interno del chip TPM che viene restituita al loader dell'OS solo se i file di avvio appaiono non manomessi. I componenti pre-OS di BitLocker sfruttano la endorsement key. Modo autenticazione utente: questa modalit richiede che l'utente inserisca una chiave di autenticazione nell'ambiente pre-boot in modo da poter avviare l'OS. Due diversi modi di autenticazione sono supportati: un PIN inserito dall'utente oppure un dispositivo USB che contiene la chiave di avvio necessaria. La terza modalit non richiede un chip TPM: Chiave USB: l'utente deve inserire un dispositivo USB che contiene la chiave di avvio nel computer per poter avviare il sistema operativo protetto. da notare che questa modalit richiede che il BIOS sulla macchina protetta supporti la lettura dei dispositivi USB nell'ambiente pre-OS. Per permettere il funzionamento di BitLocker, l'hard disk ha bisogno di essere formattato in almeno due volumi NTFS: un "volume di sistema" con una dimensione minima di 1.5GB, e un "volume di avvio" che contiene Windows Vista. Attenzione: il volume di sistema dove installato BitLocker non crittografato, quindi non deve essere usato per conservare informazioni riservate. Diversamente dalle versioni precedenti di Windows, il comando da prompt diskpart di Vista d la possibilit di creare e modificare la dimensione di un volume NTFS in modo da poter creare un volume di sistema per BitLocker. Sulle versioni client di Windows Vista, solo il volume del sistema operativo pu essere crittografato con BitLocker. L'Encrypted File System (EFS) continua ad essere la soluzione raccomandata per la crittografia dei dati in tempo reale sulle partizioni NTFS. L'EFS fortemente raccomandato in supporto a BitLocker perch la sua protezione termina quando il kernel del sistema operativo viene caricato. Questi due sistemi possono essere visti come sistemi di protezione contro diversi tipi di attacco. Al WinHEC 2006, Microsoft mostr che "Longhorn" (ora Vista) Server conteneva il supporto per BitLocker in aggiunta alla protezione del volume del sistema operativo. In ambienti dotati di dominio BitLocker supporta l'incapsulamento delle chiavi in Active Directory, cos come si interfaccia WMI per l'amministrazione remota di BitLocker. Un esempio di come usare l'interfaccia WMI lo script manage-bde.wsf (installato da Vista in %Windir%\System32), che pu essere usato per impostare e gestire BitLocker da riga di comando. Secondo Microsoft, BitLocker non contiene backdoor; non c' modo per le forze dell'ordine di scavalcare la protezione sui dati. Questa stata una delle principali preoccupazioni fra gli utenti avanzati da quando stato annunciato il supporto della crittografia in Vista. da notare che, contrariamente al nome ufficiale, "Crittografia unit BitLocker" crittografa il volume ad un livello logico. Un volume potrebbe non essere un intero drive, oppure potrebbe essere formato da pi drive. Utilizzando gli strumenti da riga di comando, BitLocker pu essere usato per crittografare anche altri volumi e non solo il volume di

BitLocker Drive Encryption avvio; questi volumi per non possono essere crittografati mediante la GUI. Si presume che nelle versioni future di Windows (come Vista Server) si potranno cifrare volumi addizionali usando la GUI. Quando viene abilitato il TPM/BitLocker viene garantita l'integrit delle procedure di avvio, in modo da prevenire eventuali attacchi esterni.

24

Critiche
Quando viene eseguito il backup di un volume crittografato con BitLocker, il backup generato non crittografato; l'utility di backup di Windows Vista informa l'utente di ci prima dell'esecuzione del backup. Se l'utente decide di continuare, il backup risultante non criptato e compromette la riservatezza dei dati dell'utente. Se l'utente decide di non eseguire il backup, un malfunzionamento hardware del drive crittografato porterebbe alla perdita permanente dei dati. Interrogativi sulla possibilit che questa tecnologia contenga delle backdoor che permetterebbero alle forze dell'ordine di accedere ai dati sono stati respinti dalla Microsoft, ma questa tecnologia supporta una "chiave di recupero" (recovery key) che potrebbe garantire l'accesso senza il controllo dell'utente qualora cadesse nelle mani sbagliate[1] .

Note
[1] (EN) BitLocker Drive Encryption and Disk Sanitation (http:/ / www. microsoft. com/ technet/ community/ columns/ sectip/ st1006. mspx) in TechNet. Microsoft.URL consultato il 22 gennaio 2008.

Voci correlate
FreeOTFE Encrypting File System TrueCrypt FileVault - Mac OS X

Capability

25

Capability
Con il termine capability si intende in informatica un meccanismo di protezione delle risorse orientato agli oggetti complementare alle ACL. I sistemi che utilizzano le capability associano a ciascun processo una lista di capability (o C-list), che descrive per l'appunto a quali oggetti (per esempio file) il processo pu accedere. Una C-list pu essere formata da dei nodi, ciascuno dei quali rappresenta i permessi su un determinato oggetto puntato.

Implementazione
Ci sono diverse metodologie per implementare le capability: In hardware: ad ogni parola in memoria viene aggiunto uno speciale tag che indica se la parola contiene una capability. Solo il sistema operativo possiede i requisiti per poter modificare questi tag. In spazio kernel: il sistema operativo ordina a ciascun processo che tenta di accedere ad un determinato oggetto di verificarne dapprima i permessi consultando una C-list. In spazio utente: le C-list sono memorizzate in spazio-utente, ma per questo motivo devono venire crittografate per impedire contraffazioni da parte degli utenti.

CAPTCHA
Con l'acronimo inglese CAPTCHA si denota nell'ambito dell'informatica un test fatto di una o pi domande e risposte per determinare se l'utente sia un umano (e non un computer o, pi precisamente, un bot). L'acronimo deriva dall'inglese "completely automated public Turing test to tell computers and humans apart" Un captcha di "6138B" ottenuto utilizzando uno (Test di Turing pubblico e completamente automatico per distinguere sfondo confuso, scritto con font diversi, di colori computer e umani). Il termine stato coniato, nella terminologia vari e non allineati inglese, nel 2000 da Luis von Ahn, Manuel Blum e Nicholas J. Hopper della Universit Carnegie Mellon e da John Langford della IBM. Come consueto nella terminologia informatica il termine inglese viene utilizzato anche nella terminologia informatica italiana. Un test CAPTCHA tipicamente utilizzato quello in cui si richiede all'utente di scrivere quali siano le lettere o numeri presenti in una sequenza di lettere o numeri che appaiono distorti o offuscati sullo schermo. Dal momento che il test viene gestito da un computer, mentre il test originale di Turing viene gestito da un umano, a volte si descrive il test CAPTCHA come un test di Turing inverso; questa per una definizione fuorviante, perch potrebbe indicare anche un test di Turing in cui entrambi i partecipanti tentano di provare che non sono umani.

Origini
I CAPTCHA sono stati sviluppati per la prima volta nel 1997 dal settore ricerca e sviluppo di AltaVista capitanato da Andrei Broder, per impedire ai bot di aggiungere URL al loro motore di ricerca. Broder e colleghi cercavano di creare immagini resistenti agli attacchi degli OCR e cos consultarono il manuale degli scanner della Brother e utilizzarono al contrario le indicazioni sulle situazioni da evitare, per ricreare una pessima situazione: caratteri storti, con font diversi, sfondi non omogenei eccetera. Broder sostenne che l'introduzione di tale tecnologia avesse ridotto lo spam di oltre il 95%.

CAPTCHA In modo indipendente dal team di AltaVista, Luis von Ahn e Manuel Blum realizzarono e diffusero nel 2000 l'idea del test CAPTCHA, intendendo con ci qualunque tipo di programma che fosse in grado di distinguere tra persone e computer. Essi inventarono vari tipi di test, compresi i primi a ricevere un'ampia diffusione grazie all'uso da parte di Yahoo!.

26

Applicazioni
I CAPTCHA sono utilizzati per impedire che i bot utilizzino determinati servizi, come i forum, la registrazione presso siti, la scrittura di commenti e in generale tutto ci che potrebbe essere usato per creare spam o per violare la sicurezza con operazioni di hacking come il brute force. Questo tipo di test stato utilizzato anche per contrastare lo spam generato da bot, obbligando il mittente di un messaggio e-mail non conosciuto dal destinatario a superare un test CAPTCHA prima di consentire la consegna del messaggio.

Caratteristiche
Per definizione i test CAPTCHA sono completamente automatici e non richiedono di norma interventi umani per la somministrazione o la manutenzione, indubbi vantaggi in termini di costi e affidabilit. Gli algoritmi utilizzati per realizzare i test vengono spesso divulgati al pubblico, anche se in molti casi sono protetti da brevetto. Tale politica di trasparenza tesa a dimostrare il fatto che la sicurezza del metodo non risiede nella conoscenza di un algoritmo segreto (che potrebbe essere ricavata con tecniche di reverse engineering o in modo fraudolento); al contrario, per 'rompere' l'algoritmo necessario risolvere un problema classificato come 'hard' nel campo dell'intelligenza artificiale. Non obbligatorio ricorrere a tecniche visive: qualunque problema di intelligenza artificiale che abbia lo stesso grado di complessit, ad esempio il riconoscimento vocale, adatto a fare da base per un test di questo tipo. Alcune implementazioni consentono all'utente di scegliere in alternativa un test basato su tecniche auditive, anche se tale approccio ha subito uno sviluppo pi lento e non detto che possieda lo stesso grado di efficacia di quello visivo. Inoltre, possibile ricorrere ad altri tipi di verifiche che richiedano un'attivit di comprensione testuale, quali la risposta a una domanda o a un quiz logico, il seguire delle specifiche istruzioni per creare una password ecc. Anche in questo caso i dati sulla resistenza di tali tecniche alle contromisure sono scarsi. Una promettente tecnica che si sta sviluppando negli ultimi anni impiega dei test basati sul riconoscimento di una faccia all'interno di un'immagine familiare. Per questo tipo di CAPTCHA si parla di RTT based on faces recognition. In letteratura allo stato attuale sono stati implementati soltanto due metodi basati su questo tipo di CAPTCHA: l'ARTiFACIAL[1] e un CAPTCHA basato sul riconoscimento facciale.[2] [3]

Accessibilit
L'uso di test CAPTCHA basati sulla lettura di testi o altre attivit legate alla percezione visiva impedisce o limita fortemente l'accesso alle risorse protette agli utenti con problemi di vista e, poich tali test sono progettati specificamente per non essere leggibili da strumenti automatici, i normali ausili tecnologici usati dagli utenti ciechi o ipovedenti non sono in grado di interpretarli; ma anche gli utenti daltonici possono non essere in grado di superare il test. L'uso dei test CAPTCHA, generalmente legato alle fasi iniziali di accesso o registrazione ai siti e talvolta ripetuto per ogni accesso, pu costituire una discriminazione nei confronti di tali utenti disabili tale per cui in alcuni ordinamenti esso costituisce una violazione delle norme di legge. Nuove generazioni di CAPTCHA, create per resistere ai pi sofisticati programmi di riconoscimento di testi, possono essere molto difficili o impossibili da risolvere per molti utenti, anche nel pieno possesso della propria capacit visiva. Il W3C ha redatto un rapporto in cui vengono evidenziati alcuni dei problemi di accessibilit legati all'uso di tali tecniche.[4]

CAPTCHA

27

Sistemi di protezione per gli utenti


Negli ultimi anni la complessit dei CAPTCHA cresciuta esponenzialmente, e la frustrazione degli utenti gi al limite sta raggiungendo l'esasperazione pi totale. Ultimamente infatti gli utenti dichiarano di rinunciare a postare un proprio giudizio quando questo comporta la compilazione di un CAPTCHA. Inoltre, il mondo si sta spostando sempre pi verso un posting in mobilit, dove la compilazione di un CAPTCHA quanto meno imbarazzante. Per evitare questo fenomeno aziende startup stanno mettendo a punto sistemi per evitare agli utenti la sgradevole sensazione di dover compilare un CAPTCHA spesso inatteso e improbabile. Questo inoltre va a vantaggio dell'accessibilit.

Contromisure
Dopo l'uso massiccio di CAPTCHA, sono state scoperte alcune contromisure che permettono agli spammer di superare i test. Greg Mori e Jitendra Malik hanno presentato nel 2003 uno studio[5] che illustra come aggirare uno dei sistemi pi diffusi per realizzare test CAPTCHA, EZ-Gimpy; tale approccio si rivelato efficace nel 92% dei casi. Nei confronti del sistema Gimpy, pi sofisticato ma meno diffuso, l'efficacia del metodo scende al 33%. Al momento non per noto se tale algoritmo sia stato implementato al di fuori del contesto della ricerca. Sono stati creati anche alcuni programmi per cercare una soluzione ripetutamente e altri per riconoscere i caratteri scritti, utilizzando tecniche apposite e non quelle standard degli OCR. Progetti come PWNtcha[6] hanno fatto grandi passi in avanti, contribuendo alla generale migrazione verso CAPTCHA sempre pi difficili. Un altro metodo per superare un captcha sfruttare sessioni in cui il test gi stato superato, salvando i test per poi creare un archivio di soluzioni. Ma il metodo pi efficace quello di utilizzare un essere umano per risolvere il CAPTCHA: infatti possibile affidare a persone pagate il compito di risolvere i CAPTCHA. Il gi citato documento del W3C[4] afferma che un operatore pu facilmente risolvere centinaia di test CAPTCHA in un'ora. Questa possibile soluzione necessiterebbe di un investimento economico che non sempre giustificato, ma stato scoperto un metodo pi a buon mercato per ottenere gli stessi risultati: lo spammer utilizza a tal fine un sito Internet con un servizio a cui gli utenti umani chiedono l'accesso, che pu essere un forum ma anche una collezione di immagini pornografiche. Cos, quando un utente chiede di accedere, gli viene proposto un CAPTCHA ottenuto dal sito esterno che lo spammer vuole attaccare: il test viene quindi risolto dall'utente, che ottiene in cambio una remunerazione che per lo spammer ha un costo trascurabile, mentre il sistema "ricicla" la soluzione del test per superare la barriera del sito bersaglio.

reCaptcha
I test CAPTCHA hanno avuto degli utilizzi secondari non legati unicamente all'eliminazione dello spam: il pi noto riguarda il riconoscimenti di testi contenuti in libri antichi e si chiama reCaptcha. Molte biblioteche stanno provvedendo a convertire in digitale le loro collezioni di antichi testi (anche manoscritti); questa conversione viene ottenuta tramite la digitalizzazione delle pagine e la loro successiva analisi tramite un programma OCR, che analizza le immagini delle pagine ed estrae il testo in esse contenuto. I programmi OCR per interpretano con difficolt le lettere sbiadite e le pagine ingiallite dei testi antichi e quando non sono in grado di riconoscere con certezza un testo necessitano di un intervento umano, che rallenta il processo e innalza il costo della digitalizzazione. Ricercatori della Carnegie Mellon University hanno deciso di utilizzare i sistemi CAPTCHA per interpretare le parole dubbie individuate dai programmi OCR. Quando due sistemi OCR identificano in modo diverso una parola, questa viene associata a una parola nota e inviata a un utente che deve superare un test CAPTCHA per accedere a un servizio. Si presuppone che se un utente riesce ad individuare correttamente la parola nota, allora individuer con elevata probabilit anche la parola ignota. Quando tre utenti danno la stessa risposta, il sistema archivia la parola

CAPTCHA come corretta. Questo sistema ha permesso di convertire 440 milioni di parole con un'accuratezza del 99%. Ad agosto 2008, questo sistema convertiva 4 milioni di parole al giorno.[7] Il progetto in seguito diventato una startup company che nel settembre del 2009 stata acquisita da Google, il quale ha avviato una procedura di scansione di decine di milioni di libri immagazzinati in centinaia di librerie sparse per il pianeta e intende sfruttare il progetto reCaptcha per correggere gli errori derivati dalla scansione OCR dei testi.[8] ReCaptcha pu essere assimilato alla categoria dei giochi con uno scopo (GWAP).

28

Curiosit
Uno dei fenomeni di Internet nati su 4chan riguarda proprio il CAPTCHA. Esso si riferisce ad un codice in cui si leggeva "Inglip Summoned": ne scaturita la finta leggenda che un dio oscuro, tale Inglip, sia ritornato sulla terra per trascinarla nell'oscurit. Sono presenti inoltre diversi video su YouTube in cui Inglip darebbe ordini ai suoi adepti, sempre tramite degli stravaganti e spesso incomprensibili codici CAPTCHA.[9]

Voci correlate
Gioco con uno scopo

Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] http:/ / research. microsoft. com/ en-us/ um/ people/ yongrui/ ps/ mmsj04hip. pdf http:/ / www. fileguru. com/ apps/ face_recognition_captcha http:/ / ieeexplore. ieee. org/ iel5/ 10670/ 33674/ 01602255. pdf Matt May. (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests (http:/ / www. w3. org/ TR/ turingtest/ ) in W3C Working Group Note. 23 novembre 2005.URL consultato il 12 luglio 2011. Greg Mori; Jitendra Malik. (EN) Recognizing Objects in Adversarial Clutter: Breaking a Visual CAPTCHA (http:/ / www. cs. sfu. ca/ ~mori/ research/ papers/ mori_cvpr03. pdf) (PDF 408kB).URL consultato il 12 luglio 2011. PWNtcha Caca Labs (http:/ / sam. zoy. org/ pwntcha/ ) I testi antichi hanno un futuro "Li salver un metodo antispam" (http:/ / www. repubblica. it/ 2007/ 10/ sezioni/ scienza_e_tecnologia/ libri-web/ testi-antichi/ testi-antichi. html?ref=hpspr1). Repubblica.it, 19 agosto 2008.URL consultato il 19 agosto 2008. Google acquista reCaptcha (http:/ / www. macitynet. it/ macity/ aA39806/ google_acquista_recaptcha. shtml). MaCityNet.it, 16-09-2009.URL consultato il 16-09-2009. Inglipedia (http:/ / inglipnomicon. wikia. com/ wiki/ Inglipnomicon_Wiki). 16-09-2009.URL consultato il 05-06-2011.

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Captcha

Collegamenti esterni
(EN) The Captcha Project (http://www.captcha.net) (EN) Inaccessibility of Visually-Oriented Anti-Robot Tests: Problems and Alternatives (http://www.w3.org/ TR/turingtest/) (raccomandazione del W3C) (EN) Storia del test captcha (http://www2.parc.com/istl/projects/captcha/history.htm) (Xerox PARC) (EN) Il brevetto USA 6.195.698 (http://patft1.uspto.gov/netacgi/nph-Parser?Sect1=PTO2&Sect2=HITOFF& p=1&u=/netahtml/PTO/search-bool.html&r=1&f=G&l=50&co1=AND&d=PTXT&s1=6195698.PN.& OS=PN/6195698&RS=PN/6195698) (nota: il termine captcha non era ancora stato inventato all'epoca) Distinguere l'uomo dalla macchina in modo accessibile (http://diegolamonica.info/tutorials/?id=7)

Carta d'identit elettronica italiana

29

Carta d'identit elettronica italiana


La carta d'identit elettronica (CIE) il documento di identificazione destinato a sostituire la carta d'identit cartacea sul territorio italiano. A decorrere dal 1 gennaio 2006, la carta d'identit su supporto cartaceo sostituita, all'atto della richiesta del primo rilascio o del rinnovo del documento, dalla carta d'identit elettronica (articolo 7-vicies ter del decreto-legge 31 gennaio 2005, n. 7, convertito della Legge 31 marzo 2005 n. 43). Alla fine del 2009 sono state emesse circa 1,8 milioni di CIE da circa 180 Comuni.

Caratteristiche
Ai sensi del DM 19 luglio 2000 e successive modificazioni (in ultimo il DM 8/11/2007 n. 229) il Ministero dellInterno mette a disposizione delle Questure, dei Comuni, degli Uffici Consolari e dellIstituto Poligrafico e Zecca dello Stato l'infrastruttura organizzativa, informatica e di rete del C.N.S.D. e cura la realizzazione, la gestione e la manutenzione dei servizi di sicurezza e di emissione, nonch rende disponibili ai Comuni, agli Uffici Consolari e ai centri di allestimento: il software della porta applicativa di accesso al Backbone, ai fini dell'utilizzazione dei servizi del C.N.S.D. da parte degli Enti emettitori; il software di supporto all'uso in rete del documento, ai cittadini, ai Comuni e alle amministrazioni ed enti interessati; il servizio di convalida I.N.A., attraverso backbone del C.N.S.D., direttamente dall'I.N.A.; il servizio di validazione dei certificati digitali CIE, realizzato sullo standard OCSP (RFC 2560) per i sistemi che erogano servizi tramite il documento; i software di sicurezza e di emissione, finalizzati a garantire l'integrit, l'accessibilit e la riservatezza delle informazioni nelle fasi di compilazione, allestimento, stampa, rilascio, aggiornamento, rinnovo e verifica dei documenti ai Comuni e ai CAPA nonch finalizzati a garantire l'integrit e la sicurezza delle comunicazioni telematiche tra C.N.S.D., Comuni e centri di allestimento. Il Ministero dellInterno C.N.S.D. fornisce ai Comuni che acquisiscono in autonomia postazioni di emissione conformi alle specifiche tecniche pubblicate sul sito del Ministero stesso il necessario software di sicurezza ed emissione, nonch i relativi aggiornamenti.. Il software di sicurezza ed emissione, e i relativi aggiornamenti vengono assicurati dallUniversit degli Studi di Roma di Tor Vergata nellambito dellaccordo istituzionale con il Ministero dellInterno. Di materiale plastico e formato tipo "bancomat" o tesserino del codice fiscale, il supporto della carta d'identit elettronica prodotto dall'Istituto Poligrafico e Zecca dello Stato, che provvede anche alla sua inizializzazione, procedura che rende la carta equivalente a un documento in bianco. A tale procedura segue la formazione, che la fase in cui il CNSD del Ministero dellInterno e il Comune interagiscono, utilizzando il software di sicurezza ed emissione, per scrivere sulla carta e nel microprocessore i dati identificativi del titolare. Per conoscere l'identit della persona non sar necessario introdurre la carta in un lettore: le generalit e la fototessera del titolare saranno stampate sulla carta e saranno quindi leggibili chiaramente. Il supporto fisico deve essere conforme alle norme ISO/IEC 7816 (International Organization for Standardization).

Carta d'identit elettronica italiana

30

La carta d'identit elettronica contiene i seguenti campi: 1. Comune di rilascio del documento; 2. Cognome del titolare; 3. Nome del titolare; 4. Luogo di nascita del titolare 5. Data di nascita del titolare; 6. Ora di nascita del titolare; 7. Sesso del titolare; 8. Estremi dell'atto di nascita; 9. Statura; 10. Comune di residenza; 11. Indirizzo; 12. Data di emissione; 13. Data di scadenza; 14. Cittadinanza; 15. Codice fiscale del titolare; 16. Firma del titolare; 17. Validit per l'espatrio o eventuale annotazione in caso di non validit. Sulla CIE sono inoltre presenti: Dizione della Repubblica Italiana e stemma; Numero assegnato al documento; Fotografia del titolare; Ologramma di sicurezza; Banda ottica a lettura laser microprocessore, contenente delle chiavi crittografiche che permettono al titolare della carta di identificarsi in maniera sicura presso sistemi automatici. L'utilizzo delle chiavi vincolato alla conoscenza di un codice numerico (PIN) consegnato al titolare all'atto del rilascio. L'utilizzo del microprocessore consente di evitare che le chiavi private dell'utente possano essere estratte dalla carta, rendendo pi sicuro il loro utilizzo, e in generale garantisce una migliore protezione dei dati presenti. Nel microprocessore oltre ai dati sopra indicati possono anche essere facoltativamente memorizzati i Modelli delle impronte digitali del dito indice di ogni mano.

Carta d'identit elettronica Italiana - fronte.

Carta d'identit elettronica Italiana - retro.

Il microprocessore predisposto per contenere anche dati e servizi aggiuntivi, in particolare un servizio di firma digitale. Nella memoria del microprocessore per l'uso della CIE, come strumento di accesso ai servizi in rete, risiederanno presso il CNSD la lista dei certificati CIE revocati e i sistemi di convalida anagrafica dell'INA anche per l'uso della CIE, come strumento di accesso ai servizi in rete. In base al Codice dell'Amministrazione Digitale, il microprocessore della carta d'identit elettronica potr contenere, a richiesta dell'interessato, ove si tratti di dati sensibili: 1. 2. 3. 4. L'indicazione del gruppo sanguigno; Le opzioni di carattere sanitario previste dalla legge; I dati biometrici previsti dalla legge, con esclusione, in ogni caso, del DNA; Tutti gli altri dati utili al fine di razionalizzare e semplificare l'azione amministrativa e i servizi resi al cittadino, anche per mezzo dei portali, nel rispetto della normativa in materia di riservatezza; 5. Le procedure informatiche e le informazioni occorrenti per la firma elettronica. La carta d'identit elettronica e la Carta nazionale dei servizi sono gli unici strumenti di autenticazione previsti dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via transitoria sono ammesse anche altre modalit, meno sicure, come quelle basate sulla coppia nome utente e

Carta d'identit elettronica italiana password.

31

Distribuzione
Nonostante la distribuzione della CIE non sia stata ancora portata a regime in tutto il territorio nazionale, numerosi comuni, di propria iniziativa e a proprie spese, si sono aggiunti agli iniziali comuni-campione che ricevettero nel 2004 le apparecchiature necessarie al suo rilascio. Al 31 dicembre 2009 risultano emesse circa 1.800.000 CIE. Successivamente al DM 229 del 8/11/2007 del Ministero dell'Interno sono inoltre stati realizzati numerosi esempi di Centri di allestimento della CIE in forma associata. Questo permette ai piccoli comuni di associarsi ad un comune pi grande cui demandare la fase di stampa della CIE, la pi onerosa in termini organizzativi ed economici. In tal modo, mantenendo l'emissione della CIE a vista presso gli sportelli comunali, i comuni pi piccoli possono semplicemente acquisire i dati del cittadino e trasmetterli in via telematica al comune pi grande dotato di centro di stampa. Una volta stampata la CIE questa viene inizializzata e consegnata al cittadino dal proprio comune.

Note Voci correlate


Carta d'identit Carta d'identit italiana Tessera sanitaria Carta nazionale dei servizi

Collegamenti esterni
CNSD - Ministero dell'interno, Direzione Centrale per i Servizi Demografici (http://www.servizidemografici. interno.it)

CCleaner

32

CCleaner
CCleaner

CCleaner 3 su Windows XP Sviluppatore Ultimaversione S.O. Genere Licenza Piriform Ltd. 3.14.1616 (21 dicembre 2011) Microsoft Windows Utility Freeware (Licenza chiusa) CCleaner.com [1]

Sito web

CCleaner un software freeware di ottimizzazione delle prestazioni, protezione della privacy e pulizia dei registri di sistema e altre tracce d'uso per varie versioni del sistema operativo Microsoft Windows. sviluppato da Piriform Ltd., ed un software molto noto e diffuso, che ha ottenuto anche vari riconoscimenti.[2] Combina uno strumento di pulizia del sistema per eliminare i file temporanei e quelli inutilizzati ad uno strumento di pulizia e riordino del registro di sistema. Il programma dispone inoltre di diverse utility tra cui: possibile disinstallare e rinominare i programmi installati nel sistema; la gestione dei programmi che vengono eseguiti all'avvio; la gestione di tutti i punti di ripristino del sistema e la distruzione sicura di contenuti sui drive; un potente strumento per risolvere problemi riscontrati con estensioni, riferimenti e collegamenti mancanti; una sezione chiamata Registro dove possono essere trovati e riparati problemi che vengono rilevati nell'integrit registro del sistema.

Il programma consente di creare un backup del registro di sistema prima di procedere all'eliminazione. Supporta tutte le versioni di Windows, dalla 2000 in poi.[3] Al 25 agosto 2010, il programma ha avuto pi di 500 milioni di download[4] ed tradotto in molte lingue, in continuo aumento.[5]

CCleaner

33

Voci correlate
Utilit (informatica)

Note
[1] http:/ / www. piriform. com/ ccleaner [2] (EN) CCleaner - Reviews (http:/ / www. piriform. com/ ccleaner/ reviews).URL consultato il 27 maggio 2011. [3] (EN) What operating systems does CCleaner support? (http:/ / www. piriform. com/ ccleaner/ faq/ installing/ what-operating-systems-does-ccleaner-support).URL consultato il 7 ottobre 2010. [4] (EN) CCleaner Download Milestone (http:/ / www. piriform. com/ blog/ 2010/ 8/ 25/ ccleaner-download-milestone) in Piriform Blog. 25 agosto 2010.URL consultato il 24 ottobre 2011. [5] (EN) Changing the language CCleaner uses (http:/ / www. piriform. com/ docs/ ccleaner/ ccleaner-settings/ changing-the-language-ccleaner-uses).URL consultato il 24 ottobre 2011.

Collegamenti esterni
(EN) Sito web di CCleaner (http://www.piriform.com/ccleaner)

Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche


Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche Descrizione generale Attiva Nazione Servizio Tipo Ruolo Sede Soprannome Sito internet ufficialmente dal 2005 Italia Polizia di Stato unit specializzata del Servizio Polizia Postale e delle Comunicazioni Protezione delle infrastrutture critiche da reati informatici Roma CNAIPIC PS.it CNAIPIC [1]

Comandanti Comandante corrente V.Q.A. dott. Tommaso PALUMBO Voci di unit militari presenti su Wikipedia

Il Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche (CNAIPIC) l'unit specializzata interna al Servizio di polizia postale e delle comunicazioni dedicata alla prevenzione e repressione dei crimini informatici diretti ai danni delle infrastrutture critiche nazionali. Anche se di fatto gi operante dal 2005 come unit specializzata nel settore, costituita in seno al Servizio polizia postale e delle comunicazioni, il CNAIPIC stato istituito formalmente con decreto del capo della Polizia il 7 agosto del 2008, in ottemperanza al decreto del ministro dell'interno del 9 gennaio 2008. La sede stata inaugurata il 23 giugno 2009 a Roma in via Tuscolana 1548, presso il Polo Tuscolano del Dipartimento della pubblica sicurezza.

Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche

34

L'attacco di Anonymous
Nel luglio del 2011 i server centrali del CNAIPIC sono stati violati dai gruppi hacker di NKWT, Anonymous, LulzSec e Antisec. Sono stati prelevati importanti documenti e relazioni per un totale di 8Gb di dati che tuttora si trovano liberamente in internet. Queste azioni sono state rivendicate come protesta contro l'arresto di italiani presunti aderenti ai movimenti hacker, ma non si escludono motivazioni da inserirsi in un quadro pi ampio.

Voci correlate
Polizia Postale Nucleo speciale frodi telematiche Defense Information Systems Agency Sicurezza informatica Hacker Cracker Sniffing Spoofing Phishing

Security Operation Center

Collegamenti esterni
Decreto 9 gennaio 2008 del ministro dell'interno [2]

Note
[1] http:/ / poliziadistato. it/ articolo/ 18494-CNAIPIC_Centro_Nazionale_Anticrimine_Informatico_per_la_Protezione_delle_Infrastrutture_Critiche [2] http:/ / archivio. cnipa. gov. it/ HTML/ RN_ICT_cron/ si_20080109%20Decreto%20Ministero%20interno. rtf

Certificate authority

35

Certificate authority
In crittografia, una Certificate Authority o Certification Authority (CA), letteralmente Autorit Certificativa, un ente di terza parte (trusted third party), pubblico o privato, abilitato a rilasciare un certificato digitale tramite procedura di certificazione che segue standard internazionali e conforme alla normativa europea e nazionale in materia. Il sistema in oggetto utilizza la crittografia a doppia chiave, o asimmetrica, in cui una delle due chiavi viene resa pubblica all'interno del certificato (chiave pubblica), mentre la seconda, univocamente correlata con la prima, rimane segreta e associata al titolare (chiave privata). Una coppia di chiavi pu essere attribuita ad un solo titolare. L'autorit dispone di un certificato con il quale sono firmati tutti i certificati emessi agli utenti, e ovviamente deve essere installata su di una macchina sicura.

Introduzione
Le Certification Authority sono caratteristiche di una infrastruttura a chiave pubblica (PKI), cos organizzata: una policy di sicurezza che fissa i principi generali; un certificate practise statement (CPS), ossia il documento in cui illustrata la procedura per lemissione, registrazione, sospensione e revoca del certificato; un sistema di certification authority (CA); un sistema di registration authority (RA), ovvero il sistema di registrazione e autenticazione degli utenti che domandano il certificato; un certificate server. Possono essere certificate persone fisiche, organizzazioni, server, applicazioni, ogni CA precisa nel proprio CPS chi sono le entit finali che essa disposta a certificare e per quali scopi di utilizzo (certificati di firma e cifratura dei messaggi di posta elettronica, certificati di autenticazione dei server di rete, ecc.).

CA root
Una infrastruttura PKI strutturata gerarchicamente da pi CA al cui vertice si trova una CA root che certifica le sub-CA. Il primo passo per costruire una infrastruttura PKI creare la CA radice dell'albero, ossia la CA root. Se la CA di root la radice dell'albero chi le firma il certifcato? La risposta molto semplice: la CA si auto firma il suo certificato. In pratica vengono create le chiavi pubblica e privata, crea la richiesta di rilascio di un certificato e la firma con la sua chiave privata. Da qui si evince la necessit della buona reputazione di una CA: in pratica non c' nessuna autorit garante dal punto di vista architetturale sopra la CA di root; necessario quindi passare a forme di garanzia giuridiche

Un esempio pratico
Al contrario della cifratura simmetrica che utilizza ununica chiave per cifrare e decifrare, la cifratura asimmetrica, o a chiave pubblica si avvale di due chiavi, una chiave pubblica e una chiave privata, una per cifrare e laltra per decifrare, legate entrambe da una funzione matematica. Le CA sono la soluzione per il problema dell'associazione fra una chiave pubblica e la persona che possiede la relativa chiave privata. Chiariamo il concetto con un esempio: Alice e Bob vogliono scambiarsi messaggi firmati e crittografati; a tale scopo entrambi creano la loro coppia di chiavi e le pubblicano su un keyserver. Quindi Alice scrive un messaggio per Bob, lo firma con la propria chiave privata e lo cripta con la chiave pubblica di Bob, quindi il messaggio viene inviato. In ricezione Bob decripta il messaggio con la propria chiave privata e verifica la firma con la chiave pubblica intestata ad Alice. Bob a questo punto sa due cose:

Certificate authority il messaggio era diretto a lui perch riuscito a decifrarlo con la propria chiave privata il messaggio stato firmato con la chiave privata relativa alla chiave pubblica che lui ha usato per verificare la firma. Nel contempo Bob non ha alcuna garanzia che la chiave sia realmente di propriet di Alice. Continuando l'esempio, supponiamo che una terza persona, Mallory, riesca ad intercettare la comunicazione in cui Bob ottiene la chiave di Alice e riesca a sostituirla con la sua chiave pubblica in cui si spaccia per Alice. Bob non ha alcun modo per scoprire l'inganno. Per risolvere situazioni di questo tipo nascono le CA che si fanno carico di verificare e garantire la corrispondenza fra chiave e proprietario. Quando un utente richiede un certificato, la CA verifica la sua identit, quindi crea un Documento digitale firmato con la chiave privata della CA e pubblicato. Nell'esempio precedente supponiamo che Alice e Bob si facciano firmare le loro chiavi da una CA che entrambi ritengono attendibile. In questo caso l'attacco di Mallory non pi possibile in quanto non in grado di riprodurre la firma della CA.

36

Procedura di certificazione
Alice genera la sua coppia di chiavi. Raggiunge lufficio registrazione (Registration Authority) della CA, si identifica e fornisce la sua chiave pubblica perch sia certificata. La RA approva la richiesta di certificazione dopo opportune verifiche, dopodich chiede alla CA di generare un certificato per Alice. La CA firma il certificato generato per Alice con il proprio certificato. Alice riceve per e-mail il proprio certificato firmato dalla CA ed il certificato root della CA. Ogni volta che firmer un documento, Alice allegher il proprio certificato digitale oppure il numero seriale dello stesso. Il certificato di Alice pubblicato dalla CA sul proprio certificate server. Le CA sono delle organizzazioni molto importanti nel panorama attuale del Web; in genere tutti i siti che si occupano di e-commerce o di transazioni on-line, perlomeno all'atto dell'autenticazione dell'utente trasferiscono la comunicazione dal protocollo HTTP al protocollo HTTPS; all'atto della negoziazione il client richiede il certificato del server e quindi viene instaurata la connessione protetta. Quando un browser (ma anche un client di posta, ecc...) riceve un certificato, lo valida. Nel processo di validazione verifica che tutto l'albero delle CA collegate al certificato sia fidato. Se tutte le CA coinvolte nel rilascio del certificato in esame sono fidate, il certificato ritenuto valido altrimenti viene chiesto all'utente cosa fare, ossia se accettarlo o meno. Il problema di fidarsi o meno del certificato e quindi dell'entit che lo ha presentato viene passato all'utente. Per cui il problema della fiducia rimane a completo carico dell'utente. automatico, quindi, che i siti o le infrastrutture utilizzino certificati rilasciati da CA note per la loro affidabilit. Alcuni siti possono optare per un'autocertificazione solo per impedire che terzi attraverso analisi del protocollo ip possano leggere i dati scambiati tra il sito e l'utente.

Compiti di una Certification Authority


Descriviamo ora a grandi linee i compiti di una CA standard. Il procedimento illustrato una linea guida che pu variare caso per caso: identificazione certa di chi richiede la certificazione della chiave pubblica; rilascio e pubblicazione del certificato (firmato con la propria chiave privata); manutenzione del registro delle chiavi pubbliche; revoca o sospensione dei certificati in caso di istanza dell'interessato o in caso di abusi, falsificazioni, ecc. e nel contempo aggiornamento della lista pubblica dei certificati sospesi o revocati (certificate revocation list); risposta (per via telematica) alle domande di trasmissione dei certificati. si occupa periodicamente di pubblicare due liste sul Certificate Server: 1. Certificate Revocation List (CRL) 2. Certificate Suspension List (CSL)

Certificate authority

37

Vigilanza
Le Certification Authority sono sottoposte ad una rigida regolamentazione e supervisione da parte dello Stato. Il governo italiano stato il primo a livello europeo, e tra i primi a livello mondiale a darsi una regolamentazione normativa al riguardo, definendo le regole tecniche e logistiche per realizzare una infrastruttura che potesse rilasciare certificati digitali che avessero, ai sensi di legge, la stessa validit di una firma autografa. I certificati devono essere rilasciati da CA iscritte nell'Elenco Pubblico dei Certificatori [1], diffuso dal Centro Nazionale per lInformatica nella Pubblica Amministrazione (CNIPA). Tale organismo opera presso la Presidenza del Consiglio per lattuazione delle politiche del Ministro per le riforme e le innovazioni nella PA, unifica in s due organismi preesistenti, tra cui lAutorit per lInformatica nella Pubblica Amministrazione. Il CNIPA, ai sensi del Codice dell'amministrazione digitale, vigila sullattivit dei certificatori qualificati. Dal 2006 pubblica un bollettino con lobiettivo di informare sullattivit di vigilanza svolta dal Cnipa in questambito. Lattivit di vigilanza fondamentale per lintero impianto della firma digitale, in quanto garantisce il mantenimento del possesso dei requisiti tecnici, organizzativi e societari che i certificatori qualificati devono possedere, ai sensi della normativa vigente.

Il quadro normativo
La Direttiva europea 1999/93/CE [2], recepita dal Decreto Legislativo 23 gennaio 2002, n. 10 [3] prescrive che Ciascuno Stato membro provvede affinch venga istituito un sistema appropriato che consenta la supervisione dei prestatori di servizi di certificazione stabiliti nel loro territorio e rilascia al pubblico certificati qualificati. Tale organismo stato identificato dallarticolo 31 del Codice dell'amministrazione digitale [4] nel Centro Nazionale per lInformatica nella Pubblica Amministrazione. Il CNIPA deve quindi ottemperare a diverse previsioni normative derivanti dal conferimento delle funzioni di vigilanza e controllo sull'attivit dei certificatori qualificati, oltre che a quelli derivanti dallattivit di accreditamento volontario. Per chiarezza di informazione si ricorda che i certificatori qualificati sono i soggetti che intendono emettere certificati qualificati secondo la Direttiva europea 1999/93/CE, soggetti che si distinguono in certificatori accreditati e notificati. La differenza sostanziale fra le due tipologie che i primi si sottopongono ad apposita istruttoria preventiva volta a verificare il possesso in capo agli stessi dei requisiti richiesti dalle norme in materia. Recependo la Direttiva europea citata precedentemente, il CNIPA stato designato, anche a livello comunitario, a operare come lorganismo nazionale di accreditamento e di vigilanza sulle attivit svolte dai certificatori accreditati. A parte il rispetto degli obblighi normativi, la vigilanza su tali soggetti ovviamente fondamentale per lintero impianto della firma digitale nel nostro Paese. Difatti, la robustezza degli algoritmi utilizzati, la sicurezza dei dispositivi sicuri per la generazione della firma (smart card), i meccanismi crittografici utilizzati, non servirebbero a garantire nulla se il soggetto che certifica la corrispondenza fra una chiave pubblica ed i dati anagrafici del titolare della stessa, ad esempio, non agisse con seriet e competenza, garantendo quindi i richiesti livelli di affidabilit, qualit e sicurezza. Da notare che legislazione in materia non prevede alcuna forma di sanzione nel caso di inadempienza da parte dei certificatori. Le norme vigenti in altri Stati membri dellUE, consentono di intervenire con gradualit commisurata alla gravit dellinadempienza rilevata. Ad esempio vi sono sanzioni pecuniarie che vanno da poche centinaia di euro, fino a interventi limite che vedono il divieto di proseguire lattivit. In Italia, non essendo prevista alcuna gradualit di intervento, si pu solo vietare al soggetto inadempiente di proseguire lattivit di certificazione. Tale sanzione, i cui effetti difficilmente reversibili sono di una gravit estrema, non mai stata applicata in quanto non commisurata alle inadempienze fino ad oggi rilevate.

Certificate authority

38

Collegamenti esterni
Elenco delle autorit di certificazione da parte di paesi classificati [5] Centro Nazionale per l'Informatica nella Pubblica Amministrazione [6]

Note
[1] [2] [3] [4] [5] [6] http:/ / www. cnipa. gov. it/ site/ it-IT/ Attivit%c3%a0/ Certificatori_accreditati/ Elenco_certificatori_di_firma_digitale/ http:/ / eur-lex. europa. eu/ LexUriServ/ site/ it/ oj/ 2000/ l_013/ l_01320000119it00120020. pdf http:/ / www. camera. it/ parlam/ leggi/ deleghe/ testi/ 02010dl. htm http:/ / www. parlamento. it/ leggi/ deleghe/ 05082dl. htm http:/ / www. tractis. com/ countries http:/ / www. cnipa. gov. it

Certificate revocation list


I certificate revocation list (CRL) sono delle liste di certificati digitali revocati perch non sono pi validi a causa di molteplici ragioni. Tra cui: compromissione della chiave primaria, dimissioni, cambio dei dati personali. Le CRL aderiscono al formato internazionale ITU-T X.509 secondo quanto descritto dallo standard PKIX Certificate and CRL Profile Un operatore del punto di validazione locale (LVPO) emette una Certificate Revocation Request (CRR, Richiesta di revoca del certificato) per un dato certificato, la relativa certificate authority (CA) si occupera di emettere la nuova CRL.

Certificato digitale

39

Certificato digitale
Un certificato digitale un documento elettronico che attesta, con una firma digitale, l'associazione tra una chiave pubblica e l'identit di un soggetto (una persona, una societ, un computer, etc).

Scopo
Lo scopo del certificato digitale quello di garantire che una chiave pubblica sia associata alla vera identit del soggetto che la rivendica come propria. In un sistema a crittografia asimmetrica ci pu essere molto importante: infatti, ogni Diagramma: come viene realizzato un certifcato digitale messaggio crittografato con una data chiave pubblica pu essere decrittato solo da chi possiede la relativa chiave privata; per cui, se siamo sicuri che la chiave pubblica appartiene a "Mario Rossi" allora siamo anche sicuri che solo "Mario Rossi" potr leggere i messaggi crittati con quella chiave pubblica. Inoltre vale anche il viceversa: se possiamo decriptare un messaggio con quella chiave pubblica allora siamo sicuri che quel messaggio stato criptato da "Mario Rossi" (anche se ci non implica che quel messaggio stato inviato da "Mario Rossi"). Nello schema tipico di un'infrastruttura a chiave pubblica (PKI), la firma apposta sar quella di una autorit di certificazione (CA). Nella rete di fiducia ("web of trust"), invece, la firma quella o dello stesso utente (un'auto-certificazione) oppure di altri utenti ("endorsements"). In entrambi i casi, la firma certifica che la chiave pubblica appartiene al soggetto descritto dalle informazioni presenti sul certificato ( nome, cognome, indirizzo abitazione, indirizzo IP, etc.)

Principio e utilizzo
I certificati sono utili per la crittografia a chiave pubblica quando usata su larga scala. Infatti, scambiare la chiave pubblica in modo sicuro tra gli utenti diventa impraticabile, se non impossibile, quando il numero di utenti comincia a crescere. I certificati digitali sono una soluzione per superare questa difficolt. In principio se Mario Rossi voleva inviare/ricevere un messaggio segreto, doveva solo divulgare la sua chiave pubblica. Ogni persona che la possedeva poteva inviargli e/o ricevere da lui messaggi sicuri; tuttavia qualsiasi individuo poteva divulgare una differente chiave pubblica ( di cui conosceva la relativa chiave privata) e dichiarare che era la chiave pubblica di Mario Rossi. Per ovviare a questo problema, Mario Rossi inserisce la sua chiave pubblica in un certificato firmato da una terza parte fidata ("trusted third party"): tutti quelli che riconoscono questa terza parte devono semplicemente controllarne la firma per decidere se la chiave pubblica appartiene veramente a Mario Rossi. In una PKI, la terza parte fidata sar un'autorit di certificazione. Nel web of trust, invece, la terza parte pu essere un utente qualsiasi e sar compito di chi vuole comunicare con Mario Rossi decidere se questa terza parte abbastanza fidata.

Certificato digitale

40

Validit e liste di revoca


Un certificato solitamente ha un intervallo temporale di validit, al di fuori del quale deve essere considerato non valido. Un certificato pu essere revocato se si scopre che la relativa chiave privata stata compromessa, oppure se la relazione specificata nello stesso (cio la relazione tra un soggetto ed una chiave pubblica) incorretta o cambiata; questo potrebbe succedere se, per esempio, una persona cambia lavoro oppure indirizzo. Ci significa che un utente oltre a controllare che il certificato sia fidato (verificare che sia firmato da una CA riconosciuta) e non sia scaduto dovrebbe controllare anche che non sia stato revocato. Questo pu essere fatto attraverso la lista dei certificati revocati (CRL). Una funzione chiave della PKI proprio quella di tenere aggiornata la CRL. Un altro modo per verificare la validit di un certificato quello di interrogare la CA attraverso un protocollo specifico come, per esempio, Online Certificate Status Protocol (OCSP).

Contenuto di un certificato
Un certificato tipicamente include: una chiave pubblica; dei dati identificativi, che possono riferirsi ad una persona, un computer o un'organizzazione; un periodo di validit; l'URL della lista dei certificati revocati (CRL); Il tutto firmato da una terza parte fidata.

Standard di certificati
Lo standard pi comune per i certificati ITU-T X.509. X.509 stato adattato ad Internet dal gruppo di lavoro PKIX dell'IETF (IETF PKIX Working Group).

Certificati e sicurezza dei siti web


L'uso pi comune dei certificati digitali per l'accesso ai siti web via HTTPS, ossia HTTP su protocollo sicuro SSL. Attraverso i certificati possiamo accertarci che il server a cui ci si connessi autentico, ovvero effettivamente quello che dichiara di essere. Il protocollo SSL prevede che, alla connessione, il server fornisca il proprio certificato digitale; se il certificato digitale firmato da un'autorit di certificazione da noi riconosciuta allora possiamo utilizzare la chiave pubblica presente nello stesso per avviare una comunicazione sicura.

Voci correlate
Firma digitale OpenPGP Transport Layer Security

Checksum

41

Checksum
Checksum, tradotto letteralmente significa somma di controllo. una sequenza di bit che viene utilizzata per verificare l'integrit di un dato o di un messaggio che pu subire alterazioni. Il tipo pi semplice di checksum consiste nel sommare in trasmissione tutti i bit del messaggio e di memorizzare il valore risultante nel frame inviato. Per controllare l'integrit del messaggio sar sufficiente effettuare in ricezione la stessa operazione di somma e confrontarla con il checksum memorizzato nel frame. Se i due valori coincidono, i dati possono essere considerati integri. Questa semplice forma di checksum non molto accurata in quanto non permette di rilevare certe tipologie di errore come: il riordinamento dei bit del messaggio l'inserimento di bit con valore 0 la presenza di diversi errori che sommati tra loro danno 0 In questi casi, quando cio ci sono due o pi serie di bit che hanno lo stesso checksum, si parla di collisioni. Ovviamente, minore la probabilit di collisioni, migliore la qualit dell'algoritmo di controllo e quindi la sicurezza nella verifica dell'integrit. Altre comuni varianti di questo semplice checksum sono ottenute usando al posto della somma l'operazione di XOR come nel Longitudinal redundancy check (LRC) o sommando i bit a gruppi di 2 o 4 come nell'Internet checksum (RFC-1071). Queste varianti mantengono la stessa semplicit di calcolo ma manifestano anche gli stessi difetti. Con il tempo sono nati diversi metodi di controllo pi sofisticati, come il checksum di Fletcher, l'Adler-32 il Cyclic redundancy check (CRC), in cui il risultato non dipende solo dal valore dei bit, ma anche dalla loro posizione. Il prezzo della maggiore affidabilit viene pagato nelle risorse necessarie al calcolo del checksum. Questi metodi sono utili per la verifica di corruzioni accidentali (errori di trasferimento, o di memorizzazione, perdita di dati), ma non sono sicuri contro gli attacchi di malintenzionati, in quanto le loro strutture matematiche non sono particolarmente complesse da aggirare. Per questo tipo di attacchi vengono utilizzati algoritmi di hash crittografati, come l'MD5, lo SHA-1 (in cui per sono state trovate o sembra possibile trovare collisioni), o lo SHA-256, per il momento incorruttibile. I checksum vengono usati spesso su internet per poter garantire che i dati scaricati siano corretti e per garantirne l'autenticit. Per esempio nel download di software, il distributore del programma pubblica il checksum (in genere MD5 o SHA-1), che nello specifico viene chiamato digest, che viene controllato dall'utente per verificare l'integrit dei dati.

Voci correlate
Hash Bit di parit Codice di Hamming Formula di Luhn Check digit

chroot

42

chroot
chroot, contrazione di change root, un metodo usato per isolare i limiti operativi di una applicazione, ma non stato concepito come metodo di sicurezza sebbene alcuni sistemi, come freebsd, lo usano con alcune accortezze come tale. Il nome deriva dal termine informatico root che indica la directory principale del sistema operativo in cui sono contenute tutte le altre directory. Normalmente un software pu accedere a tutti i dischi e le risorse del sistema operativo, compatibilmente con i permessi; l'operazione di chroot consiste nell'eseguire il programma bloccato dentro una sottodirectory, permettendogli di accedere solo alle risorse di cui ha strettamente bisogno. La sottodirectory in questione viene anch'essa denominata chroot e deve contenere una copia (di solito un hard link) di tutti i file di sistema richiesti dal software. Nel caso di sistemi Unix necessaria anche un copia dei device file a cui il programma deve accedere. Normalmente se un cracker riesce a prendere il controllo di una applicazione, avr tutti i privilegi associati all'applicazione e potrebbe essere in grado di compromettere la sicurezza dell'intero sistema, ad esempio installando un rootkit. Al contrario se il programma compromesso si trova in un chroot dovr prima uscire dal perimetro; solo dopo potr apportare danni al sistema. Normalmente le funzioni necessarie a mettere in pratica il chroot sono implementate direttamente nel kernel del sistema operativo.

Collegamenti esterni
HowTo: Chroot con Debian e debootstrap [1]

Note
[1] http:/ / www. oscene. net/ site/ sysadmin/ virtual-sever/ howto-chroot-con-debian-e-debootstrap

Clickjacking

43

Clickjacking
Il clickjacking ("rapimento del clic") una tecnica informatica fraudolenta. Durante una normale navigazione web, l'utente clicca con il puntatore del mouse su di un oggetto (ad esempio un link), ma in realt il suo clic viene reindirizzato, a sua insaputa, su di un altro oggetto. Tipicamente la vulnerabilit sfrutta JavaScript o Iframe. La tecnica stata rilevata per la prima volta nel Settembre 2008 da Robert Hansen e Jeremiah Grossman.

Funzionamento
Su Javascript, il clic su un elemento di una pagina HTML viene gestito dalla funzione event handler: sufficiente programmare tale funzione con parametri differenti (ossia un clic su un elemento differente da quello realmente cliccato) ed cos possibile il reindirizzamento del clic. Altra tecnica, pi pericolosa, quella di inserire un Iframe nella pagina HTML, in maniera tale da "catturare" il clic attraverso il frame nascosto.

Voci correlate
Hijacking

Fonti
Alessandro Bottoni Clickjacking, tutti i browser vulnerabili
05-02-2008) [1]

, Punto-Informatico.it, 29-09-2008

(consultato in data

Collegamenti esterni
(EN) Robert Hansen e Jeremiah Grossman, Clickjacking [2], sectheory.com, 09-12-2008 (consultato in data 05-02-2008) (EN) Marco Balduzzi, New Insights into Clickjacking [3], Owasp Appsec Research 2010, 23-06-2010 (EN) Marcus Niemietz, UI Redressing: Attacks and Countermeasures Revisited [4], Ruhr University Bochum (Germany) Difendersi dal clickjacking [5], (link per annullare la propria involontaria iscrizione). 26-08-2010

Note
[1] [2] [3] [4] [5] http:/ / punto-informatico. it/ 2419482/ PI/ Commenti/ clickjacking-tutti-browser-vulnerabili. aspx http:/ / www. sectheory. com/ clickjacking. htm http:/ / www. slideshare. net/ embyte/ new-insights-into-clickjacking http:/ / ui-redressing. mniemietz. de/ http:/ / www. tuourl. com/ unlike. html

Confidenzialit

44

Confidenzialit
Nella sicurezza informatica per Confidenzialit si intende la protezione dei dati e delle informazioni scambiate tra un mittente e uno o pi destinatari nei confronti di terze parti. Tale protezione deve essere realizzata a prescindere dalla sicurezza del sistema di comunicazione utilizzato: assume anzi particolare interesse il problema di assicurare la confidenzialit quando il sistema di comunicazione utilizzato intrinsecamente insicuro (come ad esempio la rete internet).

Descrizione
In un sistema che garantisce la confidenzialit, una terza parte che entri in possesso delle informazioni scambiate tra mittente e destinatario, non in grado di ricavarne alcun contenuto informativo intelligibile. Per assicurarla si ricorre a meccanismi di cifratura e all'occultamento della comunicazione. I meccanismi di cifratura garantiscono la confidenzialit per il tempo necessario a decriptare il messaggio. Per questo motivo occorre stabilire per quanto tempo il messaggio deve restare confidenziale. Non esistono meccanismi di protezione sicuri in assoluto. Un altro meccanismo che serve ad aumentare la confidenzialit l'autenticazione di accesso al sistema in quanto potenzialmente in grado di scartare accessi di soggetti non autorizzati ovvero autenticati.

Voci correlate
Segreto professionale

Contactless smartcard
La contactless smartcard (CSC), o smartcard senza contatti, una smart card che fa uso di tecnologie RFID per interagire con dispositivi che su di essa sono in grado di leggere e scrivere dati.

Ambiti di applicazione
Le contactless smartcard sono molto usate nei sistemi di bigliettazione elettronica in uso in diversi ambiti del trasporto pubblico locale.

Tipologie
Tra le tipologie pi diffuse di contactless smartcard rientrano quelle che utilizzano la tecnologia Mifare o la tecnologia Calypso. In Asia molto diffusa la tecnologia FeliCa.

Contactless smartcard

45

Sicurezza
La sicurezza generalmente garantita tramite l'utilizzo di una chiave crittografica contenuta nella smart card, che deve corrispondere a quella contenuta nel validatore e fisicamente memorizzata all'interno di un Modulo SAM.

Voci correlate
Smart card Sistema di bigliettazione elettronica ISO 14443 RFID Modulo SAM

Data mining e sicurezza


I primi passi
Nel data mining e sicurezza il problema dell'aggregazione dei dati un tema di continua discussione ed evoluzione nella societ digitale: la difesa di una privacy personale entra in conflitto con algoritmi e programmi di estrazione da database, spesso usati in maniera non trasparente. In numerosi paesi industrializzati e con un alto livello di informatizzazione, il tema stato dato in pasto ai legali che hanno disegnato norme e precetti in difesa del cittadino, per proteggerlo da violazioni della personalit nel cuore dei propri dati sensibili, sanzionando pesantemente i non rispettosi di tali provvedimenti e creando un'idea di sicurezza digitale.

Lavorare in miniere... virtuali


Le banche dati sono in continuo ampliamento ed implementazione: estrarre dati da l dentro diventa sempre pi un lavoro che accomuna l'esperienza del minatore nella ricerca di diamanti con il vissuto del cesellatore, che opera con piccoli tocchi mirati in un'opera realizzata di fino. Tutte queste operazioni, in campo informatico, vengono svolte da sequenze di algoritmi che setacciano basi di dati online alla ricerca di risultati che soddisfino i criteri richiesti da chi ha lanciato la domanda. Reti neurali, clustering ed alberi decisionali sono esempio dell'intricato sviluppo alla ricerca di criteri efficaci per il data mining. Perch mille e una ricerca? La storia della scienza va spesso a braccetto con quella economica: la creazione del data mining con i suoi canoni di ricerca non ne fa eccezione. un metodo per massimizzare il profitto e dare alle imprese maggiori possibilit di utili. Primariamente nel marketing, il data mining viene effettuato per: studiare la ramificazione della clientela; individuare gruppi di compratori interessati; proporre nuove tipologie d'acquisto di prodotti terzi; rinnovare la fidelizzazione con clienti stanchi; personalizzare l'offerta per ogni cliente; studiare novit -data mining tecnologico- estraendo da basi dati di sviluppatori o di laboratori; controllare l'efficacia della vendita e del pagamento con la rilevazione automatica delle frodi.

L' imbuto Ogni data mining viene progettato con cura: deve rispondere a domande specifiche -concordate volta per volta-, deve essere efficace, deve rappresentare giustamente e soddisfare la domanda fatta a monte. Per riuscire in tutto ci e districarsi in mille universi di dati, si usa una progettazione ad imbuto, via via pi selettiva. Per teorizzare lo schema,

Data mining e sicurezza ecco un esempio di prassi nell'estrazione dati: 1. 2. 3. 4. definire le fonti di partenza a seconda delle domande e degli ambienti in cui lavorare; estrarre e raccogliere un buon numero di dati anche a bassa pertinenza; fare la prima scrematura con la pulizia dei dati, con la crescita del livello di pertinenza e di coerenza; far scattare il data mining con la scelta dell'algoritmo pi efficace nella situazione, con l'individuazione degli obiettivi permanenti ed elaborare un feedback sul modello iniziale; 5. interpretare i dati estratti secondo il modello e valutare coerenza, pertinenza e affinit, valutandone l'efficacia; 6. rappresentare le estrazioni in formati fruibili da chi ha richiesto l'investigazione.

46

Data mining buono e data mining cattivo


Nel mondo reale convivono bene e male: anche sulla piazza virtuale ci sono un mondo pulito e ben avviato ed un altro oscuro, quasi fosse la sua nemesi. In questi casi, il data mining buono aiuta le aziende a crescere, serve negli ospedali per creare diagnostiche accurate, rivela malfattori in tutte le nazioni della terra. Ma il data mining pu essere usato per scopi meno nobili: intrusioni nelle raccolte dati portano a migliaia di lettere a carattere spam, se non alla violazione del principio di privacy personale. L'aggregazione dati onesta porta al buon progresso e alla crescita di benessere a livello di cittadino e di imprese, quella maligna colpisce ogni giorno milioni di utenti illusi da pubblicit di ogni genere, legate agli acquisti su web o solo a semplici consultazioni di siti; nella peggiore delle ipotesi, i dati personali sensibili vengono depredati -o peggio venduti- ad aziende interessate, con il preciso intento di incrementare il fatturato. Per scongiurare un cos pericoloso rischio, necessaria una

Nuova politica di sicurezza


La Sicurezza informatica consiste in una raccolta di procedure, atte a rendere e a garantire il rispetto delle Quattro I: 1. Identit autentica: ogni utente deve avere un'identit firmata e garantita con gli adeguati metodi di autenticazione: sicurezza sia per la semplice navigazione web sia per stipulare contratti online; 2. In-link perpetuo: la disponibilit dei dati, nessun tipo di inconveniente tecnico deve interferire con le basi di dati. Tutto deve essere scongiurato con le giuste misure preventive, dal blackout elettrico all'hackeraggio indiscriminato. 3. Integrit: i dati non devono essere manipolati o trasformati per nessun motivo senza l'autorizzazione di chi li ha generati. La base di dati deve conservare il tutto senza degenerazioni di sorta. 4. Io, non voi!: la riservatezza dei dati in qualunque frangente deve essere un punto fondamentale. Senza le necessarie autorizzazioni sono vietate intercettazione, lettura, pubblicazione di ogni tipo di dato. Il rispetto della privacy e la sicurezza dei dati sensibili passa assolutamente per questo punto.

Il mare magnum dell'aggregazione dei dati


La societ informatizzata e la globalizzazione del business spinge le imprese a colonizzare zone mai scoperte prima: ed ecco l'approccio al web. Le aziende mettono online un'enorme quantit di dati e di informazioni, un grande e prezioso tesoro da proteggere in ogni caso. Seguire il percorso evolutivo-biologico di un cliente rappresenta ormai un obbligo per tutti: a questo punto aperta la caccia alle informazioni con l'aggregazione dei dati. possibile, tramite il tracciato di una carta di credito, risalire ai gusti ed alle preferenze di ogni singolo individuo. Un data mining sufficientemente mirato rende possibile la consultazione di diversi database, fino al profiling completo del potenziale o reale cliente. Uno strumento molto efficace, tanto da essere impiegato in maniera sempre pi diffusa e raffinata, tanto da scatenare polemiche e dubbi sulla legittimit e sicurezza di questi sistemi.

Data mining e sicurezza

47

Sicurezza sicuramente
Due sono i metodi per avere un buon margine di protezione nell'affidare i propri dati sensibili alle basi di dati: la tutela tecnica e legislativa Tecnica Il controllo delle intrusioni Una serie di azioni che mette in crisi la sicurezza e l'integrit di un sistema prende il nome di intrusione: la principale contromisura la prevenzione. Utile nei casi informatici la protezione degli accessi tramite chiavi crittografate in prima linea di difesa, per poi utilizzare sistemi software e hardware in sinergia tra loro, i cosiddetti Intrusion Detection System (IDS) utilizzati per scoprire e identificare accessi non autorizzati a computer in reti aziendali. Legislativa Salvaguardare la privacy In tutte le imprese confluiscono quotidianamente fiumi di dati, divisi in Dati sensibili inerenti a persone fisiche; Dati strategici che sono importanti per la crescita economica aziendale; Dati non importanti: tutti gli altri dati non necessariamente vincolati ad un profitto o a un profiling anagrafico. Le leggi sulla privacy a livello nazionale ed europeo puntano ad un trattamento riservato dei dati, per cui le imprese che trattano dati sensibili devono proteggere le loro banche tramite la predisposizione, di un documento sul programma della sicurezza con le misure minime di sicurezza adottate e la descrizione accurata delle misure tecniche, informatiche, logistiche per prevenire i rischi a seconda delle regolamentazioni dettate dalla legge. Sono previste aspre sanzioni per i non adeguati a tale richiesta: la legge fa distinzione nel trattamento dei dati con apparecchi elettronici e trattamento senza apparecchi elettronici ma lascia poco spazio al rischio e alla diffusione indiscriminata dei dati sensibili.

Un interrogativo pressante
Il futuro sempre pieno di interrogativi e di speranze: il data mining non ne esente, dal momento che, visti i buoni risultati nella caccia alle frodi, le migliori intelligenze si stanno applicando per creare automi ed algoritmi che isolino i potenziali terroristi a seconda delle loro spese, delle loro e-mail e conversazioni telefoniche. Si tratta di un'applicazione pilota, di un test che rivela la crescente brama di sicurezza che nel post 11settembre sta flagellando tutto il mondo. Ecco la domanda sociologica pi in voga: sicurezza alta e bassa privacy o grande libert e bassa sicurezza? Certamente il controllo postmoderno sar sempre pi argomento di discussione comune, e l'aggregazione dei dati una delle materie pi spinose, in quanto la digitalizzazione del cittadino non ha ancora trovato una sua forma sufficientemente rappresentativa e sicura. Le basi di dati sono ancora territorio di conquista, mentre numerose leggi ed interventi sulla sicurezza ed integrit dei dati stanno sorgendo in difesa della nuova societ digitale che sta muovendo i suoi primi e certi passi.

Voci correlate
Data mining Sicurezza informatica Legge sulla privacy

Demilitarized zone

48

Demilitarized zone
Una DMZ (demilitarized zone) un segmento isolato di LAN (una "sottorete") raggiungibile sia da reti interne sia esterne che permette, per, connessioni esclusivamente verso l'esterno: gli host attestati sulla DMZ non possono connettersi alla rete aziendale interna. Tale configurazione viene normalmente utilizzata per permettere ai server posizionati sulla DMZ di fornire servizi all'esterno senza compromettere la sicurezza della rete aziendale interna nel caso una di tali macchine sia sottoposta ad un attacco informatico: per chi si connette dall'esterno dell'organizzazione la DMZ infatti una sorta di "strada senza uscita" o "vicolo cieco".

Diagramma di una rete che utilizza una DMZ creata utilizzando un firewall a tre connessioni (three-legged firewall).

Solitamente sulla DMZ sono infatti collegati i server pubblici (ovvero quei server che necessitano di essere raggiungibili dall'esterno della rete aziendale - ed anche dalla internet - come, ad esempio, server mail, webserver e server DNS) che rimangono in tal modo separati dalla LAN interna, evitando di comprometterne l'integrit. Una DMZ pu essere creata attraverso la definizione di policies distinte su uno o pi firewall. Le connessioni dalle reti esterne verso la DMZ sono solitamente controllate tramite una tipologia di NAT chiamata "port forwarding" o "port mapping"[1] , implementata sul sistema che agisce da firewall. Oltre al summenzionato firewall, di tipo packet filter (ossia che opera a livello di trasporto - layer quattro della pila ISO/OSI), possibile implementare un differente approccio, impiegando un servizio di "reverse proxy", operante all'interno di un cosiddetto 'application layer firewall', che agisce a livello applicativo (layer sette della pila ISO/OSI). Il "reverse proxy", invece di fornire un servizio applicativo agli utenti interni ad una rete locale -tipico del proxy comune-, provvede a fornire un accesso (indiretto) a risorse interne alla rete locale (in DMZ in questo caso), provenienti da una rete esterna (tipicamente internet).

Note
[1] In generale in questi casi si applica la tipologia di NAT che coinvolge la translazione dell'indirizzo IP pubblico e porta di destinazione, che vengono sostituiti, da parte dell'apparato translatore (router/firewall/gateway che sia), con quelli reali e privati attestati al computer locale. Questa operazione assume nomi diversi a seconda del fornitore software che la implementa. In generale si parla di 'port forwarding'/'port mapping'. Nelle implementazione di Linux con Iptables, si opera sulla 'tabella nat', nella 'catena PREROUTING', con regola di DNAT. Oppure nella catena POSTROUTING con regola di SNAT

Voci correlate
Firewall Sicurezza informatica

Dependability

49

Dependability
La Dependability una caratteristica dei sistemi e consiste nella loro capacit di mostrarsi "affidabili" nei confronti degli utilizzatori, tale caratteristica porta gli utilizzatori a potersi "fidare" del sistema stesso e a poterlo quindi utilizzare senza particolari preoccupazioni. La dependability una caratteristica molto importante ed da valutare durante la fase di progettazione dei sistemi. Per quanto riguarda l'informatica, alcuni casi in cui la dependability diventa una caratteristica fondamentale sono: i database contenenti dati sensibili, le applicazioni una cui bassa dependability comporterebbe bassi introiti (es. portali web che offrono servizi a pagamento), le applicazioni critiche una cui bassa dependability comporterebbe danni a cose o persone (sistemi di controllo delle centrali nucleari) ecc. La dependability comunque un attributo generico derivato dalla sintesi dei seguenti attributi di sistema: Affidabilit (Reliability): capacit del sistema di funzionare ininterrottamente senza guasti. Manutenibilit (Maintainability): tendenza del sistema a poter essere riparato; Disponibilit (Availability): capacit del sistema di continuare a funzionare correttamente anche in presenza di guasti. ( correlata con affidabilit e manutentibilit). Performanza (Performability): capacit del sistema di offrire i servizi nei tempi prefissati; Incolumit (Safety): Capacit di non arrecare danni a cose, persone ed ambiente. Sicurezza (Security) capacit del sistema di fornire confidenzialit (impedire la fuga di informazioni riservate permettendo accessi solo ad utenti autorizzati) ed integrit (accesso e modifica ai dati da parte degli utenti esclusivamente nelle modalit previste). Le minacce che possono violare la dependability di un sistema sono classificate in: Guasti Errori Disastri: minacce non intenzionali mosse a svantaggio del sistema. (es. Alluvioni, terremoti...) Attacchi: minacce intenzionali mosse a svantaggio del sistema. (es. Intrusioni informatiche, vandalismo...)

Le tecniche utilizzate per tentare di ovviare a tali minacce possono essere: Fault Prevention Fault Tolerance Fault Removal Fault Forecasting ...

Voci correlate
Fault-tolerance Ilities Metodi formali Affidabilit

Testi di carattere interdisciplinare


S.B. Blanchard, Design and Manage to Life Cycle Cost, Forest Grove, Weber System, 1978. S.B. Blanchard, Logistics Engineering and Management, 4a ed., Englewood Cliffs, New Jersey, Prentice-Hall, Inc., 1992. S.B. Blanchard, Maintainability: A Key to Effective Serviceability and Maintenance Management, New York, John Wiley & Sons Inc., 1995.

Dependability E. Cescon; M. Sartor, La Failure Mode and Effect Analysis (FMEA) , Milano, Il Sole 24 ore, 2010. ISBN 9788863451306 R. Denney, Succeeding with Use Cases: Working Smart to Deliver Quality , Addison-Wesley Professional Publishing, 2005. C.E. Ebeling, An Introduction to Reliability and Maintainability Engineering , Boston, McGraw-Hill Companies, Inc., 1997. K.C. Kapur; L.R. Lamberson, Reliability in Engineering Design , New York, John Wiley & Sons, 1977. L. Leemis, Reliability: Probabilistic Models and Statistical Methods , Prentice-Hall, 1995. ISBN 0-13-720517-1 P. D. T. O'Connor, Practical Reliability Engineering , 4a ed., New York, John Wiley & Sons, 2002. J.D. Patton, Maintanability and Maintenance Management , North Carolina, Instrument Society of America, Research Triangle Park, 1998.

50

Testi specifici per il campo dell'edilizia


AA. VV., La qualit edilizia nel tempo , Milano, Hoepli, 2003. Bruno Daniotti, La durabilit in edilizia , Milano, Cusl, 2003. Vittorio Manfron, Qualit e affidabilit in edilizia , Milano, Franco Angeli, 1995. UNI, UNI 11156-1, Valutazione della durabilit dei componenti edilizi. Terminologia e definizione dei parametri di valutazione, 2006 UNI, UNI 11156-2, Valutazione della durabilit dei componenti edilizi. Metodo per la propensione allaffidabilit, 2006 UNI, UNI 11156-3, Valutazione della durabilit dei componenti edilizi. Metodo per la valutazione della durata (vita utile), 2006

Collegamenti esterni
1. IFIP WG10.4 on Dependable Computing e Fault Tolerance (in inglese) [1] 2. A. Avizienis, J.-C. Laprie e Brian Randell: Concetti fondamentali sulla Dependability (in inglese) [2]Aprile 2001. 3. Algirdas Avizienis, Jean-Claude Laprie, Brian Randell: La Dependability e le sue minacce: una tassonomia (in inglese) [3] questo documento estende e perfeziona la versione del documento precedente ed un eccellente punto di partenza per lo studio della dependability. Consigliata la lettura di questo documento e successivamente del seguente tutorial: 4. Wilfredo Torres-Pomales: Tutorial sul Software Fault Tolerance [4] una guida molto buona, da leggere dopo aver letto il documento precedente.

Note
[1] [2] [3] [4] http:/ / www. dependability. org/ http:/ / www. cert. org/ research/ isw/ isw2000/ papers/ 56. pdf http:/ / rodin. cs. ncl. ac. uk/ Publications/ avizienis. pdf http:/ / hdl. handle. net/ 2002/ 12633

Digital Signature Algorithm

51

Digital Signature Algorithm


Digital Signature Algorithm (DSA) uno standard FIPS per la firma digitale proposto dal National Institute of Standards and Technology (NIST) nell'agosto del 1991 per essere impiegato nel Digital Signature Standard (DSS), le sue specifiche sono contenute nel documento FIPS 186[1] , viene definitivamente adottato nel 1993. In seguito stato riveduto ulteriormente nel 1996 con FIPS 186-1 [2] e nel 2000 con FIPS 186-2 [3] . Negli Stati Uniti l'algoritmo DSA coperto da brevetto[4] attribuito a David W. Kravitz, un ex-ricercatore della NSA; il NIST ha reso questo brevetto disponibile liberamente per qualsiasi uso[5] .

Descrizione dell'algoritmo
Di seguito vengono descritti i passi fondamentali per l'impiego di DSA, che fa uso di un sistema crittografico a chiave pubblica simile ad ElGamal

Generazione delle chiavi


Si scelga un numero primo di -bit
[6]

. per un qualche numero intero z, con 512L1024

Si scelga un numero primo p lungo L bit, tale che

e divisibile per 64 (nell'ultima revisione dello standard si specifica che L deve corrispondere a 1024). Si scelga h tale che e Si generi un numero casuale tale che Calcolare La chiave pubblica y, la chiave privata x. I parametri (p, q, g) sono pubblici e possono essere condivisi da diversi utenti. Esistono algoritmi efficienti per il calcolo dell'esponenziazioni modulari e .

Calcolo della firma


Si generi un numero casuale k tale che Calcolare Calcolare messaggio m Nel caso in cui La firma (r,s) o dove H(m)[6] una funzione di hash SHA-d applicata al bisogna ricalcolare la firma .

L'algoritmo esteso di Euclide pu essere usato l'inverso modulare

Verifica della firma


Rifiutare firme se non sono soddisfate le condizioni Calcolare Calcolare Calcolare Calcolare La firma verificata se e

Digital Signature Algorithm

52

Dimostrazione
L'algoritmo corretto nel senso che il destinatario verificher sempre le firme valide. Da q primo segue che g di ordine q. Il firmatario calcola: quindi per il piccolo teorema di Fermat. Dato che e

visto che g di ordine q

La correttezza di DSA provata da:

Sicurezza
Come molti sistemi di crittografia a chiave pubblica, la sicurezza di DSA si basa sull'intrattabilit di un problema matematico, in questo caso per l'inesistenza di un algoritmo efficiente per il calcolo del logaritmo discreto. Particolare attenzione va posta al calcolo della quantit k: deve essere generata casualmente in modo che non sia possibile risalirvi, in quel caso sarebbe possibile risalire facilmente ad x (la chiave privata) a partire dalla firma.

Note
[1] [2] [3] [4] [5] (EN) FIPS 186 (http:/ / www. itl. nist. gov/ fipspubs/ fip186. htmFips) (EN)(PDF) FIPS 186-1 (http:/ / www. mozilla. org/ projects/ security/ pki/ nss/ fips1861. pdf) (EN)(PDF) FIPS 186-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips186-2/ fips186-2-change1. pdf) U.S. Patent 5,231,668 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=5,231,668) Claus P. Schnorr sostiene che un suo brevetto antecedente ( U.S. Patent 4,995,082 (http:/ / patft. uspto. gov/ netacgi/ nph-Parser?patentnumber=4,995,082)) include DSA, questa affermazione oggetto di disputa. e , ma con la terza revisione dello standard (FIPS 186-3), chiamato comunemente

[6] In origine

DSA2 si potr fare uso delle funzioni di hash SHA-224/256/384/512, con q di dimensione 224, 256, 384, e 512 bit, e L pari a 2048, 3072, 7680, and 15360 rispettivamente.

Voci correlate
Firma digitale Crittografia asimmetrica RSA

Collegamenti esterni
(EN) FIPS-186 (http://www.itl.nist.gov/fipspubs/fip186.htm), le specifiche originali di DSA. (EN) FIPS-186, change notice No.1 (http://www.itl.nist.gov/fipspubs/186chg-1.htm), il primo aggiornamento alle specifiche. (EN) FIPS-186-1 (http://www.mozilla.org/projects/security/pki/nss/fips1861.pdf), prima revisione dello standard. (EN) FIPS-186-2 (http://csrc.nist.gov/publications/fips/fips186-2/fips186-2-change1.pdf), seconda revisione dello standard.

Direct Anonymous Attestation

53

Direct Anonymous Attestation


La Direct Anonymous Attestation (letteralmente in italiano Attestazione Diretta ed Anonima) un protocollo crittografico che permette l'autenticazione remota di un computer che rispetta le specifiche del Trusted Computing Group, preservando l'anonimato dell'utente. Il protocollo stato adattato dal TCG dalla versione 1.2 delle specifiche del Trusted Platform Module[1] in risposta alle critiche che i precedenti protocolli usati per l'attestazione remota avevano suscitato.

Funzionamento
Il protocollo DAA prevede che, per un'autenticazione corretta, siano necessari tre dispositivi e due differenti fasi. I dispositivi sono un elaboratore dotato di Trusted Platform Module, l'abilitatore DAA e il verificatore DAA. L'abilitatore, nella prima fase, deve verificare che l'elaboratore dotato di TPM non sia stato compromesso; completato questo compito, fornisce le credenziali DAA a tale elaboratore, che user tali credenziali durante la fase di firma. Usando una prova zero-knowledge il verificatore pu controllare la bont delle credenziali senza dover venire a conoscenza dell'identit del possessore delle credenziali. Il DAA fornisce inoltre delle funzionalit di revoca dell'anonimato: precedentemente alla fase di firma, si pu scegliere una terza parte che successivamente, in caso di compromissione del TPM ,sar in grado di identificare il TPM.[2] Anche se si sceglie di non usufruire della possibilit di revoca dell'anomimato, usando il protocollo DAA si comunque in grado di identificare i TPM compromessi o inaffidabili e conseguentemente di rifiutare le loro richieste di credenziali.[3]

Tutela della privacy


Il protocollo prevede diversi livelli di privacy. Le interazioni tra i soggetti coinvolti sono sempre anonime, ma l'utente e il verificatore potrebbero accordarsi affinch tutte le interazioni tra di loro siano raggruppabili in un unico insieme. Ci permette la creazione di un profilo utente e/o il rifiuto da parte del verificatore di soddisfare le richieste di credenziali da parte di un computer che ne ha inviate troppe.

Voci correlate
Trusted Computing Trusted Platform Module

Note
[1] (EN) TPM Specification (https:/ / www. trustedcomputinggroup. org/ specs/ TPM) [2] (EN) Trusted Computing Group Software Stack Specification (TSS) 1.2 FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ ) [3] (EN) Direct Anonymous Attestation (DAA): Ensuring privacy with corrupt administrators (ftp:/ / ftp. cs. bham. ac. uk/ pub/ authors/ M. D. Ryan/ 07-esas. pdf)

Collegamenti esterni
(EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation. In Proceedings of 11th ACM Conference on Computer and Communications Security, ACM Press, 2004. ( PDF (http://www.zurich.ibm. com/~jca/papers/brcach04.pdf)) (EN) E. Brickell, J. Camenisch, and L. Chen: Direct anonymous attestation . ( (http://eprint.iacr.org/2004/205. pdf)) (EN) Interdomain User Authentication and Privacy (http://www.ma.rhul.ac.uk/techreports/2005/ RHUL-MA-2005-13.pdf) by Andreas Pashalidis - section 6 provides a useful introduction to DAA

Direct Anonymous Attestation (EN) IBM idemix (identity mixer) (http://www.zurich.ibm.com/security/idemix/) an 'anonymous credential system' under development by IBM (EN) Heiko Stamer - Implementing Direct Anonymous Attestation for the TPM Emulator Project (http://www. theory.informatik.uni-kassel.de/~stamer/KryptoTag_Bochum.pdf)

54

Disaster prevention
Per disaster prevention si intende linsieme di misure atte a prevenire un disastro informatico che potrebbe compromettere lerogazione di servizi business o ingenti perdite di dati, con il conseguente rischio del fallimento dellimpresa. Le aziende e le organizzazioni convogliano le proprie risorse IT in costosissimi piani di ripristino (disaster recovery) sottovalutando la strategica importanza di una corretta prevenzione. Unefficace prevenzione e l'adozione di procedure operative adeguate infatti consentirebbe un risparmio sia in termini economici che di risorse umane. Secondo un autorevole studio pubblicato sulla rivista Computer World, il 36% di disastri avviene a causa di errori hardware e/o software, il 26% per cali di tensione o interruzioni di corrente e il 23% per cause naturali. Un efficace disaster prevention infatti prevede: 1. 2. 3. 4. 5. Monitoraggio di temperatura, fumi ed allagamento all'interno delle sale CED Monitoraggio dei parametri di prevenzione hardware failure per ogni server Monitoraggio dei paramaetri di prevenzione software failure per ogni server Monitoraggio dell'assorbimento elettrico di ogni singolo server e degli UPS Procedura di spegnimento corretto, sicuro e graduale degli apparati (shutdown sequenziale)

Disaster recovery
Per Disaster Recovery (brevemente DR) si intende l'insieme di misure tecnologiche e organizzative atte a ripristinare sistemi, dati e infrastrutture necessarie all'erogazione di servizi di business a fronte di gravi emergenze. Si stima che la maggior parte delle grandi imprese spendano fra il 2% ed il 4% del proprio budget IT nella pianificazione della gestione dei disaster recovery, allo scopo di evitare perdite maggiori nel caso che l'attivit non possa continuare a seguito della perdita di dati ed infrastrutture IT. Delle imprese che hanno subito disastri con pesanti perdite di dati, circa il 43% non ha pi ripreso l'attivit, il 51% ha chiuso entro due anni e solo il 6% riuscita a sopravvivere nel lungo termine. I disastri informatici con ingenti perdite di dati nella maggioranza dei casi provocano quindi il fallimento dell'impresa o dell'organizzazione, ragion per cui investire in opportune strategie di recupero diventa una scelta quasi obbligata.

Descrizione
Il Disaster Recovery Plan (DRP) (in italiano, Piano di disaster recovery) il documento che esplicita tali misure. Esso fa parte del pi ampio Business Continuity Plan (BCP). Affinch una organizzazione possa rispondere in maniera efficiente ad una situazione di emergenza, devono essere analizzati: I possibili livelli di disastro La criticit dei sistemi/applicazioni. Per una corretta applicazione del piano, i sistemi devono essere classificati secondo le seguenti definizioni: Critici

Disaster recovery Le relative funzioni non possono essere eseguite senza essere sostituite da strumenti (mezzi) di caratteristiche identiche. Le applicazioni critiche non possono essere sostituite con metodi manuali. La tolleranza in caso di interruzione molto bassa, di conseguenza il costo di una interruzione molto alto. Vitali Le relative funzioni possono essere svolte manualmente, ma solo per un breve periodo di tempo. Vi una maggiore tolleranza all'interruzione rispetto a quella prevista per i sistemi critici, conseguentemente il costo di una interruzione inferiore, anche perch queste funzioni possono essere riattivate entro un breve intervallo di tempo (generalmente entro cinque giorni). Delicati Queste funzioni possono essere svolte manualmente, a costi tollerabili, per un lungo periodo di tempo. Bench queste funzioni possano essere eseguite manualmente, il loro svolgimento risulta comunque difficoltoso e richiede l'impiego di un numero di persone superiore a quello normalmente previsto in condizioni normali. Non-critici Le relative funzioni possono rimanere interrotte per un lungo periodo di tempo, con un modesto, o nullo, costo per l'azienda, e si richiede un limitato (o nullo) sforzo di ripartenza quando il sistema viene ripristinato. Le procedure applicative, il software di sistema ed i file che sono stati classificati e documentati come critici, devono essere ripristinati prioritariamente. Applicazioni, software e file classificati come critici hanno una tolleranza molto bassa alle interruzioni. La criticit di applicazioni, software di sistema e dati, deve essere valutata in funzione del periodo dell'anno in cui il disastro pu accadere. Un piano d'emergenza deve prevedere il ripristino di tutte le funzioni aziendali e non solo il servizio ICT centrale. Per la definizione del DRP devono essere valutate le strategie di ripristino pi opportune su: siti alternativi, metodi di back up, sostituzione degli equipaggiamenti e ruoli e responsabilit dei team. La prolungata indisponibilit del servizio elaborativo derivante in particolare situazione di disastro, e quindi dei servizi primari, rende necessario l'utilizzo di una strategia di ripristino in sito alternativo.

55

Tecniche di Disaster Recovery


Allo stato attuale, la tecnologia offre la possibilit di realizzare varie soluzioni di continuit e Disaster Recovery, fino alla garanzia di fatto di unerogazione continua dei servizi IT, necessaria per i sistemi (es. finanziari o di monitoraggio) definiti mission critical. In pratica i sistemi e i dati considerati importanti vengono ridondati in un "sito secondario" o "sito di Disaster Recovery" per far s che, in caso di disastro (terremoto, inondazione, attacco terroristico, ecc...) tale da rendere inutilizzabili i sistemi informativi del sito primario, sia possibile attivare le attivit sul sito secondario al pi presto e con la minima perdita di dati possibile. Chiaramente quanto pi stringenti saranno i livelli di continuit tanto pi alti saranno i costi di implementazione della soluzione. In particolare, i livelli di servizio sono usualmente definiti dai due parametri Recovery Time Objective (RTO) e Recovery Point Objective (RPO).

Disaster recovery

56

Replica sincrona
La replica sincrona garantisce la specularit dei dati presenti sui due siti poich considera ultimata una transazione solo se i dati sono stati scritti sia sulla postazione locale che su quella remota. In caso di evento disastroso sulla sede principale, le operazioni sul sito di Disaster Recovery possono essere riavviate molto rapidamente (basso RTO e RPO praticamente nullo). La replica sincrona limitata dalla incapacit dell'applicazione di gestire l'impatto del ritardo di propagazione (vincolo fisico quindi, e non tecnologico) sulle prestazioni. In funzione della sensibilit dell'applicazione e della tecnologia di comunicazione tra i due siti, l'efficacia della copia sincrona inizia a diminuire a una distanza variabile tra i 35 km e i 100 km.

Replica asincrona
Per far fronte al limite di distanza tra i due siti imposto da tecniche sincrone, si ricorre spesso alla tecnica di copia asincrona. In questo caso il sito che si occuper della replica pu trovarsi anche a distanze notevoli (> 100 km). In questo modo possibile affrontare anche disastri con ripercussioni su larga scala (come ad esempio forti scosse sismiche) che altrimenti potrebbero coinvolgere entrambi i siti (se questi si trovano nelle vicinanze). Un ulteriore vantaggio della copia asincrona la possibilit di essere implementata via software non dovendo necessariamente ricorrere a sofisticate e costose tecnologie di storage.

Tecnica mista
Per garantire la disponibilit dei servizi anche in caso di disastro esteso e al tempo stesso ridurre al minimo la perdita di dati vitali si pu ricorrere ad una soluzione di tipo misto: effettuare una copia sincrona su un sito intermedio relativamente vicino al primario (distanza< 100 km) e una copia asincrona su un sito a grande distanza.

Voci correlate
Backup Storage Area Network Sicurezza informatica Business continuity Disaster prevention

Dll injection

57

Dll injection
La dll injection, utillizzata da diversi malware, fa parte di un gruppo di tecniche pi ampio chiamato code injection (iniezione di codice).

Principi generali di funzionamento


La dll injection si basa nel scrivere il codice che si vuole far eseguire a un altro processo in una libreria dinamica (dll su Microsoft Windows). Quindi si avvia un programma che carica questa dll nel processo esterno (ovviamente con privilegi superiori rispetto al nostro processo) e il sistema operativo vede il codice come se fosse eseguito dal processo esterno e non dal nostro processo

Principi approfonditi di funzionamento (con esempio pratico)


Analizziamo in dettaglio il funzionamento di un programma che inietta una dll in un altro processo. Un esempio render di pi facile comprensione l'algoritmo "hack.exe" deve fare eseguire il suo codice all'interno del processo "msnmsgr.exe". Per semplificare assumeremo che "hack.exe" conosca gi il PID (process identifier, usato per identificare univocamente un processo in esecuzione nel sistema) di "msnmsgr.exe". -Viene creata la dll "fnc.dll" e, all'interno della DllMain, viene inserito il codice da far eseguire ad "msnmsgr.exe". -A questo punto "hack.exe" chiama OpenProcess() con il PID di "msnmsgr.exe" che permette appunto di creare un handle a un processo attivo. -"hack.exe" chiama la funzione VirtualAllocEx() per allocare all'interno del processo "msnmsgr.exe" uno spazio di memoria -"hack.exe" chiama la funzione WriteProcessMemory() per scrivere all'interno dello spazio di memoria appena allocata la stringa "func.dll\0" -"hack.exe" chiama CreateRemoteThread() per creare un nuovo thread nel processo "msnmsgr.exe". Questo nuovo thread chiama la funzione LoadLibraryA() e per unico argomento un puntatore alla stringa allocata all'interno dello stack di "msnmsgr.exe" contenente il path alla nostra dll -Windows crea il nuovo thread e chiama LoadLibraryA() nello "spazio del thread". LoadLibraryA viene chiamato nel nuovo thread quindi non pu fare riferimento allo stack del nostro processo. Ecco perch abbiamo bisogno di allocare la stringa contenente il path alla dll nella memoria nel processo "vittima". A sua volta LoadLibraryA chiama la DllMain di "func.dll" contenente il codice da eseguire nello spazio di "msnmsgr.exe"

Difesa
La miglior difesa consiste nell'installare un HIPS che intercetti le dll injection.

Documento programmatico sulla sicurezza

58

Documento programmatico sulla sicurezza


L'adozione di un documento programmatico sulla sicurezza (DPS) un obbligo previsto dal DL 196/2003 normativa sulla protezione dei dati personali, che sostituisce e abroga la legge 675/96; l'obbligo esiste per tutte le aziende, liberi professionisti, enti o associazioni che trattano i dati personali, anche sensibili con strumenti elettronici. Il documento, a partire dal 31/03/2006 (ultima proroga concessa per mettersi definitivamente in regola) va predisposto ed aggiornato annualmente entro il 31 marzo successivo, affinch si attesti la corretta adozione delle previste procedure che riguardano il trattamento dei dati personali e deve soddisfare anche determinati obblighi di legge, se previsti (p.e. se ne deve dare comunicazione nella relazione allegata al Bilancio d'esercizio). I contenuti del documento sono elencati al punto 19 del Disciplinare tecnico in materia di misure minime di sicurezza e sono: 1. 2. 3. 4. l'elenco dei trattamenti di dati personali; la distribuzione dei compiti e delle responsabilit nell'ambito delle strutture preposte al trattamento dei dati; l'analisi dei rischi che incombono sui dati; le misure da adottare per garantire l'integrit e la disponibilit dei dati, nonch la protezione delle aree e dei locali, rilevanti ai fini della loro custodia e accessibilit;

5. la descrizione dei criteri e delle modalit per il ripristino della disponibilit dei dati in seguito a distruzione o danneggiamento di cui al successivo punto 23; 6. la previsione di interventi formativi degli incaricati del trattamento, per renderli edotti dei rischi che incombono sui dati, delle misure disponibili per prevenire eventi dannosi, dei profili della disciplina sulla protezione dei dati personali pi rilevanti in rapporto alle relative attivit, delle responsabilit che ne derivano e delle modalit per aggiornarsi sulle misure minime adottate dal titolare. La formazione programmata gi al momento dell'ingresso in servizio, nonch in occasione di cambiamenti di mansioni, o di introduzione di nuovi significativi strumenti, rilevanti rispetto al trattamento di dati personali; 7. la descrizione dei criteri da adottare per garantire l'adozione delle misure minime di sicurezza in caso di trattamenti di dati personali affidati, in conformit al codice, all'esterno della struttura del titolare; 8. per i dati personali idonei a rivelare lo stato di salute e la vita sessuale di cui al punto 24, l'individuazione dei criteri da adottare per la cifratura o per la separazione di tali dati dagli altri dati personali dell'interessato.

Collegamenti esterni
Garante per la protezione dei dati [1]

Note
[1] http:/ / www. garanteprivacy. it/ garante/ navig/ jsp/ index. jsp?folderpath=Fac-simile+ e+ adempimenti%2FDocumento+ programmatico+ sulla+ sicurezza

Extensible Authentication Protocol

59

Extensible Authentication Protocol


Extensible Authentication Protocol (EAP) un protocollo di autenticazione utilizzato spesso sugli access point e nelle connessioni PPP. L'utilizzo di EAP all'interno di una rete wireless, ad esempio, prevede che non sia l'access point ad autenticare il client: esso redirige la richiesta di autenticazione avanzata dal client ad uno specifico server, configurato per questo scopo come un RADIUS. Definito nella Request for Comments (RFC) 2284 e aggiornato nella RFC 3748 e nella RFC 4017, uno standard altamente flessibile che pu essere implementato in numerose differenti modalit; 802.1x ha ereditato tale flessibilit per raggiungere svariati obiettivi di sicurezza. 802.1x racchiude un range di metodi di autenticazione EAP, inclusi MD5, TLS, TTLS, LEAP, PEAP, SecurID, SIM e AKA. Ciascuno di questi metodi EAP ha vantaggi e svantaggi a seconda dell'ambiente.

Metodi di autenticazione
EAP-MD5
MD5 l'equivalente del CHAP in cui un algoritmo hash a senso unico utilizzato in combinazione con un segreto condiviso e una richiesta di identificazione per verificare che il richiedente a conoscenza del segreto condiviso. MD5 considerato un metodo di autenticazione di livello base e generalmente non appropriato in caso sia necessario un alto livello di sicurezza per la protezione di beni di grande valore. Questo accade per diverse ragioni. Come ogni metodo che utilizza richieste random e un algoritmo hash, vulnerabile agli attacchi basati su dizionario. Se un attaccante riesce ad ottenere la richiesta e la risposta hash, in seguito possibile eseguire un programma off-line con lo stesso algoritmo del richiedente, inserendo parole contenute in un dizionario fino a quando la risposta hash coincide con quella del richiedente. A questo punto l'attaccante conoscer la password del richiedente e potr sottrarne l'identit per ottenere l'accesso alla rete. Questo procedimento risulta ancora pi semplice nelle wireless LAN, dove la richiesta e la risposta "viaggiano" nell'aria. Questo il motivo per cui importante scegliere password che non siano parole di senso compiuto. In aggiunta, EAP-MD5 offre soltanto l'autenticazione lato client (ovvero, il client viene autenticato alla rete). Altri metodi EAP offrono mutua autenticazione per cui il client autenticato alla rete e la rete autenticata al client.

EAP-TLS
Il Transport Layer Security (TLS) offre un processo di autenticazione particolarmente sicuro, che sostituisce le semplici password con certificati lato client e lato server tramite l'utilizzo della infrastruttura a chiave pubblica (Public Key Infrastructure o PKI). Un certificato un record di informazioni relative ad un'entit (ad esempio una persona, un'azienda, ecc.) verificato tramite un algoritmo matematico asimmetrico. supportata la mutua autenticazione, e le chiavi di sessione dinamiche. TLS una buona scelta quando si richiede un elevato livello di autenticazione e sicurezza ed presente una infrastruttura a chiave pubblica. Comunque, l'utilizzo di una PKI, in cui ciascun client ha il suo proprio certificato, oneroso se comparato ai sistemi basati su password. Tale onere deriva dagli strumenti software richiesti affinch il sistema sia efficace.

EAP-TTLS
Tunnelled Transport Layer Security (TTLS) un'estensione del TLS ed stato sviluppato per superare la necessit, generata dal TLS, di certificati lato client (sono invece richiesti certificati lato server). Cos come l'altro dei due metodi attualmente disponibili di autenticazione tramite tunnel (l'altro il PEAP), TTLS un metodo a due passaggi. Nel primo, un algoritmo asimmetrico basato sulle chiavi del server utilizzato per verificare l'identit del server e per creare il tunnel di crittazione simmetrica. Il secondo passaggio riguarda la verifica dell'identit del client utilizzando un secondo metodo di autenticazione tramite il tunnel di crittazione simmetrica per l'attuale negoziazione

Extensible Authentication Protocol dell'autenticazione. Questo secondo metodo di autenticazione utilizzato con il tunnel pu essere un tipo di EAP (spesso MD5) o un metodo di vecchio tipo come PAP, CHAP, MS-CHAP, o MS-CHAP V2. Il tunnel a crittazione simmetrica del TTLS utilizzato solo per proteggere il metodo di autenticazione del client. Una volta verificato, il tunnel collassa.

60

EAP-LEAP
Lightweight Extensible Authentication Protocol sviluppato dalla Cisco, deriva da EAP. LEAP si basa su un protocollo di autenticazione chiamato "reciproco consenso" che sta a dire in poche parole che sia il client sia l'access point a cui il client richiede la connessione devono autenticarsi prima di avere accesso all'interno della rete. In questo modo si previene l'accesso non autorizzato di access point estranei alla rete.

Altri
PEAP EAP-FAST EAP-SIM EAP-AKA EAP-SecurID

EAP-SRP

Tabella comparativa
Metodo Chiave dinamica No Mutua autenticazione No S UserID e password TLS S S No Metodi di attacco Commenti

MD5

Attacco basato su dizionario Man in the middle Dirottamento di sessione

Facile da implementare Supportato su molti server Insicuro Richiede database con testo in chiaro Richiede certificati del client Innalza i costi di manutenzione Autenticazione a due fattori con smart-card Assenza di certificati Attacco su dizionario per le credenziali Diritti di propriet intellettuale Soluzione proprietaria Gli access point devono supportarlo Infrastruttura basata sul roaming GSM Autenticazione a due fattori Infrastruttura basata sul roaming GSM Autenticazione a due fattori Richiede autenticazione sotto tunnel Autenticazione a due fattori

Offre un'elevata sicurezza

SRP

Attacco basato su dizionario

LEAP

Attacco basato su dizionario

SIM

No

Vulnerabile allo spoofing

AKA

No

Elevata sicurezza per ambienti cellulari Man-in-the-middle Dirottamento di sessione

No SecurID

No

No

TTLS

No

Elevata sicurezza

Creazione di un tunnel TLS (SSL) sicuro Supporta i tradizionali metodi di autenticazione: PAP, CHAP, MS-CHAP, MS-CHAP V2 L'identit dell'utente protetta (crittata)

Extensible Authentication Protocol

61
S Media sicurezza Simile all'EAP-TTLS Creazione di un tunnel TLS] (SSL) sicuro L'identit dell'utente protetta (crittata) Attacco su dizionario per le credenziali

PEAP

Voci correlate
IEEE 802.1x

Collegamenti esterni
(EN) RFC 3748 EAP [1]

Note
[1] http:/ / tools. ietf. org/ html/ rfc3748#page-35

False acceptance rate


Il False acceptance rate (FAR), a volte chiamato False Match Rate (FMR), un indice utilizzato in un sistema di riconoscimento biometrico per la valutazione delle prestazioni degli algoritmi di riconoscimento. Il FAR indica le false accettazioni all'interno del sistema biometrico. Esempio: tipicamente i sistemi biometrici sono utilizzati per permettere l'accesso ad aree riservate solo a persone autorizzate. Supponiamo ci siano due persone X e Y: Y ha l'accesso al sistema mentre X non ha alcuna autorizzazione. Si ottine una falsa accettazione quando X al momento della verifica viene riconosciuto come Y (o qualunque altra persona con autorizzazione) concedendogli il permesso di accedere alle aree riservate anche se non ne ha diritto. Si possono facilmente immaginare quali possano essere le conseguenze di una falsa accettazione in un sistema con un alto livello di sicurezza, ad esempio una base militare, o una centrale nucleare. In sistemi in cui il livello di sicurezza alto l'esistenza di falsi positivi un problema grave; per questi sistemi si parla di ZeroFAR, ovvero FAR=0 e quindi non devono esistere falsi positivi.

FileVault

62

FileVault
FileVault una tecnologia presente nel sistema operativo Mac OS X 10.4 Tiger e successivi che provvede a cifrare e decifrare in tempo reale la directory home dell'utente in modo totalmente trasparente. L'algoritmo di cifratura utilizzato l'AES a 128 bit che garantisce un'elevata sicurezza contro qualsiasi tipo di attacco informatico attualmente conosciuto. Questa tecnologia molto utile nel caso si utilizzi un computer portatile. Anche se l'utente dovesse perdere la macchina o un soggetto terzo dovesse rubare la macchina le informazioni non sarebbero accessibili senza la password. Una directory non protetta da FileVault facilmente accessibile anche senza password, basta avere un CD con cui avviare la macchina e poi tutte le informazioni risultano disponibili. Il principale vantaggio di FileVault rispetto ad altri programmi di cifratura e che una tecnologia completamente integrata nel sistema e quindi il suo utilizzo sicuro e molto semplice. Si pu impostare una Master Password per la macchina cos che nel caso uno degli utenti dovesse dimenticarsi la password utilizzando la Master Password si possano recuperare le informazioni.

Voci correlate
BitLocker Drive Encryption

Collegamenti esterni
Pagina ufficiale [1]

Note
[1] http:/ / www. apple. com/ sg/ macosx/ features/ filevault/

Filtro bayesiano

63

Filtro bayesiano
Un filtro bayesiano (dal nome del noto matematico Bayes vissuto nel XVIII secolo) una forma di filtraggio dello spam che si basa sull'analisi del contenuto delle email. Questa tecnica complementare (e di grande efficacia) ai sistemi di blocco basati su indirizzo IP, le cosiddette blacklist. Il filtro bayesiano applica all'analisi delle email un teorema, espresso per l'appunto da Bayes, secondo il quale ogni evento cui attribuita una probabilit valutabile in base all'analisi degli eventi gi verificatisi. Nel caso dell'analisi antispam, se in un numero n delle mail analizzate in precedenza l'utente ha marcato come spam quelle che contenevano la parola "sesso", il filtro ne dedurr che la presenza di quella parola innalza la probabilit che le mail seguenti contenenti quella parola siano a loro volta spam. In questo modo, il sistema in grado di adattarsi in maniera dinamica e veloce alle nuove tipologie di spam. Gran parte dei software di analisi delle email antispam, ormai, adotta questo genere di tecnologia.

Client di posta elettronica con filtro bayesiano


Mozilla Thunderbird Evolution

Voci correlate
SpamAssassin Teorema di Bayes Filtro di Kalman

Fingerprint
La fingerprint (impronta digitale) in informatica una sequenza alfanumerica o stringa di bit di lunghezza prefissata che identifica un certo file con le caratteristiche intrinseche stesse del file. Il riconoscimento e l'autenticit del file vengono garantite confrontando l'"impronta" del file con una base di dati in cui precedentemente era stata gi memorizzata; se il confronto ha esito positivo allora il file autentico.

Uso
Viene utilizzato per garantire l'autenticit e la sicurezza dei file e anche per identificare rapidamente file distribuiti in rete tramite sistemi di file-sharing. Il sistema fingerprint viene utilizzato anche per i pi moderni notebook e consente attraverso l'impronta digitale di proteggere sia il computer che determinati file. Questo in alcuni portatili stato addirittura implementato con un software in grado di collegare ad una data impronta digitale un collegamento ad un sito internet.

Fingerprint

64

Calcolo della fingerprint


La fingerprint si ottiene tipicamente mediante funzioni hash. Poich con tale metodo esiste sempre una piccolissima possibilit che si verifichino duplicati, cio che pi file abbiano lo stesso hash, si generano fingerprint di grosse dimensioni in modo da ridurre al minimo tale eventualit.

Voci correlate
Internet File system Peer-to-peer Watermarking

Firma digitale
In informatica la firma digitale rappresenta un sistema di autenticazione di documenti digitali tale da garantire il cosiddetto non ripudio e al contempo l'integrit del documento stesso. E' basata sulla tecnologia della crittografia a chiave pubblica (o PKI). La nozione di firma digitale ha in Italia anche un'accezione giuridica, in quanto individua una specie di firma elettronica avanzata che pu essere apposta ai documenti informatici alla stessa stregua di come la firma autografa viene apposta ai documenti tradizionali.

Definizione
La firma digitale di un documento informatico si propone di soddisfare tre esigenze: che il destinatario possa verificare l'identit del mittente (autenticit); che il mittente non possa disconoscere un documento da lui firmato (non ripudio); che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro (integrit). Un tipico schema di firma digitale consiste di tre algoritmi: 1. un algoritmo per la generazione della chiave G che produce una coppia di chiavi (PK, SK): PK (Public Key, chiave pubblica) la chiave pubblica di verifica della firma mentre SK (Secret Key) la chiave privata posseduta dal firmatario, utilizzata per firmare il documento. 2. un algoritmo di firma S che, presi in input un messaggio m e una chiave privata SK produce una firma . 3. un algoritmo di verifica V che, presi in input il messaggio m, la chiave pubblica PK e una firma , accetta o rifiuta la firma.

Sistemi per la creazione e la verifica di firme digitali


Il sistema per la creazione e la verifica di firme digitali sfrutta le caratteristiche della crittografia asimmetrica. Un sistema crittografico garantisce la riservatezza del contenuto dei messaggi, rendendoli incomprensibili a chi non sia in possesso di una "chiave" (intesa secondo la definizione crittologica) per interpretarli. Nei sistemi crittografici a chiave pubblica, detti anche a chiave asimmetrica, ogni utente ha una coppia di chiavi: una chiave privata, da non svelare a nessuno, con cui pu decifrare i messaggi che gli vengono inviati e firmare i messaggi che invia, e una chiave pubblica, che altri utenti utilizzano per cifrare i messaggi da inviargli e per decifrare la sua firma e stabilirne quindi l'autenticit. Perch il sistema risulti sicuro, necessario che solo l'utente stesso e nessun altro abbia accesso alla chiave privata. Il modo pi semplice per ottenere questo far s che l'unica copia della chiave sia "in mano" all'utente (il quale deve

Firma digitale impedirne l'accesso a terzi); tuttavia, esistono soluzioni alternative (come nel caso della firma digitale remota). Per ogni utente, le due chiavi vengono generate da un apposito algoritmo con la garanzia che la chiave privata sia la sola in grado di poter decifrare correttamente i messaggi cifrati con la chiave pubblica associata e viceversa. Lo scenario in cui un mittente vuole spedire un messaggio a un destinatario in modalit sicura il seguente: il mittente utilizza la chiave pubblica del destinatario per la cifratura del messaggio da spedire, quindi spedisce il messaggio cifrato al destinatario; il destinatario riceve il messaggio cifrato e adopera la propria chiave privata per ottenere il messaggio "in chiaro". Grazie alla propriet delle due chiavi, inversa rispetto a quella appena descritta, un sistema di crittografia asimmetrica di questo tipo adatto anche per ottenere dei documenti firmati. Infatti, la chiave pubblica di un utente la sola in grado di poter decifrare correttamente i documenti cifrati con la chiave privata di quell'utente. Se un utente vuole creare una firma per un documento, procede nel modo seguente: con l'ausilio di una funzione hash (pubblica) ricava l'impronta digitale del documento, detta anche message digest, un file di dimensioni relativamente piccole (128, 160 o pi bit) che contiene una sorta di codice di controllo relativo al documento stesso, dopodich utilizza la propria chiave privata per cifrare l'impronta digitale: il risultato di questa codifica la firma. La funzione hash fatta in modo da rendere minima la probabilit che da testi diversi si possa ottenere il medesimo valore dell'impronta, inoltre, one-way, a senso unico, questo significa che dall'impronta impossibile ottenere nuovamente il testo originario ovvero essa non invertibile. La firma prodotta dipende dall'impronta digitale del documento e, quindi, dal documento stesso, oltre che dalla chiave privata dell'utente. A questo punto la firma viene allegata al documento insieme alla chiave pubblica. Chiunque pu verificare l'autenticit di un documento: per farlo, decifra la firma del documento con la chiave pubblica del mittente, ottenendo l'impronta digitale del documento, e quindi confronta quest'ultima con quella che si ottiene applicando la funzione hash al documento ricevuto; se le due impronte sono uguali, l'autenticit e l'integrit del documento sono garantite. La firma digitale assicura inoltre il non ripudio: il firmatario di un documento pervenuto nelle mani di un terzo che ne verifica con successo la validit della firma, non potr negare di averlo scritto. Detta in altre parole significa che l'informazione non pu essere disconosciuta, come nel caso di una firma convenzionale su un documento cartaceo in presenza di testimoni. Le operazioni di firma e di verifica possono essere demandate a un apposito programma rilasciato dall'ente certificatore oppure al proprio provider di posta elettronica, che, con una semplice configurazione, le effettuer automaticamente.

65

Schema di firme
I due elementi fondamentali di uno schema di firme sono l'algoritmo di firma e l'algoritmo di verifica. L'algoritmo di firma crea una firma elettronica che dipende dal contenuto del documento a cui deve essere allegata, oltre che dalla chiave dell'utente. Una coppia (documento, firma) rappresenta un documento firmato, ovvero un documento a cui stata allegata una firma. L'algoritmo di verifica pu essere utilizzato da chiunque per stabilire l'autenticit della firma digitale di un documento. L'utente calcola l'impronta digitale del documento con un algoritmo di Hash che restituisce una stringa funzione del documento. La stringa viene poi cifrata con l'algoritmo a chiave asimmetrica usando la chiave privata del mittente. Il risultato di tale codifica la firma digitale del documento. La firma viene allegata al documento che ora risulta firmato digitalmente. Il documento firmato digitalmente in chiaro ma possiede la firma del mittente e pu essere spedito in modo che esso possa essere letto da chiunque ma non alterato poich la firma digitale ne garantisce l'integrit. Il ricevente ricalcola la stringa hash dal documento con l'algoritmo di Hash. Poi decritta la firma digitale

Firma digitale con la chiave pubblica del mittente ottenendo la stringa hash calcolata dal mittente, e confronta le due stringhe hash, verificando in questo modo l'identit del mittente e l'integrit e autenticit del documento. Siano D un insieme finito di possibili documenti, F un insieme finito di possibili firme, K un insieme finito di possibili chiavi; se k K un algoritmo di firma sigk:DF, un corrispondente algoritmo di verifica verk:DF{vero, falso} tale che d D, f F: verk(d,f) = { vero se f = sigk(d) ; falso se f sigk(d) } allora (D, F, K, sigk, verk) costituisce uno schema di firme. Dato un d D solo il firmatario deve essere in grado di calcolare f F tale che verk(d,f) = vero. Uno schema di firme detto incondizionatamente sicuro se non esiste un modo per la falsificazione di una firma f F. Segue che non esistono schemi di firme incondizionatamente sicuri poich un malintenzionato potrebbe testare tutte le possibili firme y F di un documento d D di un utente, usando l'algoritmo pubblico verk fino a quando non trova la giusta firma. Naturalmente questo tipo di attacco alla sicurezza dello schema di firme risulta essere enormemente oneroso computazionalmente e praticamente irrealizzabile, anche adottando gli algoritmi pi raffinati e i processori pi potenti, poich si fa in modo che la cardinalit dell'insieme di possibili firme sia enormemente elevata.

66

Differenze tra firma digitale e firma convenzionale


Firma autografa Creazione Apposizione manuale sul documento: la firma parte integrante del documento confronto con una firma autenticata: metodo insicuro distinguibile illimitata non possibile Firma digitale mediante algoritmo di creazione come allegato: il documento firmato costituito dalla coppia (documento, firma) mediante algoritmo di verifica pubblicamente noto: metodo sicuro

Verifica

Documento copia Validit temporale Automazione dei processi

indistinguibile limitata possibile

Vulnerabilit
Vulnerabilit del processo di firma
La vulnerabilit pi nota strettamente correlata al fatto che una smart card un calcolatore elettronico limitato, poich manca dei dispositivi di I/O. Dovendola quindi interfacciare a un PC risulter non completamente sicuro il processo di generazione della firma digitale, in dipendenza della potenziale insicurezza del PC utilizzato per generare l'impronta del documento da firmare. Il rischio concreto che alla fine il PC possa ottenere dalla smart card una firma su un documento arbitrariamente scelto, diverso da quello visualizzato sullo schermo e effettivamente scelto dall'utente. Chiaramente l'utente potrebbe non essere consapevole dell'esistenza di un siffatto documento, per cui tale problema pu essere considerato molto grave. Secondo il parere di Rivest esiste una contraddizione intrinseca tra possedere un dispositivo sicuro e usare una interfaccia utente ragionevolmente personalizzabile che supporti il download delle applicazioni. In altri termini, si potrebbe pensare a unapplicazione molto sicura per la firma digitale che sia eseguibile su computer stand-alone (portatili), tali da non permettere l'esecuzione di altri programmi. In caso contrario, il processo di firma digitale rimane intrinsecamente insicuro, poich i PC non possono rappresentare piattaforme sicure. Secondo Rivest la firma digitale non dovrebbe essere considerata come una prova non ripudiabile, ma semplicemente come un'evidenza plausibile. Cos per gli utenti dovrebbero esistere casi ben definiti

Firma digitale in cui poter ripudiare la firma. Il problema, ben noto in letteratura, complesso e non ammette una soluzione completa fintanto che il PC parte del processo di generazione della firma. Recentemente sono state proposte soluzioni euristiche che permettono di mitigarne le conseguenze.

67

Documenti contenenti macro-istruzioni o codice eseguibile


Un'altra ben nota vulnerabilit derivante dalla possibilit per i documenti di incorporare macro-istruzioni o codice eseguibile (si pensi per esempio alle macro dei documenti Word, oppure al codice Javascript dei documenti PDF). Il problema che un documento contenente istruzioni non statico, nel senso che la visualizzazione (la presentazione) del suo contenuto potrebbe dipendere da tali istruzioni. Per esempio, si consideri il caso di un contratto che include un valore che dipende dalla data di sistema, in modo tale che, dopo una certa data, il valore visualizzato sia modificato. La firma digitale dovrebbe essere in grado di evitare la modifica di ci che un documento mostra all'utente, allo scopo di garantire l'integrit dell'informazione, non solo in termini tecnici, ma anche dal punto di vista degli effetti (legali) prodotti dai bit che compongono i documenti digitali. Nellesempio precedente, chiaramente i bit del contratto digitale non variano, ma il loro effetto, in termini di contenuto rappresentato, s. Sfortunatamente, la firma digitale non in grado di rilevare il comportamento dinamico del documento, tantomeno i suoi (pericolosamente dinamici) effetti legali, in quanto ottenuta a partire dai bit che compongono il documento mediante l'applicazione di una funzione di hash crittografico prima, e l'esecuzione di un algoritmo di crittografia asimmetrica (tipicamente RSA) poi. Questa vulnerabilit ben nota e il modo per contrastarla banalmente quello di forzare l'utente a verificare la presenza di macro nel documento prima della firma, quindi assumendo che egli sia in grado di svolgere tale compito. Esistono anche alcuni lavori scientifici in letteratura che definiscono approcci sistematici per contrastare tale vulnerabilit. Un'ulteriore metodo suggerito quello di restringere i formati permessi per i documenti a quelli che non supportano l'inclusione di istruzioni, come il testo (es. ASCII), PDF/A, le immagini. Altri possibili attacchi, documentati in letteratura, riguardano l'uso dei font e altre tecniche legate alla visualizzazione non statica del contenuto del documento (es, inclusione di oggetti esterni, attacchi basati sulla versione del browser per documenti HTML, testo nascosto attraverso il colore dei font, etc.). La vigente normativa italiana, comunque, esclude espressamente la validit della firma per le sopraddette tipologie di documenti: l'art. 3, comma 3 del DPCM 30 marzo 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009) recita infatti "Il documento informatico, sottoscritto con firma digitale o altro tipo di firma elettronica qualificata, non produce gli effetti di cui all'art. 21, comma 2, del codice, se contiene macroistruzioni o codici eseguibili, tali da attivare funzionalit che possano modificare gli atti, i fatti o i dati nello stesso rappresentati" .

Vulnerabilit connesse all'ambiguit della codifica del documento


Il 21 giugno 2008 viene divulgato un articolo in cui si descrive la scoperta fatta dal gruppo del Professor Francesco Buccafurri, ordinario alla facolt di Ingegneria di Reggio Calabria, di una nuova vulnerabilit [1] che affligge la firma digitale. Ci che viene provato non la vulnerabilit degli algoritmi di firma o dei dispositivi: si tratta di un attacco mai prima documentato che consente di firmare documenti con contenuto ambiguo e che sfrutta tecniche fino a quella data non note, agendo su formati ritenuti esenti da tale comportamento "dinamico". Dal punto di vista degli effetti, tale vulnerabilit assimilabile a quella gi nota determinata dalla presenza di istruzioni nei documenti. Tuttavia la tecnica con la quale opera significativamente diversa. La vulnerabilit sfrutta la caratteristica di quei Sistemi Operativi di identificare il tipo di file, e quindi il software da utilizzare per renderne intelligibile il contenuto, attraverso l'estensione (infatti il comportamento "dinamico" del documento viene attivato dalla modifica della sua estensione), risultando quindi applicabile solo in tali Sistemi Operativi. In linea di principio la vulnerabilit potrebbe essere facilmente risolta includendo negli authenticated attributes della busta PKCS#7 il mime-type del file soggetto a firma, di modo da eliminare l'ambiguit sul software da utilizzare per visualizzare il documento e neutralizzare l'attacco. Tuttavia una soluzione del genere comporterebbe l'adeguamento dei software di verifica della firma attualmente in uso, quindi non di facile attuazione pratica.

Firma digitale Non esiste giurisprudenza applicabile a questa tipologia di casi, a causa della novit della fattispecie, ma presumibile che essi ricadano sotto l'applicazione dell'art. 3 comma 3 del DPCM 30 marzo del 2009 (nuove regole tecniche in vigore dal 6 dicembre 2009), e che quindi i documenti con tale ambiguit non producano gli effetti probatori previsti dall'art. 21 del Codice dell'amministrazione digitale.

68

Valore giuridico della firma digitale in Italia


Nell'ordinamento giuridico italiano il termine firma digitale sta a indicare un tipo di firma elettronica qualificata, basato sulla crittografia asimmetrica, alla quale si attribuisce una particolare efficacia probatoria, tale da potersi equiparare, sul piano sostanziale, alla firma autografa. Oggi, la legge che disciplina la firma elettronica il "Codice dell'amministrazione digitale" (Decreto Legislativo 7 marzo 2005, n. 82) che ha subito nel corso del tempo varie modifiche (da ultimo a opera del d.lgs. 30 dicembre 2010, n. 235). Attualmente la legge italiana prevede 3 tipi di firma elettronica: 1. firma elettronica (chiamata anche firma elettronica "semplice"): l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica. 2. firma elettronica avanzata: insieme di dati in forma elettronica allegati oppure connessi a un documento informatico che consentono l'identificazione del firmatario del documento e garantiscono la connessione univoca al firmatario, creati con mezzi sui quali il firmatario pu conservare un controllo esclusivo, collegati ai dati ai quali detta firma si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati. 3. firma elettronica qualificata: un particolare tipo di firma elettronica avanzata che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma. La firma digitale quindi solo un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrit di un documento informatico o di un insieme di documenti informatici. Rispetto alla firma elettronica "semplice" la firma elettronica avanzata ha in pi la garanzia della connessione univoca al firmatario, la creazione con un mezzo sul quale il firmatario pu conservare un controllo esclusivo e la possibilit di far rilevare se i dati a cui la firma si riferisce siano stati successivamente modificati. La firma elettronica qualificata a questo punto stata nuovamente definita partendo dalla firma elettronica avanzata con in pi l'uso di un certificato qualificato e di un dispositivo sicuro per la sua creazione. Sotto il profilo probatorio stata ribadita la potenziale idoneit del documento informatico, anche non sottoscritto, a integrare la forma scritta: "L'idoneita' del documento informatico a soddisfare il requisito della forma scritta e il suo valore probatorio sono liberamente valutabili in giudizio, tenuto conto delle sue caratteristiche oggettive di qualita', sicurezza, integrita' e immodificabilita', fermo restando quanto disposto dall'articolo 21". L'efficacia automatica di scrittura privata e la presunzione semplice che il dispositivo di firma sia riconducibile al titolare, in precedenza appannaggio della sola firma elettronica qualificata, sono attribuite anche alla firma elettronica avanzata: "Il documento informatico sottoscritto con firma elettronica avanzata, qualificata o digitale, formato nel rispetto delle regole tecniche di cui all'articolo 20, comma 3, che garantiscano l'identificabilita' dell'autore, l'integrita' e l'immodificabilita' del documento, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria". Contrariamente al passato stata per riservata alla sola firma elettronica qualificata la possibilit di sottoscrizione dei seguenti atti: contratti che, in relazione a beni immobili, ne trasferiscano la propriet, costituiscano, modifichino o trasferiscano l'usufrutto, il diritto di superficie, il diritto del concedente o dell'enfiteuta, la comunione su tali diritti,

Firma digitale le servit prediali, il diritto di uso, il diritto di abitazione, atti di rinuncia dei diritti precedenti, contratti di affrancazione del fondo enfiteutico, contratti di anticresi, contratti di locazione per una durata superiore a nove anni; contratti di societ o di assicurazione con i quali si conferisce il godimento di beni immobili o di altri diritti reali immobiliari per un tempo eccedente i nove anni o per un tempo determinato; gli atti che costituiscono rendite perpetue o vitalizie, salve le disposizioni relative alle rendite di Stato; gli atti di divisione di beni immobili e di altri diritti reali immobiliari; le transazioni che hanno per oggetto controversie relative ai diritti di cui sopra. Il nuovo comma 2 bis dell'art. 21 infatti prevede che "Salvo quanto previsto dall'articolo 25, le scritture private di cui all'articolo 1350, primo comma, numeri da 1 a 12, del codice civile, se fatte con documento informatico, sono sottoscritte, a pena di nullit, con firma elettronica qualificata o con firma digitale." Di conseguenza possono essere sottoscritti con firma elettronica non qualificata (semplice o avanzata) che possa dare al documento su cui apposta l'efficacia di scrittura privata unicamente, oltre gli atti non formali, solo gli altri atti indicati dalla legge per cui sia prevista la forma scritta ad substantiam (n. 13 dell'art. 1350 c.c.). Tra questi ci sono i contratti bancari e di intermediazione mobiliare. La titolarit della firma digitale garantita dai "certificatori" (disciplinati dagli articoli 26-32): si tratta di soggetti con particolari requisiti di onorabilit, che potevano essere accreditati presso il Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA), ora confluito in DigitPA (in tal caso vengono chiamati certificatori accreditati), che tengono registri delle chiavi pubbliche, presso i quali possibile verificare la titolarit del firmatario di un documento elettronico. Fra le caratteristiche per svolgere l'attivit di certificatore di firma elettronica vi quella per cui occorre essere una societ con capitale sociale non inferiore a quello richiesto per svolgere l'attivit bancaria (2.000.000, come una S.p.A). I certificatori non sono quindi soggetti singoli (come i notai), ma piuttosto grosse societ (per esempio, un certificatore la societ Postecom (Poste Italiane)). L'acquisizione di una coppia di chiavi (chiave privata, inserita nel dispositivo di firma sicuro, e chiave pubblica, inserita nel certificato) a pagamento, nonostante il fatto che la firma (sia manuale che digitale) sia un mezzo legale per l'esercizio di diritti naturali della persona. La coppia di chiavi ha una scadenza temporale. fondamentale che il rilascio avvenga previa identificazione certa del firmatario da parte del certificatore perch sia certa l'associazione che il certificato effettua tra chiave pubblica e dati anagrafici del titolare della firma.

69

Voci correlate
Firma elettronica autografa Firma digitale remota Fattura elettronica Blind signature Firma elettronica Timbro digitale Codice dell'amministrazione digitale SMIME

Firma digitale

70

Collegamenti esterni
Firma Digitale - Ifin Sistemi [2] Progetto OpenSignature [3] Codice dell'Amministrazione Digitale - Il testo vigente [4] Legge 23 gennaio 2002, n. 10 [5], Firma digitale

Note
[1] [2] [3] [4] [5] http:/ / www. unirc. it/ firma http:/ / www. ifin. it/ conservazione-documenti/ certificazione-strumenti/ firma-digitale/ http:/ / opensignature. sourceforge. net/ english. php http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente http:/ / www. normattiva. it/ uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=

Firma elettronica
Una firma elettronica definita[1] come "l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica": quindi la forma pi debole di firma in ambito informatico, in quanto non prevede meccanismi di autenticazione del firmatario o di integrit del dato firmato. Una firma elettronica qualificata definita[1] come "la firma elettronica ottenuta attraverso una procedura informatica che garantisce la connessione univoca al firmatario, creata con mezzi sui quali il firmatario pu conservare un controllo esclusivo e collegata ai dati ai quali si riferisce in modo da consentire di rilevare se i dati stessi siano stati successivamente modificati, che sia basata su un certificato qualificato e realizzata mediante un dispositivo sicuro per la creazione della firma": quindi una forma di firma sicura, che esaudisce le richieste della Direttiva Europea 1999/93/CE, alle quali sono stati aggiunti i requisiti dell'utilizzo di un certificato qualificato e di un dispositivo sicuro di firma. In questa forma la firma elettronica qualificata corrisponde alla "Qualified electronic signature" definita da ETSI In ultimo, ma pi importante di tutte, almeno nell'ordinamento italiano, c' la firma digitale definita sempre nel CAD[1] come "un particolare tipo di firma elettronica qualificata basata su un sistema di chiavi crittografiche, una pubblica e una privata, correlate tra loro, che consente al titolare tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e lintegrit di un documento informatico o di un insieme di documenti informatici": la norma introduce quindi l'uso di algoritmi di crittografia a chiave pubblica. Nell'ordinamento italiano, la firma digitale un sistema di sottoscrizione di documenti informatici, che garantisce autenticit e integrit del documento e non ripudio della sottoscrizione effettuata dal titolare del certificato qualificato. Un certificato per la firma elettronica pu essere rilasciata da Certification Authority senza formalit; previsto invece un processo obbligatorio di accreditamento da parte di una autorit pubblica preposta (per l'Italia il DigitPA (gi CNIPA)), per qualificare una Certification Authority a emettere certificati qualificati.

Firma elettronica

71

Differenza tra firma digitale e firma elettronica


Firma elettronica Creazione mediante algoritmo di creazione Ripudiabilit in sede di giudizio Documento copia indistinguibile dall'originale Opponibilt in sede di giudizio (durante un processo) Emessa da una Certification Authority qualificata non specificato Firma qualificata/digitale s

non riconoscimento querela di falso s no no s s s

Differenza con la firma autografa


Un qualsiasi atto scritto di tipo tradizionale fa prova in giudizio fino al disconoscimento della firma. Per una firma autenticata, cio apposta in presenza di un notaio, non possibile il disconoscimento ma solo la querela di falso. Viceversa, nel caso delle firme elettroniche si deve distinguere tra "firma elettronica", "firma elettronica qualificata" e "firma digitale" (cfr. art. 1 del Codice dell'Amministrazione digitale): 1.Per firma elettronica la legge intende l'insieme dei dati in forma elettronica, allegati oppure connessi tramite associazione logica ad altri dati elettronici, utilizzati come metodo di identificazione informatica. 2.La firma elettronica qualificata definita come la firma elettronica basata su una procedura che permetta di identificare in modo univoco il titolare, attraverso mezzi di cui il firmatario deve detenere il controllo esclusivo, e la cui titolarit certificata da un certificato qualificato. inoltre richiesto l'uso del dispositivo di firma sicuro, capace cio di proteggere efficacemente la segretezza della chiave privata. Inoltre, la firma stessa deve essere in grado di rilevare qualsiasi alterazione del documento avvenuta dopo l'apposizione della firma stessa. Qualunque tecnologia che permetta tale identificazione univoca, rientra nel concetto di "firma elettronica qualificata". 3.La firma digitale, considerata dalla legge come una particolare specie di "firma elettronica qualificata", basata sulla tecnologia della crittografia a chiavi asimmetriche. All'articolo 21, il D.Lgs. 82/2005 stabilisce, con un rimando all'art. 2702 del Codice Civile, che la firma digitale (o altra firma elettronica qualificata) fa piena prova fino a querela di falso se colui contro il quale la scrittura prodotta ne riconosce la sottoscrizione, ovvero se questa legalmente considerata come riconosciuta, equiparando cos il documento informatico sottoscritto con firma digitale alla scrittura privata sottoscritta con firma autografa (e non, come avveniva in precedenza, alla scrittura privata con firma autenticata). Tuttavia secondo un orientamento vi sarebbe una significativa differenza tra firma autografa e firma digitale rispetto alla procedura di disconoscimento. Nel primo caso infatti sarebbe sufficiente che il convenuto avvii una formale istanza di disconoscimento senza doversi assumere alcun onere probatorio. Con riguardo al secondo caso (firma digitale), si nota che l'articolo 21 del il D.Lgs. 82/2005 stabilisce che l'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia la prova contraria. Vi sarebbe quindi un'inversione dell'onere della prova dall'attore verso il convenuto. Un altro orientamento, peraltro, ha posto in evidenza che la presunzione della riconducibilit della firma al titolare del dispositivo di firma si deve formare "ai sensi dell'art. 21, comma 2" (art. 20, comma 2, del D.Lgs. 82/2005), secondo il quale "il documento informatico, sottoscritto con firma digitale o con un altro tipo di firma elettronica qualificata, ha l'efficacia prevista dall'articolo 2702 del codice civile. L'utilizzo del dispositivo di firma si presume riconducibile al titolare, salvo che questi dia prova contraria". Se ne ricava che, come nel caso della scrittura tradizionale, anche la scrittura elettronica munita di firma digitale farebbe piena prova della provenienza delle dichiarazioni solo se la firma digitale che vi apposta riconosciuta da colui contro il quale prodotta in giudizio. Altrimenti, colui che la produce deve fare istanza di verificazione, da sostenere con qualsiasi mezzo di prova utile (art. 216 c.p.c.). In tale prospettiva, solo nel corso del giudizio di verificazione colui che vuol fare valere la scrittura

Firma elettronica pu provare, mediante la verificazione informatica, l'avvenuto utilizzo del dispositivo di firma attribuito al titolare, fatto che - si evidenzia - costituisce circostanza ben diversa dalla materiale apposizione della firma stessa per gesto del titolare o comunque sotto il suo controllo. A tali condizioni, l'eventuale dimostrazione dell'avvenuto utilizzo del dispositivo di firma resa nel corso del giudizio di verificazione darebbe luogo alla presunzione legale di cui all'art. 21, comma 2, cit. in ordine alla riconducibilit di tale utilizzo alla sfera di controllo del titolare e, quindi, in ordine all'imputazione della firma apposta a quel soggetto.

72

Caratteristiche
Per collocare nel tempo la firma di un documento non basta, per, la sola firma. In questo viene in aiuto un'altra entit che appone la propria marca temporale sul documento in modo da rendere la procedura identica a quella autografa cartacea. L'entit la Stamping Authority che interviene nella creazione dell'hash del documento da firmare. Per ogni altra caratteristica ulteriore rimando alla firma digitale in quanto, per le rimanenti tematiche, del tutto analoga.

Voci correlate
Fattura elettronica Blind signature Firma digitale Certification Authority CNIPA

Note
[1] Codice dell'amministrazione digitale (http:/ / www. digitpa. gov. it/ amministrazione-digitale/ CAD-testo-vigente#Art. 1. ) : vedi Definizioni

Collegamenti esterni
CNIPA Centro Nazionale dell'informatica per le pubbliche amministrazioni (http://www.cnipa.gov.it/site/ it-IT/) legge 10/2002 (http://www.parlamento.it/leggi/deleghe/02010dl.htm) Legge 23 gennaio 2002, n. 10 (http://www.normattiva.it/uri-res/ N2Ls?urn:nir:stato:legge:2002-01-23;10!vig=), Firma elettronica

Gestione della continuit operativa

73

Gestione della continuit operativa


Per gestione della continuit operativa o continuit aziendale (business continuity) si intende la capacit dell'azienda di continuare ad esercitare il proprio business a fronte di eventi avversi che possono colpirla.[1] La pianificazione della continuit operativa e di servizio si chiama business continuity plan (BCP) (in italiano "piano di continuit del business") e viene comunemente considerata come un processo globale che identifica i pericoli potenziali che minacciano l'organizzazione, e fornisce una struttura che consente di aumentare la resilienza e la capacit di risposta in maniera da salvaguardare gli interessi degli stakeholders, le attivit produttive, l'immagine, riducendo i rischi e le conseguenze sul piano gestionale, amministrativo, legale.

Descrizione
Il documento di business continuity ha un'impronta prettamente economica e consente, in caso di disastro, di stimare economicamente i danni e di pianificare la ripresa delle attivit aziendali. Il Disaster Recovery Plan, che mirato ai servizi informatici, quindi un sottoinsieme del business continuity plan. Il business continuity plan contiene informazioni riguardo alle azioni da intraprendere in caso di incidente, chi coinvolto nell'attivit e come deve essere contattato. Il piano riflette la posizione dell'organizzazione e degli stakeholders. Gli aspetti da considerare sono: l'uso di ausili alla pianificazione, tool di sviluppo e manutenzione dei piani; descrizione delle attivit per le figure coinvolte; i piani di azione e le checklist da utilizzare; quali informazioni e quale documentazione di supporto deve essere utilizzata.

Occorre riporre attenzione nella terminologia; termini come "incidente" o "disastro" devono essere chiari e condivisi. In particolare, occorre distinguere tra una "interruzione di servizio" ed un "disastro"; nel secondo caso deve essere definita la procedura di "escalation" da applicare quando il disastro avvenuto ed stato dichiarato. Occorre definire quindi un glossario condiviso e documentato. Tra i rischi da considerare vi sono quelli legati all'informazione e alla sua gestione. Nell'ambito del Rischio informatico il piano di Business Continuity fa parte del Piano di contingenza. La business continuity viene pianificata secondo il Ciclo di Deming.

Note
[1] IMQ, Certificazione Sistemi di Gestione per la Continuit Operativa Norma BS 25999-2 (http:/ / www. imq. it/ export/ sites/ default/ it/ doc/ pubblicazioni_informative/ IMQ_BROCH_BCM_Ottavo__. pdf).

Voci correlate
Risk management Piano di contingenza Disaster recovery Business continuity plan

GnuTLS

74

GnuTLS
GnuTLS Sviluppatore Ultimaversione S.O. Genere Licenza Free Software Foundation 3.0.3 (18 settembre 2011) Multipiattaforma Libreria di sicurezza GNU Lesser General Public License (Licenza libera) http:/ / www. gnutls. org/

Sito web

GnuTLS (GNU Transport Layer Security Library) un'implementazione libera dei protocolli SSL e TLS. Il suo scopo di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la rete.

Funzionalit
GnuTLS ha le seguenti funzionalit: Protocolli SSL 3.0, TLS 1.0, TLS 1.1 e, in sviluppo, il protocollo TLS 1.2 Secure remote password protocol (SRP) per l'autenticazione TLS Pre-Shared Key (PSK) per l'autenticazione TLS Meccanismo di estensione TLS Compressione TLS Gestione dei certificati X.509 e OpenPGP

Licenza e motivazioni
GnuTLS rilasciato tramite la licenza GNU Lesser General Public License; alcune parti sono rilasciate sotto la GNU General Public License. GnuTLS venne inizialmente creato per consentire alle applicazioni del Progetto GNU di usare un protocollo sicuro come TLS. Bench esistesse gi OpenSSL, quest'ultima libreria ha una licenza che non compatibile con la GPL[1] , per cui i software sotto GPL non avrebbero potuto usare la libreria OpenSSL senza inserire nella licenza una speciale eccezione. GnuTLS usato in software come GNOME, CenterIM, Exim, Mutt, Slrn, Lynx, CUPS e gnoMint.[2]

GnuTLS

75

Note
[1] (EN) The OpenSSL Licence and The GPL (http:/ / www. gnome. org/ ~markmc/ openssl-and-the-gpl. html) [2] (EN) The GNU Transport Layer Security Library (http:/ / www. gnu. org/ software/ gnutls/ programs. html)

Voci correlate
OpenSSL Network Security Services Transport Layer Security

Collegamenti esterni
(EN) Pagine del progetto GnuTLS (http://www.gnu.org/software/gnutls/) (EN) Manuale GnuTLS (http://www.gnu.org/software/gnutls/manual/) (EN) Intervista del 2003 allo sviluppatore di GNU TLS Nikos Mavroyanopoulos (http://www.network-theory. co.uk/articles/mavroyanopoulus.html)

Greylisting
Greylisting o graylisting un metodo per difendere gli utenti dallo spam via e-mail. Un mail server che utilizza la tecnica di greylisting rifiuter temporaneamente tutte le e-mail da un mittente che non conosce. Se l'e-mail legittima, il mail server del mittente ritenter l'invio, e questa volta l'operazione verr accettata. Se l'e-mail viene inviata da uno spammer, probabilmente non si avr un ulteriore tentativo poich il mail server dello spammer avendo a disposizione migliaia di indirizzi email, passerebbe oltre non occupandosi degli errori.

Come funziona
Tipicamente un server che utilizza la tecnica di graylisting genera una tripletta di dati per ogni messaggio email in arrivo: l'indirizzo ip dell'host mittente l' indirizzo e-mail del mittente l'indirizzo e-mail del destinatario che viene poi controllata con le triplette registrate nel database. Se questa tripletta non ancora stata registrata (la registrazione pu durare per un tempo variabile), l'e-mail viene messa in "lista grigia" per un piccolo periodo di tempo (configurabile a piacere), e viene rifiutata con un codice di errore SMTP 4xx. Questo codice corrisponde a un errore temporaneo perci un server legittimo ritenter l'invio dell'e-mail. Greylisting efficace poich la maggior parte degli strumenti utilizzati dagli spammer non ritentano l'invio della mail, per cui il messaggio non verr mai recapitato al destinatario. Se lo spammer dovesse ritentare l'invio della mail, esistono comunque software che possono riconoscere lo spam analizzando il contenuto del messaggio.

Vantaggi
Il vantaggio maggiore che l'utente finale non deve configurare nulla. Dal punto di vista di un amministratore invece il vantaggio doppio. Greylisting infatti ha bisogno di una configurazione minima dati da occasionali modifiche alla lista bianca (cio alla lista degli utenti che possono inviare e-mail senza essere processati dal sistema). Il secondo maggior vantaggio che il messaggio di errore SMTP 4xx non determina l'occupazione di ulteriori risorse. La maggior parte dei software di riconoscimento dello spam occupano spesso molta memoria e gravano sulla cpu in modo evidente. Bloccando lo spam prima che venga esaminato si possono risparmiare queste risorse.

Greylisting

76

Svantaggi
Come altri software di controllo spam, lo svantaggio maggiore che viene meno l'istantaneit dei messaggi email.

Collegamenti esterni
Sito ufficiale [1]

Note
[1] http:/ / www. greylisting. org/

Hardening
In informatica, hardening indica il processo di messa in sicurezza di un sistema attraverso la riduzione della sua superficie di attacco. Un sistema ha una superficie di attacco tante pi funzionalit offre; come principio un sistema con una singola funzione pi sicuro di un sistema con molte funzioni. La riduzione dei veicoli di attacco disponibili tipicamente include la rimozione di software non necessario, di username non necessari e la disabilitazione o rimozione di servizi non necessari. Ci sono vari metodi per fare l'hardening di sistemi unix e linux. Questi possono coinvolgere, tra le altre misure, l'applicazione di patch al kernel come Exec Shield o PaX; la chiusura di porte in servizi di rete, la configurazione di sistemi IDS, firewall e intrusion prevention system. Ci sono anche script di hardening e tool come Bastille linux[1] , JASS[2] per Solaris e Apache/PHP hardener[3] , che possono, per esempio, disattivare funzionalit non necessarie nei file di configurazione e applicare misure protettive di varia natura.

Note
[1] (EN)http:/ / bastille-linux. sourceforge. net/ [2] (EN)http:/ / www. sun. com/ software/ security/ jass/ [3] (EN)http:/ / www. syhunt. com/

Hash

77

Hash
Hash un termine della lingua inglese (to hash sminuzzare, pasticciare) che designa originariamente una polpettina fatta di avanzi di carne e verdure; per estensione indica un composto eterogeneo cui viene data una forma incerta: "To make a hash of something" vuol dire infatti creare confusione, o fare una cosa piuttosto male.

In informatica
Nel linguaggio matematico e informatico, la funzione hash una Risultato dei primi quattro byte della funzione hash SHA-1. funzione non iniettiva che mappa una stringa di lunghezza arbitraria in una stringa di lunghezza predefinita. Esistono numerosi algoritmi che realizzano funzioni hash con particolari propriet che dipendono dall'applicazione. Nelle applicazioni crittografiche si chiede, per esempio, che la funzione hash abbia le seguenti propriet: resistenza alla preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un hash uguale a un dato hash; resistenza alla seconda preimmagine: sia computazionalmente intrattabile la ricerca di una stringa in input che dia un hash uguale a quello di una data stringa; resistenza alle collisioni: sia computazionalmente intrattabile la ricerca di una coppia di stringhe in input che diano lo stesso hash. Nelle applicazioni di basi di dati la funzione hash usata per realizzare una particolare struttura dati chiamata hash table. In questa applicazione non occorrono propriet crittografiche e generalmente l'unica propriet richiesta che non ci siano hash pi probabili di altri.

Algoritmo di hash
L'algoritmo di hash elabora qualunque mole di bit (in informatica si dice che elabora dati "grezzi"). Si tratta di una famiglia di algoritmi che soddisfa questi requisiti: 1. L'algoritmo restituisce una stringa di numeri e lettere a partire da un qualsiasi flusso di bit di qualsiasi dimensione (pu essere un file ma anche una stringa). L'output detto digest. 2. La stringa di output univoca per ogni documento e ne un identificatore. Perci, l'algoritmo utilizzabile per la firma digitale. 3. L'algoritmo non invertibile, ossia non possibile ricostruire il documento originale a partire dalla stringa che viene restituita in output ovvero una funzione unidirezionale.

Hash

78

Hash e collisioni
Non esiste una corrispondenza biunivoca tra l'hash e il testo. Dato che i testi possibili, con dimensione finita maggiore dell'hash, sono pi degli hash possibili, per il principio dei cassetti ad almeno un hash corrisponderanno pi testi possibili. Quando due testi producono lo stesso hash, si parla di collisione, e la qualit di una funzione di hash misurata direttamente in base alla difficolt nell'individuare due testi che generino una collisione. Per sconsigliare l'utilizzo di algoritmi di hashing in passato considerati sicuri stato infatti sufficiente che un singolo gruppo di ricercatori riuscisse a generare una collisione. Questo quello che avvenuto ad esempio per gli algoritmi SNEFRU, MD2, MD4 ed MD5. Un hash crittograficamente sicuro non dovrebbe permettere di risalire, in un tempo confrontabile con l'utilizzo dell'hash stesso, ad un testo che possa generarlo. Le funzioni hash ritenute pi resistenti richiedono attualmente un tempo di calcolo per la ricerca di una collisione superiore alla durata dell'universo (immaginando di impiegare tutte le capacit computazionali ora disponibili).

Applicazioni
Hash e crittografia
La lunghezza dei valori di hash varia a seconda degli algoritmi utilizzati. Il valore pi comunemente adottato di 128 bit, che offre una buona affidabilit in uno spazio relativamente ridotto. Tuttavia va registrata la possibilit d'uso di hash di dimensione maggiore (SHA, ad esempio, pu anche fornire stringhe di 224, 256, 384 e 512 bit) e minore (che per va fortemente sconsigliato). Le funzioni hash svolgono un ruolo essenziale nella crittografia: sono utili per verificare l'integrit di un messaggio, poich l'esecuzione dell'algoritmo su un testo anche minimamente modificato fornisce un message digest completamente differente rispetto a quello calcolato sul testo originale, rivelando la tentata modifica. Le funzioni di hash possono essere anche utilizzate per la creazione di firme digitali, in quanto permettono la rapida creazione della firma anche per file di grosse dimensioni, senza richiedere calcoli lunghi e complessi: infatti computazionalmente pi conveniente eseguire con rapidit un hashing del testo da firmare, e poi autenticare solo quello, evitando cos l'esecuzione dei complessi algoritmi di crittografia asimmetrica su moli di dati molto grandi. La firma digitale definita come il digest di un documento crittografato con chiave privata (e non con quella pubblica, come avviene di solito). La firma digitale l'unico caso in cui l'uso delle chiavi invertito: la chiave pubblica serve a decrittare la firma e trovare poi il digest iniziale attraverso l'hash, mentre quella privata serve a crittografare una stringa anzich ad aprirla. Un ulteriore uso delle funzioni di hash si ha nella derivazione di chiavi da password o passphrase: a partire da un valore arbitrario in ingresso (una stringa o un array di larghe dimensioni) si deriva in modo crittograficamente sicuro (ovvero non possibile abbreviare il calcolo con una qualche scorciatoia) una chiave di dimensioni adatte alla cifratura. appena il caso di dire, tuttavia, che a meno di prendere debite contromisure (come l'uso di un salt crittografico), l'utilit di questa procedura esclusivamente pratica: infatti la sicurezza della chiave derivata equivalente a quella della stringa di ingresso ai fini di un attacco a dizionario. Di contro, certamente pi comodo per un essere umano ricordare una stringa piuttosto che una lunga sequenza numerica.

Hash

79

Sicurezza delle funzioni hash


Nel contesto delle funzioni hash, ci si riferisce a diversi concetti di sicurezza: Sicurezza debole: dato un messaggio M, computazionalmente "difficile" trovare un secondo messaggio M' tale che h(M)=h(M'). Sicurezza forte: computazionalmente difficile trovare una coppia di messaggi M,M' tali che h(M)=h(M'). Questi due concetti di sicurezza vengono distinti anche per via degli effetti che essi possono produrre nel caso in cui ne siano privi: per quanto riguarda ad esempio la possibilit di effettuare una firma digitale, un algoritmo che non garantisca la sicurezza forte, ma quella debole, sarebbe comunque utile dal momento che il messaggio M non pu essere "controllato" e bisognerebbe quindi trovare un secondo messaggio M' con uguale funzione di hash, il che sarebbe appunto computazionalmente difficile.

Hash e basi di dati


possibile utilizzare le funzioni di hash per creare una hash table: struttura dati molto efficiente per immagazzinare generici dati associati ad una chiave. Questo genere di struttura dati viene spesso utilizzata nei Database per generare gli indici dato che permette di realizzare funzioni di ricerca che individuano gli elementi in un tempo costante, indipendente (almeno in teoria) dal numero di elementi presenti nell'indice.

Rivelazione degli errori


L'uso delle funzioni hash per trovare errori nelle trasmissioni molto comune. La funzione hash viene calcolata a partire dai dati dal trasmettitore e il suo valore inviato insieme ai dati. Il ricevitore calcola di nuovo la funzione hash, e se i valori hash non corrispondono, significa che avvenuto un errore durante la trasmissione. Questo metodo un tipo di controllo ridondante.

Informatica forense
Gli algoritmi di hash, in particolare SHA1 e MD5, sono largamente utilizzati nell'ambito dell'informatica forense per validare e in qualche modo "firmare" digitalmente i dati acquisiti, tipicamente le copie forensi. La recente legislazione impone infatti una catena di custodia che permetta di preservare i reperti informatici da eventuali modifiche successive all'acquisizione: tramite i codici hash possibile in ogni momento verificare che quanto repertato sia rimasto immutato nel tempo. Se i codici hash corrispondono, entrambe le parti in un procedimento giudiziario hanno la certezza di poter lavorare sulla stessa versione dei reperti, garantendo quindi una uniformit di analisi e in genere di risultati. I risultati dei codici hash vengono ormai calcolati di default dalla maggioranza dei software per acquisizione forense e allegati alle copie forensi salvate.

Hash uniforme semplice


Si definisce hash uniforme semplice quel tipo Hash in cui l'estrazione degli elementi in U casuale, e la funzione hash h: U -> {m} estrae la chiave m_i con probabilit In tali condizioni la ricerca della chiave avr complessit costante O(1).

Elenco di hash e documenti correlati


MD2[1] MD4[2] MD5[3] [4] [5] MDC-2[6]

Hash SHA-1[7] [8] [9] SHA-2 (256, 384, 512)[10] RIPEMD-160[11] PANAMA[12] TIGER[13] CRC32[14] ADLER32[16]

80

[15]

HMAC[17] [18] [19] [20] [21] [22] [23] [24] [25] [26]

Note
[1] [2] [3] [4] [5] [6] [7] [8] RFC1319 (http:/ / www. faqs. org/ rfcs/ rfc1319. html) - The MD2 Message-Digest Algorithm RFC1320 (http:/ / www. faqs. org/ rfcs/ rfc1320. html) - The MD4 Message-Digest Algorithm RFC1321 (http:/ / www. faqs. org/ rfcs/ rfc1321. html) - The MD5 Message-Digest Algorithm RFC1810 (http:/ / www. faqs. org/ rfcs/ rfc1810. html) - Report on MD5 Performance RFC1828 (http:/ / www. faqs. org/ rfcs/ rfc1828. html) - IP Authentication using Keyed MD5 en:MDC-2 - Modification Detection Code FIPS PUB 180-1 - SECURE HASH STANDARD RFC3174 (http:/ / www. faqs. org/ rfcs/ rfc3174. html) - US Secure Hash Algorithm 1 (SHA1)

[9] RFC1852 (http:/ / www. faqs. org/ rfcs/ rfc1852. html) - IP Authentication using Keyed [10] DFIPS PUB 180-2 (http:/ / csrc. nist. gov/ publications/ fips/ fips180-2/ fips180-2withchangenotice. pdf) - SECURE HASH STANDARD [11] The RIPEMD-160 Home Page [12] Fast Hashing and Stream Encryption with PANAMA, by J.Daemen, C.Clapp (http:/ / standard. pictel. com/ ftp/ research/ security/ panama. pdf) [13] Tiger: A Fast New Hash Function The Tiger Home Page (http:/ / www. cs. technion. ac. il/ ~biham/ Reports/ Tiger/ ) [14] (attenzione: non corretto considerare CRC32 un algoritmo di hash crittografico) [15] RFC1952 (http:/ / www. faqs. org/ rfcs/ rfc1952. html) - GZIP file format specification version 4.3 [16] RFC1950 (http:/ / www. faqs. org/ rfcs/ rfc1950. html) - ZLIB Compressed Data Format Specification version 3.3 [17] (attenzione: HMAC non propriamente una funzione di hash, poich per eseguirlo necessario non solo il testo in chiaro, ma anche una chiave. Gli algoritmi di hash richiedono un unico parametro di ingresso) [18] FIPS PUB 198 (http:/ / csrc. nist. gov/ publications/ fips/ fips198/ fips-198a. pdf) - The Keyed-Hash Message Authentication Code (HMAC) [19] RFC2104 (http:/ / www. faqs. org/ rfcs/ rfc2104. html) - HMAC: Keyed-Hashing for Message Authentication [20] RFC2202 (http:/ / www. faqs. org/ rfcs/ rfc2202. html) - Test Cases for HMAC-MD5 and HMAC-SHA-1 [21] RFC2286 (http:/ / www. faqs. org/ rfcs/ rfc2286. html) - Test Cases for HMAC-RIPEMD160 and HMAC-RIPEMD128 [22] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention [23] RFC2403 (http:/ / www. faqs. org/ rfcs/ rfc2403. html) - The Use of HMAC-MD5-96 within ESP and AH [24] RFC2404 (http:/ / www. faqs. org/ rfcs/ rfc2404. html) - The Use of HMAC-SHA-1-96 within ESP and AH [25] RFC2857 (http:/ / www. faqs. org/ rfcs/ rfc2857. html) - The Use of HMAC-RIPEMD-160-96 within ESP and AH [26] RFC2085 (http:/ / www. faqs. org/ rfcs/ rfc2085. html) - HMAC-MD5 IP Authentication with Replay Prevention

Voci correlate
Hash table Firma digitale Crittografia Autenticazione

Collegamenti esterni
(EN) Definizione inglese del termine (http://www.dictionary.cambridge.org/define.asp?key=35933& dict=CALD) (EN) Hash'em all! (http://www.hashemall.com), per calcolare online l'hash di stringhe e file Hash Generatore (http://www.sinfocol.org/herramientas/hashes.php) Altro Online Hash Generatore, ha alcune funzioni di hash come md2,md4,md5,sha1,snefru,tiger,haval, ripemd, whirlpool e tra gli altri. Circa 118

Hash differenti algoritmi Funzioni hash con PHP (http://segnalazionit.org/2008/10/funzioni-hash-con-php) Programma gratuito per calcolo e verifica hash (http://ocr.altervista.org/wordpress/ impronta-calcolare-lhash-di-un-file/) Checksums calculator (http://www.sinf.gr/it/hashcalc.html) Applicazione gratuita per il calcolo e verifica di funzioni hash per Windows, Linux e Mac OS X.

81

Hengzhi chip
L'Hengzhi chip un microcontrollore che pu memorizzare informazioni di sicurezza crittografate, progettato dal governo della Repubblica Popolare Cinese e assemblato in Cina. Le sue funzionalit dovrebbero essere simili a quelle offerte dal Trusted Platform Module ma, a differenza di questo, non costruito seguendo le specifiche date dal Trusted Computing Group. Lenovo attualmente vende PC "sicuri" equipaggiati col chip di sicurezza Hengzhi[1] . Il chip potrebbe essere uno sviluppo dell'IBM ESS (Embedded security subsystem ) chip, che era sostanzialmente una smartcard a chiave pubblica collocata direttamente sul bus di gestione sistema della scheda madre. Ad gennaio 2008, nessuna specifica pubblica del chip disponibile. Questa mancanza di documentazione ha sollevato perplessit sulle intenzioni del governo di Pechino e sugli usi che potrebbero essere fatti del Hengzhi chip.

Voci correlate
Trusted Computing Trusted Platform Module

Note
[1] (EN) Lenovo releases China's first security chip (http:/ / english. people. com. cn/ 200504/ 12/ eng20050412_180617. html)

Collegamenti esterni
China Implements new Encryption Laws (http://www.twobirds.com/english/publications/articles/ china_implements_encryption_law.cfm?RenderForPrint=1) Does China Own Your Box (http://www.mutantfrog.com/2006/03/08/does-china-own-your-box)

Honeypot

82

Honeypot
In informatica, un honeypot (letteralmente: "barattolo del miele") un sistema o componente hardware o software usato come "trappola" o "esca" a fini di protezione contro gli attacchi di pirati informatici. Solitamente consiste in un computer o un sito che sembra essere parte della rete e contenere informazioni preziose, ma che in realt ben isolato e non ha contenuti sensibili o critici; potrebbe anche essere un file, un record, o un indirizzo IP non utilizzato. Il valore primario di un honeypot l'informazione che esso d sulla natura e la frequenza di eventuali attacchi subiti dalla rete. Gli honeypot non contengono informazioni reali e quindi non dovrebbero essere coinvolti da nessuna attivit; rilevazioni in senso opposto possono rivelare intrusioni non autorizzate o malevole in corso. Gli honeypot possono portare dei rischi ad una rete, e devono essere maneggiati con cura. Se non sono ben protetti, un attacker potrebbe usarli per entrare in altri sistemi.

Etimologia
Il termine "honeypot" (barattolo di miele) spesso collegato al personaggio per bambini Winnie the Pooh, un orso di pezza che spesso si trova nei guai a causa della sua golosit nei confronti del miele. Un'ulteriore spiegazione del termine un riferimento al nome, inglese, sarcastico per la costruzione circondante un gabinetto in un appezzamento di terra, o per altri metodi di raccolta letame in luoghi senza impianto idraulico interno. Honey quindi un termine ironico per tale rifiuto, contenuto in un honeypot finch non portato all'area di smaltimento da un camion addetto. In questo uso, gli attackers sono paragonabili alle mosche, attirate dall'odore dell'acqua di scolo.

Tipi di honeypot
Gli honeypot a bassa interazione sono solitamente programmi che emulano sistemi operativi e servizi. Questi honeypot sono pi semplici da installare e pi sicuri, ma riescono a catturare poche informazioni. Gli honeypot ad alta interazione invece non emulano nulla: sono veri computer, applicazioni o servizi. Questi honeypot sono molto pi complessi e comportano maggiori rischi, ma riescono a catturare maggiori informazioni. Un esempio di honeypot a bassa interazione Honeyd [1]. Uno ad alta interazione Honeynet [2]. Possono essere honeypot anche altre cose, come veri siti web o chatroom, il cui scopo di fermare utenti con intenti criminali.

Spam Honeypot
Gli spammer sono conosciuti per l'abuso di risorse vulnerabili come server di posta e proxy liberi. Alcuni amministratori di reti hanno creato degli honeypot che si fingono risorse abusabili per scoprire le attivit degli spammer. Tra gli Open relay honeypot c' smtpot.py [3], scritto in Python. Bubblegum Proxypot [4] un honeypot-proxy libero (o proxypot). Un indirizzo email che non usato se non per ricevere spam pu essere considerato un honeypot per spam. Teoricamente, un tale indirizzo potrebbe essere usato per ricevere spam, che potrebbe essere confrontato con lo spam ricevuto da veri indirizzi email. In questo modo si potrebbe pi facilmente rimuovere lo spam dalla casella di posta degli indirizzi veri.

Honeypot

83

Collegamenti esterni
Sicurezza delle reti: gli Honeypots [5] Honeypots, Intrusion Detection, and Incident Handling Resources [6] in inglese "Know Your Enemy: Everything you need to know about honeypots" [7] in inglese

Note
[1] [2] [3] [4] [5] [6] [7] http:/ / www. honeyd. org http:/ / www. honeynet. org http:/ / llama. whoi. edu/ smtpot. py http:/ / www. proxypot. org/ http:/ / bicocca. net/ web/ index. php?name=UpDownload& req=getit& lid=94 http:/ / www. honeypots. net/ http:/ / www. newsforge. com/ article. pl?sid=04/ 09/ 24/ 1734245

Host-based intrusion detection system


Un Host based intrusion detection system (HIDS) una tipologia di intrusion detection system specializzato nell'analisi e nel monitoraggio del computer. Una variante del network intrusion detection system, uno strumento indirizzato verso l'analisi del traffico di rete.

Obiettivo
Un HIDS controlla dinamicamente alcune o tutte le componenti che formano l'host (il computer). Come i NIDS provvedono ad analizzare il traffico di rete gli HIDS provvedono ad analizzare i programmi in esecuzione e il loro utilizzo delle risorse. Questi programmi segnalerebbero per esempio se senza nessun motivo apparente il word processor si dovesse attivare e dovesse modificare il database delle password di sistema. Gli HIDS sorvegliano lo stato del sistema, la memorizzazione delle informazioni e l'accesso alle risorse condivise e alle unit di memorizzazione. Un HIDS un componente che sorveglia il funzionamento del sistema operativo verificando che le policy di sicurezza non siano aggirate o scavalcate.

Controllo del funzionamento dinamico


La maggior parte delle persone ha familiarit con questo genere di programmi grazie agli antivirus. Gli antivirus controllano costantemente lo stato del sistema alla ricerca di potenziali infezioni. Lo stesso fanno i programmi HIDS solo che questi non si limitano a virus, trojan e worm ma controllano il funzionamento anche di programmi comuni. Comunque le linee di demarcazione tra i vari programmi sono molto sottili e quindi spesso le funzionalit delle due tipologie di programmi si sovrappongono.

Controllo dello stato


Il principio di funzionamento degli HIDS basato sulla considerazione che se l'attaccante (cracker) riesce a forzare il sistema deve lasciare traccia del suo passaggio anche perch probabilmente l'attaccante installer nel computer uno o pi programmi deputati alla raccolta di informazioni o alla gestione remota della macchina. L'installazione e l'attivazione di questi programmi modificano lo stato interno della macchina e un buon HIDS dovrebbe essere in grado di rilevare un'intrusione. Usualmente gli HIDS vengono utilizzati in congiunzione con i NIDS in modo che i programmi si completino a vicenda per un controllo totale della macchina e delle sue comunicazioni.

Host-based intrusion detection system Ironicamente la prima cosa che gli attaccanti fanno usualmente quella di installare un programma di controllo remoto in modo da impedire a un altro cracker di accedere al sistema. Tecniche In generale gli HIDS utilizzano un database degli elementi da controllare. Questi spesso sono memorizzati nel file system ma non sempre. Non vi motivo infatti perch un HIDS non debba periodicamente controllare alcune aree di memoria alla ricerca di violazioni. Anche la tabella delle system-call un componente che pu essere controllato proficuamente dato che molti virus tendono ad alterarla. Per ogni elemento l'HIDS normalmente memorizza gli attributi (permessi di scrittura, dimensione, data modifica, ecc) e effettua un calcolo del checksum con algoritmi tipo hash MD5 o simili. Questi dati vengono memorizzati nel database per le future comparazioni. Da notare che l'MD5 non garantisce una completa sicurezza dato che possibile modificare il file senza variare l'MD5. Recenti studi (2004) hanno dimostrato che la possibilit che ci avvenga non cos ridotta come si pensava all'inizio. Funzionamento Durante l'installazione e ad ogni modifica autorizzata degli elementi questi vengono analizzati e il loro checksum viene calcolato e memorizzato nel database. Questa una fase che va controllata con attenzione per impedire che degli elementi corrotti possano essere marcati come validi. Esistono molti elementi che il sistema operativo modifica di frequente che sono interessanti da controllare dato che sono elementi che anche un aggressore avrebbe interesse a modificare. Un controllo approfondito di troppi elementi per rallenterebbe eccessivamente il sistema quindi alcuni HIDS per file non vitali preferiscono fare dei controlli basati sugli attributi senza dover ogni volta generare il checksum, un processo che per file di grosse dimensioni pu rendere l'analisi molto lenta. Un'analisi di un numero eccessivo di elementi pu generare un elevato numero di falsi positivi dato che spesso il sistema operativo modifica molti file di sistema solo per svolgere le sue usuali operazioni. Una volta che il sistema installato, i checksum sono stati calcolati e stato impostato un intervallo ragionevole tra le varie analisi dell'HIDS, il sistema pronto. Le segnalazioni possono essere inviate all'utente tramite file di log, email, finestre a video o altro.

84

Protezione dell'HIDS
Un HIDS utilizzer normalmente un insieme di tecniche aggiuntive per rivelare violazioni nel proprio database degli oggetti e per rendere queste violazioni difficili. Infatti se un attaccante stato in grado di introdursi nel sistema nulla gli impedisce di cercare di eludere l'HIDS. Sono molto diffusi per esempio i virus che dopo essersi installati cercano di disabilitare i programmi antivirus. Oltre ad adottare protezioni crittografiche un amministratore pu utilizzare protezioni aggiuntive come memorizzare il database dell'HIDS in un supporto non cancellabile come un CD-ROM (sempre che il database non vada aggiornato con frequenza..) o memorizzare il database in un'altra macchina separata da quelle da controllare. Si potrebbe anche affermare che i Trusted Platform Module siano un tipo di HIDS. Sebbene gli scopi siano diversi entrambi i moduli provvedono ad identificare eventuali modifiche a componenti del computer. Dal punto di vista progettuale questi moduli sono l'ultima difesa contro le modifiche non autorizzate ed essendo integrati nell'hardware del computer se non nella CPU stessa sono estremamente difficili da aggirare.

Host-based intrusion detection system

85

Voci correlate
Intrusion detection system Network Intrusion Detection System Trusted Computing Group Trusted Platform Module

Collegamenti esterni
(EN) md5deep, un HIDS Open Source [1] (EN) Aide, un HIDS Open Source [2] (EN) Samhain, un HIDS Open Source [3] (EN) Snort il NIDS Open Source [4] (EN) OpenHIDS, un HIDS Open Source per Windows NT/2000/XP/2003 [5]

Note
[1] http:/ / md5deep. sourceforge. net/ [2] http:/ / sourceforge. net/ projects/ aide [3] http:/ / la-samhna. de/ samhain/ [4] http:/ / www. snort. org [5] http:/ / www. openhids. com

Identity management
Con Identity Management (IM) si intendono i sistemi integrati di tecnologie, criteri e procedure in grado di consentire alle organizzazioni di facilitare - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.

Voci correlate
Autenticazione

Identit digitale

86

Identit digitale
L'identit digitale l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. l'identit che un utente della rete determina attraverso website e social network.

Caratteristiche dell'identit digitale


La rappresentazione dellidentit digitale deve essere tanto pi completa quanto complessa la transazione in cui coinvolta. Infatti il grado di affidabilit e le quantit di informazioni richiesti possono variare in modo molto significativo a seconda del tipo di transazione. Unidentit digitale articolata in due parti: Chi uno (identit) Le credenziali che ognuno possiede (gli attributi di tale identit) Le credenziali possono essere numericamente e qualitativamente molto variegate e hanno differenti utilizzi. Lidentit digitale completa abbastanza complessa e ha implicazioni sia legali che tecniche. Comunque, lidentit digitale pi semplice consiste in un ID (o username) e una parola di identificazione segreta (o password). In questo caso lo username lidentit, mentre la password chiamata credenziale di autenticazione. Ma lidentit digitale pu essere complessa come una vera e propria identit umana.

Autenticazione
Nelle transazioni quando viene provato che lidentit digitale presentata sia effettivamente quella di chi o di cosa dice di essere, si parla di processo di autenticazione. Lautenticazione ad un solo fattore (quella con username e password vista prima) non molto sicura perch la password potrebbe essere indovinata da qualcuno che non il vero utente. Quella multi-fattore pu essere pi sicura, ad esempio quella con una chiave fisica di sicurezza, o tessera magnetica, smart card ("qualcosa che possiedi") e una password, ("qualcosa che sai"). Se si aggiungono informazioni biometriche (iride, impronta digitale, impronta vocale, riconoscimento del volto, ecc.) abbiamo anche fattori di autenticazione che rispondono a "qualcosa che sei". Queste informazioni sono di norma protette da un sistema di autenticazione. La Carta d'identit elettronica italiana e la Carta nazionale dei servizi sono l'unico strumento di autenticazione previsto dal Codice dell'Amministrazione Digitale per l'accesso ai servizi web erogati dalle Pubbliche Amministrazioni. In via transitoria, fino al 31/12/2007, sono ammesse anche altre modalit, meno sicure, come quelle basate sulla coppia nome utente e password.

Autorizzazione/controllo di accesso
il livello successivo dopo che le identit digitali sono state autenticate. Spesso la concessione dellautorizzazione coinvolge lutilizzo dellintera identit digitale in una transazione, come ad esempio il logon di un utente ad un sito. In altri casi il controllo di accesso pu abilitare o restringere laccesso ad informazioni private o consentire laccesso a servizi o prodotti a pagamento.

Riservatezza (o "confidenzialit")
la capacit del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o trasmettendo (n carta di credito, conto corrente, ecc). Questo livello di sicurezza raggiungibile con la crittografia, ma lidentit digitale che ha in s le credenziali necessarie per fare ci.

Identit digitale

87

Integrit dei dati


Per essere sicuri che nessuno intercetti i dati che si stanno scambiando, pu essere importante sapere che nessuno li ha alterati durante la trasmissione. Cio essere sicuri che il documento che si riceve lo stesso del documento inoltrato dall'altra identit digitale e non stato alterato o danneggiato. Questo realizzato con la firma digitale e speciali tecniche di crittografia a chiave pubblica e privata. La tecnologia che permette lutilizzo di tale crittografia e del certificato digitale, emessi da una autorit di certificazione riconosciuta secondo standard internazionali, conosciuta come public key infrastructure (PKI).

Prova della fonte


Se le identit digitali possiedono le credenziali della firma digitale, possibile effettuare specifiche transazioni in cui i dati inviati con la firma digitale sono codificati in un modo che dimostra che i dati sono effettivamente stati inviati. La prova della fonte strettamente correlata allintegrit dei dati sopra illustrata e anchessa utilizza le tecniche di crittografia di PKI, ma per uno scopo differente. Dimostra che una specifica identit digitale ha firmato e trasmesso specifici dati.

Non-ripudio
Sempre grazie alla PKI possibile fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete. Assume due modalit: non ripudio della sorgente: prova chi il mittente dei dati in una transazione non ripudio della destinazione: prova che i dati sono arrivati ad uno specifico destinatario Generalmente il servizio di non ripudio richiesto in quelle transazioni in cui bisogna avere garanzie di avvenuta spedizione/ricezione di flussi telematici.

Reputazione
La reputazone digitale linsieme delle valutazioni (negative o positive) che si reperiscono dallanalisi sistematica, grazie allutilizzo di strumenti informatici delle opinioni che gli utenti della rete si scambiano attraverso i canali di comunicazione messi a disposizione del web 2.0. Poich le tecniche della firma digitale permettono che identit digitali effettuino transazioni in cui entrambe le identit sono attendibilmente conosciute e possono trasportare dati che non possono essere alterati, senza che ci sia palesato, diventa possibile per un'identit digitale costruirsi progressivamente una reputazione dalle relative interazioni con altre identit digitali. Ci permette che interazioni molto complesse fra le identit digitali possano diventare limitazione di ogni transazione che, come esseri umani, abbiamo individualmente o in gruppo.

Il futuro
Il concetto dell'identit digitale si evolver per includere la possibilit di esprimere tutte le varie interazioni umane in cui venga coinvolta lidentit personale. Tale evoluzione sar guidata da fattori economici, politici e sociali. L'identit digitale fornir nuovi strumenti, ma non cambier gli aspetti fondamentali di ci che l'identit. Piuttosto l'identit digitale restituir la facilit di uso e lattendibilit delle transazioni basate sullidentit che esistevano quando le interazioni erano faccia a faccia con persone che gi si conoscevano (o entrambi erano conosciute da terzi) e nel contempo tuteler la sicurezza e la responsabilit nelle transazioni.

Identit digitale

88

Collegamenti esterni
[1] Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) [2] Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it

Voci correlate
Biometria Carta d'identit elettronica Social Network Poisoning

Note
[1] http:/ / www. cnipa. gov. it/ [2] http:/ / www. interlex. it/ Testi/ dlg05_82. htm

Integrit dei dati


Con il termine integrit dei dati si intende, nell'ambito della sicurezza informatica e delle telecomunicazioni, la protezione dei dati e delle informazioni nei confronti delle modifiche del contenuto, accidentali oppure effettuate da una terza parte, essendo compreso nell'alterazione anche il caso limite della generazione ex novo di dati ed informazioni. I dati e le informazioni possono essere sia scambiati tra un mittente ed uno o pi destinatari, sia memorizzati e/o archiviati su un generico supporto. L'integrit dei dati garantisce la qualit del supporto che li contiene (ad es. CD, DVD...) o di un software, ad esempio un database. Insito nel concetto di integrit vi la possibilit di verificare con assoluta certezza se un dato o una informazione siano rimasti integri, ossia inalterati nel loro contenuto, durante la loro trasmissione e/o la loro memorizzazione. In un sistema che garantisce l'integrit, l'azione di una terza parte di modifica del contenuto delle informazioni scambiate tra mittente e destinatario, viene quindi rilevata. Maggiore sar l'integrit dei dati e consequenzialmente maggiore sar la possibilit di esatta lettura/scrittura degli stessi e quindi di prevenzione degli errori.

Internet Security Policy

89

Internet Security Policy


Internet Security Policy l'acronimo usato per descrivere le attuali politiche atte a favorire la sicurezza del sistema internet. Con politiche si intende l'insieme di accorgimenti procedurali, siano essi inseriti in un quadro legislativo o consuetudinale, che hanno lo scopo di permettere il sicuro utilizzo, in questo caso, della rete. Tra le politiche intraprese dalla comunit cybernetica, grande importanza rivestono i cosiddetti Standard di sicurezza informatica, che sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantit e la pericolosit delle minacce alla sicurezza informatica. L'obbiettivo principale della sicurezza quello di garantire, riducendo i rischi, un adeguato grado di protezione dei beni o dati, che possono essere password, database o altro, mediante l'attuazione di un progetto di sicurezza globale che tenga conto di tutti gli aspetti del problema fino a giungere ad un livello di protezione sia organizzativo sia informatico che possa essere monitorato nel tempo.

Accesso a Internet
La prima cosa che bisogna in qualche modo proteggere l'accesso ad internet. Gli strumenti che sarebbe obbligo possedere sono un Firewall e un Antivirus. Se per antivirus s'intende un programma che monitorizzi l'attacco di possibili, appunto, virus, con Firewall intendiamo una specie di filtro che non permette a dati non riconosciuti come "genuini" (quindi che non abbiano una sorta di certificazione o garanzia del loro contenuto) di entrare nel nostro sistema. A tal proposito ogni volta che accediamo ad un sito, che contenga magari dei controlli dinamici (come possono essere degli script in JavaScript, PHP,...) o vogliamo scaricare un determinato tipo di file, opportuno che facciamo attenzione noi stessi sull'attendibilit del sito o file che vogliamo visualizzare. Di regola un buon sito dovrebbe esporre i propri certificati di sicurezza (pensare ai loghini che certificano il "pagamento sicuro" nei siti dove possibile acquistare on-line), mentre i file o script dovrebbero essere anche loro certificati. Se, per esempio, uno script non certificato cerca di interagire col nostro sistema, solitamente il firewall ci avvisa del suo possibile scopo maligno: sta naturalmente a noi assumere il rischio di continuare ad utilizzare tale script.

E-mail
Anche nell'uso dell'e-mail bisogna prestare attenzione. La nostra posta potrebbe infatti essere osservata da terze parti, o ancora potremmo ricevere il cosiddetto spam, o virus. Anche in questo caso esistono modi di proteggere, o almeno certificare, la nostra posta. La crittografia stato il primo passo atto a tale scopo, un altro passo invece la firma digitale, che garantisce al destinatario che il mittente del messaggio sia autentico. Anche qui esistono poi programmi o funzioni, spesso incluse nei client di posta pi usati, che monitorano l'invio di spam, riconoscendolo attraverso speciali algoritmi. Ancora un buon antivirus pu riconoscere il tentativo di un virus di nascondersi dietro una e-mail. Una buona politica, o meglio dire consuetudine, sarebbe quella di non inviare (e non aprire se non si certi della provenienza del messaggio) e-mail in formato HTML, e di esplicitare se la missiva contiene un allegato. Ci sono poi altre accortezze, come non utilizzare lo stesso nome dell'e-mail uguale a quello usato per il login, riguarda ogni tanto le vecchie mail ricevute ed inviate e cancellare le superflue, eccetera.

Incident Report
Ogni volta che il nostro computer o la nostra connessione va in crash durante una sessione in internet sarebbe opportuno denunciare il fatto attraverso dei report, spesso automatici e inclusi nei principali browser ma anche nei client di posta, in modo che il produttore del programma possa osservare e cercare di correggere il problema che potrebbe riguardare non solo un bug interno del programma ma anche una mancata difesa nei confronti di un attacco informatico o di uno script maligno.

Internet Security Policy

90

Software Copyright
Un altro buon utilizzo di internet quello di utilizzare solo software per il quale si ha la licenza. Spesso infatti, nei software pirata, che si possono liberamente scaricare da internet, possono nascondersi minacce informatiche, o ancora, nel tentativo di "crackare" il programma, possono essere state disabilitate delle funzioni di sicurezza del programma.

Dati personali
Sempre pi spesso, quando accediamo ad un sito, o ad un forum o altro, ci viene richiesta una registrazione. Questo senza dubbio positivo, ma bisogna fare attenzione ad alcuni aspetti: prima cosa non divulgare (ovviamente) i nostri dati di accesso per la rete, quindi di non salvare nei moduli del browser i nostri parametri, accertandoci di cancellare i cookie, le password salvate e i moduli di ricerca una volta che chiudiamo la nostra sessione; quest ultimo dovrebbe essere fatto sempre con molto riguardo ogni qualvolta che utilizziamo un computer che non sia il nostro personale. Altro aspetto in cui fare attenzione e poi la registrazione vera e propria, nella maggior parte dei siti non serve praticamente mai dare altri dati che non siano il nostro username e la password per accedervi. Diffidate quindi di dare ulteriori informazioni come indirizzo, recapito telefonico, eccetera, a meno che non si sicuri dello scopo del sito in questione. Anche l'e-mail non sarebbe obbligatorio chiederla, richiesta nella maggior parte dei siti; infatti ogni volta che lasciamo la nostra mail per la registrazione essa viene spesso usata per essere inserita in archivi di altre aziende con lo scopo di inviarci materiale pubblicitario e altro, contribuendo cos al fenomeno dello spam.

Voci correlate
Standard di sicurezza informatica Metodologia Octave

Intrusion Countermeasures Electronics

91

Intrusion Countermeasures Electronics


Intrusion Countermeasures Electronics (Contromisure elettroniche anti-intrusione) o semplicemente ICE un termine usato nella letteratura cyberpunk per indicare un programma di sicurezza che protegge dati digitali da violazioni da parte di hacker. Il termine stato reso popolare da William Gibson nel suo romanzo Neuromante, e secondo il New Hacker's Dictionary, coniato originariamente da Tom Maddox. Nello cyberspazio virtuale questi costrutti sono spesso rappresentati come muri di ghiaccio, pietra o metallo. Quelli chiamati "black ICE" sono in grado di uccidere l'intruso e sono rappresentati come killer. Gli hackers tendono ad usare gli ICE come acronimo inverso per "Insidious Cortical Electrocution". I firewall e programmi simili cadono in questa classificazione, anche se il concetto di ICE non trova rappresentazioni nel mondo reale. Questo dovuto al fatto che usare il termine "elettroniche" per descrivere un prodotto software un termine improprio. Tuttavia ancora utilizzato nella fantascienza, come nel videogioco Deus Ex. Il termine ICE stato inoltre utilizzato da sviluppatori software per prodotti come Black Ice.

Voci correlate
Cyberpunk 2020 Neuromante di William Gibson Firewall

Intrusion detection system


Nella sicurezza informatica l'Intrusion Detection System o IDS un dispositivo software o hardware (o a volte la combinazione di entrambi, sotto forma di sistemi stand-alone pre-installati e pre-configurati) utilizzato per identificare accessi non autorizzati ai computer o alle reti locali. Le intrusioni rilevate possono essere quelle prodotte da cracker esperti, da tool automatici o da utenti inesperti che utilizzano programmi semiautomatici.

Generalit
Gli IDS vengono utilizzati per rilevare tutti gli attacchi alle reti informatiche e ai computer. Questi attacchi includono gli attacchi alle reti informatiche tramite lo sfruttamento di un servizio vulnerabile, attacchi attraverso l'invio di dati malformati e applicazioni malevole, tentativi di accesso agli host tramite innalzamento illecito dei privilegi degli utenti, accessi non autorizzati a computer e file, e i classici programmi malevoli come virus, trojan e worm. Un IDS composto da quattro componenti. Uno o pi sensori utilizzati per ricevere le informazioni dalla rete o dai computer. Una console utilizzata per monitorare lo stato della rete e dei computer e un motore che analizza i dati prelevati dai sensori e provvede a individuare eventuali falle nella sicurezza informatica. Il motore di analisi si appoggia ad un database ove sono memorizzate una serie di regole utilizzate per identificare violazioni della sicurezza. Esistono diverse tipologie di IDS che si differenziano a seconda del loro compito specifico e delle metodologie utilizzate per individuare violazioni della sicurezza. Il pi semplice IDS un dispositivo che integra tutte le componenti in un solo apparato. Un IDS consiste quindi in un insieme di tecniche e metodologie realizzate ad-hoc per rilevare pacchetti sospetti a livello di rete, di trasporto o di applicazione. Due sono le categorie base: sistemi basati sulle firme (signature) e sistemi basati sulle anomalie (anomaly). La tecnica basata sulle firme in qualche modo analoga a quella per il rilevamento dei virus, che permette di bloccare

Intrusion detection system file infetti e si tratta della tecnica pi utilizzata. I sistemi basati sul rilevamento delle anomalie utilizzano un insieme di regole che permettono di distinguere ci che "normale" da ci che "anormale". importante sapere che un IDS non pu bloccare o filtrare i pacchetti in ingresso ed in uscita, n tanto meno pu modificarli. Un IDS pu essere paragonato ad un antifurto ed un firewall ad una porta blindata. L'IDS non cerca di bloccare le eventuali intrusioni, cosa che spetta al firewall, ma cerca di rilevarle laddove si verifichino. Le attivit e i campi di applicazione di un Intrusion Detection System sono vari, al punto che spesso vengono gestiti da diversi software, che nel loro insieme provvedono ad accorgersi dei tentativi di attacco o scansione di un sistema, prevedere meccanismi di notifica e reazione secondo eventi anche proattivi in grado di bloccare sul nascere le comunicazioni con IP da cui arrivano pacchetti ostili. I meccanismi di individuazione di attivit sospette sono diversi, ma generalmente si concentrano su: verifica dei log di sistema o di specifici programmi per individuare attivit anomale; controllo dell'integrit dei file locali (modifiche sospette possono essere sintomo di una avvenuta irruzione); monitoring dei pacchetti destinati all'host, sia per reagire a pattern di attacco noti che per accorgersi di un port scan remoto, generalmente prologo di un tentativo di intrusione.

92

Individuazioni delle violazioni e individuazioni delle anomalie


Le tecniche di rilevamento intrusione possono essere divise in misuse detection, che usano pattern di attacchi ben conosciuti o di punti deboli del sistema per identificare le intrusioni, ed in anomaly detection, che cercano di determinare una possibile deviazione dai pattern stabiliti di utilizzazione normale del sistema. Un misuse detection system, conosciuto anche come signature based intrusion detection system, identifica le intrusioni ricercando pattern nel traffico di rete o nei dati generati dalle applicazioni. Questi sistemi codificano e confrontano una serie di segni caratteristici (signature action) delle varie tipologie di scenari di intrusione conosciute. Queste caratteristiche possono essere, ad esempio, i cambi di propriet di un file, determinate stringhe di caratteri inviate ad un server e cos via. I principali svantaggi di tali sistemi sono che i pattern di intrusione conosciuti richiedono normalmente di essere inseriti manualmente nel sistema, ma il loro svantaggio soprattutto di non essere in grado di rilevare qualsiasi futura (quindi sconosciuta) tipologia di intrusione se essa non presente nel sistema. Il grande beneficio che invece hanno quello di generare un numero relativamente basso di falsi positivi e di essere adeguatamente affidabili e veloci. Per ovviare al problema delle mutazioni sono nati gli anomaly based intrusion detection system, che analizzano il funzionamento del sistema alla ricerca di anomalie. Questi sistemi fanno uso di profili (pattern) dell'utilizzo normale del sistema ricavati da misure statistiche ed euristiche sulle caratteristiche dello stesso, per esempio, la cpu utilizzata e le attivit di i/o di un particolare utente o programma. Le anomalie vengono analizzate e il sistema cerca di definire se sono pericolose per l'integrit del sistema. Spesso questi sistemi sono basati su tecnologie derivate dall'intelligenza artificiale in modo da poter imparare dai propri errori a da non risegnalare anomalie gi identificate come non maligne. Questi sistemi hanno una serie di regole che definiscono lo stato normale del sistema. Queste regole definiscono caratteristiche come il carico di rete, il tipo di protocolli di rete utilizzati, i servizi attivi, il tipo di pacchetti e altro. Tali regole vengono utilizzate per identificare le anomalie che vengono passate all'analizzatore che ne stabilisce la pericolosit. Le maggiori problematiche legate a tali sistemi sono principalmente legate alla selezione delle caratteristiche del sistema da adottare, queste possono variare enormemente a seconda dei vari ambienti di calcolo; inoltre alcune intrusioni possono essere soltanto rilevate studiando le relazioni che intercorrono tra gli eventi perch l'evento singolo potrebbe rientrare correttamente nei profili.

Intrusion detection system

93

Analisi della rete o degli Host


Gli IDS si possono suddividere anche a seconda di cosa analizzano: esistono gli IDS che analizzano le reti locali, quelli che analizzano gli Host e gli IDS ibridi che analizzano la rete e gli Host. Un Network Intrusion Detection System (o Nids) analizza il traffico di rete per identificare intrusioni, permettendo quindi di monitorare non solo un singolo host ma una rete completa. Si tratta di un sistema che legge (in gergo 'sniffa') il traffico che passa su un segmento di rete dov' attestato, cercando tracce di attacchi. Il suo funzionamento regolato in base a due principi: il signature matching con cui l'ids cattura il traffico e lo confronta con un database di firme di attacchi (database costantemente aggiornato dal produttore dell'ids) e il network analysis che entra in funzione quando il signature matching fallisce e che in grado di rilevare anomalie nei flussi di traffico e quindi di rilevare anche quegli attacchi che non sono ancora stati scoperti come tali. Un esempio di Network Intrusion Detection System Snort, uno degli IDS pi conosciuti. Un Host based intrusion detection system consiste in un agente che analizza l'Host alla ricerca di intrusioni. Le intrusioni vengono rilevate analizzando i file di log del sistema, le system call, le modifiche al file system del computer (modifiche nel file delle password, nel database degli utenti e della gestione dei privilegi, ecc ), e altre componenti del computer. Un esempio di questa tipologia Aide. Un Hybrid Intrusion Detection System combina i due approcci. Le informazioni recuperate dagli agenti in esecuzioni negli Host vengono integrate con le informazioni prelevate dalla rete locale. Un esempio di IDS ibrido Prelude.

Sistemi passivi e sistemi attivi


Gli IDS si suddividono in due ulteriori categorie, gli IDS passivi e degli IDS attivi. I primi IDS quando rilevano una violazione della sicurezza informatica provvedono a notificarla all'operatore tramite la console ed eventualmente gli inviano una email. Gli IDS attivi oltre a notificare all'operatore una violazione della sicurezza provvedono a prendere delle opportune contromisure per eliminare o comunque isolare la violazione informatica. Nei sistemi attivi l'eliminazione della violazione si ottiene usualmente riprogrammando la lista di controllo degli accessi del firewall in modo da impedire l'accesso agli indirizzi responsabili dell'attacco. Questa tipologia di IDS va accuratamente programmata dato che una falsa identificazione potrebbe bloccare un utente autorizzato. Il firewall non in grado di bloccare violazioni della sicurezza che avvengono dall'interno della rete locale. A questo scopo sono stati sviluppati gli Intrusion prevention system. Questi componenti contengono delle liste programmate dall'IDS che vengono utilizzate per decidere se un programma deve essere mandato in esecuzione o no. Questi componenti impediscono a worms o virus di diffondersi nei vari computer dato che il componente ne impedisce l'attivazione.

IDS basati su regole


Sono sistemi che sfruttano database, librerie e firme di attacco (o signature) per rilevare le intrusioni. Quando il traffico di rete oppure un'attivit di rete corrisponde a una regola ben nota all'ids, questi segnala il tentativo di intrusione. Il limite principale che l'affidabilit di tale strumento dipende interamente dalla tempestivit con cui il database degli attacchi viene aggiornato. Gli IDS basati sulle regole funzionano in due modalit: una preventiva e una reattiva e sono due modalit che cambiano la tempistica di azione e la possibilit di interazione. Il primo approccio, di tipo reattivo, permette di completare alla perfezione la procedura di logging: il sistema avverte che si verificato un attacco, anche se trascorso qualche minuto dall'evento, provvedendo a notificarlo all'operatore tramite la console o inviando una e-mail. Diversamente l'approccio preventivo risponde in tempo reale all'attacco in corso consentendo di rintracciare la sua origine. Oltre ad avvisare all'amministratore la violazione, in grado di

Intrusion detection system prendere delle contromisure per eliminare, o comunque isolare, la violazione. Questi due metodi hanno il grande problema di generare falsi positivi (attivit anomale che non sono intrusive, ma che vengono segnalate come tali) e falsi negativi (tutte le attivit che sono anomale e che non vengono rilevate e segnalate). L'uso di un solo metodo non pu offrire una totale sicurezza; la situazione pi grave si presenta nel caso dei falsi negativi, poich pu compromettere gravemente la sicurezza del sistema, ma anche un'eccessiva presenza di falsi positivi pu portare a un'impossibilit di utilizzo del computer per un eccesso di avvisi di intrusione infondati.

94

IDS applicativi
L'application security diversa dalla sicurezza di rete e degli host. Le applicazioni possono cambiare, ma l'obbiettivo di chi attacca sempre lo stesso: accedere a un database. La maggior parte degli IDS applicativi hanno tre componenti: il primo un sensore network-based o basato su host: un sensore di rete collegato alla porta di analisi di uno switch, configurata per analizzare tutto il traffico di un database. Un sensore host invece installato direttamente sul server applicativo. I sensori raccolgono le transazioni in SQL, le interpretano e determinano se il traffico esaminato deve generare un allarme. Se cos l'allarme viene passato al secondo componente strutturale: il console server. Questo server memorizza gli eventi registrati dai sensori ed il nodo centrale per le operazioni legate alla loro gestione, come la definizione della policy e gli aggiornamenti. Il terzo ed ultimo componente un semplice web server dal quale gli amministratori possono modificare le configurazioni dell'IDS, monitorare gli eventi in tempo reale e produrre report.

Elenco di alcuni dei programmi pi noti per le attivit di Intrusion Detection


Log Analyzers: sono programmi che monitorano le entry nei file di log di sistema e possono essere configurati per eseguire date operazioni in presenza di determinate righe di log. importante che agiscano in tempo reale, dal momento che dopo una intrusione una delle prime occupazioni di un cracker quella di cancellare le tracce eventualmente lasciate sui vari log. File Integrity Checkers: aiutano ad individuare manipolazioni e generalmente registrano cambiamenti nella data di creazione o modifica di un file, alterazioni dei permessi, degli attributi o del contenuto di file di configurazione, binari di comandi pi o meno comuni, testi di log ecc. Port Scans Detectors: sono sistemi per individuare e, quindi, sapere prima ancora di subire l'attacco quali IP remoti stanno raccogliendo informazioni sui propri sistemi. Nids: un buon Nids un ottimo strumento per avere un'idea dei vari pacchetti che arrivano ad una rete pubblica e, se ben configurato, pu indubbiamente troncare sul nascere molti tentativi di intrusione.

Voci correlate
Firewall

Collegamenti esterni
(EN) Prelude Hybrid IDS [1] (EN) Snort Network IDS [4] (EN) Aide Advanced Intrusion Detection Environment IDS [2] (EN) ISS RealSecure Network IDS [2] (EN) ISS Proventia Intrusion Prevention [3] (EN) Cisco Intrusion detection [4]

(EN) Demarc Sentarus Multilayered IDS/IPS [5] (EN) Enterasys Dragon Intrusion Defense [6]

Intrusion detection system

95

Note
[1] [2] [3] [4] [5] [6] http:/ / www. prelude-ids. org http:/ / www. iss. net/ products_services/ enterprise_protection/ rsnetwork/ sensor. php http:/ / www. iss. net/ products_services/ enterprise_protection/ proventia/ g_series. php http:/ / www. cisco. com/ warp/ public/ cc/ pd/ sqsw/ sqidsz/ index. shtml http:/ / www. demarc. com/ products/ sentarus/ http:/ / www. enterasys. com/ products/ ids/

Intrusion prevention system


Gli Intrusion prevention system sono dei componenti sviluppati per incrementare la sicurezza informatica. Sono stati sviluppati per impedire ad un programma non autorizzato di entrare in esecuzione. La tecnologia "Intrusion prevention" spesso viene considerata come un'estensione della tecnologia intrusion detection (IDS) sebbene sia pi simile ad una lista di controllo degli accessi di un firewall. Intrusion prevention system venne inventato da One Secure. Venne in seguito acquistato da NetScreen Technologies che venne a sua volta acquisita da Juniper Networks nel 2004. Gli Intrusion prevention system come gi detto sono basati su una lista di controllo degli accessi simile a quella utilizzata da un firewall, con la differenza che un firewall lavora su porte e indirizzi IP mentre questa tecnologia lavora su programmi e utenti. Intrusion prevention system evita l'attivazione di programmi potenzialmente malevoli. Questi sistemi hanno un numero molto basso di falsi positivi e possono essere utilizzati in congiunzione con gli IDS per evitare la propagazione di virus o worm.

Voci correlate
Firewall

IS auditing

96

IS auditing
LIS Auditing (in italiano: revisione dei sistemi informativi) consiste in un processo di verifica sistematico e documentato, condotto da personale esperto, che i sistemi informativi di unazienda o organizzazione siano conformi a quanto previsto da norme, regolamenti o politiche interne.

Storia
In inglese con audit si intende "un esame, formale e ufficiale, e una verifica di libri contabili da parte di un qualificato verificatore"; il termine deriva dal latino "auditus" in quanto originariamente i dati contabili venivano letti ad alta voce. Lauditing o Revisione contabile consiste nella attestazione da parte di una terza parte indipendente della correttezza delle registrazioni contabili (la cosiddetta "certificazione" del bilancio); l IS auditing (o EDP auditing) la parte dellauditing che si rivolge ai sistemi informativi con uno duplice scopo: verificare che i dati elaborati dai sistemi informativi siano corretti e completi; assicurare che i sistemi stessi siano affidabili e sicuri..

ISACA
ISACA lassociazione internazionale degli IS Auditor. La definizione ufficiale di ISACA di IS auditing : "l'audit dei sistemi informatici consiste nella revisione e la valutazione di tutti gli aspetti (o di uno degli aspetti) dei sistemi di elaborazione automatica delle informazioni".

Processo di Audit
Il processo di IS auditing deve essere sistematico e documentato; generalmente si compone dei seguenti passi: Analisi dei rischi Definizione degli obiettivi Pianificazione Raccolta evidenze Conclusioni e raccomandazioni Rapporto di Audit

Standard, direttive, procedure


Uno degli obiettivi di ISACA consiste nel promuovere standard di audit SI. Alla data (ottobre 2006) il corpus delle linee guide articolato in: Standard Direttive (guideline) Procedure Standard Gli Standard definiscono i requisiti obbligatori di audit e di reporting. Direttive Le Direttive regolano l'applicazione degli standard di audit. Procedure Le Procedure presentano esempi delle strategie applicabili dal revisore SI nel corso dell'audit.

IS auditing

97

Voci correlate
Architettura telematica

Collegamenti esterni
(EN) Informations Systems Audit and Control Association [1] (EN) le pagine dell'esame CISA sul sito di ISACA [2]

Note
[1] http:/ / www. isaca. org [2] http:/ / www. isaca. org/ cisaexam

ISO/IEC 27001
Lo Standard ISO/IEC 27001:2005 una norma internazionale che definisce i requisiti per impostare e gestire un Sistema di Gestione della Sicurezza delle Informazioni (SGSI o ISMS dall'inglese Information Security Management System), ed include aspetti relativi alla sicurezza logica, fisica ed organizzativa.

Caratteristiche
La Norma stata creata e pubblicata nell'ottobre 2005 a fini certificativi, in modo da costituire un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione ha sostituito la norma inglese BS 7799:2 (che conteneva la linea guida e lo standard vero e proprio), che fino ad allora rappresentava la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Il nuovo standard ha assorbito entrambe le parti: la linea guida stata recepita dall'ISO come ISO 17799 (Information Technology -Security Techniques - Code of practice for information security management), mentre la seconda parte, lo standard vero e proprio, stato emesso nell'ottobre 2005 come ISO 27001. Nel 2007 anche il documento ISO 17799 stato ritirato e sostituito dalla norma ISO 27002, meglio coordinata con la ISO 27001 e parte della serie 27000 che comprende oggi svariati altri documenti correlati al tema della sicurezza delle informazioni. La norma ISO 27002:2007 una raccolta di "best practices" che possono essere adottate per soddisfare i requisiti della norma ISO 27001:2005 al fine di proteggere le risorse informative; ISO 27001:2005 il documento normativo di certificazione al quale l'organizzazione deve fare riferimento per costruire un Sistema di Gestione della Sicurezza delle Informazioni che possa essere certificato da un ente indipendente, mentre la norma ISO 27002:2007 non certificabile in quanto una semplice raccolta di raccomandazioni. Dal momento che l'informazione un bene che aggiunge valore all'impresa, e che ormai la maggior parte delle informazioni sono custodite su supporti informatici, ogni organizzazione deve essere in grado di garantire la sicurezza dei propri dati, in un contesto dove i rischi informatici causati dalle violazioni dei sistemi di sicurezza sono in continuo aumento. L'obiettivo del nuovo standard ISO 27001:2005 proprio quello di proteggere i dati e le informazioni da minacce di ogni tipo, al fine di assicurarne l'integrit, la riservatezza e la disponibilit, e fornire i requisiti per adottare un adeguato sistema di gestione della sicurezza delle informazioni (SGSI) finalizzato ad una corretta gestione dei dati sensibili dell'azienda. La norma applicabile a imprese operanti nella gran parte dei settori commerciali e industriali, come finanza e assicurazioni, telecomunicazioni, servizi, trasporti, settori governativi. L'impostazione dello standard ISO/IEC 27001 coerente con quella del Sistema di Gestione per la Qualit ISO 9001:2000 ed il Risk management, basandosi sull'approccio per processi, strutturato in politica per la sicurezza, identificazione, analisi dei rischi, valutazione e trattamento dei rischi, riesame e rivalutazione dei rischi, modello

ISO/IEC 27001 PDCA, utilizzo di procedure e di strumenti come audit interni, non conformit, azioni correttive e preventive, sorveglianza, nell'ottica del miglioramento continuo. La norma Standard ISO 27001:2005 stabilisce i requisiti per il Sistema di Gestione della Sicurezza delle Informazioni (ISMS). L obiettivo principale e quello di stabilire un sistema per la gestione del rischio e la protezione delle informazioni e degli asset ICT. La norma applicabile a tutte le imprese private o pubbliche in quanto prescinde da uno specifico settore di business o dall'organizzazione dell'azienda. Per bisogna tener presente che l'adozione e gestione di un ISMS richiede un impegno di risorse significativo e quindi deve essere seguito da un ufficio specifico che in genere coincide con lufficio Organizzazione e Qualit. Essa specifica i requisiti per impostare, mettere in opera, utilizzare, monitorare, rivedere, manutenere e migliorare un sistema documentato allinterno di un contesto di rischi legati alle attivit centrali dellorganizzazione. Dettaglia inoltre i requisiti per i controlli di sicurezza personalizzati in base alle necessit di una singola organizzazione o di una sua parte. Il sistema progettato per garantire la selezione di controlli di sicurezza adeguati e proporzionati. Lo standard ISO 27001:2005 che come gi detto presenta molti punti in comune con la ISO 9001, che definisce i requisiti di un sistema di gestione della qualit (es. adozione modello PDCA, filosofia del miglioramento continuo ecc.), si differenzia in quanto segue un approccio basato sulla gestione del rischio. Quindi lo standard prevede: Pianificazione e Progettazione; Implementazione; Monitoraggio; Mantenimento e il miglioramento. similmente a quanto previsto dai sistemi per la gestione della qualit, per nella fase di progettazione richiede lo svolgimento di un risk assessment schematizzabile in: Identificazione dei rischi Analisi e valutazione Selezione degli obiettivi di controllo e attivit di controllo per la gestione dei rischi Assunzione del rischio residuo da parte del management Definizione dello Statement of Applicability Lultimo punto specifica gli obiettivi di controllo adottati e i controlli implementati dallorganizzazione rispetto ad una lista di obiettivi di controllo previsti dalla norma. Analogamente alla norma sui sistemi di qualit, il sistema deve essere documentato, ma in aggiunta richiesta ampia documentazione riguardo sia lanalisi del rischio sia le procedure e i controlli a supporto dellISMS. Come per il sistema qualit lorganizzazione ISMS pu essere certificata da enti di certificazione, che operano tramite valutatori qualificati, esaminando periodicamente lo stato delle condizioni di conformit. Tra le condizioni di conformit la norma prevede la pianificazione e realizzazione di attivit di autocontrollo gestite dall'impresa, con personale proprio o esterno, purch in entrambi i casi dotato delle necessarie competenze.

98

Controlli
Di fondamentale importanza l'Annex A "Control objectives and controls" che contiene i 133 "controlli" a cui, l'organizzazione che intende applicare la norma, deve attenersi. Essi vanno dalla politica e l'organizzazione per la sicurezza alla gestione dei beni e alla sicurezza delle risorse umane, dalla sicurezza fisica e ambientale alla gestione delle comunicazioni e dell'operativo, dal controllo degli accessi fisici e logici alla gestione di un monitoraggio e trattamento degli incidenti (relativi alla sicurezza delle informazioni). La gestione della Business Continuity e il rispetto normativo, completano l'elenco degli obiettivi di controllo. L'organizzazione deve motivare quali di questi controlli non sono applicabili all'interno del suo ISMS, per esempio un'organizzazione che non attua al suo interno 'commercio elettronico' pu dichiarare non applicabili i controlli 1-2-3 del A.10.9 che si riferiscono appunto all'e-commerce.

ISO/IEC 27001

99

Privacy-Safety
La conformit alla ISO 27001, pur certificata da un organismo di certificazione, magari accreditato, non solleva l'organizzazione dal rispetto delle misure minime di sicurezza e dalla produzione della documentazione richiesta dalla legge sulla Privacy; il controllo A.15.1.4 richiede infatti che "La protezione dei dati e della privacy deve essere garantita come richiesto nella legislazione, nelle norme e, se applicabile, nelle clausole contrattuali". La differenza sostanziale tra legge sulla Privacy e la norma ISO 27001 che la legge sulla privacy tutela dati personali, sensibili, mentre la ISO 27001 pur richiedendo che ci sia fatto, s'interessa anche dei dati di business dell'organizzazione che devono essere salvaguardati per l'interesse stesso dell'organizzazione. Il D.Lgs.81/2008, che in Italia regolamenta la sicurezza sui luoghi di lavoro, viene in genere individuato tra quelle normative la cui osservanza deve essere esplicitamente definita e documentata, come previsto nel controllo A.15.1.1 che parla appunto della legislazione applicabile. Il soddisfacimento dei requisiti di legge non condizione sufficiente al test della ISO 27001. Per esempio un impianto anti-incendio posto a salvaguardia di un ambiente in cui sono installati dei server o dei client, che contengono informazioni incluse nel dominio di certificazione che soddisfi i requisiti di legge, non conseguentemente corretto per le esigenze che esprime la norma ISO 27001, che si preoccupa anche della 'correttezza' dei 'dati' contenuti nei server e nei client.

Voci correlate
Sicurezza informatica Standard di sicurezza informatica ISO Lista di standard ISO Standardizzazione Ente Nazionale Italiano di Unificazione Comitato Europeo di Normazione (CEN)

Collegamenti esterni
Sito istituzionale dell'ISO [1] (EN) ISO 27001 Indice [2] Database aziende certificate in Italia [3]

Note
[1] http:/ / www. iso. org/ [2] http:/ / www. 27000. org [3] http:/ / www. accredia. it/ accredia_companymask. jsp?ID_LINK=266& area=7& ORG_SEARCH_MASK_SETTORE_ACCR=& ORG_SEARCH_MASK_ORG=& COMPANY_SEARCH_MASK_NORMA=ISO+ 27001%3A2005& COMPANY_CERTIFICATE_NAME=& COMPANY_CERTIFICATE_DATE_FROM=& COMPANY_CERTIFICATE_DATE_TO=& COMPANY_COMPANY_NAME=& COMPANY_APPL_CERT=& ORG_SEARCH_MASK_STATO=& COMPANY_SEARCH_MASK_REGIONE=& COMPANY_SEARCH_MASK_PROVINCIA=& COMPANY_SEARCH_MASK_CITTA=& submit=cerca

IT Baseline Protection Manual

100

IT Baseline Protection Manual


Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca permette di dare attuazione ad una pianificazione della sicurezza IT in modo semplice ed economico.

Approccio
Con l'approccio tradizionale di valutazione del rischio si devono prima di tutto identificare le minacce e assegnare loro una probabilit di accadimento. Il risultato di questa analisi viene usato per valutare il rischio (a cui viene assegnato un valore che tiene conto della probabilit della realizzazione di determinate minacce e del valore del bene minacciato) e quindi selezionare le misure di sicurezza appropriate, in modo da minimizzare il rischio residuale. L'approccio adottatto nel manuale BSI per la protezione di base invece consiste in un confronto tra le misure raccomandate dal modello e quelle effettivamente attuate dal soggetto che effettua la pianificazione/valutazione del rischio. Le debolezze/criticit nella sicurezza che devono essere eliminate attraverso l'adozione delle misure raccomandate si concretizzano nell'elenco delle misure di sicurezza mancanti e non ancora applicate. Solo quando i requisiti di sicurezza sono significativamente pi alti pu essere necessario effettuare una analisi ulteriore, pesando il costo effettivo di adozione di misure addizionali rispetto a quelle base elencate nel catalogo del manuale BSI. Tuttavia generalmente sufficiente aggiungere alle raccomandazioni contenute nel manuale BSI alcune misure appropriate ritagliate sul caso specifico e pi stringenti. Le misure di sicurezza elencate nel manuale sono misure standard, cio misure che andrebbero implementate per i moduli contenuti nel manuale usando le migliori tecnologie per ottenere un ragionevole livello di sicurezza. In qualche caso le misure offrono anche un livello maggiore di protezione rispetto alla protezione base, tuttavia di norma sono le precauzioni minime che ragionevole adottare nelle aree di competenza.

Procedimento
La metodologia di individuazione delle misure di sicurezza mancanti e quindi di valutazione concreta del rischio residuo procede nel modo seguente. Innanzitutto si effettua una inventariazione delle risorse che compongono il sistema oggetto della protezione (ad esempio: dati, applicazioni, dispositivi informatici, siti di collocazione dei dispositivi). Le risorse vengono classificate e raggruppate in modo da rendere pi semplice la scelta dei moduli contenuti nel catalogo del manuale BSI da applicare ai singoli gruppi di risorse. Ogni modulo consiste in un insieme di minacce (rischi potenziali) e di contromisure applicabili ad una particolare categoria di risorse informatiche (ad esempio: server, sistemi operativi, stanze server) a cui il modulo dedicato. La valutazione/misurazione del rischio rischio residuo consiste nel confronto tra le misure suggerite da ogni singolo modulo contenuto nel catalogo del manuale con le misure gi applicate. Le misure mancanti rappresentano il rischio residuo per quel particolare gruppo di risorse. La pianificazione dei tempi di adeguamento del sistema alle misure non ancora attuate e dei costi e beneifici delle diverse alternative proposte rappresenta la fase di gestione del rischio.

IT Baseline Protection Manual

101

Certificazione
Il metodo descritto nel IT Baseline Protection Manual rappresenta l'applicazione pratica dello standard denominato BSI-Standard 100-2:IT-Grundschutz Methodology. Va quindi considerato a pieno titolo uno standard di sicurezza informatica e le misure suggerite sono compatibili con lo standard ISO 27001:2005 per cui ottenibile la certificazione ISO.

Voci correlate
Valutazione del rischio Gestione del rischio Valutazione dell'esposizione Standard di sicurezza informatica

Jingjing e Chacha
Jingjing e Chacha (paronomasia della parola cinese pinyin jngch, ovvero polizia) sono due cartoni animati, mascotte della Divisione di sorveglianza Internet dell'ufficio di pubblica sicurezza di Shenzhen. Apparsi per la prima volta sul China Youth Daily, organo di stampa della Lega della giovent comunista e ripreso il 5 gennaio 2006 dal quotidiano Shanghai Daily[3] , sono usati tra gli altri scopi per informare gli internauti cinesi su cosa o non consentito consultare o pubblicare su Internet in Cina in violazione della legge.

Note
[1] http:/ / 66110. qzone. qq. com [2] http:/ / 777110. qzone. qq. com [3] China Internet Information Center (http:/ / www. china. org. cn/ english/ government/ 154200. htm) Jingjing, ufficiale uomo della polizia Internet cinese. Il [1] suo sito personale pu essere visitato qui .

Voci correlate
Censura su Internet Censura di Internet nella Repubblica Popolare Cinese Internet nella Repubblica Popolare Cinese Crimine informatico Big mama Google China Operazione Aurora

Chacha, ufficiale donna della polizia internet cinese. Il [2] suo sito personale pu essere visitato qui .

Jingjing e Chacha

102

Collegamenti esterni
(ZH) Sito ufficiale (http://szgabm.qq.com/cgi-bin/wj/jump.cgi) (EN) Image of Internet police: JingJing and Chacha online (http://chinadigitaltimes.net/2006/01/ image-of-internet-police-jingjing-and-chacha-online-hong-yan-oaeaaioa/)

Key server
Nell'ambito della sicurezza informatica, un key server un sistema che si occupa di fornire, attraverso appositi programmi, chiavi crittografiche agli utenti che le richiedono. Le chiavi fornite quasi sempre fanno parte di un certificato digitale, solitamente in un formato standard (per esempio X.509 o PKCS), che contiene oltre alla chiave anche informazioni sul proprietario della chiave e sulla sua identit. La chiave che viene restituita dal key server la parte pubblica della chiave, da utilizzare con algoritmi di crittografia asimmetrica. I key server pi importanti e maggiormente accessibili, sparsi in tutto il mondo, sono quelli che contengono le chiavi PGP (e GPG) e le distribuiscono agli utenti di tali sistemi crittografici. Questi server quasi sempre sono mantenuti da singoli individui e forniscono un servizio "pubblico", aiutando la costruzione della rete di fiducia, il sistema su cui si basa la garanzia dell'identit in PGP. Esistono anche molti sistemi di infrastruttura a chiave pubblica proprietari che mantengono key server privati per i loro utenti.

Collegamenti esterni
MIT PGP Key Server [1] PGP GLobal Directory [2]

Note
[1] http:/ / pgp. mit. edu/ [2] http:/ / keyserver. pgp. com

Lista di controllo degli accessi

103

Lista di controllo degli accessi


Una lista di controllo degli accessi, spesso chiamata col nome inglese di Access control list (ACL), un meccanismo generalmente usato in informatica per esprimere regole complesse. Tra le sue applicazioni principali, la configurazione di Firewall e dei diritti di accesso a file e directory. Una ACL una lista ordinata di regole che dice quali utenti o processi di sistema possono accedere a degli oggetti, e quali operazioni sono possibili su particolari oggetti. Facendo l'esempio di una rete, ci si troverebbe a dover decidere se far passare o meno un pacchetto o se permettere o meno ad un certo utente l'accesso ad un file. Ciascuna regola, detta Access Control Entry (ACE), esprime una o pi propriet dell'oggetto da valutare (ad esempio, l'indirizzo sorgente di un pacchetto IP), e se queste propriet sono verificate indica quale decisione prendere (ad esempio, far passare il pacchetto oppure rifiutarlo). La valutazione inizia dalla prima regola e continua fino a quando le condizioni di una regola non sono verificate. Se le condizioni sono verificate, la valutazione finisce e viene applicata la decisione presa. Altrimenti, la valutazione prosegue alla regola successiva. Se nessuna regola viene soddisfatta, viene applicata una decisione di default, chiamata policy dell'ACL.

Uso negli apparati di rete


Ad esempio, una semplice ACL per un firewall espressa in pseudo-linguaggio suonerebbe pi o meno cos:
POLICY = SCARTA il pacchetto

se <indirizzo IP sorgente> == 192.168.0.5 allora SCARTA il pacchetto se <porta TCP destinazione> == 500 AND <indirizzo IP destinazione> == 192.168.4.1 allora ACCETTA il pacchetto se <indirizzo IP destinazione> appartiene alla rete 10.0.5.0/24 allora SCARTA il pacchetto se <protocollo> != TCP allora SCARTA il pacchetto

Ciascun apparato avr poi una particolare sintassi per configurare una ACL. Su un router realizzato con GNU/Linux, il nostro esempio suoner pi o meno cos:
iptables --policy FORWARD DROP iptables -A FORWARD --source 192.168.0.5 -j DROP iptables -A FORWARD -p tcp -m tcp --destination-port 500 --destination 192.168.4.1 -j ACCEPT iptables -A FORWARD --source 10.0.5.0/24 -j DROP iptables -A FORWARD --protocol ! TCP -j DROP

Su un router Cisco, sar: access-list access-list access-list access-list access-list 100 100 100 100 100 deny ip host 192.168.0.5 any permit tcp any gt 500 host 192.168.4.1 deny ip any 10.0.5.0 0.0.0.255 permit tcp any any deny ip any any regola implicita

Lista di controllo degli accessi

104

Uso nei sistemi operativi


Le ACL sono utilizzate anche per la determinazione dei permessi riguardanti file e cartelle memorizzati sui dischi. Alcuni dei sistemi operativi che ne fanno uso sono Microsoft Windows, OpenVMS, Linux e Mac OS X. In quest'ultimo sono state introdotte nella versione 10.4 (Tiger) e rese attive per default nella versione 10.5 (Leopard) e sono gestibili via interfaccia grafica con il Finder e da riga di comando tramite chmod.

Voci correlate
Cacls SACL

Collegamenti esterni
Cosa sono le ACL [1] Cisco: maggior sicurezza alla vostra rete con ACLs per bogus e blackholes [2] Tutorial di base sulle ACL standard e estese di Cisco [3]

Note
[1] http:/ / www. areanetworking. it/ index_docs. php?title=Cosa_sono_le_ACL [2] http:/ / www. areanetworking. it/ index_docs. php?title=Cisco:_maggior_sicurezza_alla_vostra_rete_con_ACLs_per_bogus_e_blackholes [3] http:/ / www. valent-blog. eu/ access-control-list. html

Login
Login il termine inglese pi esatto per indicare la procedura di accesso ad un sistema o un'applicazione informatica. Proviene dalla contrazione di log in, entrata nel log, il registro cronologico degli eventi tipico di qualsiasi sistema informativo. Altri termini corrispondenti sono: logon, log on, signon, sign on, sign in. Il login, noto anche come procedura di autenticazione, uno dei pilastri fondamentali della sicurezza e della riservatezza nelle applicazioni informatiche.

Una classica schermata di ingresso (logon) ad un sistema Linux dotato di interfaccia utente grafica (nello specifico KDE)

Componenti di sistema interessati


La procedura si basa sull'esistenza, all'interno del sistema, di: un elenco di utenti; la parola chiave di accesso, abitualmente denominata password, per ogni utente; i permessi di accesso. Un elenco di funzioni che l'utente pu eseguire. Pu non esistere, ma pu essere anche molto complesso; la classificazione dell'utente in base ai permessi di accesso, e/o al ruolo che svolge all'interno del sistema; procedure riservate agli amministratori di sistema per gestire queste informazioni;

Login registro degli eventi (log), su cui viene segnata la cronologia degli accessi. A questo insieme di informazioni, che possiamo considerare minime, possono essere aggiunti dati anagrafici, preferenze di lavoro, ecc. Il tutto usualmente denominato account utente.

105

Procedura di accesso
Procedura base, con interfaccia testuale 1. Il sistema richiede il nome utente (in inglese username o userid) 2. Colui che desidera entrare digita il proprio nome utente 3. Il sistema verifica che tale nome utente sia compreso tra quelli previsti. In caso positivo richiede la parola chiave abbinata; in caso negativo risponde con un messaggio di errore e rifiuta l'accesso. 4. L'utente, gi riconosciuto digita la parola chiave (o password)

Una schermata di login remoto su macchina FreeBSD effettuata tramite PuTTY)

5. Il sistema verifica che tale parola chiave corrisponda a quella memorizzata al suo interno: in caso positivo concede l'accesso, segnalando la possibilit di ricevere altri comandi, in caso negativo risponde con un messaggio di errore e rifiuta l'accesso. Procedure pi sicura, sempre con interfaccia testuale Il sistema richiede il nome utente (detto username o userid) Colui che desidera entrare digita il proprio nome utente Il sistema chiede la password o parola d'ordine dell'utente L'utente digita la password Se uno dei due dati forniti sbagliato, il sistema segnala l'errore ma non segnala invece se esso sia presente nel nome utente o nella password, in modo da rendere difficoltoso indovinare il nome utente e la password. Procedura con interfaccia grafica Esegue le stesse funzioni, ma raccoglie in un unico passaggio la richiesta di nome utente e password, ad esempio con il tipico form delle applicazioni web. In caso positivo il sistema risponde generalmente con un men generale o pagina di benvenuto all'interno del sistema o dell'applicazione, o del sito web. Anche in modalit grafica sono previste procedure semplificate e meno protette. Ad esempio, il nome utente pu essere scelto da una lista oppure il sistema propone automaticamente il nome di un utente predefinito. In molti casi, per motivi di sicurezza / riservatezza, la parola chiave residente nel sistema crittografata; anche quella digitata dall'utente che richiede l'accesso viene crittografata se il login avviene da remoto. Quando viene digitata, la password non appare sullo schermo: al suo posto appaiono dei pallini neri, degli asterischi o altri simboli. A volte non appare niente, per non rivelare la lunghezza della password. Allo stesso scopo, talvolta il numero di simboli viene modificato dal sistema. 1. 2. 3. 4. 5.

Login

106

Bibliografia
L'elenco sottostante composto da soli testi su UNIX, in quanto ambiente nato come multiutente e con molte informazioni pubbliche. 1. Brian W. Kernighan, Rob Pike: "The UNIX Programming Environment", 1984, Prentice-Hall. ISBN 0-13-937681-X. 2. S. R. Bourne: "The UNIX System", 1983, Addison-Wesley. ISBN 0-201-13791-7. 3. Maurice J. Bach: "The Design of the UNIX Operating System", 1986, Prentice-Hall. ISBN 0-13-201757-1. (Traduzione italiana "UNIX: architettura di sistema", 1988, Jackson). 4. Henry McGilton, Rachel Morgan: "Introducing the UNIX System", 1983, McGraw-Hill. (Traduzione italiana "Il sistema operativo UNIX", 1986, McGraw-Hill Libri Italia, ISBN 88-386-0603-X). (Versione Berkeley). 5. S. G. Kochan, P. H. Wood: "UNIX Shell Programming", 1985, Hayden. 6. Stephen Prata: "Advanced UNIX: A programmer's Guide", The Waite Group, 1985, Howard W. Sams & Company (Macmillan). ISBN 0-672-22403-8. 7. Bill Courington: "The UNIX System: a Sun Technical Report", 1985, Sun Microsystems Inc. 8. "System V Interface Definition: Issue 2" 1986, AT&T (3 volumi). ISBN 0-932764-10-X. 9. Rebecca Thomas, Lawrence R. Rogers, Jean L. Yates: "Advanced Programmer's Guide to UNIX System V", 1986, McGraw-Hill. ISBN 0-07-881211-9.

Voci correlate
Account Autenticazione Crittografia Log Logout Nome utente Password Sicurezza informatica

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Login

Metodo Gutmann

107

Metodo Gutmann
Il Metodo Gutmann un algoritmo proposto da Peter Gutmann da utilizzarsi per cancellare totalmente i contenuti di una sezione di un disco per computer (come ad esempio un file o un settore) per motivi di sicurezza.

Metodo
La funzione di cancellazione nella maggior parte dei sistemi operativi segnala semplicemente che lo spazio occupato dal file disponibile per il riutilizzo, senza eliminarne effettivamente i contenuti (ad esempio eliminando il puntatore al file). A questo punto il contenuto del file pu essere recuperato facilmente da molte applicazioni per il recupero dei dati. Tuttavia, una volta che lo spazio viene sovrascritto con altri dati, non esistono modi noti semplici per recuperare i dati precedenti. Non possibile recuperare dati con il solo utilizzo di software, siccome la periferica restituisce i propri contenuti solo attraverso la propria normale interfaccia di comunicazione. Gutmann afferma che i servizi di sicurezza hanno strumenti avanzati, tra cui microscopi elettronici i quali, uniti a strumenti di analisi delle immagini, possono rilevare lo stato precedente dei bit nell'area interessata della periferica (ad esempio un disco fisso). L'algoritmo prevede la scrittura sul disco di una serie di schemi di bit, pensati per attaccare uno degli schemi di codifica per supporti magnetici esistente. La scelta degli schemi parte dal presupposto che l'utente non conosca l'algoritmo di codifica dei dati utilizzato dal disco, e quindi contiene schemi progettati specificamente per tutte le codifiche conosciute. Un utente che conosca il metodo di codifica pu selezionare solo gli schemi pensati espressamente per il proprio disco. Una sessione di sovrascrittura costituita da un preambolo di quattro schemi di scrittura casuali, seguiti dagli schemi 5-31 eseguiti in ordine casuale, e si conclude con altri quattro schemi casuali. Ciascuno degli schemi 5-31 stato progettato tenendo conto di uno specifico schema di codifica per supporti magnetici, che viene attaccato dallo schema. Il risultato finale un rimescolamento dei dati sul disco sufficiente a fare s che anche la scansione fisica pi approfondita difficilmente sar in grado di recuperare qualunque dato utile. La serie degli schemi la seguente:

Metodo di sovrascrittura di Gutmann


Numero del passo Dati scritti In notazione binaria 1 2 3 4 5 6 7 8 9 10 11 12 (Casuale) (Casuale) (Casuale) (Casuale) In notazione esadecimale (Casuale) (Casuale) (Casuale) (Casuale) (1,7) RLL (1,7) RLL MFM MFM (2,7) RLL MFM (2,7) RLL MFM (2,7) RLL MFM (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL Schema di codifica attaccato

01010101 01010101 01010101 55 55 55 10101010 10101010 10101010 AA AA AA 10010010 01001001 00100100 92 49 24 01001001 00100100 10010010 49 24 92 00100100 10010010 01001001 24 92 49 00000000 00000000 00000000 00 00 00 00010001 00010001 00010001 11 11 11 00100010 00100010 00100010 22 22 22

Metodo Gutmann

108
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asuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (Casuale) (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (1,7) RLL (1,7) RLL (1,7) RLL (2,7) RLL (2,7) RLL MFM (2,7) RLL MFM (2,7) RLL MFM (2,7) RLL (2,7) RLL (2,7) RLL MFM MFM

13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

Critiche
Gutmann ha ricevuto critiche per avere asserito che i servizi di sicurezza nazionali riescono con ogni probabilit a leggere dati sovrascritti.[1] Non stato provato in alcun modo che questo sia possibile, e non esistono prove pubbliche che i servizi di sicurezza governativi e non, siano in grado di recuperare file i cui settori sono stati sovrascritti. Le aziende specializzate nel recupero dei dati da periferiche danneggiate non sono in grado di recuperare file completamente sovrascritti. Queste aziende si specializzano nel recupero di informazioni da dispositivi che sono stati danneggiati da incendi, acqua, o altri danni simili. Nessuna azienda di recupero dati afferma di essere in grado di ricostruire dati completamente sovrascritti. Lo stesso Gutmann ha risposto ad alcune di queste critiche e ha criticato nell'epilogo del suo lavoro originale come ci siano stati abusi del suo algoritmo. Citando tale epilogo:

Metodo Gutmann

109

Nel periodo seguente la pubblicazione di questo lavoro, alcuni hanno trattato l'algoritmo di sovrascrittura a 35 passi pi
come una incarnazione voodoo per scacciare gli spiriti maligni che come una analisi tecnica dei metodi di codifica dei dischi. Come risultato, suggeriscono di utilizzare il rito voodoo ai dischi PRML ed EPRML anche se non avr alcun effetto al di fuori di una sovrascrittura casuale dei dati. In realt, utilizzare l'intero algoritmo a 35 passi insensato per qualunque disco, siccome questo attacca un insieme di scenari che includono tutti i tipi di codifica (utilizzati normalmente), che copre qualunque tecnica utilizzata da oltre 30 anni a questa parte. Se state utilizzando un disco che utilizza la tecnologia di codifica X, necessario eseguire solo i passi specifici per X, e non c' mai alcun bisogno di eseguire tutti i 35 passi. Per qualunque disco PRML/EPRML moderno, alcuni passi di scrittura casuale il meglio che si possa fare. Come la ricerca dice chiaramente, "una bella sovrascrittura con dati casuali otterr i risultati che ci si aspetta. Questa affermazione era vera nel 1996, ed tuttora vera

Implementazioni software
CCleaner - Software Freeware che nelle ultime versione esegue la cancellazione dei file indesiderati tramite il metodo Gutmann solo su richiesta. Eraser - Software Open-source gratuito che utilizza il metodo Gutmann Utility Disco - Software fornito con Mac OS X che cancella i contenuti di un disco utilizzando l'algoritmo di Gutmann. Tune Up Utilities [2] (versione 2007 e seguenti) utilizza tra gli altri anche l'algoritmo di Gutmann per l'eliminazione sicura dei file. DBAN [3] - Un altro software open-source di cancellazione che supporta tutti i dischi fissi esistenti. Supporta, fra gli altri, anche l'algoritmo di Gutmann. Advanced SystemCare - software che permette di utilizzare oltre al metodo Gutmann, la sovrascrittura dei files da cancellare con lo 0 e in alternativa l'eliminazione con lo standard DoD 5220.22-M.

Collegamenti esterni
La ricerca originale di Gutmann: "Secure Deletion of Data from Magnetic and Solid-State Memory" [4] Can Intelligence Agencies Read Overwritten Data? [5], una critica alle asserzioni di Guttman.

Note
[1] Can Intelligence Agencies Read Overwritten Data? A response to Gutmann. (http:/ / www. nber. org/ sys-admin/ overwritten-data-gutmann. html) [2] http:/ / www. tune-up. com/ products/ tuneup-utilities/ [3] http:/ / www. dban. org/ download/ [4] http:/ / www. cs. auckland. ac. nz/ ~pgut001/ pubs/ secure_del. html [5] http:/ / www. nber. org/ sys-admin/ overwritten-data-guttman. html

Metodologia Octave

110

Metodologia Octave
La metodologia Octave (Operationally Critical Threat, Asset and Vulnerability Evaluation) una delle principali metodologie di analisi del rischio utilizzate attualmente. Oggigiorno proteggere i sistemi informatici ed essere in grado di conoscere i principali pericoli che essi corrono senza dubbio diventata una priorit. Le politiche di sicurezza (Security Policy) adottate a tal fine rappresentano l'insieme di regole e procedure che hanno come finalit la sicurezza di un sistema. Per un sistema informatico le security policy indirizzano infatti tutte quelle procedure finalizzate alla protezione dei dati, alla corretta gestione del flusso informativo per il personale autorizzato, alla restrizione di accessi al sistema dall'esterno. Octave un sistema di strategie basate sul rischio e di tecniche di pianificazione per la Sicurezza Interna Aziendale, realizzato dal CERT (Computer Emergency Response Team). particolarmente indicato per tutte le aziende che desiderano conoscere fino in fondo quali siano i propri bisogni di sicurezza.

Le sue caratteristiche
Octave possiede alcune caratteristiche che lo rendono affidabile e allo stesso tempo utilizzabile con profitto dalla maggior parte delle aziende: Auto-Regolato: frutto della collaborazione tra manager esperti nel ramo degli affari e informatici della stessa azienda. Il gruppo, inoltre, sfrutta la conoscenza e lesperienza di molti impiegati per definire lo stato della sicurezza, i rischi per i beni principali dellazienda, e per pianificare quindi le dovute strategie; Flessibile: pu essere adattato alle esigenze di numerose aziende diverse; Diverso dalle tipiche Metodologie Concentrate sulla Tecnologia: si focalizza sul rischio organizzativo e strategico e su argomenti di interesse pratico.

Le fasi di Octave
Octave agisce attraverso tre fasi:

Fase 1
Tracciare profili delle minacce rivolte ai beni: In questa fase, che riguarda lazienda nella sua totalit, ci si propone di identificare gli "Asset" (le risorse, i beni) principali dellazienda, le minacce a queste risorse e in che misura esse vadano protette. Si cerca anche di comprendere quali strategie di protezione lazienda stia mettendo in atto al momento in cui questanalisi viene compiuta, e quali siano i punti deboli di tali strategie.

Metodologia Octave

111

Fase 2
Identificare i punti Deboli delle Infrastrutture Informatiche: Questa fase si configura come un esame delle Principali Componenti Operative dei Sistemi Informatici, per evidenziarne eventuali pericolose Debolezze.

Fase 3
Sviluppare Piani e Strategie di Protezione: In questa ultima fase vengono analizzati i Rischi. Le informazioni raccolte nelle due precedenti fasi sono analizzate per identificare quali siano gli effettivi Rischi per lazienda, e per valutare limpatto che tali rischi potrebbero avere sulla mission dellazienda. Inoltre, vengono sviluppate delle Strategie di Protezione e dei Piani di Ammortizzamento nei confronti dei rischi pi elevati.

Voci correlate
Internet Security Policy

Collegamenti esterni
(EN)CERT [1]

Note
[1] http:/ / www. cert. org/ octave/

Microsoft Strider
Microsoft Strider Search Defender un software creato da Microsoft, per arginare il fenomeno del Comment Spamming, ovvero la forma di spam che consiste nell'inserire link a pagine pubblicitarie in blog, newsgroup, etc.

Funzionamento di Strider
Per rendere i propri link maggiormente appetibili, gli spammer creano delle "doorway pages" su siti web conosciuti: quando un utente clicca su uno di questi indirizzi, il browser rimanda alle pagine pubblicitarie. Stinger effettua una precisa verifica degli indirizzi che sono presenti nelle pagine web di pubblico accesso.

Le analisi effettuate da Strider


L'analisi degli URL effettuata da Strider impostata su due livelli 1. Si analizzano, tramite Spam Hunter, tutti i link a cui puntano i vari url e si redige una prima lista di indirizzi. 2. A questa prima fase di verifica segue una seconda, portata avanti dal modulo "Strider Url Tracer", in cui si ripuliscono dai falsi positivi i risultati ottenuti precedentemente. Il risultato finale una lista dei siti degli spammer. Questa lista servir da punto di partenza per evitare che quegli indirizzi vengano indicizzati dai motori di ricerca, evitando la diffusione dello spam e scoraggiando gli spammer dalla loro attivit di riempire gli spazi virtuali di pubblicit.

Modello Bell-LaPadula

112

Modello Bell-LaPadula
Il Modello di riservatezza di Bell-La Padula (BLP) stato definito tra il 1973 e il 1976 da David Elliott Bell e Len LaPadula. Inizialmente, stato sviluppato per soddisfare le esigenze del Dipartimento della Difesa Americano (Department of Defense - DOD), relative all'accesso alle informazioni, mentre, successivamente, stato principalmente rivolto alla riservatezza delle stesse. Rappresenta, comunque, uno dei pi importanti modelli di sicurezza applicabili ai sistemi operativi e alle basi di dati.

Caratteristiche
Il modello Bell-LaPadula si concentra su riservatezza di dati e accesso a informazioni classificate, in contrasto con il Modello d'integrit BIBA che descrive regole per la protezione di integrit dei dati. In questo modello formale, le entit in un sistema informativo sono divise in soggetti e oggetti. Ai soggetti sono assegnati i clearance levels; Agli oggetti sono assegnati i sensitivity levels. I clearance levels come i sentitivity levels sono chiamati access classes. Una classe di accesso (access class) consiste di due componenti: 1. security level: un elemento basato sull'ordinazione, costituito da una classificazione (classification) gerarchica ( TopSecret > Secret > Confidential > Unclassified ); 2. category set: un insieme di categorie dipendenti dall'applicazione in cui i dati sono usati; non gerarchico, indica il settore di appartenenza. (ES: posta elettronica, prodotti commerciali, centrali atomiche ecc.). Ogni soggetto pu inoltre accedere ai vari oggetti secondo modi di accesso (access modes) detti: Read: per la sola lettura; Append: per l'aggiunta (senza lettura); Execute: l'esecuzione (per i programmi); Write: la lettura-scrittura.

Stato Sicuro
Il concetto di uno Stato Sicuro definito ed provato dal fatto che ogni transizione preserva la sua sicurezza spostandosi da stato sicuro ad un altro stato sicuro. Il passaggio da uno stato a un altro stato definito da funzioni di transizione. Uno stato di sistema definito sicuro se tutti i modi di accesso dei subjects and objects sono conformi alla politica di sicurezza. Per determinare se un modo di accesso specifico permesso, la clearance paragonato alla classificazione dell'object (pi precisamente: la combinazione di classificazione e l'insieme di compartimenti compongono il livello di sicurezza) per determinare se il soggetto autorizzato a quello specifico modo di accesso. Lo schema di accesso/classificazione espresso in termini di un reticolo. Ogni operazione richiesta controllata da un reference monitor, e la sua esecuzione concessa se, e solo se, lo stato risultante in cui si verrebbe a trovare il sistema sia sicuro, ovvero soddisfi tutte le propriet del modello. Il modello definisce due regole obbligatorie del controllo accessi (MAC) e una regola discrezionale di controllo accessi (DAC) con tre propriet sulla sicurezza: 1. Il Simple Security Property (SS-property): dichiara che possibile che un soggetto possa accedere ad un oggetto solo se il suo livello di sicurezza maggiore od uguale a quella dell'oggetto; (quindi: no read up); 2. Il Star-Property (S-property): dichiara che un soggetto pu accedere all'oggetto solo per operazioni di append se ha un livello inferiore (rispetto all'oggetto), per operazioni di write se ha un livello uguale e per operazioni di read se ha un attuale livello di sicurezza superiore a quello dell'oggetto; (quindi no write-down);

Modello Bell-LaPadula 3. Il Discretionary Security Property (DS-property): utilizza una matrice di accesso per specificare il controllo accessi discrezionale; cio ogni soggetto pu esercitare solo gli accessi per cui ha la necessaria autorizzazione. Queste regole insieme servono ad evitare che le informazioni possano propagarsi senza controllo da parte del proprietario, e sono lo strumento per impedire che il sistema possa essere espugnato da un trojan horse (Cavallo di Troia: virus nascosto in un programma che penetra tramite il programma in un computer). Il trasferimento di informazioni da un paragrafo high-sensitivity a un documento lower-sensitivity pu avvenire nel modello Bell-LaPadula per mezzo del concetto di soggetti di fiducia. Subjects di fiducia non sono limitati dalla propriet. A Subjects di fiducia deve essere mostrato e testato affinch possa essere dichiarato affidabile in merito alla politica di sicurezza. Con Bell-LaPadula, gli utenti possono creare contenuto solo sopra il loro personale livello di sicurezza (i ricercatori Secret possono creare file Secret o Top-Secret ma non possono creare file Public): nessun write-down. Al contrario, gli utenti possono esaminare contenuto solo sotto il loro personale livello di sicurezza (i ricercatori Secret possono esaminare file Public o Secret, ma non possono esaminare file Top-Secret): nessun read-up.

113

Transizioni di stato
Attraverso specifiche operazioni lo stato del sistema pu subire delle transizioni. Le transizioni di stato consentite all'interno del modello di Bell-LaPadula sono: Create object: attiva un oggetto inattivo rendendolo accessibile; Delete object: disattiva un oggetto attivo. l'operazione inversa alla precedente; Get access: quando un soggetto guadagna l'accesso ad un oggetto; Release access: quando il soggetto termina l'accesso bisogna. l'operazione inversa alla precedente; Give access: permette che i diritti di accesso ad un oggetto possano essere propagati da un soggetto ad un altro. L'operazione viene eseguita solo se rispetta le politiche di sicurezza; Rescind access: revoca un accesso precedentemente garantito con l'operazione precedente. Affinch questa operazione possa essere eseguita, il soggetto richiedente deve avere il permesso di scrittura sul genitore dell'oggetto interessato; Change subject security level: cambia l'attuale livello di sicurezza. Il nuovo livello deve essere inferiore della clearance attribuita inizialmente al soggetto; Change object security level: ha l'effetto di attribuire un nuovo valore alla funzione 'f' dell'oggetto inattivo; tale livello pu solo essere aumentato, e non deve mai superare la clearance del soggetto richiedente il cambiamento.

Di che cosa non parla il Modello BLP


Il modello Bell-LaPadula ha esplicitamente definito il suo ambito. Non ha trattato quanto segue radicalmente: Canali coperti; Reti di sistemi. Il lavoro successivo di creazione di modelli ha indirizzato questo argomento; Politiche fuori dalla sicurezza multilivello.

Voci correlate
Modello Biba Modello Clark-Wilson Modello Brewer e Nash

Modello Bell-LaPadula

114

Collegamenti esterni
AIPSI [1]

Note
[1] http:/ / aipsi. org/

Modello Biba
Il modello di integrita Biba venne sviluppato nel 1977 da K.J. Biba del M.I.T., per aggirare le debolezze del modello di protezione per sistemi operativi di computer denominato modello di riservatezza di Bell-LaPadula quale non prevedeva la possibilit di eliminazione implicita degli oggetti di sicurezza scritti da loro. Il modello di Biba comprendeva tre politiche, di cui una era il doppio matematico del modello Bell-LaPadula, ed il sistema consiste in una serie di soggetti, oggetti e livelli di integrit. In generale, preservare l'integrit aveva tre obbiettivi: Prevenire la modifica dei dati da oggetti non autorizzati; Prevenire modifiche non autorizzate ai dati da oggetti autorizzati; Mantenere la consistenza interna ed esterna (es.: dati che rispecchino il mondo reale). Il modello Biba implementa le protezioni definendo una serie ordinata di livelli di integrit per i soggetti e gli oggetti, rispettando la regola del: leggere sopra e scrivere sotto: Questo significa che un soggetto che si trova al livello di integrit X pu leggere solo oggetti allo stesso livello o superiore (assioma di integrit semplice); Similarmente, un soggetto al livello di integrit X pu scrivere solo oggetti allo stesso livello o di livello pi basso (assioma di integrit "*"); Un soggetto al livello di integrit X pu chiamare solo un altro soggetto che si trovi allo stesso livello di integrit o pi basso.

Voci correlate
Modello Bell-LaPadula Modello Clark-Wilson Modello Brewer e Nash

Modello Brewer e Nash

115

Modello Brewer e Nash


Il modello di Brewer e Nash (chiamato anche Chinese Wall Model) un modello che implementa le cosiddette policy ibride e che garantisce quindi sia la confidenzialit, sia l'autenticazione e l'integrit. nato nel 1989 dagli studiosi Brewer e Nash e si basa sul concetto di conflitto di interesse.

Necessit di una politica


Supponiamo di avere un soggetto S che come lavoro, svolge l'attivit di consulente. Se questi lavora presso due banche concorrenti, sorge subito un conflitto di interesse, in quanto il soggetto viene a conoscere tutte e due le strategie delle banche, il che va contro gli interessi di una o dell'altra banca. Lo stesso soggetto per pu lavorare in un'altra ditta di tutt'altro campo d'azione, come ad esempio un supermercato.

Organizzazione del modello


Oggetti, identificati mediante O. Questi rappresentano dati, informazioni di una qualche societ od organizzazione; Company Dataset, brevemente CD. Un CD contiene oggetti inerenti ad una singola entit, come ad esempio una banca, un supermercato, ecc; Conflict of Interest class, ossia COI. Una COI contiene i CD delle varie entit che fanno parte di quella particolare classe di conflitto di interesse. Ad esempio, in una COI ci sono tutte le banche, in un'altra tutti i supermercati, e cos via.

Regolamentazione del modello


Esistono due condizioni da rispettare: una per la lettura e una per la scrittura.

Lettura
Un soggetto S pu leggere un oggetto O se: l'oggetto O in un CD di cui il soggetto ha gi letto qualcosa, oppure l'oggetto O appartiene ad una COI di cui il soggetto non ha letto ancora niente, oppure l'oggetto O appartiene alla stessa COI di un altro CD ma di tipo pubblico. In parole povere il soggetto S pu leggere tutti gli oggetti O appartenenti a COI diverse.

Scrittura
Un soggetto S pu scrivere un oggetto O se: l'oggetto O, appartenente ad un determinato CD, pu essere anche letto; il soggetto S non ha mai letto altri O di altri CD nello stesso COI. In parole povere il soggetto S, una volta che scrive in un CD, non pu pi leggere O di altri CD nello stesso COI; allo stesso modo, nel momento in cui legge oggetti O appartenenti a diversi COI, non pu pi scrivere nei COI letti.

Modello Brewer e Nash

116

Voci correlate
Modello Bell-LaPadula Modello Biba Modello Clark-Wilson

Modello Clark-Wilson
Il modello Clark-Wilson venne sviluppato nel 1987 da due studiosi: David D. Clark e David R. Wilson. Questo modello rappresenta un'alternativa al Modello Biba dell'integrit.

Scenario
L'integrit del modello definita tramite un insieme di vincoli, e questo in uno stato consistente se il modello soddisfa i vincoli. Clark-Wilson identifica due meccanismi principali per rafforzare l'integrit e il controllo degli accessi:

Transazioni
Le transazioni ben formate preservano l'integrit di dati e prevengono che utenti li manipolino arbitrariamente. Una transazione di questo tipo costituita da una serie di operazioni che muovono il sistema da uno stato consistente ad un altro stato consistente. In questo ambito le transazioni sono una serie di operazioni che consentono di far passare da uno stato consistente ad uno consistente, anche se questa non andata a buon fine, in quanto deve essere presente un meccanismo di rollback.

Separazione dei compiti


La separazione dei compiti necessaria al fine di evitare frodi interne al sistema. Un'operazione, se completata da una singola persona, questa pi suscettibile di frodi. Assegnare pi mansioni di un'operazione a diversi individui, limita il problema suddetto, in quanto, per portare a termine l'attacco, tutte le persone devono essere d'accordo. Se almeno una persona compie il proprio lavoro correttamente, l'attacco non va a termine.

Il modello
Alla base del sistema abbiamo quattro entit di base: CDI: entit o dati soggetti a vincoli d'integrit (constrained data item); UDI: entit o dati non soggetti a vincoli d'integrit (unconstrained data item); IVP: procedure che controllano i vincoli d'integrit (integrity verification procedures); TP: procedure di trasformazione che portano il sistema da uno stato valido ad un altro stato valido (transformation procedures).

Modello Clark-Wilson

117

Le regole
In questo contesto vengono indicate regole di certificazione (Certification rules) e regole di rinforzo (Enforcement rules): CR1: Se un IVP eseguito, deve assicurarsi che tutti i CDI siano in uno stato valido. CR2: Una TP deve trasformare un insieme di CDI da uno stato valido ad uno stato valido. ER1: Il sistema deve garantire che solo le TP certificate ad operare su determinati CDI svolgano operazioni su di essi. ER2: Il sistema deve associare ad ogni TP il CDI su cui pu lavorare e l'utente per conto del quale pu lavorare su tale CDI. CR3: Le relazioni di permesso devono essere basate sulla separazione dei compiti. ER3: Il sistema deve autenticare ogni utente che vuole utilizzare una TP. CR4: Tutte le TP devono scrivere in appositi CDI di solo accodamento, tutte le operazioni sufficienti a ricostruire le operazioni svolte. CR5: Ogni TP che prende in input un UDI pu eseguire solo trasformazioni valide, oppure nessuna trasformazione. ER4: Solo chi certifica un TP pu cambiare la liste delle entit associata a tale TP.

Voci correlate
Modello Bell-LaPadula Modello Biba Modello Brewer e Nash

MS-CHAP
In informatica l' MS-CHAP (acronimo di Microsoft Challenge-Handshake Authentication Protocol) un protocollo di autenticazione. MS-CHAP un protocollo sviluppato da Microsoft deriva direttamente dal CHAP ed stato modificato per integrare la funzionalit di autenticazione basate sulla cifratura, tra Pc in reti windows. MS-CHAP eredita dal CHAP il meccanismo di challenge-response per autenticare attraverso una password il client verso il server. Il server di autenticazione diversamente dal CHAP non ha necessit di memorizzare la password neanche in formato cifrato, e gli algoritmi utilizzati per il processo di cifratura e per quello di hashing sono rispettivamente il DES (Data Encryption Standard) e l'MD4 (Message Digest 4). Microsoft, in questo [1] articolo, ha dichiarato obsoleto questo protocollo, escludendolo di fatto dai protocolli presenti in Windows Vista, sostituendolo con la nuova versione dello stesso.

MS-CHAP

118

Voci correlate
MS-CHAPv2

Collegamenti esterni.
RFC 1994 "PPP Challenge Handshake Authentication Protocol". RFC 2433 "Microsoft PPP CHAP Extensions" RFC 1320 "MD4 Message Digest Algorithm".

Note
[1] http:/ / support. microsoft. com/ kb/ 926170/ en-us

MS-CHAPv2
MS-CHAP versione 2 deriva dal protocollo MS-CHAP. In MS-CHAPV2 il processo di autenticazione reciproco, il client e il server si presentano e il server deve dimostrare al client che in grado di accedere al database dove contenuta la password dell'utente che sta tentando la connessione. In linea di massima i passi compiuti dal processo di autenticazione sono: 1. Il client contatta il server e stabilisce una sessione. 2. Il server di autenticazione invia al client un messaggio composto da: 1. un identificatore della sessione(IdS) 2. una stringa pseudocasuale (A). 3. Il client riceve il messaggio dal server e invia una risposta composta da: 1. Username 2. Una stringa fittizia(B). 3. La stringa pseudocasuale(A), lidentificativo di sessione (IdS), la password utente tutto cifrato. 4. Il server riceve il messaggio dal client lo verifica e invia la relativa risposta composta da: 1. Lesito del tentativo di connessione. 2. La stringa fittizia(B) e la password utente tutto cifrato. 5. Il client riceve la risposta e se avvenuta lautenticazione utilizza la sessione altrimenti interrompe la connessione. Rispetto al MS-CHAP lMS-CHAP v2 pi sicuro, questo perch: 1. Ogni volta che l'utente si collega generata una chiave per crittografare i dati basata sia sulla password utente sia su una stringa casuale. Nella versione v1 essendo la chiave generata solo a partire dalla password la chiave di crittografia sempre la stessa. 2. I dati inviati e quelli trasmessi sono cifrati con chiavi generate separatamente e non come nella versione v1 dove la chiave era sempre la stessa.

Collegamenti esterni
RFC 2759 "Microsoft PPP CHAP Extensions, Version 2"

Negazione plausibile

119

Negazione plausibile
Negazione plausibile, tradotto dall'inglese plausible deniability, il termine usato per indicare un'azione o un dato non riconducibile al proprio autore. Viene usata in due contesti: nel contesto politico e nel contesto di sicurezza informatica.

Negazione plausibile (politica)


Nel contesto politico la negazione plausibile una strategia utilizzata affinch un'azione decisa da un elemento venga realizzata senza che questa sia riconducibile a lui. Nonostante all'esterno possa apparire palese il legame tra l'elemento mandante e l'azione, il fatto che non si sia colpevoli fino a prova contraria garantisce che, fintanto sar plausibile negare i legami con l'azione, l'elemento rimarr scagionato. Normalmente viene utilizzata per azioni che porterebbero discredito all'elemento mandate.

Negazione plausibile (sicurezza informatica)


Meglio nota come crittografia negabile o crittografia ripudiabile l'uso di sistemi crittografici che consentono ad un utente, qualora gli venga estorta la password di un archivio cifrato, di negare l'esistenza dell'archivio stesso. Solitamente questa tecnologia viene confusa con la steganografia il quale obiettivo tenere nascosta l'esistenza del dato. La crittografia negabile viene utilizzata in due ambiti, negazione d'esistenza e ripudiabilit di creazione.

Negazione d'esistenza
Per proteggere gli utilizzatori di filesystem cifrati da attacchi basati sulla tortura, il software FreeOTFE crea volumi cifrati in due modalit: utilizzando un file dedicato all'interno del filesystem o utilizzando dello spazio non inizializzato all'interno di un disco. La prima modalit analoga ad altri sistemi di filesystem cifrati: loop-aes, dm-crypt, filevault. L'utente decide di creare un disco cifrato di una certa dimensione, questa dimensione viene allocata in un file su filesystem. Il file cifrato, e il software di cifratura decifra il file come se fosse un disco fisico. in questo modo l'utente puo' accedere al filesystem solo quando il software viene sbloccato da password. La seconda modalit non utilizza un file allocato, ma dello spazio non allocato sul disco. Questo causa che ad un'analisi dei settori non utilizzati, risulti una porzione di dati cifrati, facendo quindi intuire all'analista la presenza di un disco cifrato nascosto. Quando un disco cifrato viene inizializzato, gli spazi non utilizzati vengono riempiti di dati random, cos un utente pu creare un disco cifrato sul proprio filesystem utilizzando un file allocato, mettere dei dati, e nello spazio non utilizzato creare un disco nascosto. In questo modo un'analisi dei settori non utilizzati all'interno del disco cifrato non dar alcun risultato differente da quello aspettato, perch le propriet statistiche di un file cifrato e di dati random sono pari. L'utente gode di negazione plausibile nei confronti di chi, una volta chiesta la password (e consegnatagli dall'utente) necessaria per accedere al primo filesystem, non potr dire con certezza che altri dati sono cifrati nei settori nascosti. I dati inseriti nel primo filesystem saranno acceduti.

Negazione plausibile

120

Ripudiabilit di creazione
Questo tipo di protezione stato implementato da OTR (Off The Records) riferito alla terminologia giornalistica. OTR un protocollo di cifratura per Instant Messaging, una volta scambiata la chiave tra i due utenti, che possono autenticarsi reciprocamente, i dati non sono pi firmati digitalmente. In questo modo si pu comunicare con riservatezza, e nel caso l'attaccante dovesse decifrare il contenuto dei messaggi, l'autore potrebbe sostenere di non essere stato lui a produrli, ma un terzo in possesso della chiave.

Netcraft
Netcraft una societ di monitoraggio della rete internet con sede a Bath in Inghilterra. Netcraft fornisce analisi sui server web e il mercato dell'hosting, inclusi la rilevazione di web server e sistemi operativi, e il loro servizio in alcuni casi consiste nel monitorare l'uptime. Offre anche verifiche di sicurezza e pubblica novit sullo stato di varie reti che compongono internet. Queste statistiche sono ampiamente considerate e ritenute rilevanti dalla stampa internet. La societ famosa per la sua barra gratuita anti-phishing per Firefox e Internet Explorer. Uno studio commissionato da Microsoft concluse che la barra di Netcraft tra i pi efficaci strumenti per combattere il phishing su Internet.

Collegamenti esterni
Sito di Netcraft [1] La barra di Netcraft per Firefox o Internet Explorer per Windows 2000/XP [2]

Note
[1] http:/ / www. netcraft. com [2] http:/ / toolbar. netcraft. com/

Network intrusion detection system

121

Network intrusion detection system


I NIDS, Network Intrusion Detection System, sono degli strumenti informatici, software o hardware, dediti ad analizzare il traffico di uno o pi segmenti di una LAN al fine di individuare anomalie nei flussi o probabili intrusioni informatiche. I pi comuni NIDS sono composti da una o pi sonde dislocate sulla rete, che comunicano con un server centralizzato, che in genere si appoggia ad un Database. Fra le attivit anomale che possono presentarsi e venire rilevate da un NIDS vi sono: accessi non autorizzati, propagazione di software malevolo, acquisizione abusiva di privilegi appartenenti a soggetti autorizzati, intercettazione del traffico (sniffing), negazioni di servizio (DoS).

Funzionamento
Le logiche su cui i NIDS si basano per riconoscere flussi non autorizzati si distinguono in: Pattern Matching: l'abilit del NIDS di confrontare i flussi a delle signatures, stile Antivirus, e di notificarli prontamente. Le signatures in genere indicano un set di condizioni, ad esempio: Se un pacchetto IPv4, TCP, la porta di destinazione la 31337, e il payload contiene foo, fai scattare "l'allarme". Anomaly Detection: il riconoscimento di flussi sospetti grazie ad un sofisticato meccanismo di funzioni e algoritmi matematici che si rifanno alle RFC e ai loro standard. Se uno o pi flussi non rispettano gli standard, il sistema segnala l'errore con il consueto allarme. Quando i NIDS rilevano degli eventi significativi li classificano in base alla loro criticit, ad esempio Low, Medium, High; spesso si presentano dei falsi positivi, ovvero eventi che in realt non costituiscono un pericolo per i sistemi informatici, dovuti in genere a malconfigurazioni da parte degli amministratori dei sistemi. In genere i sensori di rete che comunicano con il server centralizzato del NIDS effettuano un monitoring full-duplex passivo della rete, posizionati dietro un network tap, brutalmente definibile come un 'rubinetto' che regola il traffico e che si preoccupa di far rimanere la sonda invisibile sulla rete. Affinch i sensori lavorino correttamente devono essere sottoposti ad un continuo aggiornamento delle signatures per contrastare le vulnerabilit pi recenti. I moderni NIDS lavorano sempre con dei Firewall, a tal scopo stanno prendendo sempre pi piede nel settore commerciale gli IPS, intrusion prevention system, che oltre a fornire il controllo sui flussi, procedono ulteriormente bloccando quelli non autorizzati.

Pro e Contro
In un sistema informatico che implementa valide politiche di sicurezza, un buon sistema di incident response e che adotta firewall, antivirus e tutte le pi moderne misure di sicurezza, i NIDS giocano un ruolo fondamentale, in quanto: analizzano il payload dei pacchetti identificando il traffico anomalo; danno informazioni sulle scansioni che la rete ha ricevuto; permettono di ricevere allarmi real-time; evidenziano eventuali errori nella configurazione del sistema; evidenziano eventuali vulnerabilit della rete; permettono di monitorare il comportamento degli utenti interni alla rete; segnalano se qualche altra misura di sicurezza, come il firewall o lantivirus, non ha funzionato correttamente; rilevano eventuali attacchi provenienti dalla rete interna verso la rete esterna; rilevano la presenza di eventuali worm che cercano di inviare informazioni allesterno della rete;

effettuano il monitoraggio delle risorse condivise utilizzate; permettono di capire quali misure preventive adottare al fine di evitare eventuali attacchi futuri; sono difficili da rilevare in quanto agiscono passivamente.

Network intrusion detection system Le ampie funzionalit descritte hanno portato alcuni amministratori di rete a pensare che i NIDS siano in grado di segnalare e risolvere qualsiasi problema di sicurezza. Paradossalmente, pensare che i NIDS garantiscano totale sicurezza date le loro enormi potenzialit, pu risultare controproducente in quanto ci genererebbe un falso senso di sicurezza. Non esiste, infatti, n totale sicurezza, n un unico prodotto che permetta di essere totalmente sicuri. Anche se i NIDS sono sicuramente necessari a garantire un buon livello di sicurezza del sistema, da soli non sarebbero sufficienti in quanto: non sostituiscono lesistente staff di sicurezza in quanto necessitano di costante monitoraggio; non individuano attacchi che sfruttano vulnerabilit non ancora rese pubbliche detti 0-day; agiscono passivamente, ovvero non bloccano il traffico dannoso anche se possono essere configurati per interagire con un firewall; quando c una grande quantit di traffico da processare, possibile che vengano persi dei pacchetti, con conseguente fallimento nella rilevazione di un attacco; non possono analizzare informazioni criptate; identificano un tentativo dattacco ma non rilevano se questo riuscito; presentano problemi nel gestire attacchi che utilizzano pacchetti frammentati; incrementando il numero delle firme, pu essere ridotta lefficenza del NIDS; richiedono notevoli risorse in termini di spazio per larchiviazione dei log; non sostituiscono gli altri meccanismi di protezione. Da quanto detto, emerge che i NIDS sono necessari ad aumentare il controllo sullattivit dei sistemi ma non sono sufficienti a garantire la continuit del servizio in quanto agiscono passivamente.

122

NIDS vs Firewall
Sia i firewall che i NIDS collaborano al fine di prevenire accessi abusivi ad una rete. Entrambi sono fondamentali ma nessuno sufficiente a garantire da solo un elevato livello di sicurezza. A parte queste analogie, ci sono delle sostanziali differenze tecniche che li caratterizzano. I firewall hanno funzione di filtraggio dei pacchetti allo scopo di bloccare il traffico non conforme alle loro politiche. I pacchetti vengono filtrati in base allindirizzo IP sorgente o di destinazione e alle corrispettive porte. Difficilmente i log memorizzati riguardano il traffico permesso, in quanto ritenuto affidabile. Se alcuni dei pacchetti dannosi riuscissero a superare il firewall a causa di una configurazione non corretta dello stesso, o di una qualsiasi vulnerabilit sfruttata, non solo sarebbe possibile portare a termine un attacco con successo ma, soprattutto, non verrebbe memorizzata alcuna informazione in merito. Per ovviare a questo problema, entrano in gioco i NIDS, i quali analizzano il contenuto di tali pacchetti e segnalano con un allarme ogni attivit anomala individuata, indipendentemente dal successo o dallinsuccesso della stessa. Inoltre nel caso in cui un attacco provenisse dallinterno della rete, il firewall non avrebbe utilit alcuna. Esso infatti, pur essendo capace di filtrare il traffico verso e dalla rete esterna, non ha alcun potere sul traffico interno alla rete. Altra debolezza dei firewall dovuta al fatto che talvolta gli utenti per ingenuit o impazienza si collegano a Internet creando connessioni non autorizzate tramite modem. Questo comportamento mette a rischio lintera rete perch il traffico generato, anche in questo caso, non sar filtrato dal firewall. I NIDS, pertanto, pur monitorando il traffico interno alla rete, non eliminano i firewall.

Network intrusion detection system

123

Tecniche di Analisi dei Pacchetti


Impostando la scheda di rete del NIDS in modalit promiscua, possibile ascoltare in maniera passiva tutto il traffico passante sul segmento di rete, senza interferire sullo stesso. L'analisi dei pacchetti pu essere effettuata mediante tre tecnologie: la pattern matching analysis, la stateful pattern matching analysis e la protocol analysis. La Pattern Matching Analysis si occupa di analizzare i contenuti dei pacchetti alla ricerca di sequenze di bit prefissate. Questo un approccio semplice da implementare ma, allo stesso tempo, abbastanza rigido e pesante dal punto di vista computazionale in quanto ogni pacchetto deve essere confrontato con centinaia di firme di intrusion detection. Ogni firma associata a un attacco specifico e istruisce l'IDS sul tipo di pacchetto da considerare anomalo. Ciascuna firma assume una struttura composta da sei componenti <protocollo>, <ip_src>, <porta_src>, <ip_dst>, <porta_dst> e <payload_con_exploit> che vengono confrontati con i pacchetti in ingresso e in uscita nel seguente modo: SE il protocollo utilizzato <protocollo>, l'indirizzo IP sorgente <ip_src>, la porta associata all'indirizzo IP sorgente <porta_src>, l'indirizzo IP di destinazione <ip_dst>, la porta associata all'indirizzo IP di destinazione <porta_dst> e il payload contenuto nel pacchetto <payload_con_exploit>, ALLORA genera un allarme. In base a quanto descritto fino ad ora, un allarme viene generato quando si verifica il pattern matching tra un pacchetto e una regola. Questo significa che sarebbe sufficiente dividere la stringa dell'exploit contenuta nel payload in due frame TCP, per non far rilevare l'attacco. Per risolvere questo problema, stato introdotta la Stateful Pattern Matching Analysis che un criterio pi sofisticato di analisi che effettua gli stessi controlli della Pattern Matching Analysis tenendo per conto dello stream TCP dei dati. Questo comporta maggiore carico computazionale in quanto capita spesso che ci siano sessioni TCP aperte da monitorare per un lungo periodo. La Protocol Analysis invece, genera un allarme per ogni violazione delle specifiche tecniche di un protocollo. Si supponga, per esempio, che un client intenda aprire una connessione TCP con un server, a tal fine invia un pacchetto SYN e si aspetta di ricevere o un pacchetto SYN/ACK o un RST/ACK. Qualsiasi altro pacchetto ricevuto viene considerato una violazione e genera un allarme. Questa tecnica minimizza, qualora il protocollo sia ben definito, il numero di falsi positivi generati se traffico lecito viene riconosciuto come anomalo, tuttavia, non raro trovare delle RFC ambigue che lasciano spazio agli sviluppatori di implementare il protocollo a propria discrezione.

Allarmi falsi positivi e falsi negativi


I NIDS lavorano con grandi quantit di dati e per funzionare necessitano di almeno un algoritmo di generazione degli allarmi. Alcuni amministratori scelgono di ritenere anomalo tutto il traffico considerato non affidabile (politica chiusa), altri invece scelgono di ritenere affidabile tutto il traffico non considerato anomalo (politica aperta). Nella prima ipotesi il carico computazionale del NIDS sar rilevante e verr generato un alto numero di falsi allarmi detti falsi positivi che possono essere dovuti a: pacchetti generati da alcuni dispositivi di rete non riconosciuti dal NIDS; violazioni di protocolli non dovute ad attacchi ma ad implementazioni ambigue; circostanze normali ritenute pericolose dal NIDS, come per esempio la visualizzazione di una pagina web contenente il codice sorgente di un exploit. Nella seconda ipotesi il numero di allarmi sar notevolmente minore, ma si corre il rischio di non identificare il traffico anomalo che non trova alcuna corrispondenza con le regole impostate, generando falsi negativi che sono pi difficili da rilevare e possono essere dovuti a: configurazioni non appropriate della rete; quantit di traffico elevata a tal punto da non essere supportata dal NIDS; traffico cifrato; firme errate o troppo generiche;

attacchi 0-day dei quali non stata ancora rilasciata la corrispettiva firma.

Network intrusion detection system Il numero di falsi negativi pu essere limitato solo con una costante manutenzione del NIDS e con un frequente aggiornamento delle firme. Per trovare il giusto equilibrio tra falsi positivi e falsi negativi, opportuno analizzare approfonditamente la topologia della rete ed eliminare la causa che genera falsi allarmi. Procedere eliminando radicalmente la regola corrispondente ad un attacco, potrebbe essere una scelta troppo ingenua e superficiale che talvolta pu comportare il rischio di non rilevare attacchi reali.

124

Risposta dei NIDS


Gli IDS generalmente non intervengono sul traffico, ma si limitano a rispondere passivamente segnalando le anomalie tramite messaggi di testo, email, o telefonate. La modalit di segnalazione dellallarme spesso dipende dalla gravit dello stesso. Alcuni IDS, possono anche essere programmati per rispondere attivamente agli attacchi pi seri, adottando una delle seguenti contromisure: inviando un pacchetto RST allattaccante simulando che esso provenga dal sistema attaccato al fine di far credere che la vittima non sia raggiungibile; interagendo con un firewall di rete per bloccare temporaneamente o permanentemente le connessioni con la vittima; monitorando lintero scambio di pacchetti; eseguendo un nslookup, un portscan o un traceroute verso il sistema attaccante per reperire maggiori informazioni. Tuttavia, configurando lIDS per rispondere attivamente ad attacchi, in caso di falsi positivi si rischierebbe il blocco delle connessioni che normalmente dovrebbero essere consentite causando un DoS.

Posizionamento
Una delle attivit maggiormente critiche nella configurazione e messa in opera di un IDS il suo posizionamento allinterno della rete da monitorare. In base alla topologia della rete, possono presentarsi diversi casi. Quando in un segmento di rete gli host sono collegati da un hub, limplementazione di un NIDS relativamente semplice perch lhub una componente di rete che si occupa di replicare ogni singolo pacchetto su tutte le porte. In questo modo sufficiente collegare il NIDS a una porta qualsiasi dellhub per poter leggere tutto il traffico passante. In presenza di uno switch, invece, la situazione diversa e limplementazione dei NIDS maggiormente complicata. Gli switch, infatti, lavorano ad un livello superiore della pila ISO/OSI rispetto agli hub e quando devono inviare un pacchetto, lo inviano solo verso la relativa porta di destinazione. Una soluzione per poter leggere tutto il traffico del segmento di rete il port mirroring che consiste nel monitorare una o pi porte dello switch, copiandone il traffico su unaltra porta detta mirror port. Tale porta dovr necessariamente avere una capacit di banda possibilmente pari alla somma della capacit di banda di tutte le porte monitorate. Solo in questo modo il traffico potr essere gestito in modo opportuno. Come detto, la scelta del posizionamento degli IDS unattivit molto delicata che deve tener conto delle esigenze della rete e delle risorse di cui si dispone. Unaltra variabile da considerare nel posizionamento di un IDS la sua collocazione rispetto ad un firewall. Posizionando lIntrusion Detection System allesterno del firewall, si identificheranno tutte le attivit anomale incluse quelle che non avranno accesso alla rete in quanto bloccate dal firewall. Un IDS disposto in questo modo sar pi esposto agli attacchi provenienti dallesterno perch privo di protezione. Le risorse richieste sono ingenti in quanto la quantit di traffico analizzato e di log memorizzati sar rilevante. Una soluzione pi economica consiste nel posizionare lIDS allinterno del firewall per monitorare solo il traffico che accede alla rete. In tal modo saranno generati meno allarmi e ci saranno meno log da analizzare. Se invece, lobiettivo dellIDS la protezione dei server, una valida alternativa installare il sistema di intrusion detection nella Demilitarized Zone (DMZ). Tuttavia, gli altri segmenti di rete rimarrebbero privi di monitoraggio.

Network intrusion detection system Pertanto, nel caso in cui le risorse a disposizione siano elevate, la soluzione pi robusta consiste nellinstallare un IDS per ogni segmento di rete. Questo permette di tenere sotto controllo lintera rete, di configurare ciascun Intrusion Detection System in maniera diversa in base alle esigenze del singolo segmento e di evitare eventuali sovraccarichi dei sistemi. Inoltre, se un IDS dovesse venire meno per una qualsiasi ragione (come ad esempio errori hardware/software o attacchi di vario tipo), gli altri segmenti di rete continuerebbero ad essere monitorati.

125

Log Analysis
Lanalisi dei log di fondamentale importanza nel processo di intrusion detection sia nel caso ci siano stati dei tentativi di intrusione, che nel caso si sia verificato un incidente informatico. I log memorizzano record contenenti informazioni sul timestamp, sul protocollo utilizzato, sullindirizzo IP sorgente e di destinazione e sulle porte utilizzate da qualsiasi attivit anomala monitorata. Possono anche essere contenuti dati aggiuntivi come una descrizione testuale dellevento o il numero della regola che ha generato lallarme. Quando vengono generati log causati da eventi di una certa entit, opportuno memorizzare anche il payload del pacchetto che ha generato lallarme per avere maggiori dettagli sullevento. Facciamo un esempio considerando una richiesta DNS. In corrispondenza di questo evento, verr generato un log dove sar riportato che il potenziale attaccante con indirizzo IP 100.200.100.200 ha inviato un pacchetto UDP al destinatario 90.80.70.60, sulla porta 53. Ci non sar sufficiente a capire se la richiesta DNS stata dannosa o meno. La situazione sarebbe differente nel caso in cui si potesse analizzare anche il payload del pacchetto. Uno dei problemi maggiori nellanalisi dei log leterogeneit intrinseca degli stessi, in quanto variano a seconda del firewall, del router o dellIDS utilizzato. Non esistono tool che sincronizzano cronologicamente i log prodotti da sistemi differenti. Pu talvolta capitare che la time zone differisca da sistema a sistema, rendendo ancora pi complicata lanalisi; tuttavia, per sincronizzare sistemi diversi, possono essere usati protocolli come NTP. Inoltre, di estrema importanza la capacit di reazione di fronte ad unintrusione. Intervenire tempestivamente quando si identifica unintrusione, spesso essenziale per evitare che lattaccante possa alterare o eliminare i log. Gli amministratori di rete, tuttavia, dovrebbero prestare attenzione non solo alla possibile manipolazione dei log ma anche alle molteplici attivit anomale che possono presentarsi, come quelle che si stanno per analizzare. Il calo delle performance della rete dovuto alla saturazione della banda, che si verifica perch spesso lattaccante utilizza le macchine compromesse per archiviare programmi, mp3 e film da mettere illegalmente in condivisione con gli altri utenti della rete. Il traffico sospetto verso indirizzi IP sconosciuti o su protocolli non utilizzati comunemente. Se si rilevano connessioni in uscita provenienti da un server web, questo pu significare che il server sia stato compromesso. Se si identificano pacchetti malformati, c il rischio che un attaccante sia alla ricerca di vulnerabilit sulle varie macchine del sistema o stia tentando di aggirare un firewall. La perdita di connettivit, che potrebbe essere associata ad un attacco DoS. Un numero elevato di tentativi di login falliti, i quali sono comuni quando lattaccante cerca di ottenere maggiori privilegi di quelli realmente concessi. Unattivit inusuale del modem, che potrebbe indicare la probabile presenza di dialer. Le Scansioni verso le macchine della rete, che sono utilizzate dallattaccante per raccogliere informazioni sui sistemi operativi installati, i servizi attivi, le porte aperte e la topologia della rete. Tali informazioni saranno poi usate per effettuare un attacco. Lalta quantit di traffico generata in orari non di lavoro, indice di utenti non autorizzati che stanno usufruendo della rete. Nel caso in cui nella rete attaccata fosse presente uno switch, una volta introdottosi, lattaccante potrebbe intercettare il traffico utilizzando due attacchi. Lattacco ARP-POISONING, dove vengono alterate le tabelle ARP degli host appartenenti allo stesso segmento di rete, in modo che la macchina sul quale risiede lo sniffer veda anche il traffico generato dagli altri host.

Network intrusion detection system Lattacco DHCP-POISONING, dove lattaccante fa in modo che un host della rete interna simuli di essere il server DHCP e invii delle risposte ad-hoc alle DHCP-REQUEST che gli arrivano, specificando lindirizzo IP dellattaccante come default gateway. In tal modo tutto il traffico, prima di arrivare allesterno, passer per la macchina controllata dallattaccante.

126

Aspetti Legali
Qualsiasi attivit di monitoraggio della rete deve rispettare le normative in vigore nello stato in cui si trova il sistema informatico e le politiche interne aziendali. In caso contrario esiste il rischio di essere perseguiti penalmente per violazione della privacy degli utenti della rete e per intercettazione abusiva di comunicazione informatica. Non sar, inoltre, possibile utilizzare i dati raccolti per intraprendere azioni legali nei confronti di un intruso. pertanto opportuno: informare gli utenti che la loro attivit di rete sar monitorata; indicare lo scopo del monitoraggio; specificare le tipologie di traffico monitorate; specificare il responsabile a cui saranno inviate le segnalazioni di eventuali compromissioni.

Dal punto di vista burocratico tali accorgimenti possono essere tradotti in una lettera informativa da far firmare a tutti gli utenti della rete per presa visione. Dal punto di vista tecnico possibile implementare un Message of the Day (MOTD) che consiste in un messaggio iniziale che informa gli utenti dellattivit di logging della rete. In caso di incidente informatico i log rappresentano prove preziose, ed in quanto tali, devono essere ottenute in modo conforme alla normativa vigente ed essere tali da poter illustrare dettagliatamente lo svolgimento dei fatti. pertanto opportuno fare in modo che la prova ottenuta sia: autentica ed inalterata anche in caso di spostamenti dei dispositivi che contengono la prova stessa; completa, in quanto non deve mostrare lincidente dallunica prospettiva riconducibile alle azioni compiute dallattaccante, ma deve valutare anche prospettive che potrebbero dare adito a contraddizioni; comprensibile e credibile, ovvero rappresentata in un formato leggibile da chiunque e non ad uso esclusivo degli esperti del settore.

Scelta di un NIDS
Per concludere questa panoramica, vengono discussi gli elementi da tenere in considerazione durante la scelta di un NIDS. Costo: deve, ovviamente, essere proporzionato alle risorse che si vogliono proteggere. Capacit del la banda supportata: la quantit di traffico che il sensore pu analizzare in ununit di tempo. Si misura in Mb/s o in pacchetti/s. Aggiornamento delle firme: i NIDS da questo punto di vista funzionano esattamente come gli antivirus. Per poter identificare i nuovi attacchi devono avere nel loro database le firme recenti. Per questa ragione di estrema importanza che gli aggiornamenti vengano rilasciati in modo tempestivo e venga data la possibilit di aggiornare il database in modo automatico. Importante anche la possibilit di utilizzare firme personalizzate create ad-hoc per le proprie esigenze. Attivit di logging: opportuno verificare la chiarezza dei log e valutare se loutput viene salvato in formato standard o proprietario. Scalabilit: La possibilit di ampliare le funzionalit del NIDS in caso di esigenze future di estrema importanza, in partiolare andrebbe valutato il numero di sensori supportati e la possibilit di gestire il sistema in maniera centralizzata tramite unapposita console.

Network intrusion detection system

127

Voci correlate
Sicurezza informatica Intrusion detection system (IDS) Host-based intrusion detection system (HIDS)

Collegamenti esterni
(EN) Snort [4] - Popolare NIDS Open Source (EN) ISS RealSecure Network IDS [2] (EN) The RFC Archive [1]

Note
[1] http:/ / www. faqs. org/ rfcs/

Network tap
Tap un dispositivo hardware inserito in reti informatiche che permette il monitoraggio non invasivo del flusso dati in transito. Il significato del nome in lingua inglese rubinetto, e rappresenta in modo figurato lo scopo del dispositivo. Tuttavia anche un retro-acronimo, in quanto consiste nelle iniziali di Test Access Port. Si presenta come una scatola con almeno tre connettori: A, B e Monitor. Il segmento di rete sottoposto a monitoraggio viene derivato tra A e B mentre il connettore Monitor collegato ai dispositivi di monitoraggio, spesso attraverso una rete indipendente. Il flusso dati tra A e B assicurato senza alcuna alterazione fisica o temporale (pass through) e ricopiato integralmente sulla porta Monitor. Le reti informatiche, inclusa Internet, sono collezioni di dispositivi, quali computer, router e switch che sono interconnessi attraverso diverse tecnologie al livello 2 della pila ISO/OSI. A questo livello, un dispositivo Tap virtualmente invisibile. L'uso virtuoso di questo dispositivo in sistemi di amministrazione remota delle reti o del monitoraggio delle intrusioni ai fini della sicurezza informatica. pertanto importante che il livello fisico della rete sia adeguatamente protetto (ad esempio, l'accesso ai locali di un datacenter non deve essere consentito agli estranei), ad evitare l'inserzione indesiderata ed un uso maligno di questo dispositivo. Lo svantaggio principale di questa soluzione sta nel costo addizionale che esso comporta, pertanto in diversi casi gli viene preferita una soluzione software quale il packet sniffer.

Network tap

128

Voci correlate
Packet sniffer

Collegamenti esterni
Comcraft [1] Datacom Systems [2] Net Optics/NPC [3] Telena SPA [4]

Note
[1] [2] [3] [4] http:/ / www. lan-wan-tap. com http:/ / www. datacomsystems. com/ http:/ / www. network-taps. it/ http:/ / www. telena. eu/

Next-Generation Secure Computing Base


Il sistema NGSCB (Next-Generation Secure Computing Base), precedentemente noto con il nome di Palladium e poi trasformatosi in System Integrity Team, un'architettura software proposta dalla Microsoft che avrebbe inserito un Trusted Software Stack nelle versioni di Microsoft Windows successive a Windows XP, in particolar modo in Windows Vista. L'unica funzionalit effettivamente implementata in tale sistema operativo che sfrutta le funzionalit offerte dal Trusted Computing BitLocker Drive Encryption, un programma per la crittazione del disco rigido.

Architettura e dettagli tecnici


Nelle attuali specifiche della Trusted Computing sono presenti due componenti hardware: il TPM (Trusted Platform Module), che realizza la memorizzazione in sicurezza di chiavi crittografiche e un coprocessore crittografico sicuro, e una particolare caratteristica di memoria nella CPU. Il sistema NGSCB avrebbe dovuto includere inoltre due componenti software, il Nexus, un kernel di sicurezza integrato all'interno del sistema operativo, e vari NCA (Nexus Computing Agent), ossia moduli fidati all'interno di applicazioni che sfruttano la NGSCB.

Applicazioni

Architettura del NGSCB

Le applicazioni progettate per NGSCB sarebbero state divise in due parti: lo NCA, un modulo "fidato" in grado di accedere a un insieme ristretto di API, e una parte "non fidata" che sarebbe stato in grado di accedere a tutte le API di Windows. Ci al fine di evitare che il modulo "fidato" fosse in grado di effettuare delle chiamate ad API che avrebbero potuto contenere delle falle di sicurezza (ossia che non siano 'fidate'); il codice fidato avrebbe dovuto usare solo API che fossero state attentamente esaminate al fine di chiudere ogni possibile falla di sicurezza.

Next-Generation Secure Computing Base

129

Critiche
L'NGSCB ed il Trusted Computing furono criticati soprattutto in quanto considerati inefficaci nel risolvere la maggior parte degli odierni problemi di sicurezza informatica, quali ad esempio virus informatici e trojans. Ci nonostante, Microsoft aveva affermato in passato che l'NGSCB una tappa necessaria propria nella lotta ai virus[1] . Tuttavia, in seguito Microsoft non ha pi aggiunto nulla circa l'effettiva capacit dell'NGSCB di risolvere questi problemi[2] .

Disponibilit
Quando fu annunciato, ci si aspettava che l'NGSCB facesse parte del nuovo sistema operativo Windows, Windows Vista (precedentemente denominato Longhorn). Nel maggio 2004 fu riportato che la Microsoft aveva accantonato il progetto NGSCB[3] . La notizia fu repentinamente smentita dalla Microsoft, che rilasci alla stampa la dichiarazione di star al contrario "riprendendo" il progetto.

Cambi di nome dell'iniziativa


Inizialmente l'NGSCB era stato chiamato da Microsoft "Palladium". Nella mitologia greca e romana, Palladio era l'"immagine della tradizione su cui si basa la sicurezza della citt". Il nome era associato in particolare alla statua della dea Atena ubicata a Troia, la quale si credeva proteggesse i troiani dalle invasioni dei greci. La statua venne rubata da Ulisse e Diomede, ma la citt non cadde fino a che non venne aggredita dal cavallo di Troia. All'inizio del 2006, la Microsoft ha di nuovo cambiato il nome del progetto NGSCB in System Integrity Team[4] (progetto per il mantenimento dell'integrit del sistema). L'ultimo post sul sito web del progetto risaliva al 26 ottobre 2006, ma da poco si vede nuova attivit sul blog del sito esattamente dal 25 febbraio 2008.

Voci correlate
Trusted computing BitLocker Drive Encryption

Note
[1] (http:/ / archives. linuxfromscratch. org/ mail-archives/ lfs-chat/ 2003-August/ 016683. html) [2] (http:/ / www. microsoft. com/ technet/ archive/ security/ news/ ngscb. mspx) [3] (http:/ / www. crn. com/ sections/ breakingnews/ dailyarchives. jhtml;jsessionid=STLRITJUXF2YCQSNDBCCKH0CJUMEKJVN?articleId=18841713& _requestid=350195) [4] (EN) System Integrity Team Official Blog (http:/ / blogs. msdn. com/ si_team/ archive/ 2006/ 03/ 02/ 542577. aspx)

Collegamenti esterni
(EN) Microsoft's NGSCB page (http://www.microsoft.com/resources/ngscb/default.mspx) (EN) Blog del system integrity team (http://blogs.msdn.com/si_team/default.aspx) Articolo di Ross Anderson sul palladium (http://www.complessita.it/tcpa/) Richard Stallman's Can You Trust Your Computer? (http://www.gnu.org/philosophy/can-you-trust.it.html) (EN)Bruce Schneier's analysis (http://www.schneier.com/crypto-gram-0208.html#1) of Palladium/TCPA (EN) Register story: MS security patch EULA gives Bill Gates admin privileges on your box (http://www. theregister.co.uk/content/4/25956.html) (EN) The Trojan Palladium (http://homepage.mac.com/cparada/GML/Palladium.html) (EN) News.com story: What's in a name? Not Palladium (http://news.com.com/2100-1001-982127. html?tag=fd_top)

Next-Generation Secure Computing Base (EN) Microsoft patents "Digital Rights Management Operating System" (http://www.oreillynet.com/cs/user/ view/wlg/956) (EN) Microsoft's "Digital Rights Management Operating System" patent (http://patft.uspto.gov/netacgi/ nph-Parser?Sect1=PTO1&Sect2=HITOFF&d=PALL&p=1&u=/netahtml/srchnum.htm&r=1&f=G&l=50& s1=6330670.WKU.&OS=PN/6330670&RS=PN/6330670) (EN) Microsoft moves to integrate Windows with BIOS (http://news.zdnet.co.uk/software/developer/ 0,39020387,39116902,00.htm) (EN) Secure Startup: Microsoft in Your Motherboard (http://www.devhardware.com/c/a/Motherboards/ Secure-Startup-Microsoft-in-Your-Motherboard/): Article about Microsoft's plans for security and the hardware involved

130

Nmap
Nmap Sviluppatore Ultimaversione S.O. Genere Licenza Gordon Lyon (Fyodor) 5.51 (12 febbraio 2011) Multi-piattaforma Sicurezza Informatica GNU General Public License (Licenza libera) http:/ / www. insecure. org/ nmap/

Sito web

Nmap un software libero distribuito con licenza GNU GPL da Insecure.org creato per effettuare port scanning, cio mirato all'individuazione di porte aperte su un computer bersaglio o anche su range di indirizzi IP, in modo da determinare quali servizi di rete siano disponibili. in grado di ipotizzare quale sistema operativo sia utilizzato dal computer bersaglio, tecnica conosciuta come fingerprinting. Nmap divenuto uno degli strumenti praticamente indispensabili della "cassetta degli attrezzi" di un amministratore di sistema, ed usato per test di penetrazione e compiti di sicurezza informatica in generale. Come molti strumenti usati nel campo della sicurezza informatica, Nmap pu essere utilizzato sia dagli amministratori di sistema che dai cracker o script kiddies. Gli amministratori di sistema possono utilizzarlo per verificare la presenza di possibili applicazioni server non autorizzate, cos come i cracker possono usarlo per analizzare i loro bersagli. Nmap spesso confuso con strumenti per la verifica di vulnerabilit come Nessus. Nmap pu essere configurato per evadere dagli IDS (Intrusion Detection System) ed interferire il meno possibile con le normali operazioni delle reti e dei computer che vengono scanditi.

Nmap

131

Curiosit
Nel film Matrix Reloaded Trinity usa Nmap per penetrare nel sistema della centrale elettrica, tramite la forzatura dei servizi SSH e il bug CRC32[1] (scoperto nel 2001).

Note
[1] BBC News: Matrix mixes life and hacking (http:/ / news. bbc. co. uk/ 1/ hi/ technology/ 3039329. stm)

Voci correlate
Port scanning hping Nessus

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Nmap

Collegamenti esterni
(EN) The Nmap Security Scanner (http://www.insecure.org/nmap/) Guida in Italiano per Nmap (http://www.shishii.com/dummy/index.php?id=99)

One-time password
Una One-Time Password (password usata una sola volta) una password che valida solo per una singola sessione di accesso o una transazione. La OTP evita una serie di carenze associate all'uso della tradizionale password (statica). Il pi importante problema che viene risolto da OTP che, al contrario della password statica, esso non vulnerabile agli attacchi con replica. Ci significa che, se un potenziale intruso riesce ad intercettare una OTP che stata gi utilizzata per accedere a un servizio o eseguire una transazione, non sar in grado di riutilizzarla, in quanto non sar pi valida. D'altra parte, una OTP non pu essere memorizzata da una persona. Essa richiede quindi una tecnologia supplementare per poter essere utilizzata.

Come sono generate e memorizzate le OTP


Gli algoritmi di generazione delle OTP in genere fanno uso di numeri casuali. Ci necessario perch altrimenti sarebbe facile prevedere l'OTP futuro osservando i precedenti. Gli algoritmi OTP che sono stati realizzati sono abbastanza diversi tra loro. I vari approcci per la generazione di OTP sono elencati di seguito. Algoritmi basati sulla sincronizzazione temporale tra server di autenticazione e client che fornisce la password (le OTP sono valide solo per un breve periodo di tempo) Algoritmi matematici che generano una nuova password in base alla password precedente (le OTP sono, di fatto, una catena di password legate tra loro, e devono essere utilizzate in un ordine predefinito) Algoritmi matematici dove la password basata su una sfida (per esempio, un numero casuale scelto dal server di autenticazione o dai dettagli della transazione) e/o su un contatore. Ci sono anche diversi modi per rendere note all'utente le successive OTP da usare. Alcuni sistemi elettronici prevedono l'uso di speciali token che l'utente porta con s, che generano le OTP e le mostrano utilizzando un piccolo display. Altri sistemi sono costituiti da un software che gira sul telefono cellulare dell'utente. Altri sistemi generano le OTP sul lato server e le trasmettono all'utente su un canale fuori banda, come ad esempio un canale di

One-time password messaggistica SMS. Infine, in alcuni sistemi le OTP sono stampate su carta, che l'utente tenuto a portare con s.

132

OpenID
OpenID un meccanismo di identificazione creato da Brad Fitzpatrick di LiveJournal. Si tratta di un network distribuito e decentralizzato, nel quale la propria identit un URL, e pu essere verificata da qualunque server supporti il protocollo. Su un sito che supporta OpenID, gli utenti Internet non hanno bisogno di creare ed amministrare un nuovo account per accedervi. Al contrario essi effettuano una autenticazione col proprio provider OpenID, che fornisce la dichiarazione di identit al sito che supporta l'OpenID. al momento supportato da LiveJournal e dai suoi fork (come GreatestJournal. InsaneJournal, LiveJournal e DeadJournal), cos come da Plone (versione 3.0) [1](EN), LifeWiki, SupportOffice e Schtuff.

Fondazione OpenID
La fondazione OpenID, cos come la sua controparte europea OpenID Europa, una struttura, senza scopo di lucro, impegnata nello sviluppo della rete OpenID, fondata nel 2007[2] .

Adozione di OpenID
America Online Bitbucket Orange VeriSign Simptropolis.com Six Apart Springnote WordPress.com Wikitravel, Ma.gnolia, ClaimID, IconBuffet, UserStyles.org, e Basecamp Yahoo! SourceForge Google Facebook Identi.ca Virgilio (portale) Ikariam Embarcadero Developer Network

OpenID

133

Voci correlate
Identity Centric Architecture Light-Weight Identity Single sign-on LiveJournal DataPortability Google Friend

Note
[1] http:/ / plone. org/ products/ plone/ roadmap/ 173 [2] (EN) OpenID Foundation (http:/ / openid. net/ foundation/ ). OpenID Foundation.URL consultato il 26-06-2008.

Collegamenti esterni
(EN) OpenID Europe Foundation (http://openideurope.eu/) OpenID Italia (http://www.openid.it/) - Progetto Open Source per OpenID in Italia Video: cos' OpenID (http://www.ictv.it/file/vedi/355/openid/) (EN) Home Page di OpenID (http://www.openid.net/) (EN) OpenID Site Directory: una lista di siti che usano OpenID (https://www.myopenid.com/directory) (EN) The OpenID Directory: un'altra lista di siti che usano OpenID (http://openiddirectory.com/)

OpenSSL
OpenSSL Sviluppatore Ultimaversione S.O. Linguaggio Genere Licenza The OpenSSL Project 1.0.0e (6 settembre 2011) Multi piattaforma C Sicurezza Licenza Apache-style (Licenza chiusa) http:/ / www. openssl. org

Sito web

OpenSSL un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C) eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure che permettono di accedere alle funzioni della libreria OpenSSL. disponibile per la maggior parte dei sistemi operativi unix-like, inclusi GNU/Linux e Mac OS X, ed anche per Microsoft Windows. OpenSSL originariamente basato sulle librerie SSLeay di Eric Young e Tim Hudson.

OpenSSL

134

Versioni principali
OpenSSL 1.0.0 rilasciata il 29 marzo 2010 OpenSSL 0.9.8 rilasciata il 5 luglio 2005 (annuncio) [1] OpenSSL 0.9.7 rilasciata il 31 dicembre 2002 OpenSSL 0.9.6 rilasciata il 25 settembre 2000 OpenSSL 0.9.5 rilasciata il 28 febbraio 2000 OpenSSL 0.9.4 rilasciata il 9 agosto 1999 OpenSSL 0.9.3 rilasciata il 25 maggio 1999.

Algoritmi implementati
OpenSSL supporta diversi algoritmi crittografici: Cifrari Blowfish, Camellia, CAST, DES, RC2, RC4, RC5, IDEA, AES funzioni hash crittografiche MD5, MD2, SHA, MDC-2 Crittografia a chiave pubblica RSA, DSA, Scambio di chiavi Diffie-Hellman Funzioni di Autenticazione dei messaggi HMAC, MD2, MD4, MD5, MDC2, RIPEMD, SHA Certificati X.509

Conformit allo standard FIPS


Negli Stati Uniti l' Open Source Software Institute [2], un'organizzazione senza fini di lucro formata da rappresentanti del governo, dell'industria e del mondo accademico allo scopo di promuovere l'adozione dei programmi open source nelle universit e negli enti governativi, sta tentando di far ottenere a OpenSSL la conformit FIPS 140-2 (Federal Information Processing Standard FIPS Publication 140-2), uno standard per la sicurezza informatica usato per certificare i programmi crittografici.

Licenza
OpenSSL utilizza una sistema dual-license (doppia licenza), la OpenSSL License e la SSleay License. Normalmente in un sistema a doppia licenza possibile scegliere quale delle due licenze adottare; nel caso della OpenSSL occorre seguire entrambe. La licenza risultante simile a quella di Apache. La licenza richiede che la frase "This product includes software developed by the OpenSSL Project for use in the OpenSSL Toolkit" appaia come clausola pubblicitaria, che la rendono incompatibile con la licenza GPL. Non ben chiaro se la OpenSSL rientri nella eccezione della GPL riguardo alle librerie di sistema. Alcuni autori preferiscono inserire una esplicita GPL linking exception per permettere l'utilizzo della OpenSSL nel loro software. Altri hanno preferito sostituirla con la GnuTLS.

OpenSSL

135

Bug di sicurezza Debian


Il 13 maggio 2008 stato scoperto un grave problema di sicurezza nel pacchetto OpenSSL di Debian GNU/Linux. La versione implementata in Debian, Ubuntu e altre distribuzioni derivate generava infatti chiavi vulnerabili. Una correzione risalente al settembre 2006, infatti, aveva eliminato il codice che utilizzava parti della memoria non inizializzate per aumentare l'entropia del generatore di chiavi, utilizzando come valore variabile solo il numero del processo. Questa modifica aveva ridotto il numero di chiavi generabili da 21024 o 22048 a solo 215, quindi ad appena 32768 valori possibili. Questo bug stato rapidamente corretto ma tutte le chiavi generate su sistemi Debian e derivati nel frattempo andrebbero rigenerate.

Alternative
GnuTLS della Free Software Foundation una libreria analoga che svolge le stesse funzioni, ma compatibile con la licenza GNU Lesser General Public License.

Collegamenti esterni
(EN) Sito web OpenSSL [3] (EN) GnuTLS [4] Introduzione ed esempi (codice sorgente C) per gli algoritmi: DES, Blowfish, Idea, MD5 [5] Introduzione ed esempi (codice sorgente C) per l'algoritmo: RSA [6] (EN) Debian Security Advisory del bug nel pacchetto openssl [7] Guida alle connessioni tunnel con SSH (forwarding) [8]

Note
[1] [2] [3] [4] [5] [6] [7] [8] http:/ / www. openssl. org/ news/ announce. html http:/ / www. oss-institute. org/ http:/ / www. openssl. org/ http:/ / www. gnu. org/ software/ gnutls/ http:/ / ardoino. com/ 21-openssl-des-blowfish-idea-md5-implementation/ http:/ / ardoino. com/ 20-openssl-rsa-implementation/ http:/ / www. debian. org/ security/ 2008/ dsa-1571 http:/ / www. compago. it/ index. php/ manuali/ 34-linux/ 166-connessioni-tunnel-con-ssh

OSSIM

136

OSSIM
OSSIM uno strumento per il security monitoring (si basa, tra l'altro, su Nessus, Snort, Ntop): il nome rappresenta l'acronimo di "Open Source Security Information Manager".

Correlazione
OSSIM un correlatore, in un contesto in cui correlare implica la capacit di osservare tutti gli eventi in tutti i sistemi in un posto e nella stessa disposizione, e da questa posizione di vantaggio privilegiata confrontare e valutare le informazioni, permettendo cos di migliorare la possibilit di rilevazione. L'idea di correlazione inoltre implicita nella visione del progetto, inteso come unione di pi prodotti e con la possibilit di integrare diverse fonti dati. Nel quadro generale di OSSIM, sono stati integrati in un unico prodotto una serie di software sviluppati negli ultimi anni, che generano nuove possibilit quando le loro funzionalit sono correlate.

Valutazione di rischio
Per decidere se o non realizzare un'azione si valuta il report di minaccia. Strumenti di cui OSSIM il correlatore: Nessus snort ntop p0f Pads Spade Tcptrack Nagios Osiris Arpwatch

Password authentication protocol

137

Password authentication protocol


Il PAP (acronimo per l'inglese Password authentication protocol), un protocollo di rete che richiede che l'utente si faccia riconoscere inviando, in chiaro, al server sia l'identificativo utente che la password. L'utilizzo di questo protocollo conveniente solo nel caso in cui la rete sia formata da due soli elaboratori in un collegamento punto-punto. Un suo utilizzo in una rete diversa in cui hanno accesso pi elaboratori comprometterebbe inequivocabilmente la sicurezza delle trasmissioni dato che sia password che parola d'ordine vengono trasmessi in chiaro senza cifrature.

Voci correlate
Autenticazione CHAP

Penetration Test
In informatica, il penetration test il processo operativo di valutazione della sicurezza di un sistema o di una rete che simula l'attacco di un utente malintenzionato. L'analisi comprende pi fasi ed ha come obiettivo evidenziare le debolezze della piattaforma fornendo il maggior numero di informazioni sulle vulnerabilit che ne hanno permesso l'accesso non autorizzato. L'analisi condotta dal punto di vista di un potenziale attaccante e consiste nello sfruttamento delle vulnerabilit rilevate al fine di ottenere pi informazioni possibili per accedere indebitamente al sistema. Tutti i problemi di sicurezza rilevati vengono quindi presentati al cliente assieme ad una valutazione del loro impatto nel sistema e nello scenario del business aziendale, fornendo inoltre una soluzione tecnica o proposta di migrazione e mitigazione del sistema. Il penetration test fornisce una stima chiara sulle capacit di difesa e del livello di penetrazione raggiunto nei confronti: delle vulnerabilit interne al sistema; delle vulnerabilit esterna al sistema; della sicurezza fisica.

Procedimenti di analisi
L'analisi viene svolta a fronte di un accordo commerciale/tecnico. Chi svolge questa attivit chiamato penetration tester o auditor e oggi anche con il pi moderno nome ethical hacker, visto che si tenta di aggredire il sistema con le stesse logiche utilizzate da un hacker. Un gruppo di penetration tester chiamato anche tiger team. I processi di penetration test possono essere effettuati in diverse modalit. La differenza consiste sulla quantit e qualit delle informazioni disponibili agli analisti riguardo ai sistemi analizzati. I test Black Box non presuppongono precedente conoscenza dell'infrastruttura oggetto di analisi e gli esaminatori necessitano di determinare architettura e servizi dei sistemi prima di iniziare l'analisi. Nei test White Box sono invece fornite conoscenze dettagliate dell'infrastruttura da esaminare, spesso comprensive di schemi di rete, codice sorgente delle applicazioni e liste di indirizzi IP presenti nella rete. Esistono anche varianti a queste metodologie definibili Grey Box. I processi di analisi che vengono condotti in un penetration test hanno diversi tempi di azione in cui sono alternate fasi manuali e fasi automatiche. Vengono acquisite inizialmente le informazioni principali sull'architettura della

Penetration Test piattaforma e sui servizi offerti. Dall'analisi di questi dati deriva la scelta di come condurre il passo successivo, consistente in una enumerazione dei principali errori e problemi. Software automatizzati uniti all'esperienza manuale dell'analista permettono quindi di evidenziare tutte le possibili vulnerabilit, incluse quelle pi recenti e alcune ancora non di pubblico dominio. I problemi riscontrati sono quindi manualmente verificati e sono prese le evidenze, o prove, che certificano l'esistenza delle problematiche stesse. L'attivit si conclude nello sviluppo della reportistica composta dal report di analisi sommaria dedicato al management o executive summary, contenente l'analisi dell'impatto di rischio di quanto riscontrato e tempistiche per l'azione di rientro o mitigazione delle problematiche riscontrate, e dal report tecnico, contenente l'analisi dettagliata dei problemi e la soluzione tecnica. Il penetration test va effettuato su sistemi esposti su Internet e comunque sulle piattaforme sensibili collegate a grosse reti, prima di entrare in esercizio, per avere una prova pratica della sicurezza di ci che si espone.

138

Certificazioni Professionali
Nell'ambito del penetration test possibile acquisire certificazioni rilasciate da enti preposti a garantire le dovute caratteristiche tecniche e di affidabilit degli operatori nonch quello di fornire una metodologia che renda il test di per se replicabile, valutabile e misurabile nel tempo: ISECOM - OSSTMM Professiona Security Tester (OPST) International Council of E-Commerce Consultants - Certified Ethical Hacker (CEH) Offensive Security (offensive-security.com)- Offensive Security Certified Professional (OSCP)

Piano di contingenza
Il piano di contingenza (o piano emergenziale) un programma operativo che delinea preventivamente le azioni di determinati soggetti od enti per il caso che si verifichi un evento dannoso o comunque pericoloso per la collettivit. Il piano, cio, prevede in genere linee guida pi o meno dettagliate su cosa ciascuno dei soggetti od enti che devono dargli esecuzione debba fare al verificarsi dell'evento.

I piani di contingenza civili


Piani di contingenza civili sono stati elaborati in previsione di numerose possibili emergenze, ad esempio, in tempi recenti, per il rischio che il cosiddetto Millennium bug potesse portare al caos organizzativo istituzioni ed aziende che fondavano la loro capacit operativa sui computer. Pi in generale un'organizzazione (Ente o Azienda) attenta al sua gestione dell'informazione dovrebbe avere un #Piano_di_contingenza_informatico Altri piani sono ordinariamente redatti per fronteggiare i rischi da eventualit di tipo sanitario, idrogeologico e simili.
[1] [2]

sismico,

I piani di contingenza militari


I piani di contingenza militari (e quelli simili redatti per esigenze di polizia) sono in genere elaborati per l'ipotesi di eventi pericolosi per la sicurezza politico-militare dello stato. Prendono perci in considerazione le eventualit di insurrezione, sovversione, colpo di stato, azioni terroristiche e, ovviamente, attacchi armati da parte di potenze straniere. Contengono istruzioni sull'impiego e sul dispiegamento delle forze, nonch l'indicazione di obiettivi sensibili interni da presidiare o conquistare, oppure di obiettivi esterni da attaccare o espugnare. La loro redazione competenza di esperti di strategia militare muniti dell'opportuna legittimazione. Le ipotesi di lavoro comprendono l'eventuale impossibilit di coordinamento strategico delle forze, sia per impedimento o "annullamento" dei vertici, sia per mera interruzione dei canali di comunicazione, pertanto i piani

Piano di contingenza emergenziali militari rispondono anche a questa esigenza. In Italia alcuni di questi piani, ordinariamente coperti da segreto militare o segreto di stato, sono emersi in occasione di inchieste giudiziarie; cos fu ad esempio per il Piano Solo e per il piano Esigenza Triangolo. Ad un riordino e coordinamento dei piani emergenziali provvide negli anni cinquanta l'allora capo della polizia, prefetto Angelo Vicari.

139

Piano di contingenza informatico


Il piano di contingenza informatico si articola su quattro filoni di analisi: Impatto sul business (business impact analysis) Pianificazione della risposta all'incidente (incidente response plannig) Pianificazione del recupero del disastro (Disaster Recovery Planning) Pianificazione della continuit del Business (Business Continuity Planning)

Impatto sul business (business impact analysis)


Individua i processi che devono essere funzionanti per garantire il business e quali possono essere sospesi per un certo periodo di tempo. Questo porta alla definizione di una strategia di recupero[3] .

Pianificazione della risposta all'incidente (incidente response plannig)


un insieme dettagliato di processi e procedure che prevengono, scoprono e mitigano l'impatto di un evento che possa compromettere le risorse e i beni correlati. costituito da sei fasi[4] : 1. Preparazione. Pianificazione e preparazione nell'evento di un incidente di sicurezza 2. Identificazione. Per scoprire un insieme di eventi che hanno un impatto negativo sul business e possono essere considerati un incidente di sicurezza 3. Contenimento. Per contenere e mitigare i danni 4. Estirpazione. Per essere sicuri di avere rimosso i suoi effetti e i suoi agenti dai sistemi 5. Recupero. Per riportare il business ed i beni al loro stato normale 6. Lezioni apprese (Lessons Learned): come applicare quello che si appreso dall'accaduto al sistema Una minaccia diviene un attacco valido e viene considerata come un incidente di sicurezza informativa se: diretto verso i beni informatici ha una probabilit realistica di riuscire minaccia la riservatezza, integrit o la disponibilit delle informazioni

Pianificazione del recupero del disastro (Disaster Recovery Planning)


Vedi Disaster_recovery

Pianificazione della continuit del Business (Business Continuity Planning)


Il BCP attivato di solito insieme al Disater recovery planning dal CEO. Esso tende a far continuare il business anche con mezzi alternativi (altro sito, procedure manuali, outsourcing) mentre il DRP si focalizza a ripristinare il sito principale o meglio le operazioni come di solito sono portate avanti.

Altri significati
Nella programmazione aziendale, ad esempio per la redazione di studi di fattibilit, i piani di contingenza sono le analisi dei problemi potenzialmente ostanti al corretto raggiungimento degli obiettivi di impresa (generali o specifici)

Piano di contingenza e comprendono le soluzioni operative che si prevede di voler applicare in simili eventualit.

140

Note
[1] Linee guida per la pianificazione di contingenza per emergenze sanitarie (http:/ / www. asl3. liguria. it/ doc/ pdf/ LG_piano_contingenza. pdf) [2] Linee guida per la pianificazione di contingenza per la gestione di un laboratorio (http:/ / www. medicalsystems. it/ editoria/ GALA/ Gala7_1_3. pdf) [3] Michael E. Whitman, Herbert J. Mattord, Management of Information Security, 2/E ISBN 1-4239-0130-4 [4] NIST IT Contingency Planning Guide (http:/ / csrc. nist. gov/ publications/ nistpubs/ 800-34-rev1/ sp800-34-rev1. pdf)

Voci correlate
Business continuity plan Esigenza Triangolo Piano Solo

Port knocking
In informatica, il port knocking un sistema per aprire delle porte su un firewall dall'esterno inviando tentativi di connessione ad una sequenza prestabilita di porte chiuse; una volta che ci sia stato fatto le regole del firewall vengono aggiornate dinamicamente per consentire all'host che ha inviato la giusta sequenza di connettersi alla porta voluta. Questo scopo viene ottenuto principalmente impiegando un demone che controlli continuamente i log del firewall in cerca della sequenza corretta e in tal caso ne modifichi la configurazione, ma si pu usare anche uno sniffer che esamini direttamente i pacchetti ricevuti, usando in questo caso delle porte gi aperte su cui ricevere la bussata. L'utente invece utilizzer un piccolo programma, che pu essere un semplice script netcat o un ping modificato sino ad un generatore di hash, da lanciare prima della normale connessione alla macchina di destinazione. Il port knocking viene frequentemente impiegato per consentire l'accesso sulla porta TCP 22, usata da SSH, in quanto questo servizio spesso l'obiettivo di attacchi a forza bruta in seguito a port scan. La bussata analoga ad una stretta di mano segreta e pu consistere in qualsiasi quantit di pacchetti TCP, UDP, ICMP diretti a porte numerate sulla macchina di destinazione. La complessit della bussata pu variare da una semplice lista di porte da contattare sequenzialmente ad uno schema temporizzato che discrimini l'indirizzo IP e impieghi tecniche crittografiche. Molte implementazioni sono vere e proprie macchine a stati che consentono di non rivelare alcuna informazione circa lo stato attuale, in altre parole se la parte iniziale della bussata stata ricevuta correttamente, mentre quella finale no, l'utente non ha nessun modo di saperlo in quanto l'unico effetto osservabile l'eventuale apertura della porta a cui si vuole connettere quando la sequenza inviata corretta.

Come funziona in teoria


1. Il client non in grado di connettersi all'applicazione in ascolto sulla porta n. 2. Il client tenta di connettersi ad un insieme predefinito di porte inviando un'opportuna sequenza di pacchetti, sa dell'esistenza del demone che gestisce il port knocking e conosce la sua configurazione, ma non riceve alcuna risposta in questa fase in quanto il firewall lo impedisce. 3. Un processo sul server (il demone che gestisce il port knocking) intercetta ed interpreta i tentativi di connessione, secondo la bussata ricevuta eseguir una certo genere di azione, come aprire la porta n al client. 4. Il client si connette alla porta n e si autentica secondo i normali metodi.

Port knocking

141

Benefici
Se un malintenzionato non conosce la corretta bussata, scoprire una sequenza anche molto semplice richiede un attacco a forza bruta piuttosto impegnativo. Ad esempio una bussata su tre porte richiederebbe all'attaccante di provare ogni loro possibile combinazione nell'intervallo che va da 1 a 65535 e quindi controllare se per caso si sia aperta la porta desiderata; questo equivale approssimativamente all'invio di 655354 (18,445,618,199,572,250,625 o 18 milioni di miliardi circa) pacchetti per una singola porta, statisticamente ne sarebbero necessari 9 milioni di miliardi. Generalmente, quando una bussata ha successo, le regole del firewall sono modificate in modo da consentire l'accesso solo all'indirizzo IP da cui stata generata; in questo modo diversi utenti potranno effettuare la procedura senza che questa venga influenzata da altri e possono anche essere definite distinte bussate per ogni IP. Questo approccio paragonabile ad una sorta di whitelist dinamica: la porta potr essere chiusa dall'utilizzatore, senza l'intervento di un amministratore di sistema, con un'altra bussata, oppure sar previsto un timeout. Le prime implementazioni del port knocking consistevano in semplici liste di porte a cui connettersi in sequenza, questa semplicit ha ingenerato un certo sospetto nella comunit di esperti di sicurezza informatica, soprattutto a causa dell'inefficacia di questo approccio verso i replay attack, ma l'introduzione di primitive crittografiche (quali ad esempio gli hash) ha consentito di superare anche questa limitazione. Ad ogni modo, anche se un malintenzionato venisse a conoscenza della corretta bussata, il servizio sotto attacco avrebbe ancora a sua difesa i suoi usuali meccanismi di autenticazione. Il port knocking pu essere utilizzato anche per scopi che esulano dall'apertura porte; in effetti una bussata potrebbe fare partire una qualsiasi azione sulla macchina, ad esempio il lancio di un programma.

Voci correlate
Firewall

Collegamenti esterni
(EN) PORTKNOCKING - A system for stealthy authentication across closed ports. [1] (EN) Linux Journal: Port Knocking [2] (EN) A Netfilter module for port knocking. [3] Il portknocking: implementazione su Linux e Windows [4] Howto port knocking sul Linux User Group di Perugia [5]

Note
[1] [2] [3] [4] [5] http:/ / www. portknocking. org/ http:/ / www. linuxjournal. com/ article/ 6811 http:/ / portknocko. berlios. de/ http:/ / www. areanetworking. it/ esempio-di-topologia-complessa. html http:/ / www. ptlug. org/ wiki/ Howto_port_knocking

Privoxy

142

Privoxy
Privoxy Sviluppatore Ultimaversione Ultima beta S.O. Linguaggio Genere Licenza Privoxy Developers [1]

3.0.13 (14 giugno 2009) 3.0.15 beta (18 ottobre 2009) Multipiattaforma C Filtering proxy GNU GPL 2 (Licenza libera) www.privoxy.org [2]

Sito web

Privoxy un programma di proxy web, spesso usato in combinazione con Tor e Squid. Ha funzionalit di filtro per la protezione della privacy, per la modifica dei dati delle pagine web, per la gestione dei cookies, per il controllo degli accessi, e per la rimozione selettiva di contenuti come annunci, banner e pop-up. Pu essere personalizzato e pu essere usato sia per sistemi stand-alone che per reti multi-utente. Il programma un progetto associato di Software in the Public Interest e si basa sull'Internet Junkbuster; rilasciato con licenza GNU General Public License. disponibile per sistemi GNU/Linux, Windows, Mac OS X, OS/2, AmigaOS, BeOS e la maggior parte delle varianti Unix. Quasi tutti i browser web sono in grado di usarlo. Privoxy combinato con Tor viene utilizzato anche in tutto il mondo per aggirare la censura di Internet.

Voci correlate
Proxy server

Collegamenti esterni
privoxy.org [2] Privoxy su Sourceforge [3]

Note
[1] http:/ / www. privoxy. org/ user-manual/ copyright. html [2] http:/ / www. privoxy. org/ [3] http:/ / sourceforge. net/ projects/ ijbswa

Procedura GIANOS

143

Procedura GIANOS
Il GIANOS (generatore indici di anomalia per operazioni sospette) una procedura informatica di selezione delle operazioni potenzialmente sospette diffusa nelle banche. stata realizzata da un gruppo di lavoro interbancario coordinato dall'ABI con il supporto di esperti legali, informatici, organizzativi e statistici. Attualmente in uso la versione 1.006 e presto sar operativa la versione 1.007 completa di una extention relativa ai generatori di profili di rischio antiriciclaggio (GIANOS 2007 GPR)

Protezione
Protezione ha diversi significati a seconda del contesto.

Informatica
Nell'informatica la protezione consiste nel prevenire, attraverso opportuni controlli a tempo di esecuzione, che vengano eseguite operazioni illegittime sugli oggetti di un sistema. I meccanismi di protezione vengono usati per due scopi distinti: come prevenzione dagli errori dovuti ai guasti, e in questo caso si parla di tolleranza ai guasti; come salvaguardia da condotte maliziose, per garantire principalmente la confidenzialit, l'integrit e la disponibilit delle informazioni, e in questo caso si parla di sicurezza informatica. Per le finalit della sicurezza informatica sono fondamentali sia le tecniche usate per la tolleranza ai guasti, sia tecniche aggiuntive come la crittografia e l'autenticazione.

Meccanismo di protezione
Il compito di un meccanismo di protezione quello di verificare che ogni volta che un certo soggetto (ad esempio un modulo di elaborazione) invoca una operazione su un certo oggetto (ad esempio una struttura dati), esista in quell'istante un diritto che gli consente tale comportamento. Nel caso in cui il diritto esiste, l'operazione verr eseguita, altrimenti verr generata un'eccezione di violazione di protezione. In un sistema di protezione un tale meccanismo presente a tutti i livelli di astrazione dell'architettura, eventualmente utilizzando i meccanismi dei livelli sottostanti.

Elettrotecnica
In elettrotecnica la protezione quel dispositivo che evita la folgorazione della persona o per la protezione dei carichi o linee annesse. Di queste protezioni esistono molte forme e variabili a seconda del tipo di servizio e utilit.

Telecomunicazioni
Nelle reti di telecomunicazione, il termine protezione indica quei meccanismi di intervento automatico o semi-automatico che garantiscono la continuit della trasmissione a fronte di guasti o degradi dei nodi della rete, del mezzo trasmissivo o del segnale trasmesso.

Protezione

144

Sicurezza
Nel campo della sicurezza le misure di protezione servono a ridurre le conseguenze di un incidente (incendio, allagamento, crollo, ecc.) nel momento in cui si verifica. A differenza delle misure di prevenzione che riducono la probabilit di accadimento di un evento, esse non riducono le occasioni di incidente ma ne contengono esclusivamente le conseguenze e ne limitano i danni (a persone e cose). Nel campo della sicurezza antincendio si distinguono in: Misure di protezione passiva, che non richiedono l'azione dell'uomo o l'azionamento di un impianto: adeguate compartimentazioni e porte antincendio; uscite di sicurezza, vie d'esodo, scale protette e a prova di fumo; adeguata segnaletica di sicurezza Misure di protezione attiva, che richiedono l'intervento umano o l'azionamento di un impianto: impianti di rilevamento incendi e di allarme; estintori, idranti, naspo, reti sprinkler; luci di emergenza; presidi e attrezzature antincendio; adeguata squadra di emergenza e di pronto soccorso;

Pagine correlate
Protezione della memoria, per quanto riguarda il meccanismo di protezione al livello di astrazione dei processi Affidabilit

Protezione del database


La protezione del database l'attuazione della sicurezza informatica nel campo delle basi di dati. Il termine sicurezza viene spesso sostituito dal termine autorizzazione; si parla quindi di modelli di autorizzazione, gestione delle autorizzazioni, regole di autorizzazione. Si trattano solo misure di sicurezza logica per i dati, ossia le procedure che assicurano che laccesso di dati avvenga solo da parte di soggetti autorizzati secondo le modalit (lettura, scrittura, ecc) autorizzate.

Requisiti di protezione
Per una base di dati, i requisiti di protezione rispetto agli attacchi sono: Protezione da accessi impropri; Protezione da inferenza; Integrit della base di dati: uso di tecniche di backup e recovery del sistema operativo e del DBMS; Integrit semantica: uso di vincoli semantici e di software del tipo concurrency manager del DBMS Accountability e auditing; Autenticazione degli utenti; Identificazione, protezione e gestione dei dati sensibili; Protezione multilivello, adatta per basi di dati altamente sensitive, quali quelle militari e governative, in cui i dati sono etichettati e gli utenti identificati e autorizzati mediante clearance;

Sconfinamento: si tratta di confinare i programmi allesecuzione entro precisi domini di esecuzione in modo che gli eventuali danni siano limitati a quel dominio. Si attuano per evitare il trasferimento di informazioni lungo canali autorizzati (ad esempio, nella scrittura di variabili condivise fra moduli software), canali di memoria (sia centrale sia di massa, ad esempio monitorando quando lI/O sta svolgendo un programma si possono inferire

Protezione del database informazioni), canali covert (si tratta di canali di flusso dati di cui i gestori, o i progettisti di sistema, sono a conoscenza; ad esempio, flussi di dati tra zone di memoria, che si scoprono solamente mediante una tecnica apposita detta covert channel analysis).

145

Controlli di sicurezza
I controlli per una base di dati, rispetto agli attacchi, sono principalmente i seguenti: Controlli di flusso. Si tratta di controllare le sequenze di operazioni del tipo READ X, WRITE Y che avvengono da un oggetto X (supponiamo autorizzato) verso un oggetto Y (supponiamo non autorizzato). Infatti, il valore contenuto in X viene copiato in Y. Controlli di inferenza. Con operazioni di assegnamento tipo Y = f(X), in cui l insieme di dati Y (supponiamo non autorizzato) ricavato applicando la funzione f allinsieme X (supponiamo autorizzato). Si possono allora verificare tre tipi di inferenza: accesso diretto, dati correlati, dati mancanti. Controlli di accesso. Sono i tipi di controllo pi diffusi per applicativi e dati e si basano sul controllo dellidentit dei soggetti, della modalit di accesso della richiesta (ad esempio scrittura, lettura), e delloggetto cui il soggetto chiede di accedere. Le modalit di accesso vengono anche dette privilegi di accesso e privilegi amministrativi, che permettono ad alcuni soggetti speciali di concedere e revocare privilegi di accesso alle risorse. I privilegi amministrativi vengono realizzati pressoch tutti in sistemi mediante le due operazioni GRANT e REVOKE. I meccanismi di controllo dellaccesso sono parte del sistema operativo, del DBMS e di alcuni pacchetti add-on per la sicurezza, quali RACF o TOP-SECRET che, aggiunti al sistema operativo, permettono un controllo dellaccesso alle risorse pi specifico. Questi controlli, se opportunamente personalizzati in un sistema, permettono di attuare varie politiche di controllo di accessi ai dati, quali la politica mondatoria, discrezionale, di autorizzazione cooperativa ecc.

Politiche di autorizzazione
Le principali politiche di autorizzazione per una base di dati si possono riassumere come segue. Privilegio minimo (need-to-know): ogni soggetto possiede i minimi privilegi sulle risorse, che gli permettono di portare avanti le proprie mansioni organizzative. Privilegio massimo: in ambienti in cui la condivisione di informazioni deve essere massima, questa politica fornisce a tutti i soggetti la massima visibilit e il massimo accesso alle risorse; nata con i primi sistemi Unix, sistemi rivolti allo sviluppo di applicazioni (in ambiente universitario). Amministrazione centralizzata: esiste un unico amministratore di sistema che ha tutti i privilegi di accesso e amministrativi sulle risorse, e che pu concedere in via temporanea, alcuni privilegi ad altri soggetti su specifiche risorse, e successivamente revocarli. Amministrazione decentralizzata (ownership): ogni utente proprietario delle proprie risorse e pu concedere temporaneamente alcuni privilegi ad altri soggetti su risorse, e successivamente revocarli. Autorizzazione cooperativa: necessaria lautorizzazione da parte di pi soggetti per ottenere un privilegio di accesso. Amministrazione gerarchica: esistono gerarchie di amministratori, ciascuno responsabile di una porzione della base di dati, collegati fra loro da privilegi GRANT/REVOKE di amministrazione. Sistemi chiusi/aperti: in un sistema chiuso tutti i privilegi che non sono esplicitamente autorizzati sono negati, mentre in un sistema aperto a tutti i privilegi che non sono esplicitamente negati sono autorizzati. I sistemi chiusi forniscono un maggior grado di sicurezza e sono pi adatti per basi di dati con requisiti di protezione elevati. Controllo di accesso discrezionale: i soggetti possiedono lownership degli oggetti da loro creati e possono concedere e revocare a loro discrezione alcuni privilegi ad altri soggetti; Controllo di accesso obbligatorio: i soggetti non possono propagare i privilegi di accesso. I controlli sono rigidi e basati sulla etichettatura dei dati (labeling) e sullassegnamento di clearance.

Protezione del database

146

Protezione a basi di dati governative e commerciali


Le tecniche di protezione sono principalmente le seguenti: partizionamento in basi di dati monolivello (con relativi problemi di ridondanza e incongruenza dati); tecniche crittografiche per dati sensibili; integrit lock: utilizzo dei checksum (somme di controllo) che, calcolate in funzione del valore del dato, vengono memorizzate e ricalcolate a ogni accesso al dato. Se la somma risulta cambiata, vuol dire che il dato stato alterato in maniera impropria (controllo di integrit); front end di sicurezza tra utente e DBMS; views, ovvero definizione da parte dell'amministratore del database (DBA) di sottoschemi (viste) della base di dati che mostrano solo i dati accessibili. Per tradurre le politiche in meccanismi, e per verificare la sicurezza, si usano modelli di sicurezza. Inoltre, gli aspetti cruciali del progetto di sistemi sicuri sono: la scelta dellambiente hardware/software; la protezione esterna (organizzativa, fisica); la protezione interna (login, autenticazione, audit); la sicurezza offerta dal sistema operativo;

laffidabilit dei sistemi hardware/software; gli aspetti amministrativi, umani, organizzativi, economici. Per entrambe le basi di dati, quelle classificate/pubbliche e quelle commerciali, la sicurezza si basa su controlli organizzativi e strumenti hardware/software. Alcuni tentativi in corso consistono nellapplicare DBMS trusted e basi di dati commerciali. Tuttavia si hanno controlli rigidi, inadeguati, costosi, e comunque non efficaci contro attacchi quali cavalli di troia e teapdoor nel software applicativo. Per le basi governative, la principale soluzione consiste nel realizzare architetture DBMS multilivello, quali: Integrit Lock (Mitre Corporation) disponibile nel prodotto Truedata; Kernelized architecture (SRI) in Secure Oracle; architettura a soggetti trusted (modello ASD-RTW) realizzata da Sybase, Rubix, Informix, Oracle, Dec.

Modelli di sicurezza
I modelli di sicurezza o pi propriamente di autorizzazione per le basi di dati, servono per esprimere formalmente le politiche di protezione di un dato sistema e verificare alcune propriet di sicurezza che devono essere rispettate dal sistema che si implementa. I modelli si distinguono in due categorie: modelli discrezionali, per sistemi con politiche di propagazione privilegi e di ownership (GRANT/REVOKE); modelli mandatori, per sistemi con dati altamente sensitivi. Sono caratterizzati da soggetti con clearance, oggetti con etichettatura (label), procedure per la gestione sicura di classificazioni ed etichettature (uso di software trusted).

Protezione del database

147

Problemi di sicurezza in basi di dati distribuite federate


Levoluzione dei sistemi informativi e delle basi di dati verso soluzioni globali distribuite, porta a nuove disponibilit di informazioni, ma nel contempo crea nuovi problemi di sicurezza. I problemi di sicurezza nelle federazioni di basi di dati, ovvero in sistemi in cui varie basi di dati pre-esistenti si aggregano a costituire un insieme di dati accessibili via rete, comprendono nuovi problemi di sicurezza, che nascono dal fatto che: vari dati vengono messi in condivisione, mentre altri restano di pertinenza dei siti; le politiche di accesso possono essere diverse per i vari siti; gli utenti aumentano e possono lavorare sia in locale sia in remoto, con profili diversi. Servono inoltre nuovi schemi di autenticazione, metodi per stabilire le politiche per il controllo dellaccesso, architetture distribuite che comprendono aspetti di sicurezza. Si possono avere federazioni a bassa, media e ad alta autonomia. Le basi di dati federate presentano la necessit di: cooperazione su larga scala tra basi di dati: questo comporta problemi di autonomia e condivisione informazioni; conservazione dei sistemi informativi e delle basi di dati preesistenti: questo comporta problemi di eterogeneit e di interoperabilit.

Distribuzione e sicurezza
La distribuzione dei dati pu avvenire mediante partizionamento dei dati orizzontale e/o verticale, oppure mediante replicazione dei dati. I vantaggi della distribuzione sono una maggiore disponibilit e affidabilit del sistema e migliori tempi di accesso ai dati. Altri aspetti della distribuzione e quindi della sicurezza, sono: molteplicit di amministratori locali; eterogeneit e sicurezza.

Sicurezza nella basi di dati on-line su Web


Linfrastruttura realizzata con la rete Internet offre lopportunit di rendere disponibili informazioni di qualsiasi genere avendo come base linterfaccia standard offerta dai browser. Entrando nel merito della specifica tematica della pubblicazione del contenuto di basi di dati tramite un server Web, esistono due possibili soluzioni architetturali: architettura two tier, in cui il server Web accede direttamente ai dati mediante protocolli standard o protocolli proprietari per applicazioni specifiche; architettura three tier, in cui un application server fa da intermediario fra le richieste di interrogazione del server Web e leffettivo accesso ai dati.

Protocollo AAA

148

Protocollo AAA
In telematica, e in particolare nelle reti di telecomunicazione o di computer, un protocollo AAA un protocollo che realizza le tre funzioni di autenticazione (authentication), controllo degli accessi (authorization) e tracciamento del consumo delle risorse da parte degli utenti (accounting). L'espressione protocollo AAA non si riferisce dunque a un particolare protocollo ma a una famiglia di protocolli che offrono, anche in modi diversi, i servizi citati.

Requisiti
(EN)RFC 2194 Review of Roaming Implementations (EN)RFC 2477 Criteria for Evaluating Roaming Protocols (EN)RFC 2881 Network Access Server Requirements Next Generation (NASREQNG) NAS Model (EN)RFC 2903 Generic AAA Architecture (EN)RFC 2904 AAA Authorization Framework (EN)RFC 2905 AAA Authorization Application Examples (EN)RFC 2906 AAA Authorization Requirements

(EN)RFC 3169 Criteria for Evaluating Network Access Server Protocols (EN)RFC 3539 AAA Transport Profile

Elenco di protocolli AAA


RADIUS DIAMETER TACACS TACACS+

Protocollo Kerberos

149

Protocollo Kerberos
Kerberos un protocollo di rete per l'autenticazione tramite crittografia che permette a diversi terminali di comunicare su una rete informatica insicura provando la propria identit e cifrando i dati. Kerberos previene l'intercettazione e i replay attack, e assicura l'integrit dei dati. I suoi progettisti mirarono soprattutto ad un modello client-server, e fornisce una mutua autenticazione sia l'utente che il fornitore del servizio possono verificare l'identit dell'altro. Kerberos si basa sulla crittografia simmetrica e richiede una terza parte affidabile.

Storia e sviluppo
Il Massachusetts Institute of Technology (MIT) svilupp Kerberos per proteggere i servizi di rete forniti dal Project Athena. Il protocollo fu battezzato come il personaggio mitologico Cerbero, che nella mitologia greca era il cane a tre teste posto a guardia dell'Ade. Ci sono diverse versioni del protocollo; le versioni dalla 1 alla 3 furono utilizzate solo all'interno del MIT. Steve Miller e Clifford Neuman, i principali sviluppatori di Kerberos versione 4, pubblicarono questa versione alla fine degli anni Ottanta, anche se era stata sviluppata principalmente per il Project Athena. La versione 5, progettata da John Kohl e Clifford Neuman, venne formalizzata nella RFC 1510 nel 1993 (resa obsoleta dalla RFC 4120 nel 2005), con l'intenzione di risolvere i limiti e i problemi di sicurezza della versione 4. Il MIT mette a disposizione una implementazione di Kerberos libera, sotto una licenza simile alla BSD Le autorit degli USA classificarono Kerberos come arma e ne vietarono l'esportazione poich utilizzava l'algoritmo di crittazione DES (con chiavi da 56 bit). Una implementazione di Kerberos non statunitense, KTH-KRB [1] sviluppata in Svezia, rese il sistema disponibile anche al di fuori degli Stati Uniti, prima che questi cambiassero la propria legge sull'esportazione degli algoritmi crittografici (attorno al 2000). L'implementazione svedese del protocollo era basata su una versione di Kerberos detta eBones. eBones era basata sulla versione MIT Bones (in pratica una versione di Kerberos priva delle funzioni crittografiche e delle loro chiamate) ricavata da Kerberos 4 patchlevel 9. L'australiano Eric Young, autore di diverse librerie crittografiche, reinser le chiamate alle funzioni crittografiche utilizzando la propria libreria libdes. Questa versione limitata di Kerberos fu chiamata eBones. Una implementazione della versione 5 di Kerberos, Heimdal [2], fu rilasciata essenzialmente dallo stesso gruppo che cre KTH-KRB. Windows 2000, Windows XP e Windows Server 2003 usano una variante di Kerberos come sistema predefinito di autenticazione. Alcune aggiunte di Microsoft a Kerberos sono documentate nella RFC 3244 "Microsoft Windows 2000 Kerberos Change Password and Set Password Protocols" (trad.: "Protocolli Kerberos di impostazione password e cambio password in Microsoft Windows 2000"). Anche Mac OS X di Apple utilizza Kerberos sia nella versione client sia in quella server. Nel 2005 il gruppo di lavoro su Kerberos dello IETF ha aggiornato le specifiche [3]. Recenti aggiornamenti includono: "Encryption and Checksum Specifications" (trad.: "Specifiche di crittazione e calcolo checksum") (RFC 3961) "Advanced Encryption Standard (AES) Encryption for Kerberos 5" (trad.: "Crittazione con AES in Kerberos 5") (RFC 3962), Una nuova edizione delle specifiche di Kerberos 5 "The Kerberos Network Authentication Service (V5)" (trad.: "Servizio Kerberos per l'Autenticazione su Reti") (RFC 4120). Questa versione rende obsoleta la RFC 1510, chiarifica alcuni aspetti del protocollo e il suo utilizzo in modo pi dettagliato e chiaro, Una nuova edizione delle specifiche per GSS-API (RFC 4121)

Protocollo Kerberos

150

Descrizione
Kerberos si basa sul protocollo di Needham-Schroeder. Utilizza una terza parte affidabile per centralizzare la distribuzione delle chiavi detta Key Distribution Center (KDC), che consiste di due parti separate logicamente: l'Authentication Server (AS) e il Ticket Granting Server (TGS). Kerberos funziona utilizzando dei "biglietti" (detti ticket) che servono per provare l'identit degli utenti. L'AS mantiene un database delle chiavi segrete; ogni entit sulla rete che sia un client o un server condivide la chiave segreta solo con l'AS. La conoscenza di questa chiave serve per provare l'identit di un'entit. Per comunicazioni tra due entit, Kerberos genera una chiave di sessione, che pu essere utilizzata dai due terminali per comunicare.

Utilizzi
Il seguente software in grado di usare Kerberos per l'autenticazione: OpenSSH (con Kerberos 5 o successivo) NFS (a partire dalla versione NFSv4) PAM (con il modulo pam_krb5) SOCKS (a partire da SOCKS5)

Il protocollo
Il protocollo pu essere definito come segue utilizzando la notazione per protocolli di sicurezza, dove Alice (A) si autentica presso Bob (B) usando il server S:

La sicurezza del protocollo si basa fortemente sui timestamp T e sui tempi di vita L come indicatori affidabili della creazione recente della comunicazione per evitare replay attack (vedi logica BAN). importante notare come il server S qui stia sia come Authentication Service (AS) che come Ticket Granting Service (TGS).

Operazioni di Kerberos
Quella che segue una descrizione semplificata del protocollo. Saranno utilizzate le seguenti abbreviazioni: AS = Authentication Server, TGS = Ticket Granting Server, SS = Service Server. In breve: il client si autentica presso AS che gli fornisce un ticket di sessione per accedere a TGS, si autentica presso TGS e riceve il ticket per aprire una sessione di comunicazione con SS. In dettaglio:

Protocollo Kerberos Utente: Autenticazione di base 1. Un utente inserisce username e password sul client. Client: Autenticazione AS 1. Il client manda un messaggio non crittato all'AS richiedendo i servizi per l'utente. ("L'utente XYZ vorrebbe richiedere dei servizi"). N la chiave segreta n la password vengono inviate all'AS. 2. L'AS controlla se il client nel suo database. Se lo invia due messaggi al client: Messaggio A: Chiave di sessione client-TGS crittata usando la chiave segreta dell'utente. Messaggio B: Ticket-Granting Ticket (che include l'identificativo del client, l'indirizzo di rete, il tempo di validit del ticket e la chiave di sessione client-TGS) crittata utilizzando la chiave segreta di TGS. 3. Quando il client riceve i messaggi A e B, decritta il messaggio A ottenendo la chiave di sessione client-TGS. Questa chiave utilizzata per le successive comunicazioni con TGS. (Nota: il client non pu decrittare il Messaggio B, che stato crittato con la chiave segreta di TGS). A questo punto il client possiede i mezzi per autenticarsi presso TGS. Client: Autenticazione TGS 1. Quando richiede dei servizi, il client invia i seguenti due messaggi a TGS: Messaggio C: composto dal Ticket-Granting Ticket (mandatogli dal AS nel messaggio B) e dall'identificativo del servizio richiesto Messaggio D: autenticatore (Authenticator) (che formato da identificativo del client e timestamp), crittato usando la chiave di sessione clientTGS. 2. Ricevendo i messaggi C e D, TGS decritta il messaggio C con la propria chiave e dal messaggio estrae la chiave di sessione clientTGS che utilizza per decrittare il messaggio D (autenticatore). A questo punto invia i seguenti due messaggi al client: Messaggio E: Ticket client-server (che include l'identificativo del client, l'indirizzo di rete del client, il periodo di validit e la chiave di sessione client-server) crittato utilizzando la chiave segreta del server che offre il servizio. Messaggio F: Chiave di sessione client-server crittato usando la chiave di sessione client-TGS. Client: Autenticazione SS 1. Ricevendo i messaggi E e F dal TGS, il client pu autenticarsi presso il SS. Il client si connette al SS e invia i seguenti due messaggi: Messaggio G: Ticket client-server crittato usando la chiave segreta di SS. Messaggio H: un nuovo autenticatore, che include l'identificativo del client, il timestamp e crittato usando la chiave di sessione client-server. 2. Il server decritta il ticket usando la sua chiave segreta e invia il seguente messaggio al client per confermare la propria identit e la volont di fornire il servizio al client: Messaggio I: il timestamp trovato nell'autenticatore incrementato di uno, crittato utilizzando la chiave di sessione client-server. 3. Il client decritta la conferma usando la chiave di sessione client-server e controlla che il timestamp sia correttamente aggiornato. Se lo , il client pu considerare affidabile il server e iniziare a effettuare le richieste di servizio. 4. Il server fornisce i servizi al client.

151

Protocollo Kerberos

152

Voci correlate
Single sign-on SPNEGO S/Key

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/Category:Kerberos

Collegamenti esterni
Pagina di Kerberos del MIT [4] FAQ di Kerberos [5] Tutorial Kerberos [6] Kerberos 5 - autenticazione utente [7]

Bibliografia
B. Clifford Neuman e Theodore Ts'o, Kerberos: An Authentication Service for Computer Networks, IEEE Communications, 32(9) pp3338. Settembre 1994. [8] John T. Kohl, B. Clifford Neuman, e Theodore Y. T'so, The Evolution of the Kerberos Authentication System. Distributed Open Systems, pp7894. IEEE Computer Society Press, 1994. [9] (Formato postscript)

Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] http:/ / www. pdc. kth. se/ kth-krb/ http:/ / www. pdc. kth. se/ heimdal/ http:/ / www. ietf. org/ html. charters/ krb-wg-charter. html http:/ / web. mit. edu/ kerberos/ http:/ / www. faqs. org/ faqs/ kerberos-faq/ general/ http:/ / www. zeroshell. net/ kerberos/ http:/ / xoomer. alice. it/ sigma83/ kerberos5/ index. html http:/ / gost. isi. edu/ publications/ kerberos-neuman-tso. html ftp:/ / athena-dist. mit. edu/ pub/ kerberos/ doc/ krb_evol. PS

RADIUS

153

RADIUS
RADIUS (Remote Authentication Dial-In User Service) un protocollo AAA (authentication, authorization, accounting) utilizzato in applicazioni di accesso alle reti o di mobilit IP. RADIUS attualmente lo standard de-facto per lautenticazione remota, prevalendo sia nei sistemi nuovi che in quelli gi esistenti.

Dettagli sul protocollo


Un pacchetto RADIUS cos formato (secondo la RFC): 0 1 2 3 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 2 3 4 5 6 7 8 9 0 1 +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Code | Identifier | Length | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | | | Authenticator | | | | | +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ | Attributes... +-+-+-+-+-+-+-+-+-+-+-+-+-

Il codice stabilisce il tipo di pacchetto RADIUS. I codici sono: 1 = Access-Request 2 = Access-Accept 3 = Access-Reject 4 = Accounting-Request 5 = Accounting-Response 11 = Access-Challenge 12 = Status-Server (sperimentale) 13 = Status-Client (sperimentale) 255 = riservato

Lidentificatore un ottetto che permette al client RADIUS di associare una risposta RADIUS con la relativa richiesta. Il significato della stringa Authenticator, di 16 byte, verr chiarito dopo. Nella sezione degli attributi, infine, conservato un numero arbitrario di campi.

Funzionamento
Lintero processo ha inizio quando un client crea un pacchetto RADIUS Access-Request, includendo almeno gli attributi User-Name e User-Password, e generando il contenuto del campo identificatore. Il processo di generazione del campo identificatore non specificato nel protocollo RADIUS, ma solitamente implementato come un semplice contatore incrementato ad ogni richiesta. Il campo authenticator contiene una Request-Authenticator, ovvero una stringa di 16 byte scelta in modo casuale. L'intero pacchetto trasmesso in chiaro, a parte per lattributo User-Password, che protetto nel modo seguente: il client e il server condividono una chiave segreta. Tale chiave viene unita con la Request Authenticator, e l'intera stringa viene sottoposta a una funzione hash MD5 per la creazione di un valore di 16 ottetti, sottoposto a sua volta a

RADIUS un XOR con la password immessa dallutente (e se tale password pi lunga di 16 ottetti, vi un calcolo MD5 addizionale, utilizzando il testo cifrato anzich la Request Authenticator). Il server riceve il pacchetto Access-Request e verifica di possedere la chiave segreta per il client. In caso negativo, il pacchetto viene silenziosamente ignorato. Poich anche il server in possesso del segreto condiviso, possibile utilizzare una versione modificata del processo di protezione del client per ottenere la password in chiaro. Quindi il server consulta il database per convalidare username e password; se la password valida, il server crea un pacchetto Access-Accept da rimandare al client. In caso contrario, crea un pacchetto Access-Reject e lo invia al client. Entrambi i pacchetti Access-Accept e Access-Reject utilizzano lo stesso valore identificatore del pacchetto Access-Request del client, e hanno una Response Authenticator nel campo Authenticator. La Response Authenticator la funzione hash MD5 del pacchetto di risposta con lassociata Request Authenticator, concatenata con il segreto condiviso. Quando il client riceve un pacchetto di risposta, si accerta che esso combaci con una precedente richiesta utilizzando il campo identificatore. Se non esiste alcuna richiesta con lo stesso identificatore, la risposta silenziosamente ignorata. Quindi il client verifica la Response Authenticator utilizzando lo stesso calcolo effettuato dal server, ed infine comparando il risultato con il campo Authenticator. Se la Response Authenticator non coincide, il pacchetto silenziosamente ignorato. Se il client riceve un pacchetto Access-Accept verificato, username e password sono considerati corretti, e lutente autenticato. Se invece riceve un pacchetto Access-Reject verificato, username e password sono scorretti, e di conseguenza lutente non autenticato.

154

Utilizzo di RADIUS
RADIUS un protocollo ampiamente utilizzato negli ambienti distribuiti. comunemente usato per dispositivi di rete integrati come router, server modem, switch ecc., per svariate ragioni: I sistemi integrati generalmente non riescono a gestire un gran numero di utenti con informazioni di autenticazione distinte, poich questo richiederebbe molta pi memoria di massa di quanta ne possiedano la maggior parte di essi. RADIUS facilita lamministrazione utente centralizzata, che importante per diverse applicazioni. Molti ISP hanno decine di migliaia, centinaia di migliaia o anche milioni di utenti, aggiunti e cancellati di continuo durante una giornata, e le informazioni di autenticazione cambiano costantemente. Lamministrazione centralizzata degli utenti un requisito operativo. RADIUS fornisce alcuni livelli di protezione contro attacchi attivi e di sniffing. Altri protocolli di autenticazione remota offrono una protezione intermittente, inadeguata o addirittura inesistente. Un supporto RADIUS quasi onnipresente. Altri protocolli di autenticazione remota non hanno un consistente supporto da parte dei fornitori di hardware, quando invece RADIUS uniformemente supportato. Poich le piattaforme sulle quali implementato RADIUS sono spesso sistemi integrati, vi sono limitate possibilit di supportare protocolli addizionali. Qualsiasi cambiamento al protocollo RADIUS dovrebbe quantomeno avere una compatibilit minima con client e server RADIUS preesistenti (e non modificati). Nonostante ci, stato messo a punto un nuovo protocollo, DIAMETER, candidato a rimpiazzare RADIUS: utilizza infatti TCP anzich UDP ed di conseguenza considerato pi sicuro ed affidabile.

RADIUS

155

Modalit di utilizzo di RADIUS


RADIUS un protocollo che utilizza pacchetti UDP per trasportare informazioni di autenticazione e configurazione tra lautenticatore e il server RADIUS. Lautenticazione basata su username, password e, opzionalmente, risposta a una richiesta di riconoscimento (una sorta di parola dordine). Se lautenticazione ha successo, il server RADIUS invia le informazioni di configurazione al client, inclusi i valori necessari a soddisfare il servizio richiesto, come un indirizzo IP e una maschera di sottorete per PPP o un numero di porta TCP per telnet. Uno dei limiti del protocollo RADIUS lautenticazione basata esclusivamente su password: la password trasmessa o in forma hash (utilizzando lalgoritmo di hashing MD5), oppure sottoforma di risposta a una richiesta di identificazione (CHAP-password). LExtensible Authentication Protocol (EAP) rende RADIUS capace di lavorare con una variet di schemi di autenticazione, inclusi chiave pubblica, Kerberos e smart card. Laccess point agisce da traduttore EAP-RADIUS tra il client wireless e il RADIUS server. Esso utilizza il protocollo EAP per comunicare con il client e il protocollo RADIUS per comunicare con il server RADIUS. Laccess point incapsula le informazioni (come lo username o la chiave pubblica) in un pacchetto RADIUS che inoltra al server RADIUS. Quando il server rimanda una delle possibili risposte (Access-Accept/Reject/Challenge), laccess point spacchetta il pacchetto RADIUS ed inoltra la risposta al client in un pacchetto EAP. La RFC 2869 (RADIUS Extensions) specifica gli attributi opzionali da impostare sui pacchetti RADIUS per indicare al server RADIUS che si sta utilizzando il protocollo EAP. Poich il pacchetto EAP include un campo per specificare quale metodo di autenticazione in uso, il server RADIUS implementa lautenticazione richiamando unapposita procedura.

RADIUS usato per lautenticazione web


RADIUS offre la possibilit di eseguire lautenticazione di utenti remoti anche per particolari siti web che richiedono la protezione dallaccesso del pubblico generale. In particolare c un modulo che prevede lintegrazione con il server web Apache, ovviando alluso dei file.htaccess e.htpasswd con le istruzioni Allow e Deny, che rende laccesso alle risorse web protetto con le caratteristiche AAA viste precedentemente. Il modulo stato sviluppato per Apache e si chiama mod_auth_radius. In questo modo Apache diventa un client del server RADIUS, sostituendosi al NAS nellusuale schema di autenticazione, e dando in out-sourcing la gestione dellautorizzazione e dellaccounting.

Standard
Il protocollo RADIUS definito in: RFC 2865 Remote Authentication Dial In User Service (RADIUS) RFC 2866 RADIUS Accounting Altre RFC rilevanti sono: RFC 2548 Microsoft Vendor-specific RADIUS Attributes RFC 2607 Proxy Chaining and Policy Implementation in Roaming RFC 2618 RADIUS Authentication Client MIB RFC 2619 RADIUS Authentication Server MIB RFC 2620 RADIUS Accounting Client MIB RFC 2621 RADIUS Accounting Server MIB RFC 2809 Implementation of L2TP Compulsory Tunneling via RADIUS RFC 2867 RADIUS Accounting Modifications for Tunnel Protocol Support RFC 2868 RADIUS Attributes for Tunnel Protocol Support

RFC 2869 RADIUS Extensions RFC 2882 Network Access Servers Requirements: Extended RADIUS Practices

RADIUS RFC 3162 RADIUS and IPv6 RFC 3575 IANA Considerations for RADIUS RFC 3576 Dynamic Authorization Extensions to RADIUS RFC 3579 RADIUS Support for EAP RFC 3580 IEEE 802.1X RADIUS Usage Guidelines RFC 4014 RADIUS Attributes Suboption for the DHCP Relay Agent Information Option

156

Collegamenti esterni
(EN) An Analysis of the RADIUS Authentication Protocol [1] (EN) List of RADIUS attributes [2] (EN) The History of the RADIUS Server [3]

Note
[1] http:/ / www. untruth. org/ ~josh/ security/ radius/ radius-auth. html [2] http:/ / www. freeradius. org/ rfc/ attributes. html [3] http:/ / www. interlinknetworks. com/ resources. htm

Recovery Point Objective


Il Recovery Point Objective (RPO) uno dei parametri usati nell'ambito delle politiche di disaster recovery per descrivere la tolleranza ai guasti di un sistema informatico. Esso rappresenta il massimo tempo che intercorre tra la produzione di un dato e la sua messa in sicurezza (ad esempio attraverso backup) e, conseguentemente, fornisce la misura della massima quantit di dati che il sistema pu perdere a causa di guasto improvviso. Al diminuire dell'RPO richiesto si rendono necessarie politiche di sicurezza sempre pi stringenti e dispendiose, che possono andare dal salvataggio dei dati su supporti ridondanti tolleranti ai guasti fino alla loro pressoch immediata replicazione su un sistema informatico secondario d'emergenza (soluzione in grado di garantire, in linea teorica, valori di RPO prossimi allo zero).

Voci correlate
Recovery Time Objective (RTO) Disaster recovery Tolleranza ai guasti

Recovery Time Objective

157

Recovery Time Objective


Il Recovery Time Objective (RTO) il tempo necessario per il pieno recupero dell'operativit di un sistema o di un processo organizzativo in un sistema di analisi Business Critical System (ad esempio implementazioni di politiche di Disaster Recovery nei Sistemi Informativi). in pratica la massima durata, prevista o tollerata, del downtime occorso. Aspetto di primaria importanza riveste il fatto che il valore di RTO sia definito, conosciuto e verificato, tenendo presente che se un downtime lungo danneggia la possibilit di fruire del servizio pi di uno breve, il danno maggiore deriva dall'inconsapevolezza di quanto possa essere il tempo previsto per il ripristino dei servizi danneggiati.

Ridurre l'RTO
Un'utile misura per la riduzione dell'RTO consiste nell'avere dei backup dei dati disponibili integralmente su siti secondari qualora il sito primario risulti danneggiato.

Voci correlate
Business continuity

Restore
Il restore nell'informatica indica l'operazione inversa del backup. Il backup l'operazione di salvataggio dati da un supporto di memorizzazione di massa (hard disk, nastro magnetico, Cd Rom, etc) ad un altro supporto di memorizzazione di massa. Quando, in seguito ad errori umani o guasti hardware, i dati presenti sul primo supporto non sono accessibili, il recupero (restore) dei dati salvati (backup) permette di ricostruire la situazione iniziale.

Risk Assessment

158

Risk Assessment
All'interno della sicurezza informatica, il ruolo umano gioca un ruolo importantissimo: con gli anni si passati dalla figura del "computer security technologist" a quella del "professional risk manager" per cercare di definire quanto sicurezza sia sufficiente a prevenire problemi indesiderabili.

Nozioni di base
La sicurezza delle informazioni
La sicurezza delle informazioni sempre stata nella storia dell'uomo un importante processo. Possiamo definirla come la ricerca di proteggere quattro aspetti chiave : Disponibilit : l'accessibilit motivata alle informazioni; Integrit : la completezza e la leggibilit delle informazioni; Autenticit : la validit delle informazioni; Riservatezza : la possibilit che solo chi autorizzato possa leggere le informazioni.

La sicurezza richiede, quindi, che le informazioni e l'accesso alle stesse siano rigorosamente controllate

Il problema della sicurezza


Lo scetticismo intorno alla sicurezza sempre stato legato al fatto che ci sia bisogno di spendere soldi "veri" per combattere perdite potenziali. Inoltre, i benefici apportati dalla sicurezza non sempre sono quantificabili.

Risk Assessment e Risk Management


Durante questi processi di valutazione e gestione, i rischi vengono identificati valutando le preferenze, stimando le conseguenze che eventi indesiderabili potrebbero avere, prevedendo la possibilit che questi eventi accadano e soppesando il valore di ogni diverso modo di agire. La stima dei rischi una linea di condotta durante la quale strategie diverse sono valutate e vengono prese decisioni sui rischi ritenuti accettabili. Queste strategie hanno differenti effetti sui rischi, inclusi la riduzione, la rimozione e la ridefinizione degli stessi. Alla fine, viene determinato un livello accettabile di rischio e di conseguenza viene adottata una strategia. In questo processo sono coinvolti: il calcolo costi-benefici, la stima della tolleranza de rischi e la quantificazione delle preferenze.

Annual Loss Expectancy (ALE)


Nel 1979 il National Bureau of Standards pubblic il Federal Information Processing Standard (FIPS) 65, all'interno del quale proponeva un nuovo parametro volto alla misura del rischio nei sistemi informatici : l'aspettativa di perdita annuale. Durante la met degli anni '80 il National Bureau of Standards e il National Computer Security Center collaborarono per mettere a punto modelli di sicurezza, ricavandone alla fine un framework consensuale

Risk Assessment

159

Framework
Il framework era basato su diverse fasi : Analisi delle minacce : si valutano potenziali minacce (azioni umane, catastrofi naturali, errori involontari) e le risorse che si vogliono proteggere. Analisi della vulnerabilit : si valutano le debolezze nella sicurezza che possono favorire un attacco. Analisi degli scenari possibili : richiede una stima accurata delle risorse, delle preoccupazioni sulla sicurezza, delle minacce e della vulnerabilit. Questi scenari sono utilizzati, poi, nella fase di risk-management per valutare le conseguenze e per quantificare le dimensioni del rischio. Test di accettabilit : si confrontano i rischi misurati per una data risorsa con le esigenze stabilite. Decisioni di salvaguardia : vengono prese al fine di coprire le distanze tra livelli di rischi misurati e le richieste. Il processo verr poi ripetuto con i nuovi risultati di salvaguardia, facendo risultare un n uovo misuramento del rischio per ogni risorsa. Questi "risk-measurement", con la stima dei costi di salvaguardia, sono inoltre utilizzati per generare le analisi di costi-benefici per ogni misura di salvaguardia. Applicazioni sviluppate tra gli anni '80 e '90 che implementano questo tipo di framework sono @Risk, BDSS, CRAMM.

Fallimento di ALE
La fine del modello ALE venne decretata da tre importanti motivi : Il meccanismo di creazione di scenari della metodologia creava una stima dei lavori di dimensioni esagerate. I tecnici formularono modelli completamente deterministici a causa della loro visione "binaria" della sicurezza. Ale dipendeva troppo dalle informazioni che erano, e restano, scarse.

Approcci di seconda generazione


Dagli anni '80, tantissime cose sono cambiate, a partire dall'avvento universalizzato di internet. Inoltre il risk-management sempre pi visto come un'occasione di profitto. A questo si deve soprattutto il rinnovato interesse nei suoi confronti.

Integrated Business Risk-Management Framework


Questo approccio si sviluppa attraverso l'idea che i rischi delle tecnologie informatiche debbano essere presi in seria considerazione quanto i rischi finanziari e debbano, perci, essere gestiti in un modo simile. L'attenzione focalizzata sui rischi finanziari e piani di azione sono studiati a protezione delle informazioni. Aziende che utilizzano questo approccio sono: Microsoft, Mitsui, Capital One Financial, Fidelty Management and Research e BOC Gases Australia.

Metodologie Valuation-Driven
Questo approccio utilizzato sia per garantire la sicurezza, sia per standardizzarne le procedure. Viene definito un piano studiato e valutati attentamente i rischi e le risorse.

Risk Assessment

160

Approccio basato sull'analisi degli scenari


Questo l'approccio pi comune e si basa sulla costruzione di diversi scenari possibili, in base ai rischi che si corrono e alle azioni che si attuano per scongiurarli. Questi piani svolgono principalmente la funzione di illustrare in modo chiaro le vulnerabilit della sicurezza.

Best practices
Questo tipo di approccio prevede l'instaurazione di precise regole da rispettare al fine di non dover essere costretti a fronteggiare i rischi. Viene fatta poco lavoro di analisi.

Voci correlate
Sicurezza Informatica Piano di Contingenza

S/KEY
S/KEY un sistema one-time password sviluppato per l'autenticazione su sistemi operativi Unix-like, in particolare dai cosiddetti 'dumb terminal' o da computer pubblici nei quali l'utente non vuole scrivere una password a lunga scadenza. La reale password dell'utente viene combinata in un dispositivo offline con un piccolo insieme di caratteri e un contatore decrementale in modo da formare una password monouso. Dato che la password utilizzabile solo per una sessione, l'utilizzo di sniffer diventa inutile. L'insieme di caratteri non cambia finch il contatore decrementale non raggiunge lo zero. cos possibile preparare una lista di password single-use che l'utente pu portare con se. Alternativamente, l'utente pu presentare la password, i caratteri e il valore del contatore desiderato ad un calcolatore locale per generare la password appropriata che pu quindi essere trasmessa attraverso la rete in chiaro. Questa seconda opzione la pi comune e si riduce praticamente ad una forma di autenticazione challenge-response. S/KEY supportato in Linux tramite PAM, OpenBSD, NetBSD e FreeBSD. Inoltre una generica implementazione open source permette l'utilizzo su ogni altro sistema. S/KEY un marchio commerciale di Telcordia Technologies, conosciuta comunemente come Bell Communications Research (Bellcore). Ci si riferisce a S/KEY anche con il nome di 'schema di Leslie Lamport', dal nome dell'autore. stato sviluppato da Neil Haller, Phil Karn e John Walden nei laboratori Bellcore sul finire degli anni 80. Al momento della scadenza dei brevetti sulla crittografia a chiave pubblica e l'ampio utilizzo di SSH e altri protocolli di crittografia che possono rendere sicura l'intera sessione, non solo la password, S/KEY caduto in disuso. SecurID uno schema one-time password simile che ancora risulta ampiamente utilizzato perch, a differenza di S/KEY, fornisce autenticazione a due fattori, richiedendo un token fisico che difficilmente pu essere riprodotto.

Generazione della password


Il server il computer che eseguir l'autenticazione 1. Si inizia con una chiave segreta w. Questo segreto pu essere fornito sia dell'utente che generato da una macchina. D'altro canto se il segreto viene svelato, la sicurezza di S/KEY viene compromessa. 2. H una funzione di hash che produce una password one-time 3. H applicata n volte a w, producendo quindi un insieme di n password one-time 4. La chiave segreta iniziale w scartata 5. All'utente vengono fornite le n password, stampate in ordine inverso. 6. Le ultime n-1 password vengono scartate dal server. Solo la prima password, in cima alla lista dell'utente, viene memorizzata sul server.

S/KEY

161

Autenticazione
Dopo la generazione della password, l'utente ha un foglio di carta con n password. La prima la stessa password che il server ha memorizzato e che non sar utilizzata per l'autenticazione. Al suo posto verr utilizzata la seconda: L'utente fornisce al server la seconda password della lista e la cancella. Il server tenta di calcolare H(pwd) dove pwd la password fornita. Se H(pwd) produce la prima password (quella che il server ha memorizzato, allora l'autenticazione corretta. Il server memorizzer quindi pwd come referenza per la successiva autenticazione. Pi in generale, fornendo la password i, verr calcolata H(i) con la password memorizzata i-1.

Sicurezza
La sicurezza di S/KEY confida sulla difficolt di invertire la funzione di hash. Si supponga che un attaccante ottenga una password i che stata utilizzata per una precedente autenticazione. Tale password inutile per le autenticazioni successive perch ogni password pu essere usata una volta soltanto. Se la password i sniffata dall'attaccante fosse l'ultima utilizzata, si potrebbe tentare di invertire la funzione di hash in modo da ottenere la prossima password. Tale operazione risulta estremamente difficoltosa. S/KEY comunque vulnerabile ad un attacco man in the middle. anche vulnerabile a certe race conditions, come nel caso in cui un attaccante utilizzasse uno sniffer per trovare i primi N-1 caratteri per poi utilizzare rapidamente un bruteforce per scoprire il restante carattere. Questo tipo di vulnerabilit possono essere evitate utilizzando ssh, SSL, SPKM o un altro metodo di trasmissione crittata.

SANS
Il SANS Institute (SysAdmin, Audit, Networking, and Security) una organizzazione dedita a fornire educazione informatica ed addestramento in materia di sicurezza informatica. stata fondata nel 1989. Nella loro strutturazione originale, le Conferenze di SANS erano simili alla maggior parte delle conferenze tecniche tradizionali: incontri per presentazioni cartacee. Dalla met degli anni novanta, si sarebbero evolute in un forum di istruzione su argomenti di sicurezza e audit. La maggior parte dell'istruzione disponibile focalizzata al raggiungimento di una delle numerose certificazioni di sicurezza GIAC. SANS mantiene i seguenti siti Web: Internet Storm Center GIAC Security Certification [1] S.C.O.R.E. (Security Consensus Operational Readiness Evaluation) [2] I docenti SANS hanno contribuito alla redazione di molti libri sulla sicurezza: Hackers Beware: The Ultimate Guide to Network Security (ISBN 0735710090) Hiding in Plain Sight : Steganography and the Art of Covert Communication (ISBN 0471444499) Inside Network Perimeter Security: The Definitive Guide to Firewalls, Virtual Private Networks (VPNs), Routers, and Intrusion Detection Systems (ISBN 0735712328) Malware: Fighting Malicious Code (ISBN 0131014056) Network Intrusion Detection (ISBN 0735712654) Network Intrusion Detection: An Analyst's Handbook (ISBN 0735710082)

SANS

162

Collegamenti esterni
SANS Institute [3] SANS Internet Storm Center [4]

Note
[1] [2] [3] [4] http:/ / www. giac. org/ http:/ / www. sans. org/ score http:/ / www. sans. org/ http:/ / isc. sans. org/

Security descriptor
I security descriptor (in italiano: descrittori di sicurezza) sono strutture che forniscono informazioni di sicurezza per gli oggetti dei sistemi operativi Windows; questi oggetti sono identificati da un nome univoco. I Security Descriptor possono essere associati ad ogni tipo di oggetto (file, cartelle, chiavi di registro e altro) e contengono anche informazioni sul proprietario dell'oggetto (l'utente creatore) e anche quali utenti possono avere accesso all'oggetto e in che modo (lettura, lettura/scrittura, esecuzione...). possibile modificare un Security Descriptor utilizzando vari strumenti come CACLS, uno strumento a riga di comando di Windows.

Voci correlate
Lista di controllo degli accessi (ACL) Audit Token CACLS

Security Management

163

Security Management
Con Security management si indicano tutte quelle attivit gestionali di individuazione, valorizzazione e analisi di un rischio che pu provocare danni patrimoniali e non (furti, frodi, divulgazione di informazioni,...) in un'azienda, ente o raggruppamento di beni e persone. La persona che si occupa di tale lavoro normalmente viene chiamato security manager o responsabile della sicurezza.

Tipologie
Nella normalit, essendo il termine "sicurezza" capace di racchiudere molteplici eventi gestionali, si possono distinguere tre diverse tipologie di Security Management con il relativo responsabile: Sicurezza patrimoniale: il loss prevention & security manager il responsabile aziendale per la sicurezza patrimoniale. Si occupa di tutte le attivita di vigilanza ed investigazione per far fronte alle continue perdite di un'azienda legata a furti, frodi o truffe. Sicurezza informatica: il IT Security Manager colui che deve garantire la sicurezza dei sistemi informatici in modo da non subire attacchi da esterni con la relativa protezione delle informazioni e dei dati aziendali o da virus. Sicurezza sul lavoro ed ambiente: l'RSA colui che deve garantire la vivibilit dei posti di lavoro, individuare eventuali pericolosit e trovarne rimedio (legge 626).

Attivit
L'attivit viene svolta in punti ben definiti che non vadano ad incidere negativamente sulla produzione e/o il commercio dell'azienda; sono attivit che devono essere condivise da tutte le divisioni dell'azienda. Tali punti si possono riassumere come segue: Valori Aziendali: individuazione del campo di attivit dell'azienda e riconoscimento dei responsabili delle varie strutture. Definizione degli obiettivi: Obiettivi strategici: non devono intralciare le strategie e le politiche aziendali. Obiettivi operativi: devono essere efficaci ed efficienti sul piano attuativo delle primarie attivit aziendali. Obiettivi di conformit: devono rispettare pienamente le leggi civili e penali dello Stato e/o i regolamenti aziendali. Obiettivi di reporting: deve essere assicurata una piena distribuzione e un'attivit di informazione delle politiche da emanare. Identificazione del problema: identificazione dei rischi. Risk Assestment: analisi dei rischi individuati precedentemente e valutazione del loro impatto tenedo conto dei rischi potenziali e dei rischi effettivi. Risk Response: individuazione delle attivit di contenimento e/o di contrasto da svolgere per la riduzione dei rischi analizzati. Control Activities: stabilire e rendere pubbliche le politiche, le attivit e le procedure attuative. Information & Communication: attivit di audit interno, divulgazione e spiegazione delle procedure emanate facendole comprendere e sentire necessarie anche a chi le deve applicare. Monitoring: attivit di controllo continuo nell'applicazione delle procedure. L'attivit di Security Management in generale ancora poco utilizzata all'interno delle aziende che la considerano un costo e non un investimento, ma il trend sta cambiando.

Security Operation Center

164

Security Operation Center


Un Security Operation Center (SOC) un centro da cui vengono forniti servizi finalizzati alla Sicurezza dei Sistemi informativi dell'azienda stessa (SOC Interno) o di clienti esterni; in quest'ultimo caso il SOC utilizzato per l'erogazione di Managed Security Services (MSS) e l'azienda che li eroga definita Managed Security Service Provider (MSSP). Un SOC pu anche fornire servizi di Incident Response, in questo caso svolge la funzione di CSIRT (Computer Security Incident Response Team), anche se le due funzioni sono logicamente e funzionalmente separate; alcune grandi aziende dispongono di un SOC e di un CERT separati. Un SOC fornisce tre tipologie di servizi: Servizi di Gestione: tutte le attivit di gestione delle funzionalit di sicurezza legate all'infrastruttura IT (rete, sistemi ed applicazioni) sono centralizzate dal SOC. Servizi di Monitoraggio: l'infrastruttura IT e di Sicurezza vengono monitorate in tempo reale al fine di individuare tempestivamente tentativi di intrusione, di attacco o di misuse dei sistemi. Servizi Proattivi: sono servizi finalizzati a migliorare il livello di protezione dell'organizzazione (Security assessments, vulnerability assessments, early warning, security awareness).

Possibili servizi offerti dal SOC


Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica Security Device Management Reporting Security Alert DDos mitigation Security Assessment Assistenza Tecnica

Analisi proattiva e gestione dei sistemi e delle tecnologie di sicurezza informatica


Il servizio ha come obiettivo lanalisi proattiva h24 dei sistemi e delle tecnologie di sicurezza informatica (IDS, IPS, firewall, etc). I sistemi anti-intrusione permettono la gestione centralizzata delle pratiche di sicurezza informatica consentendo di identificare potenziali attacchi informatici provenienti da internet e dalla intranet. In questo modo i potenziali attacchi possono essere analizzati e correlati dal personale che di solito molto specializzato oltre che qualificato; ad esempio gli analisti della sicurezza devono solo conoscere le funzioni degli strumenti di monitoraggio, piuttosto che la complessit di ogni dispositivo di sicurezza. Questo permette una forte specializzazione dellintero centro di sicurezza. La scalabilit degli strumenti adoperati dal SOC un altro fattore di fondamentale importanza ovvero, ad esempio, non deve comportare un grosso impatto operativo aggiungere un nuovo IDS a quelli gi esistenti.

Security Operation Center

165

Security Device Management


Il Servizio di Security Device Management (SDM) si sviluppa attorno a due principali processi: - Fault Management. - Configuration Management. Fault Management Obiettivo principale del Fault Management garantire il funzionamento continuo ed ottimale dellinfrastruttura di sicurezza del Cliente sia dal punto di vista sistemistico che dei presidi di sicurezza. Lattivit comprende: - Il monitoraggio costante degli apparati di sicurezza del Cliente attraverso il SOC. - Rilevazione e segnalazione Fault (apertura trouble ticket). - Identificazione delle rispettive azioni di rimedio. - Implementazione delle rispettive azioni di rimedio. - Il ripristino delle configurazioni in caso di loro perdita a seguito di un fault. Configuration Management Obiettivo principale del Configuration Management garantire il costante allineamento delle regole di firewalling alle esigenze del cliente e riguarda tutti gli apparati gestiti dal SOC. Il Configuration Management comprende le attivit di configurazione e modifica delle policy di filtraggio o autorizzazione al passaggio del traffico dati tra una sorgente esterna ed una fonte interna (o viceversa) definite in base a: - Indirizzo sorgente. - Indirizzo di destinazione. - Protocollo di rete. - Protocollo di servizio. - Logging del traffico.

Reporting
I Log provenienti dalle console o dagli strumenti utilizzati vengono solitamente analizzati e rielaborati accuratamente in modo da renderli facilmente comprensibili ai clienti. Questa reportistica particolarmente importante perch, oltre a fornire il dettaglio di eventuali tentatitivi di intrusione da parte di soggetti non autorizzati o di incidenti che si sono verificati per il periodo di tempo a cui il report si riferisce, pu permettere al cliente di intraprendere delle azioni preventive.

Security Alert
Il servizio di security alert volto a notificare ai clienti, quanto prima possibile, la scoperta di nuove vulnerabilit in modo tale che possano essere prese per tempo le dovute contromisure atte a mitigare o annullare gli impatti delle nuove vulnerabilit.

DDos mitigation
Il servizio di DDos mitigation ha come obiettivo il mitigare le conseguenze di un attacco di tipo "Distributed Denial of Service" indirizzato verso un servizio critico facente parte dellinfrastruttura di rete di un cliente. Il compito del servizio quindi garantire, a fronte di una segnalazione ricevuta da un cliente, la corretta attivazione delle procedure necessarie per risolvere lincidente di sicurezza. Vengono valutate le contromisure da adottare ed attivato il processo di "pulitura" e di reinstradamento del traffico. Segue notifica del termine dellattacco.

Security Operation Center

166

Security Assessment
Alcuni elementi di servizio che solitamente fanno parte delle attivit di Security Assessment sono: - Vulnerability Assessment. - Penetration Test. Vulnerability Assessment Il vulnerability assessment volto ad individuare vulnerabilit note dei sistemi e dei servizi installati sugli stessi. Tale attivit svolta tramite tecnologie specifiche e che vengono configurate, perfezionate e personalizzate per ogni assessment. Penetration test Il Penetration Test volto ad individuare e sfruttare vulnerabilit note o ancora sconosciute dei sistemi, dei servizi e degli applicativi web installati sugli stessi. Il processo di penetration test, sfruttando le vulnerabilit, in grado di evidenziare in maniera pi efficace il livello di minaccia rappresentato da ognuna di esse e la relativa stima degli impatti. Tale attivit svolta sia tramite numerose tecnologie che vengono configurate, perfezionate e personalizzate per ogni assessment, sia tramite attivit manuali specifiche per ogni servizio, sistema ed applicativo analizzato.

Assistenza tecnica
In genere il SOC pu fornire ai clienti anche l'assistenza tecnica specialistica per tutte le problematiche legate a problemi di funzionalit, violazioni di sistema, aggiornamento e configurazione di software e hardware per la sicurezza. L'assistenza tecnica per la risoluzione di queste problematiche pu essere fornita da remoto o on-site a seconda delle problematiche e del contratto stipulato tra le parti.

Voci correlate
Sicurezza informatica Vulnerabilit Vulnerability Assessment and Mitigation Buffer overflow Exploit Tiger team Hacker Firewall Antivirus Polizia Postale e delle Comunicazioni Computer Security Incident Response Team (CSIRT) o CERT (Computer Emergency Response Team)

Security Operation Center

167

Collegamenti esterni
Open Web Application Security Project (OWASP) [1] Unit di prevenzione e gestione degli incidenti informatici governativa (CERT-SPC) nel Sistema Pubblico di Connettivit (SPC) [2]

Note
[1] http:/ / www. owasp. org/ index. php/ Main_Page [2] http:/ / www. cert-spc. it

Sicurezza tramite segretezza


Sicurezza tramite segretezza, traduzione dell'inglese security through obscurity, un principio che si basa sul controverso assunto che tenere segreto il funzionamento interno di un sistema lo renda pi sicuro, dato che un eventuale attaccante avrebbe maggiore difficolt nella scoperta di eventuali falle del sistema stesso. Nascondere la serratura della porta di casa un esempio di scelta che si basa su questo principio. un concetto agli antipodi della filosofia alla base dell'Open Source, che sostiene invece che, grazie alla vasta collaborazione della comunit, le falle possono venir scoperte pi facilmente e altrettanto rapidamente corrette, con il risultato di rendere intrinsecamente pi sicuro il sistema. In crittografia esiste un principio opposto (detto principio di Kerckhoffs), che afferma che il progettista di un sistema deve presumere che l'attaccante conosca il sistema alla perfezione, con l'unica eccezione della chiave crittografica. Un parallelo illuminante pu essere quello di una normale serratura meccanica, con azionamento ben conosciuto ma apribile solo con la chiave giusta. Questa politica viene perseguita anche come forma di difesa della propriet intellettuale.

Signature based intrusion detection system

168

Signature based intrusion detection system


Un Signature Based Intrusion Detection System una tipologia di Intrusion detection system che rileva violazioni alla sicurezza informatica attraverso un'analisi del sistema alla ricerca di segni caratteristici delle violazioni informatiche. Ogni violazione utilizza una o pi falle della sicurezza informatica e modifica il sistema in modo caratteristico. I sistemi basati su Signature hanno un database ove sono memorizzate tutte le violazioni conosciute con le loro firme caratteristiche cio le modifiche che apportano al sistema per violare la sicurezza dello stesso. Il sistema periodicamente analizza il sistema confrontandolo con i dati contenuti nel database alla ricerca di corrispondenze. Una volta identificata una corrispondenza, segnala all'operatore una violazione in atto. Questi sistemi hanno un bassissimo numero di falsi positivi, quindi sono molto affidabili ma hanno il grave difetto di non essere in grado di riconoscere violazioni applicate con nuovi stratagemmi o violazioni note alle quali sono state apportate delle piccole varianti.

Voci correlate
Anomaly based intrusion detection system

Single sign-on
Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) un sistema specializzato che permette ad un utente di autenticarsi una sola volta e di accedere a tutte le risorse informatiche alle quali abilitato.

Obiettivi
Gli obiettivi sono multipli: semplificare la gestione delle password: maggiore il numero della password da gestire, maggiore la possibilit che vengano utilizzate password simili le une alle altre e facili da memorizzare, abbassando cos il livello di sicurezza; semplificare la gestione degli accessi ai vari servizi; semplificare la definizione e la gestione delle politiche di sicurezza.

Architettura
Vi sono tre approcci per la creazione di un sistema di SSO: l'approccio centralizzato, l'approccio federativo e l'approccio cooperativo.

Approccio centralizzato
Il principio di disporre di un database globale e centralizzato di tutti gli utenti e di centralizzare allo stesso modo la politica della sicurezza. Questo approccio destinato principalmente ai servizi dipendenti tutti dalla stessa entit, per esempio all'interno di una azienda.

Single sign-on

169

Approccio federativo
Con questo approccio differenti gestori ("federati" tra loro) gestiscono dati di uno stesso utente. L'accesso ad uno dei sistemi federati permette automaticamente l'accesso a tutti gli altri sistemi. Un viaggiatore potrebbe essere sia passeggero di un aereo che ospite di un albergo. Se la compagnia aerea e l'albergo usassero un approccio federativo avrebbero un accordo reciproco sull'autenticazione dell'utente. Il viaggiatore potrebbe ad esempio autenticarsi per prenotare il volo e essere autorizzato, in forza di quella sola autenticazione, ad effettuare la prenotazione della camera d'albergo. Questo approccio stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni gestore federato mantiene il controllo della propria politica di sicurezza.

Approccio cooperativo
L'approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l'autenticazione viene effettuata dal gestore che ha in carico l'utente per l'accesso alla rete. Come per l'approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica di sicurezza. L'approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono dipendenti da una entit, come ad esempio in universit, laboratori di ricerca, amministrazioni, etc.

Soluzioni per SSO


Esistono molti SSO gratuiti e commerciali, eccone una lista parziale: 1. Il JA-SIG Central Authentication Service (CAS) (http://www.jasig.org/cas) un servizio single sign-on libero (originariamente sviluppato dall'Universit di Yale) che permette alle applicazioni web la possibilit di rinviare tutte le autenticazioni a un server centrale o a pi server di fiducia. Numerosi client sono disponibili gratuitamente, inclusi client per Java, Microsoft .Net, PHP, Perl, Apache, uPortal, Liferay (http://www.liferay. com) e altri. 2. A-Select il sistema di autenticazione Olandese co-sviluppato da SURFnet (l'olandese NREN). A-Select ora diventata open source ed usata dal Governo Olandese per esempio per DigiD, il loro sistema di autenticazione. A-Select (http://www.openaselect.org/trac/openaselect/) permette allo staff e agli studenti di ottenere l'accesso a svariati servizi web attraverso una sola autenticazione on-line. Le istituzioni possono usare A-Select per proteggere le loro applicazioni web in maniera semplice. Possono usare differenti strumenti di autenticazione che vanno dal username/password a metodi pi sicuri come una one-time password mandata a un cellulare o a un'autenticazione bancaria su Internet. 3. CoSign un progetto open source, originariamente destinato a dotare l'Universit del Michigan di un sicuro sistema di autenticazione web di tipo single sign-on. CoSign permette di autenticare gli utenti sul web server e poi fornisce un campo variabile lo users'name. Quando l'utente accede a una parte del sito che richiede l'autenticazione, la presenza di questa variabile permette l'accesso senza doversi loggare nuovamente. CoSign parte del software lancio del National Science Foundation Middleware Initiative (NMI http://www. nsf-middleware.org/default.aspx). 4. Enterprise single sign-on (E-SSO), chiamato anche legacy single sign-on, dopo una prima autenticazione utente, intercetta i prompt del login presentati da una applicazione secondaria e li inserisce automaticamente nei campi come un loginID o una password. Il sistema E-SSO tiene conto dell'interazione con le applicazioni che sono incapaci di tirar fuori l'autenticazione, fatta precedentemente dall'utente, essenzialmente attraverso lo "screen scraping". 5. Il Web single sign-on (Web-SSO), anche chiamati Web Access Management (Web-AM), lavora strettamente con le applicazioni e le risorse che hanno accesso a un web browser. L'accesso alle risorse web intercettato sia

Single sign-on usando un web proxy server o installando un componente su ogni web server stabilito. Gli utenti non autorizzati, che tentano di accedere a una risorsa, vengono deviati verso un servizio di autenticazione e ritornano solo dopo aver effettuato con successo un single sign-on. I Cookies sono usati molto spesso per tracciare lo stato di autenticazione dell'utente; l'infrastruttura Web-SSO estrae le informazioni dell'identificazione dell'utente dagli stessi cookies, passandole in ogni risorsa web. 6. Kerberos un meccanismo conosciuto alle applicazioni e serve per estrarre interamente le autenticazioni. Gli utenti si registrano sul server Kerberos, il quale rilascia un "biglietto da visita", che il loro client software presenter ai server a cui loro tenteranno di accedere. Kerberos disponibile per Unix, per Windows e per piattaforme di elaborazione dati, ma richiede ampie modifiche al codice dell'applicazione client/server, perci non usato da molte "legacy application". 7. Federation un nuovo approccio, anche per applicazioni web, che usa un protocollo basato su degli standard che permette a una applicazione di accertare una sola volta l'identit di un utente di servizi diversi, in modo tale da evitare il bisogno di autenticazioni ridondanti. Gli standard per supportare Federation includono SAML e WS-Federation (http://www-128.ibm.com/developerworks/library/specification/ws-fed). 8. Light-Weight Identity e Open ID, sotto la protezione di YADIS, offrono SSO ripartiti e decentralizzati, dove l'identit legata a una URL eseguita facilmente, che pu essere verificata da qualsiasi server che usi uno dei protocolli condivisi. 9. JOSSO o Java Open Single Sign-On un'infrastruttura SSO open source basata su J2EE, che punta a trovare una soluzione per piattaforme centralizzate di autenticazione dell'utente neutrale. JOSSO usa i servizi web per accertare l'identit dell'utente, permettendo l'integrazione di applicazioni non-Java (cio PHP, Microsoft ASP, ecc.) al Servizio Single Sign-On usando il protocollo SOAP sopra il protocollo HTTP. 10. Shibboleth System un pacchetto software opensource, basato su standard, per il we SSO tra organizzazioni o all'interno di un'organizzazione (sistema sviluppato da Internet2).

170

Sistema di riconoscimento biometrico


Un sistema di riconoscimento biometrico un particolare tipo di sistema informatico che ha la funzionalit e lo scopo di identificare una persona sulla base di una o pi caratteristiche biologiche e/o comportamentali (biometria), confrontandole con i dati, precedentemente acquisiti e presenti nel database del sistema, tramite degli algoritmi e di sensori di acquisizione dei dati in input. In inglese noto come AIDC= Automatic Identification and Data Capture.

Cenni Storici
Il primo metodo d'identificazione scientifico biometrico fu sviluppato nei laboratori del carcere di Parigi da Alphonse Bertillon (23 aprile 1853 - 13 febbraio 1914). Bertillon era figlio dello statistico Louis Bertillon e fratello del demografo - statistico Jacques. Nel 1870 venne nominato fotografo di servizio presso la prefettura di Parigi: annotando tutte le caratteristiche fisiche dei detenuti, fonda cos il primo laboratorio di polizia scientifica e didentificazione dei criminali, inventa lantropologia giudiziaria chiamata appunto Sistema Bertillon o Bertillonage un sistema di identificazione rapidamente adottato in tutta lEuropa continentale e inseguito anche a Londra. Il suo metodo consisteva nella rilevazione delle misure fisiche dei detenuti in quanto lossatura umana non cambia pi dopo il ventesimo anno det ed ogni scheletro diverso per ciascun individuo. Il nome del detenuto, le descrizioni e le misure fisiche del corpo di un individuo (cranio, lunghezza degli arti, lunghezza delle dita e dei piedi, lunghezza del naso, caratteristiche dellorecchio) e una foto segnaletica, frontale e laterale dell'individuo a mezzo busto, venivano annotate su una scheda detta "Osservazioni Antropometriche".

Sistema di riconoscimento biometrico Larchivio cresce molto velocemente, cos possibile riconoscere un soggetto nuovamente arrestato che presentava una falsa identit. Il problema maggiore che si evidenzi era per le misure, dovevano essere effettuate con grande accuratezza, solo lo scopritore di questo sistema di classificazione era in grado di effettuare i rilievi con la dovuta precisione. Bertillon organizz corsi di formazione per numerosi esponenti di polizie europee a Londra e Parigi, ma le misure prese da altri soggetti, pure addestrati erano imprecise e non cos affidabili come quelle del francese. La tecnica cadde gradualmente in disuso nel frattempo vi fu la scoperta dell'impronta digitale. Diversi sono i nomi legati a questa invenzione[1] anche se i due nomi pi significativi sono quello di Galton e di sir Henry, che impostarono in modo sistematico la classificazione delle impronte digitali e che, all'inizio di questo secolo, contribuirono a dare alle impronte digitali il valore criminologico che oggi ricoprono. In Italia questo metodo fu messo a punto da un funzionario di polizia, Giovanni Gasti. Un'autentica rivoluzione nellutilizzo delle impronte digitali, soprattutto a fini criminologici, si avuta una dozzina di anni fa, quando la crescente potenza dei sistemi di elaborazione permise alla polizia americana di mettere a punto il primo sistema AFIS - automatic fingerprint identification system. Solo grazie all'utilizzo di questo dispositivo informatico, collegato ad un capiente database, l'impronta digitale ha raggiunto lattuale importanza criminologica.

171

Introduzione
La biometria permette di stabilire che ogni individuo ha caratteristiche: 1. 2. 3. 4. Universali = tutti devono averla; Uniche = due o pi individui non possono avere la stessa uguale caratteristica; Permanenti = questa non varia nel tempo; Collezionabili = deve essere misurata quantitativamente.

Caratteristiche
Le caratteristiche prese in considerazione dal sistema di riconoscimento biometrico possono essere: Fisiologiche le impronte digitali, laltezza, il peso, il colore e la dimensione delliride, la retina, la sagoma della mano, il palmo della mano, la vascolarizzazione, la forma dellorecchio, la fisionomia del volto.

Sistema di riconoscimento biometrico Comportamentali Ossia azioni che normalmente lindividuo compie limpronta vocale, la scrittura grafica, la firma, lo stile di battitura sulla tastiera, i movimenti del corpo.

172

Le caratteristiche fisiologiche di un individuo sono abbastanza stabili, soggette solo a piccole variazioni nel tempo, le componenti comportamentali invece possono essere influenzate dalla situazione psicologica dellindividuo, proprio per questo devono essere aggiornate spesso. Questo sistema vuole garantire lunicit della persona, infatti codici segreti e carte di identificazione verificano solo ci che una persona conosce e/o possiede, come ad esempio una password o un codice pin od il badge ma non lidentit della persona stessa. Le applicazioni biometriche possono essere utilizzate da sole o integrate con altre tecnologie come ad esempio smart card, chiavi crittografiche, RFID e firma digitale.

Compiti del dispositivo


I principali compiti di questo dispositivo sono Reference template = acquisizione mediante alcuni meccanismi (laser, scanner, telecamere, microfoni, ecc) dellimpronta biometrica di riferimento relativa ad una caratteristica biometrica e/o comportamentale dellindividuo. Fase di autenticazione = avviene mediante il confronto tra l'impronta biometrica di riferimento e la nuova impronta, generata ogni volta in fase di verifica; Interfaccia operativa = linterazione uomo-macchina, la connessione fisica, elettrica e la possibilit di comunicazione con il sistema. Nella prima fase si crea limpronta biometrica di riferimento attraverso la registrazione dellutente, conosciuta anche come fase di enrollment. Viene creato un template tramite lacquisizione di una o pi immagini o suoni relative allindividuo, queste caratteristiche vengono poi elaborate grazie ad un algoritmo che varia da sistema a sistema. Il template viene quindi memorizzato nel sistema in modo tale da essere utilizzato come confronto durante la fase di autenticazione.

Verifica e identificazione
I sistemi biometrici possono operare in due diverse modalit: verifica e identificazione. Il processo di verifica (1 to 1 matching, uno ad uno) si ha quando il soggetto dichiara la sua identit. Il sistema quindi effettua un confronto tra limmagine rilevata in tempo reale e quella corrispondente del template presente nellarchivio. Lidentificazione (1 to many matching, verifica uno a molti) si ha quando limmagine acquisita in tempo reale viene confrontata con tutte le immagini presenti nel database del sistema e viene poi associata a quella con le caratteristiche pi simili.

Sistema di riconoscimento biometrico

173

Sistemi Multi-modali e Errori


Per aumentare la sicurezza del sistema di riconoscimento si possono utilizzare pi tecniche biometriche grazie ai sistemi multi modali. Questi sistemi permettono un riconoscimento pi preciso e diminuiscono il failure-to-enroll rate, ovvero il tasso di errore. Nellidentificazione infatti possiamo trovarci di fronte a due situazioni: 1. riconoscimento positivo si hanno due possibili situazioni: la persona vera oppure un impostore; 2. riconoscimento negativo il sistema o ha sbagliato dando un falso allarme oppure la persona realmente un impostore. Di conseguenza abbiamo due tipologie di errore: FRR (False Rejection Rate) la percentuale di falsi rifiuti, utenti autorizzati ma respinti per errore, in pratica il sistema non riesce a riconoscere le persone autorizzate. FAR (False Acceptance Rate) la percentuale di false accettazioni, utenti non autorizzati ma accettati per errore, il sistema quindi accetta le persone che non sono autorizzate. Qualunque sistema biometrico permette di aumentare e diminuire la sensibilit, regolando il rapporto tra i falsi rifiuti e le false accettazioni. Per comprendere meglio possiamo definire la variabile t come il grado di tolleranza del sistema. Se questo grado basso si ha un numero elevato di false accettazioni, con un grado alto invece si ha un numero elevato di falsi rifiuti. Tramite le funzioni si pu calcolare lEER (Equal Error Rate) FAR(t*) = FRR(t*) = EER t* rappresenta il punto di equilibrio del sistema attraverso il quale possibile regolare il rapporto FRR/FAR. Nelle applicazioni reali i valori di tolleranza si trovano al di sotto di t* per garantire un numero ridotto di false accettazioni.

Sicurezza e Privacy
Come per molti altri sistemi informatici provvisti di database e dati sensibili di utenti, un sistema di riconoscimento biometrico pu essere soggetto ad attacchi che possono minare uno o pi dei tre requisiti classici della sicurezza informatica ovvero la confidenzialit dei dati, l'integrit dei dati e la disponibilit dei dati minando quindi anche il funzionamento stesso del sistema di riconoscimento.

Mercati di Applicazione
I sistemi di riconoscimento biometrico vengono utilizzati in diversi tipi di mercato, sia in ambito governativo (Militare, Sanit, Giustizia, enti e istituzioni pubbliche) e sia in quello commerciale (turismo, trasporti, banche, assicurazioni, hi-tech, telecomunicazioni, industria), per assicurare una maggiore sicurezza ai sistemi, alle transazioni e alla tutela dei dati. Le applicazioni maggiormente in uso sono: autenticazione degli accessi fisici in locali protetti, sicurezza nelle transazioni finanziarie, prevenzione delle frodi, proteggere e tutelare lattivit bancaria via internet, identificazione di soggetti, sicurezza negli aeroporti, investigazione, schedatura dei criminali.

Sistema di riconoscimento biometrico

174

Note
[1] Per esempio, quello di Edward Henry.

Voci correlate
AFIS (Sistema di identificazione automatica delle impronte digitali) Impronte digitali Edward Henry

Snort
Snort Sviluppatore Ultimaversione S.O. Genere Licenza The Snort Release Team 2.9.05 (06 giugno 2011) Multi-piattaforma Sicurezza Informatica GNU General Public License (Licenza libera) http:/ / www. snort. org

Sito web

SNORT un applicativo open source con funzioni di tipo IDS distribuito con la licenza GPL.

Voci correlate
OSSIM

Altri progetti
Wikibooks contiene testi o manuali: http://it.wikibooks.org/wiki/Snort

Collegamenti esterni
(EN) Sito Ufficiale [4] (EN) Guide all'uso di Snort [1] (EN) Snort Virtual Machine [2] (IT,EN) Snortattack Snort guide, tips and tricks [3]

Note
[1] http:/ / www. snort. org/ docs/ [2] http:/ / www. internetsecurityguru. com/ [3] http:/ / www. snortattack. org/

Social Network Poisoning

175

Social Network Poisoning


Con il termine Social Network Poisoning si intende l'effetto prodotto dall'applicazione di metodiche volte a rendere inaffidabili le conoscenze relative ad un profilo e alle relazione ad esso afferenti[1] . L'applicazione su larga scala di attacchi di questo genere potrebbe portare al crollo delle piattaforme di Social Networking[2] inficiandone la valenza ai fini commerciali, oltre che l'utilit in termini di conoscenza e correlazione sui dati forniti dagli utenti[3] , con un sensibile impatto sul relativo valore economico.

Introduzione
Alla stessa maniera delle "route poisoning" (che interessano le reti di telecomunicazione), le "poisoning action" sono condotte con l'obiettivo di inquinare i contenuti presenti all'interno delle reti sociali tipicamente introducendo profili artefatti e relazioni inesistenti tra questi ultimi e quelli reali rendendo di fatto inaffidabili le informazioni. Il risultato conseguente la rottura della catena di fiducia sulla quale si fondano tutte le reti sociali; allo scopo di non consentire a motori di ricerca appositamente sviluppati di recuperare informazioni di ogni genere relative ad un particolare profilo.

Tassonomia
Partendo dall'assunto che in Internet ed in particolare all'interno dei Social Network manca una gestione[4] coerente e sicura dell'Identit digitale, possibile introdurre i principali strumenti di poisoning attualmente praticabili ed ipotizzarne di nuovi in uno scenario futuro: Strumenti attuali sostituzione di identit, ovvero la possibilit di impersonare un altro utente per gli scopi pi vari dall'intelligence al social engineering[5] . simulazione di identit[6] , la creazione di un falso profilo, che non corrisponde ad alcuna persona esistente, per fini malevoli o semplicemente per mantenere l'anonimato. profile fuzzing, l'introduzione volontaria di elementi falsi e/o non congrui nel proprio profilo per ingannare i sistemi di intelligence, impedire attivit di OSINT[7] o per altre forme di vantaggio personale. Social graph fuzzing, l'associazione intenzionale a gruppi e persone che non hanno a che fare con i propri interessi e relazioni con l'intento di introdurre "rumore" nel proprio grafo sociale. Strumenti futuri: personae / social bots[8] , creazione di un numero considerevole di profili falsi (e.g. milioni di falsi profili) gestiti da macchine, capaci di interagire tra loro e con utenti reali in modalit verosimile, modificando cos il "sentiment" e la "conversation" su larga scala oltre ad alterare tutti i social graph e ad impedire correlations sensate sui dati. black curation, l'utilizzo di utenze reali "bucate" o fittizie per intervenire su argomenti dei quali si vuole modificare il senso, o per crearne di nuovi ad-hoc, in analogia al black SEO (Search engine optimization[9] ) gi in uso sui motori di ricerca.

Social Network Poisoning

176

Note
[1] [2] [3] [4] [5] [6] [7] [8] [9] Kevin D. Mitnick, William L. Simon and Steve Wozniak (2003). "The Art of Deception: Controlling the Human Element of Security", Wiley. Matthew O. Jackson (2010). "Social and Economic Networks", Princeton University Press. Charu C. Aggarwal (2011). "Social Network Data Analytics", Springer. David Birch (2007). "Digital Identity Management", David Birch Editor. Christopher Hadnagy (2010). "Social Engineering: The Art of Human Hacking", Wiley. Carl Timm, Richard Perez(2010). "Seven Deadliest Social Network Attacks", Syngress. Selma Tekir (2009). "Open Source Intelligence Analysis: A Methodological Approach", VDM Verlag. Rick Howard (2009). "Cyber Fraud: Tactics, Techniques and Procedures", Auerbach Publications. Eric Enge, Stephan Spencer, Rand Fishkin and Jessie Stricchiola (2009). "The Art of SEO: Mastering Search Engine Optimization (Theory in Practice)", O'Reilly Media.

Bibliografia
Kevin D. Mitnick, L'arte dell'inganno. I consigli dell'hacker pi famoso del mondo, Feltrinelli Editore (2005), ISBN 8807818418 Ian Mann, Hacking the human: social engineering techniques and security countermeasures, Gower Publishing, Ltd. (2008), ISBN 0566087731 Teri Bidwell, Michael Cross, Ryan Russell, Hack Proofing Your Identity in the Information Age, Syngress (2002), ISBN 1931836515 Peter J. Carrington, Professor John P. Scott, The Sage Handbook of Social Network Analysis, SAGE Publications Ltd (2011), ISBN 1847873952 Emily Finch, Stefan Fafinski, Identity Theft, Willan Publishing (2011), ISBN 184392238X Ronggong Song, Larry Korba, George Yee, Trust in E-services: Technologies, Practices and Challenges, IGI Publishing (2007), ISBN 159904207X Matthew A.Russell, Mining the Social Web: Analyzing Data from Facebook, Twitter, LinkedIn, and Other Social Media, Sites O'Reilly Media (2007), ISBN 1449388345 Rob Brown, Public Relations and the Social Web, Kogan Page (2009), ISBN 0749455071 John Sileo, Privacy Means Profit: Prevent Identity Theft and Secure You and Your Bottom Line, Wiley (2010), ISBN 0470583894

Voci correlate
Sicurezza Informatica Social engineering Rete sociale Social media New economy Identit digitale Hacking Black hat White hat Furto d'identit Defense Advanced Research Projects Agency Servizio di social network

Social Network Poisoning

177

Collegamenti esterni
Reato falsa identit in rete (Cassazione 46674/2007) (http://www.cittadinolex.kataweb.it/article_view. jsp?idCat=311&idArt=81355) Furto di identit (http://www.professionisti.it/enciclopedia/voce/2384/Furto-d_identita) (http://www.cnipa.gov.it/) Centro Nazionale per l'Informatica nella Pubblica Amministrazione (CNIPA) (http://www.interlex.it/Testi/dlg05_82.htm) Decreto legislativo 5 marzo 2005, n. 82 Codice dell'Amministrazione Digitale su Interlex.it Identity theft (http://www.identitytheft.org.uk/) Identity Theft Resouce Center (http://www.idtheftcenter.org/) Theft and Identity Fraud (Department of Justice US) (http://www.justice.gov/criminal/fraud/websites/idtheft. html/) Social Media Poisoning (http://www.seomoz.org/blog/ social-media-poisoning-possibly-the-most-insiduous-negative-tactic-in-smm) Spy Operation on social network (http://www.guardian.co.uk/technology/2011/mar/17/ us-spy-operation-social-networks) HBGary and social media manipulation (http://www.infosecisland.com/blogview/ 12250-HBGary-Federal-Document-on-Manipulating-Social-Media.html) Darpa Project & social network monitoring (http://www.wired.com/dangerroom/2011/07/ darpa-wants-social-media-sensor-for-propaganda-ops/) Social media & National Security (http://www.rawstory.com/rs/2011/07/20/ pentagon-looks-to-social-media-as-new-battlefield/) A Practical Attack to De-Anonymize Social Network Users (http://iseclab.org/papers/sonda-tr.pdf) A Standards-based, Open and Privacy-aware Social Web (http://www.w3.org/2005/Incubator/socialweb/ XGR-socialweb-20101206/) Threat of malware targeted at extracting information about the relationships in a real-world social network Massachusetts Institute of Technology, Cambridge (http://www.scribd.com/doc/39006379/Stealing-Reality) The Socialbot Network:When Bots Socialize for Fame and Money (http://lersse-dl.ece.ubc.ca/record/264/ files/ACSAC_2011.pdf)

Spam

178

Spam
Lo spamming, detto anche fare spam o spammare, il susseguirsi ripetuto di una parola/frase (generalmente commerciali). Pu essere attuato attraverso qualunque sistema di comunicazione, ma il pi usato internet, attraverso messaggi di posta elettronica, chat, tag board o forum. Lo Spam volendo pu anche definirsi una forma di flood, in quanto ripetendo pi volte un parola/frase magari in una chat crea un effetto flood, ovvero lo scorrere veloce delle righe. anche detto in gergo flooddare.

Una cartella di messaggi spam di KMail

Origine del termine


Il termine trae origine da uno sketch comico del Monty Python's Flying Circus ambientato in un locale nel quale ogni pietanza proposta dalla cameriera era a base di Spam (un tipo di carne in scatola). Man mano che lo sketch avanza, l'insistenza della cameriera nel proporre piatti con Spam (uova e Spam, uova pancetta e Spam, salsicce e Spam e cos via) si contrappone alla riluttanza del cliente per questo alimento, il tutto in un crescendo di un coro inneggiante allo Spam da parte di alcuni Vichinghi seduti nel locale.[1] I Monty Python prendono in giro la carne in scatola Spam per Spam (carne in scatoletta) l'assidua pubblicit che la marca era solita condurre. Nel periodo immediatamente successivo alla seconda guerra mondiale, questo alimento costava poco ed era parte integrante della dieta della famiglia tipica inglese, specialmente nella prima colazione per l'English breakfast. Il contenuto e l'origine della carne Spam era un mistero. Ma sicuramente, in un certo periodo la Spam era ovunque, da qui lo sketch dei Pythons e successivamente l'adattamento informatico alla pubblicit non desiderata. Notate l'ambientazione dello sketch a conferma dell'epoca in questione e il livello sociale. Infatti, John Cleese, intellettuale che legge alla fine, viene cacciato in malo modo (il personaggio in questione non un intellettuale, bens l'ungherese col vocabolario pieno di sconcezze, protagonista di un altro famoso sketch dei Monty Python). Si ritiene che il primo spam via email della storia sia stato inviato il 1 maggio 1978 dalla DEC per pubblicizzare un nuovo prodotto, e inviato a tutti i destinatari ARPAnet della costa ovest degli Stati Uniti.[2] Nella terminologia informatica le spam possono essere designate anche con il sintagma di junk-mail, che letteralmente significa posta-spazzatura, a rimarcare la sgradevolezza prodotta da tale molestia digitale.

Scopi
Il principale scopo dello spamming la pubblicit, il cui oggetto pu andare dalle pi comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa. Uno spammer, cio l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail. Questi indirizzi sono spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) mediante spambot ed appositi programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.

Spam Per definizione lo spam viene inviato senza il permesso del destinatario ed un comportamento ampiamente considerato inaccettabile dagli Internet Service Provider (ISP) e dalla maggior parte degli utenti di Internet. Mentre questi ultimi trovano lo spam fastidioso e con contenuti spesso offensivi, gli ISP vi si oppongono anche per i costi del traffico generato dall'invio indiscriminato. Sondaggi hanno indicato che al giorno d'oggi lo spam considerato uno dei maggiori fastidi di Internet; l'invio di questi messaggi costituisce una violazione del contratto "Acceptable Use Policy" (condotta d'uso accettabile) di molti ISP e pertanto pu portare all'interruzione dell'abbonamento (account) del mittente. Un gran numero di spammer utilizza intenzionalmente la frode per inviare i messaggi, come l'uso di informazioni personali false (come nomi, indirizzi, numeri di telefono) per stabilire account disponibili presso vari ISP. Per fare questo vengono usate informazioni anagrafiche false o rubate, in modo da ridurre ulteriormente i loro costi. Questo permette di muoversi velocemente da un account a un altro appena questo viene scoperto e disattivato dall'ISP. Gli spammer usano software creato per osservare connessioni Internet con scarsa sicurezza, che possono essere facilmente dirottate in modo da immettere i messaggi di spam direttamente nella connessione dell'obiettivo con il proprio ISP. Questo rende pi difficile identificare la posizione dello spammer e l'ISP della vittima spesso soggetto di aspre reazioni e rappresaglie da parte di attivisti che tentano di fermare lo spammer. Entrambe queste forme di spamming "nascosto" sono illegali, tuttavia sono raramente perseguiti per l'impiego di queste tattiche. I mittenti di e-mail pubblicitarie affermano che ci che fanno non spamming. Quale tipo di attivit costituisca spamming materia di dibattiti, e le definizioni divergono in base allo scopo per il quale definito, oltre che dalle diverse legislazioni. Lo spamming considerato un reato in vari paesi e in Italia l'invio di messaggi non sollecitati soggetto a sanzioni.

179

Altri termini
I termini unsolicited commercial email, UCE (email commerciale non richiesta) e unsolicited bulk email, UBE (email non richiesta in grandi quantit) sono usati per definire pi precisamente e in modo meno gergale i messaggi e-mail di spam. Molti utenti considerano tutti i messaggi UBE come spam, senza distinguere il loro contenuto, ma i maggiori sforzi legali contro lo spam sono effettuati per prendere di mira i messaggi UCE. Una piccola ma evidente porzione di messaggi non richiesti anche di carattere non commerciale; alcuni esempi comprendono i messaggi di propaganda politica e le catene di Sant'Antonio

Spamming attraverso E-Mail


I pi grandi ISP come America OnLine [3] riferiscono che una quantit che varia da un terzo a due terzi della capacit dei loro server di posta elettronica viene consumata dallo spam. Siccome questo costo subito senza il consenso del proprietario del sito, e senza quello dell'utente, molti considerano lo spam come una forma di furto di servizi. Molti spammer mandano i loro messaggi UBE attraverso gli open mail relay. I server SMTP, usati per inviare e-mail attraverso internet, inoltrano la posta da un server a un altro; i server utilizzati dagli ISP richiedono una qualche forma di autenticazione che garantisca che l'utente sia un cliente dell'ISP. I server open relay non controllano correttamente chi sta usando il server e inviano tutta la posta al server di destinazione, rendendo pi difficile rintracciare lo spammer. Un punto di vista "ufficiale" sullo spamming pu essere trovato nel RFC 2635.

Spam

180

Spamming per interposta persona


Lo spamming per interposta persona un mezzo pi subdolo utilizzato sfruttando l'ingenuit di molta gente. Per l'esattezza si intende di solito l'invio di Email commerciali ad alcuni destinatari conosciuti e magari regolarmente iscritti ad una newsletter dello spammer invitandoli a far conoscere una certa promozione ad uno o pi persone conosciute dall'ingenuo destinatario, invogliandolo magari con qualche piccolo compenso. Grazie a questo sistema sar l'ingenuo destinatario a "spammare" altre caselle di posta di suoi conoscenti e quindi coprendo colui che c' dietro e che guadagner da questo comportamento.

I costi
Lo spamming a volte definito come l'equivalente elettronico della posta-spazzatura (junk mail). Comunque, la stampa e i costi postali di questa corrispondenza sono pagati dal mittente - nel caso dello spam, il server del destinatario paga i costi maggiori, in termini di banda, tempo di elaborazione e spazio per immagazzinamento. Gli spammer usano spesso abbonamenti gratis, in modo tale che i loro costi siano veramente minimi. Per questa ricaduta di costi sul destinatario, molti considerano questo un furto o un equivalente di crimine. Siccome questa pratica proibita dagli ISP, gli spammer spesso cercano e usano sistemi vulnerabili come gli open mail relay e server proxy aperti. Essi abusano anche di risorse messe a disposizione per la libera espressione su internet, come remailer anonimi. Come risultato, molte di queste risorse sono state disattivate, negando la loro utilit agli utenti legittimi. Molti utenti sono infastiditi dallo spam perch allunga i tempi che usano per leggere i loro messaggi di e-mail.

Economia
Siccome lo spam economico da inviare, un ristretto numero di spammer pu saturare Internet con la loro spazzatura. Nonostante solo un piccolo numero dei loro destinatari sia intenzionato a comprare i loro prodotti, ci consente loro di mantenere questa pratica attiva. Inoltre, sebbene lo spam appaia per una azienda rispettabile una via economicamente non attuabile per fare business, sufficiente per gli spammer professionisti convincere una piccola porzione di inserzionisti ingenui che efficace per fare affari.

Difese contro lo spam


presente un certo numero di servizi e software, spesso chiamati antispam, che i server e-mail e gli utenti possono utilizzare per ridurre il carico di spam sui loro sistemi e caselle di posta. Alcuni di questi contano sul rifiuto dei messaggi provenienti dai server conosciuti come spammer. Altri analizzano in modo automatico il contenuto dei messaggi e-mail ed eliminano o spostano in una cartella speciale quelli che somigliano a spam. Questi due approcci al problema sono talvolta definiti come bloccaggio e filtraggio. Ognuna delle tecniche ha i suoi difensori e vantaggi; mentre entrambe riducono l'ammontare di spam inviata alle caselle postali degli utenti, il bloccaggio permette di ridurre la banda sprecata, rifiutando i messaggi prima che siano trasmessi al server dell'utente. Il filtraggio tende ad essere una soluzione pi accurata, poich pu esaminare tutti i dettagli del messaggio. Molti sistemi di filtraggio si avvantaggiano delle tecniche di apprendimento del software, che permette di aumentare la propria accuratezza rispetto al sistema manuale. Alcuni trovano questa tecnica troppo invadente nei riguardi della privacy, e molti amministratori preferiscono bloccare i messaggi che provengono dai server tolleranti nei confronti degli spammer.

Spam

181

DNSBL
Una specifica tecnica di bloccaggio comprende le DNSBL (DNS-based blackhole lists), nella quale un server pubblica liste di indirizzi ip, in modo che un server di posta possa essere facilmente impostato per rifiutare la posta che proviene da questi indirizzi. Ci sono diverse liste di DNSBL, che hanno politiche diverse: alcune liste contengono server che emettono spam, altre contengono open mail relay, altre elencano gli ISP che supportano lo spam.

Filtraggio statistico ed euristico


Fino a poco tempo fa, le tecniche di filtraggio facevano affidamento agli amministratori di sistema che specificavano le liste di parole o espressioni regolari non permesse nei messaggi di posta. Perci se un server riceveva spam che pubblicizzava "herbal Viagra", l'amministratore poteva inserire queste parole nella configurazione del filtro. Il server avrebbe scartato tutti i messaggi con quella frase. Lo svantaggio di questo filtraggio "statico" consiste nella difficolt di aggiornamento e nella tendenza ai falsi positivi: sempre possibile che un messaggio non-spam contenga quella frase. Il filtraggio euristico, come viene implementato nel programma SpamAssassin, si basa nell'assegnare un punteggio numerico a frasi o modelli che si presentano nel messaggio. Quest'ultimo pu essere positivo, indicando che probabilmente contiene spam o negativo in caso contrario. Ogni messaggio analizzato e viene annotato il relativo punteggio, esso viene in seguito rifiutato o segnalato come spam se quest'ultimo superiore ad un valore fissato. In ogni caso, il compito di mantenere e generare le liste di punteggi lasciato all'amministratore. Il filtraggio statistico, proposto per la prima volta nel 1998 nel AAAI-98 Workshop on Learning for Text Categorization, e reso popolare da un articolo di Paul Graham nel 2002 usa metodi probabilistici, ottenuti grazie al Teorema di Bayes, per predire se un messaggio spam o no, basandosi su raccolte di email ricevute dagli utenti.

Tecniche miste
Da qualche tempo stanno crescendo vari sistemi di filtraggio che uniscono pi tecniche di riconoscimento dello spam, in modo da un lato minimizzare il rischio di falsi positivi (ovvero email regolari scambiate erroneamente per spam), dall'altro per aumentare l'efficienza del filtraggio. Si pu quindi pensare di combinare il filtraggio per DNSBL con quello euristico e statistico, come alcuni programmi iniziano a prevedere, e fare cos in modo di unire i pregi di ogni metodo di filtraggio e contemporaneamente ridurre i rischi grazie ai controlli multipli.

I comportamenti contro lo spam


A parte l'installazione di software di filtraggio dalla parte degli utenti, essi possono proteggersi dall'attacco dello spam in molti altri modi.

Address munging
Un modo in cui gli spammer ottengono gli indirizzi e-mail il setaccio del Web e di Usenet per stringhe di testo che assomigliano a indirizzi. Perci se l'indirizzo di una persona non mai apparso in questi posti, non potr essere trovata. Un sistema per evitare questa raccolta di indirizzi falsificare i nomi e indirizzi di posta. Gli utenti che vogliono ricevere in modo legittimo posta riguardante il proprio sito Web o i propri articoli di Usenet possono alterare i loro indirizzi in modo tale che gli esseri umani possano riconoscerli ma i software degli spammer no. Per esempio, joe@example.net potrebbe venir modificato in joeNOS@PAM.example.net. Questo sistema detto address munging, dalla parola "munge" tratta dal Jargon File che significa rompere. Questo sistema, comunque, non sfugge ai cosiddetti "attacchi al dizionario" nei quali lo spammer genera un numero di indirizzi che potrebbero esistere, come adam@aol.com che, se esistesse, riceverebbe molto spam.

Spam

182

Bug e Javascript
Molti programmi di posta incorporano le funzionalit di un Web browser come la visualizzazione di codice HTML e immagini. Questa caratteristica pu facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle e-mail di spam. In aggiunta, il codice HTML potrebbe contenere codice JavaScript per dirigere il browser dell'utente ad una pagina pubblicitaria o rendere il messaggio di spam difficile o impossibile da chiudere o cancellare. In alcuni casi, messaggi del genere contenevano attacchi ad alcune vulnerabilit che permettevano l'installazione di programmi di tipo spyware (alcuni virus informatici sono prodotti attraverso gli stessi meccanismi). Gli utenti possono difendersi utilizzando programmi di posta che non visualizzano HTML o allegati o configurarli in modo da non visualizzarli di default.

Evitare di rispondere
ben noto che alcuni spammer considerano le risposte ai loro messaggi - anche a quelle del tipo "Non fare spam" come conferma che l'indirizzo valido e viene letto. Allo stesso modo, molti messaggi di spam contengono indirizzi o link ai quali viene indirizzato il destinatario per essere rimosso dalla lista del mittente. In svariati casi, molte persone che combattono lo spam hanno verificato questi collegamenti e confermato che non portano alla rimozione dell'indirizzo, ma comportano uno spam ancora maggiore.

Denunciare spam
Agli ISP La maggioranza degli ISP proibisce esplicitamente ai propri utenti di fare spam e in caso di violazione essi vengono espulsi dai loro servizi. Rintracciare l'ISP di uno spammer e denunciarlo spesso porta alla chiusura dell'abbonamento. Sfortunatamente, questo pu essere difficile e anche se ci sono degli strumenti che possono aiutare, non sempre sono accurati. Tre di questi servizi sono SpamCop [4],Network Abuse Clearinghouse [5] e [6] Essi forniscono mezzi automatici o semi automatici per denunciare spam agli ISP. Alcuni li considerano imprecisi rispetto a ci che pu fare un esperto di posta elettronica, ma molti utenti non sono cos esperti. Gli ISP spesso non mettono in atto misure preventive per impedire l'invio di spam, quali un limite massimo agli indirizzi di posta ai quali inoltrare la stessa e-mail, e un limite dell'ordine delle migliaia di unit alla posta elettronica inviabili in un giorno. Talora, oltre all'accesso viene disattivata la connessione Internet. La disconnessione pu essere permanente se l'abbonamento ADSL a IP statico, bloccando l'indirizzo IP. Alle Autorit Il metodo pi efficace per fermare gli spammer di sporgere reclamo alle autorit competenti. Questo richiede maggiori tempo ed impegno ma gli spammer vengono perseguiti a norma di legge e pagano eventuali multe e risarcimenti, in questo modo per loro si annulla il vantaggio economico, anzi l'azione illecita si traduce in una perdita economica. Le procedure da intraprendere: 1. Individuare gli indirizzi in rete da dove proviene lo spam tramite per esempio: SpamCop Clearinghouse [5] 2. Individuare lo stato dal quale stato spedito lo spam per esempio tramite MostraIP [7] 3. Verificare se lo stato in oggetto mette a disposizione un indirizzo di posta elettronica per esempio dalle liste pubblicate su OECD Task Force on Spam [8], Spam Reporting Adresses [9] o Spam Links [10].
[4]

o Network Abuse

Spam

183

Altre forme di spam


Fino dal 1990, gli amministratori di sistema hanno compiuto molti sforzi per fermare lo spam, alcuni dei quali con esiti positivi. Come risultato, coloro che inviano messaggi di spam si sono rivolti ad altri mezzi.

WikiWikiWeb
Tutti i siti web che utilizzano il sistema wiki, come ad esempio Wikipedia, che d ampie possibilit a un visitatore di modificare le proprie pagine, sono un bersaglio ideale per gli spammer, che possono avvantaggiarsi dell'assenza di un controllo continuo sul contenuto introdotto, per inserire i propri link pubblicitari. Sono stati creati filtri che impediscono la pubblicazione di determinati link proprio per arginare questo fenomeno. In molti casi lo scopo quello di ottenere un miglioramento della visibilit del proprio sito sui motori di ricerca. Su Wikipedia questo fenomeno viene contrastato in modo deciso: i link esterni sono accompagnati dall'attributo "nofollow" che indica ai motori di ricerca di non seguire il link, le pagine vengono ripristinate alla loro versione precedente all'intervento e in caso di reiterati inserimenti l'indirizzo IP viene bloccato in scrittura.

Messaging spam
I sistemi di instant messaging sono un obiettivo comune tra gli spammer. Molti sistemi di messaging pubblicano il profilo degli utenti, includendo informazioni demografiche come l'et e il sesso. Coloro che fanno pubblicit possono impiegare queste informazioni, inserirsi nel sistema e mandare spam. Per contrastare ci, alcuni utenti scelgono di ricevere messaggi solo dalle persone che conoscono. Nel 2002, gli spammer hanno iniziato usando il servizio di messaging integrato in Microsoft Windows, winpopup, che non "MSN Messenger", ma piuttosto una funzione progettata per permettere ai server di inviare avvertimenti agli utenti delle workstation. I messaggi appaiono come delle normali dialog box e possono essere inviati usando qualunque porta NetBIOS, per questo il blocco delle porte provocate da un firewall comprende le porte da 135 a 139 e 445.

Usenet
Le vecchie convenzioni di Usenet definiscono erroneamente lo spamming come "eccessivo invio multiplo di messaggi" (messaggi sostanzialmente simili la quale definizione esatta flooding). Nei primi anni '90 ebbe luogo una notevole controversia tra gli amministratori di server news sull'uso dei messaggi di cancellazione per il controllo dello spam. Un messaggio di cancellazione un'istruzione ad un server delle news per cancellare un messaggio, in modo da renderlo inaccessibile a chi lo volesse leggere. Alcuni lo considerano un cattivo precedente, incline alla censura, mentre altri lo ritengono uno strumento giusto per controllare la crescita del problema dello spam. In quel periodo, dovunque il termine spam su Usenet era usato per riferirsi all'invio di messaggi multipli. Furono coniati altri termini per comportamenti simili, come un cross-posting eccessivo o pubblicit non in tema con il manifesto del newsgroup, comunque pi recentemente anche questi casi sono stati catalogati con il termine spam per analogia al ben pi conosciuto fenomeno della posta elettronica.

Spam

184

Forum
Nei forum (o BBS) spesso per spam si intende l'invio di link riferiti ad altri forum per fare arrivare utenti, molto spesso possibile caricare la medesima discussione nello stesso forum per attirare ancora pi utenti. Altre volte si intendono erroneamente come "spam" anche i messaggi inutili e/o privi di un qualsivoglia senso logico; in questo caso, tuttavia, il termine pi adatto sarebbe "flood". L'utente che pratica spam nei forum, soprattutto nel secondo caso, viene tipicamente definito con il termine gergale spammone. Il termine dispregiativo, un utente considerato spammone viene spesso giudicato anche inaffidabile o incompetente dagli altri. A volte per il termine pu avere un tono pi scherzoso e goliardico, soprattutto nei forum dove c' abbastanza tolleranza nei confronti dello spam.

Blog
Con l'avvento ed il successo riscosso dai blog, non potevano mancare tecniche di spamming che riguardano anche questa nuova recente categoria di media. Oltre al semplice posting di link che reindirizzano il visitatore sui siti che lo spammer vuole pubblicizzare, esistono due tecniche, ben pi evolute: lo spammer fa uso di una sorta di query-bombing dei sistemi multipiattaforma pi noti come WordPress[11] o b2evolution[12] , attaccando i database con l'inserimento continuo di messaggi pubblicitari. Le componenti di un blog pi vulnerabili sono quindi quelle che sono esposte all'utilizzo pubblico: i commenti (per i quali i vari creatori dei sistemi multipiattaforma forniscono con periodicit plug-in di protezione) e gli hitlogs, ovvero il sistema di tracking dei referer (i siti che linkano la pagina in questione).

Keyword spamming
Il keyword spamming il termine dato all'eccessivo uso di keyword o parole chiave in una pagina web al fine di incrementarne la visibilit per i motori di ricerca. Questa tecnica considerata una cattiva SEO. Le nuove tecniche ed algoritmi hanno per introdotto delle funzionalit che permettono ai motori di controllare l'utilizzo ripetitivo degli stessi termini e quindi penalizzare i siti web che adottano questa forma di spam.

Aspetti giuridici
Lo spam un reato in innumerevoli paesi, inquisito anche all'estero con richieste di estradizione. Tra gli spammer pi famosi, si ricordano Laura Betterly, Brian Haberstroch, Leo Kuvayevo, Jeremy Jaynes e Sanford Wallacer.

Italia
La disciplina italiana concernente linvio di posta elettronica a fini commerciali disciplinata dallart. 130 Codice Privacy, rubricato Comunicazioni indesiderate. Lambito di applicazione di detto articolo proprio quello dello spamming, seppur la rubrica si limiti a parlare di comunicazioni indesiderate e non menzioni quelle semplicemente non richieste. Il modello di regolazione scelto dal legislatore italiano (e in generale da tutti gli stati aderenti alla Comunit Europea) quello dellopt-in, che prevede la possibilit di avvalersi del trattamento dei dati personali solo dopo aver ottenuto il consenso del soggetto interessato. inoltre vietato, sempre dallart. 130 Codice Privacy, linvio di comunicazioni a scopi pubblicitari, per la vendita diretta o per ricerche di mercato effettuato camuffando o celando lidentit del mittente o ancora senza fornire un idoneo recapito presso il quale linteressato possa esercitare i propri diritti. per prevista una deroga ai dettami di tale articolo, che consente di utilizzare le coordinate di posta elettronica, fornite dallinteressato nel contesto della vendita di un prodotto o servizio, per linvio di ulteriori messaggi promozionali aventi ad oggetto simili beni o servizi, senza dover nuovamente chiederne il consenso.

Spam Vi poi nel nostro ordinamento unulteriore disposizione al riguardo, rinvenibile nel d.lgs. 9 aprile 2003, n.70 sul commercio elettronico. Lart. 9 afferma infatti che le comunicazioni commerciali non sollecitate trasmesse da un prestatore per posta elettronica devono, in modo chiaro ed inequivocabile, essere identificate come tali fin dal momento in cui il destinatario le riceve e devono altres contenere lindicazione che il destinatario del messaggio pu opporsi al ricevimento in futuro di tali comunicazioni. Va da ultimo esaminato limpianto sanzionatorio previsto dal nostro ordinamento. Anzitutto lo stesso art. 130 comma 6 attribuisce al Garante per la protezione dei dati personali, in caso di reiterata violazione delle disposizioni previste in tale ambito, il potere di provvedere, negli ambiti di un procedimento di reclamo attivato, tramite prescrizione ai fornitori di servizi di comunicazione elettronica (ISP), adottando misure di filtraggio o altre misure praticabili nei confronti di un certo indirizzo di posta elettronica. Di ben maggiore deterrenza appare poi lart. 167 del Codice Privacy, nel quale si prevede che, salvo il fatto non costituisca pi grave reato, chiunque proceda al trattamento dei dati personali in violazione di quanto previsto nel Codice stesso, al fine di trarne un profitto o recare ad altri un danno, punito, se dal fatto deriva nocumento, con la reclusione da sei a diciotto mesi o, se il fatto consiste nella comunicazione o diffusione di tali dati, con la reclusione da sei a ventiquattro mesi. Lattivit di spamming espone, infine, ai sensi dellart. 161 Codice Privacy, alla sanzione amministrativa di omessa informativa (di cui allart 13), la quale va da un minimo di tremila euro ad un massimo di diciottomila euro. La sanzione viene erogata dallautorit Garante per la protezione dei dati personali a seguito di un apposito ricorso ai sensi degli artt. 145 ss. Codice Privacy; tale ricorso che non pu essere proposto se, per il medesimo oggetto e tra le medesime parti, gi stata adita lautorit giudiziaria. La tutela amministrativa risulta dunque essere alternativa a quella giudiziaria, inutile dire che risulta essere anche meno soddisfacente (dal punto di vista economico) per chi se ne avvale, lasciando quindi un ruolo preminente a quella giudiziaria. La prima controversia italiana avente ad oggetto attivit di spamming stata risolta dal Giudice di Pace di Napoli, che, con sentenza 26 giugno 2004, ha riconosciuto lilliceit di tale attivit, condannando il titolare del trattamento al risarcimento del danno patrimoniale, non patrimoniale, esistenziale e da stress subito dal titolare della casella di posta elettronica. Lassetto che deriva dalle regole appena esposte, in piena coerenza con la vigente disciplina nazionale sulla data protection, qualifica dunque il nostro come un sistema improntato al cosiddetto opt-in (necessit del consenso preventivo), salvo il temperamento relativo alla comunicazione via e-mail finalizzata alla vendita di propri prodotti o servizi analoghi, ispirato ad un sistema che potremmo definire di soft opt-out. Con particolare riferimento al tema delle comunicazioni commerciali,, lart. 58 del Codice del consumo, D.Lgs. 206 del 2005, raccogliendo integralmente il disposto del pre-vigente D.Lgs. 185/99, ha introdotto tuttavia delle norme sostanzialmente differenti ove prevede particolari limiti allimpiego di alcune tecniche di comunicazione a distanza: 1.limpiego da parte di un professionista del telefono, della posta elettronica, di sistemi automatizzati di chiamata senza lintervento di un operatore o di fax, richiede il consenso preventivo del consumatore; 2.tecniche di comunicazione a distanza diverse da quelle di cui al comma 1, qualora consentano una comunicazione individuale, possono essere impiegate dal fornitore se il consumatore non si dichiara esplicitamente contrario. Mentre il primo comma prevede un sistema pienamente assimilabile allopt-in, il secondo invece apertamente ispirato ai meccanismi dellopt-out. Questa regolamentazione comportava gi alcuni gravi dubbi interpretativi, soprattutto per i riflessi operativi che ne derivavano: che relazione intercorre tra il consenso richiesto dalla normativa privacy e quello imposto dallart. 58, comma 1, del Codice del consumo? Il tema ancora oggi fortemente dibattuto, fermi per alcuni punti di riferimento che devono costituire i criteri guida per la soluzione di questo problema esegetico: a)si tratta di due consensi aventi natura diversa, per il semplice fatto che tutelano interessi diversi (quello alla riservatezza da un lato, e quello alla correttezza del comportamento del professionista dallaltro); b)comuni sono le sanzioni che derivano dalla violazione delle norme, come evidentemente dimostrato dallart. 62 del Codice del consumo, che espressamente prevede la trasmissione al Garante Privacy del verbale ispettivo redatto dagli organi competenti a rilevare le violazioni dei diritti dei consumatori, affinch il Garante stesso irroghi le diverse sanzioni prescritte dal Codice privacy. Qualsiasi

185

Spam scelta nella impostazione della modulistica necessaria alla acquisizione del consenso, deve tenere dunque ben presenti la tratteggiata distinzione. Si deve comunque sottolineare che in questo tema e in virt di quanto prima sostenuto in tema di sanzioni debba ritenersi pi significativo lorientamento del Garante Privacy il quale, in numerosi provvedimenti, ha dichiarato lillegittimit di qualsiasi comunicazione non preventivamente autorizzata: RILEVATO che ai sensi dell'art. 130 del Codice (salvo quanto previsto dal comma 4 del medesimo articolo) il consenso preventivo degli interessati richiesto anche per l'invio di una sola comunicazione mediante posta elettronica volta ad ottenere il consenso per l'invio di materiale pubblicitario o di vendita diretta o per il compimento di ricerche di mercato o di comunicazione commerciale o, comunque, per fini promozionali (come quella contestata volta a rendere noti i servizi offerti attraverso un sito Internet) (Provvedimento del 20 dicembre 2006).

186

Stati Uniti
Dal 1997 in poi si registra negli Stati Uniti unintensa attivit a livello legislativo statale in risposta ai problemi creati dal crescente fenomeno della posta indesiderata. Trentasei stati hanno emanato una legislazione ad hoc sul tema. Le previsioni legislative dei singoli stati sono le pi disparate, alcuni dispongono che vi debbano necessariamente essere informazioni atte ad identificare il mittente, unanime poi la previsione della possibilit per lutente di vedere cancellato il proprio indirizzo dalla banca dati dello spammer. Gli Stati Uniti infatti aderiscono al modello di regolazione opt-out (fatta eccezione per lo stato della California e del Delaware), che di fatto rende lecito lo spamming ma consente allutente di esprimere in ogni momento la propria volont a che cessi lattivit di spamming sulla sua casella di posta elettronica. Altre previsioni legislative statali generalmente condivise riguardano il divieto di porre in essere, mediante lo spamming, attivit ingannevoli, falsificando alcune parti del messaggio o loggetto stesso. Dal momento che la quasi totalit dei messaggi spedita in maniera transfrontaliera allinterno della federazione, si resa necessaria unarmonizzazione tra le varie legislazioni. Alcune legislazioni statali contengono infatti delle previsioni atte ad individuare lordinamento competente a regolare i vari casi di spamming che coinvolgono pi stati. Lintervento pi significativo e uniformante per avvenuto a livello federale, con il Can-Spam Act del 2003 (entrato in vigore il primo gennaio 2004). Con questo provvedimento si rimette al Dipartimento di Giustizia, lo FTC, allattourney general statale e agli ISP la facolt di tutelare i diritti dei privati, stabilendo per coloro che violano le previsioni dello statute (tra le quali, ancora, linserimento di informazioni e oggetti fuorvianti o lomissione dellapposita etichetta prevista per i messaggi a contenuto sessuale) sanzioni pecuniarie fino a $ 2.000.000, con la possibilit di triplicare la pena nel caso in cui la violazione sia stata commessa intenzionalmente e consapevolmente. Sono previste inoltre sanzioni penali per gli spammer che inviano messaggi commerciali illeciti, a contenuto osceno, pedo-pornografico o lidentit del cui mittente falsa o rubata. Il Can-Spam Act prevale sulle disposizioni normative statali, ma di fatto, stato tacciato dalla dottrina come statute per lo pi simbolico alla luce del suo scarso impatto pratico.

Software e servizi on-line contro lo spam


Software Spamassassin BarracudaNetworks ClearSWIFT Endian GFI IronPort

Kaspersky Sinapsi Antispam SonicWall

Spam Sophos Stevtech SPAMfighter Symantec Antispameurope Abaca Technology Corporation

187

Note
[1] http:/ / it. youtube. com/ watch?v=anwy2MPT5RE Lo sketch originale su YouTube. [2] http:/ / www. templetons. com/ brad/ spamreact. html Pagina che riporta le reazioni al primo spam, e una trascrizione di quest'ultimo; notare come, non essendo in grado il programma di invio di posta elettronica di supportare pi di un certo numero di indirizzi email, parte di questi ultimi siano finiti nel corpo della mail. [3] http:/ / www. aol. com [4] http:/ / spamcop. net [5] http:/ / www. abuse. net/ [6] http:/ / www. spammer. org/ spammer [7] http:/ / www. mostraip. it/ Default. aspx [8] http:/ / www. oecd-antispam. org/ sommaire. php3 [9] http:/ / banspam. javawoman. com/ report3. html [10] http:/ / spamlinks. net/ track-report-addresses. htm#country [11] WordPress Blog Tool and Publishing Platform (http:/ / wordpress. org) [12] b2evolution.org (http:/ / b2evolution. org)

Bibliografia
"Diritto dell'informatica e della comunicazione", A.M. Gambino, A. Stazi, con la collaborazione di D. Mula, Giappichelli editore, 2009 (http://www.dimt.it/Segnalazioni editoriali.html)

Voci correlate
E-mail Mailbombing

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Electronic spam Wikizionario contiene la voce di dizionario: http://it.wiktionary.org/wiki/Spam

Collegamenti esterni
Trascrizione della scenetta dei Monty Python (http://www.spamterminator.it/orig_it.asp) Progetto Spamhaus (http://www.spamhaus.org) Spam Laws - Leggi sullo spam di diverse nazioni (http://www.spamlaws.com/) Un filtro antispam intelligente in Java (http://www2.mokabyte.it/cms/article. run?articleId=STS-3CY-GIV-6HP_7f000001_14191084_d2ba6e6c)

Spim

188

Spim
Con l'espressione spim o messaging spam [1] [2] [3] si indica l'invio di grandi quantit di messaggi indesiderati, generalmente commerciali, attraverso software di messaggistica in tempo reale (noti anche con l'acronimo IM cio instant messaging).

Applicazioni IM
Sistemi di messaggistica immediata come Yahoo! Messenger, AIM, Windows Live Messenger, Tencent QQ, ICQ, Skype, XMPP e le chat rooms di Myspace sono tutti afflitti dallo spim. Molti di questi sistemi offrono un servizio di directory mediante il quale si pu accedere all'elenco degli utenti, comprensivo di dati sensibili quali et e sesso. Gli spammer possono raccogliere queste informazioni, accedere al sistema e spedire messaggi non richiesti, inclusi scam-ware, virus e collegamenti a siti truffaldini (click fraud). Microsoft ha annunciato che la versione 9.0 di Windows Live Messenger avr speciali caratteristiche dedicate alla lotta allo spim.[4] In molti sistemi tuttavia gli utenti gi possono bloccare la maggioranza della messaggistica indesiderata, tramite l'uso di una white-list.

Contromisure
Molti utenti scelgono di poter ricevere messaggi solo da persone presenti nella propria lista di contatti (white-list). AOL Instant Messenger (AIM) consente agli utenti di "ammonire" altri utenti. Gli ammonimenti fanno decrescere il numero di messaggi che un utente pu spedire, diminuendo lo spam; inoltre l'utente ammonito visibile come tale dagli altri utenti che hanno quindi una percezione immediata delle reali intenzioni dell'utente. Skype consente di bloccare gli utenti indesiderati. In ambito aziendale, lo spim bloccabile mediante prodotti quali Akonix, ScanSafe, Symantec, e CSC.

Lo spam attraverso il servizio Messenger di Windows


Nel 2002, alcuni spammer cominciarono ad abusare del servizio Messenger Service, una funzione del sistema operativo Windows (famiglia NT), che consente agli amministratori di rete di spedire avvertimenti e informazioni agli utenti delle workstation (programma che non da confondere con Windows Messenger o Windows Live Messenger, programmi gratuiti di messaggistica in tempo reale). Lo spam effettuato mediante Messenger Service appare all'utente finale come una normale finestra di dialogo contenente per un messaggio indesiderato. Tali messaggi sono Esempio di spim sul sistema Messenger Service (2007) facilmente bloccabili da firewall configurati per chiudere le porte NetBIOS dal 135 al 139 e la 445 e le porte UDP sopra la 1024[5] oppure disabilitando il servizio. Nella versione XP di Windows, l'installazione del Service Pack 2 ha, tra gli altri, l'effetto di disabilitare il servizio Messenger.

Spim

189

Voci correlate
Spam

Note
[1] CNET: Spim, splog on the rise (http:/ / www. news. com/ Spim,-splog-on-the-rise/ 2100-7349_3-6091123. html) [2] New Scientist: Spam being rapidly outpaced by spim (http:/ / www. newscientist. com/ article/ dn4822-spam-being-rapidly-outpaced-by-spim. html) [3] Spamfo: SPIM, your new spam (http:/ / www. spamfo. co. uk/ component/ option,com_content/ task,view/ id,153/ Itemid,2/ ) [4] Jeremy Kirk. Microsoft to clamp down on spam over IM (http:/ / www. computerworlduk. com/ technology/ security-products/ prevention/ news/ index. cfm?RSS& NewsId=6359). IDG News.URL consultato il 24 novembre 2007. [5] Messenger Service window that contains an Internet advertisement appears (http:/ / support. microsoft. com/ kb/ 330904). Microsoft.URL consultato il 1 dicembre 2007.

Stamping Authority
La Stamping authority quell'ente che appone una marca temporale durante le firme di documenti elettronici e le comunicazioni via PEC (Posta Elettronica Certificata). Spesso la Stamping Authority parte integrante della Certification Authority, tuttavia assolve un compito totalmente diverso. Il riferimento temporale usato per comunicare UTC, concordato a livello internazionale.

Voci correlate
Certification Authority UTC

Standard di sicurezza informatica

190

Standard di sicurezza informatica


Gli standard di sicurezza informatica sono metodologie che permettono alle organizzazioni di attuare tecniche di sicurezza finalizzate a minimizzare la quantit e la pericolosit delle minacce alla sicurezza informatica. Le guide contenute nei documenti che descrivono questi standard offrono indicazioni generali e misure tecniche di dettaglio, che, se bene applicate, possono contribuire a mettere in opera un sistema di sicurezza informatica efficace. Nel caso di certi standard possibile ottenere anche una certificazione da apposite istituzioni abilitate a rilasciarla. Tra i vantaggi derivanti dal possesso di una certificazione si pu ricordare la maggiore facilit nell'ottenimento di una assicurazione sulla sicurezza informatica.

Storia
Gli standard di sicurezza informatica sono una recente invenzione perch oggi informazioni sensibili sono spesso memorizzate su computer che sono collegati a Internet. Inoltre molte attivit che prima erano condotte manualmente oggi sono svolte dai computer e perci c' maggiore bisogno di affidabilit e sicurezza dei sistemi informatici. La sicurezza informatica importante anche per gli individui che devono proteggersi dal cosiddetto furto di identit. Le aziende hanno bisogno di sicurezza perch devono proteggere i loro segreti industriali e le informazioni sui dati personali dei clienti. Il governo inoltre ha la necessit di assicurare le sue informazioni. Questo crea particolari critiche poich alcuni atti di terrorismo sono organizzati e facilitati usando Internet. Uno degli standard di sicurezza pi ampiamente usati oggi l'ISO 27002 del 2007. Questo standard deriva dallo standard BS 7799-1, pubblicato nel 1995 dal BSI (British Standards Institute) ed ora ritirato. Al BS 7799-1 si affiancava il BS 7799-2, ora a sua volta sostituito dall'ISO 27001. Quest'ultimo la base per la certificazione, mentre l'ISO 27002 pu essere inteso come un manuale pratico (Security Code of Practice), in quanto privo di valore normativo. quindi una delle svariate metodologie adottabili per soddisfare i requisiti della norma ISO 27001, anche se sicuramente quella pi naturalmente compatibile. Negli Stati Uniti il National Institute of Standards and Technology (NIST) ha pubblicato diversi documenti speciali per la sicurezza del cyberspazio. In particolare tre di questi: l'800-12 ("Computer Security Handbook"), l'800-14 ("Generally Accepted Principals and Practices for Securing Information Technology") e la 800-26 ("Security Self-Assessment Guide for Information Technology Systems").

ISO 27002:2007
Lo standard ISO 27002 stabilisce che la sicurezza dell'informazione caratterizzata da integrit, riservatezza e disponibilit. stato emesso nel 2007, al termine di un lungo percorso di evoluzione iniziato con lo standard britannico BS7799 nel 1995, anche attraverso l'ISO/IEC 17799, ritirato in concomitanza con l'emissione del nuovo documento, meglio armonizzato con la serie ISO 27000 di standard sulla sicurezza delle informazioni. Il documento organizzato in 10 aree di controllo, ogni sezione dedicata ad una parte specifica: politiche di sicurezza (Security Policy): forniscono le direttive di gestione ed il supporto per le informazioni di sicurezza. sicurezza organizzativa (Security Organization): controllo della sicurezza delle informazioni in seno all'azienda; mantenere la sicurezza e la facilit dei processi organizzativi delle informazioni anche quando accedono le terze parti; monitorare la sicurezza delle informazioni quando la responsabilit dell'elaborazione dell'informazione stata conferita in outsource. controllo e classificazione dei beni (Asset Classification and Control):

Standard di sicurezza informatica mantenere la protezione dell'assetto organizzativo e garantire che l'assetto delle informazioni riceva un appropriato livello di protezione. sicurezza del personale (Personnel Security): Ridurre i rischi di errore, di furto, di frode o di abuso da parte degli operatori; accertarsi che gli utenti siano informati delle possibili minacce e preoccupazioni sulla sicurezza delle informazioni e siano dotati a sostenere la politica della societ sulla sicurezza nel corso del loro lavoro normale; per minimizzare i danni dagli avvenimenti e dalle disfunzioni di sicurezza ed imparare da tali avvenimenti. sicurezza fisica e ambientale (Physical and Environmental Security): impedire l'accesso, il danneggiamento e l'interferenza dei non autorizzati all'interno del flusso delle informazioni del business; impedire perdita, danni o l'assetto del sistema e la interruzione delle attivit economiche; impedire la manomissione o il furto delle informazioni. gestione di comunicazioni e operazioni (Communications and Operations Management): accertarsi del corretto funzionamento e facilit di elaborazione dell'informazione; minimizzare il rischio di guasti dei sistemi; proteggere l'integrit dei software e delle informazioni; mantenere l'integrit e la validit dei processi di elaborazione dell'informazione e della comunicazione; garantire la salvaguardia delle informazioni in rete e la protezione delle infrastrutture a supporto; prevenire danni ai beni e le interruzioni alle attivit economiche; impedire perdita, modifica o abuso delle informazioni scambiate fra le organizzazioni.

191

controllo di accesso (Access Control): per controllare l'accesso alle informazioni; per impedire l'accesso non autorizzato ai sistemi d'informazione; per accertare la protezione dei servizi in rete; per impedire l'accesso non autorizzato nel calcolatore; per rilevare le attivit non autorizzate; per accertarsi sulla sicurezza delle informazioni quando sono utilizzate le postazioni mobili rete e tele rete.

sviluppo e manutenzione di sistemi (System Development and Maintenance): accertare che la sicurezza sia stata costruita all'interno delle operazioni di sistema; per impedire la perdita, la modifica o il cattivo utilizzo dei dati dell'utente all'interno dei sistemi di applicazione; per proteggere riservatezza, autenticit e l'integrit delle informazioni; per accertarsi che le attivit di progetto e supporto alle attivit siano condotte in modo sicuro; e) per mantenere la sicurezza del software e dei dati di sistema. gestione continuit operativa (Business Continuity Management): neutralizzare le interruzioni alle attivit economiche ed ai processi critici degli affari, dagli effetti dei guasti. adeguatezza (Compliance): evitare il non rispetto delle leggi civili, penali e di qualsiasi requisito di sicurezza; per elevare l'efficacia e minimizzare l'interferenza da/per il processo di verifica del sistema.

Standard di sicurezza informatica

192

ISO 27001:2005
Lo Standard ISO 27001:2005 una norma internazionale che fornisce i requisiti di un Sistema di Gestione della Sicurezza nelle tecnologie dell'informazione (Information Security Management System - ISMS). Lo standard stato creato e pubblicato nell'ottobre 2005 a fini certificativi, in modo da costituire, assieme alla sua linea guida ISO/IEC 17799:2005, un sistema completo per garantire la gestione della sicurezza nella tecnologia dell'informazione: con la sua pubblicazione sostituisce la norma inglese BS 7799 - Information Security Management System ISMS, che sinora stata la principale norma di riferimento per l'applicazione di un Sistema di Gestione per la sicurezza delle informazioni. Vedi anche Standard_ISO_27001:2005.

Standard of good practice


Nel 1998, il Information Security Forum (ISF) ha elaborato una lista completa delle migliori pratiche per la sicurezza delle informazioni. Queste sono state raccolte nel cosiddetto Standard of Good Practice (SoGP). Il ISF offre inoltre una valutazione per identificare gli ambienti del segno di riferimento e la conformit di misura al SoGP. Il SoGP un ciclo biennale di revisione durante il quale le sezioni attuali sono modificate e le nuove sezioni sono aggiunte in accordo coi membri dell'ISF, nella ricerca di pratiche migliori. Originalmente il SoGP era un documento riservato e disponibile soltanto ai membri dell'ISF, ma lo stesso ISF ha, da allora, messo a disposizione il documento completo alla pubblica utilit senza nessun costo.

NERC
Il North America Electric Reliability Council (NERC) ha creato molti standard. Quello maggiormente riconosciuto il NERC 1300 che una modifica/aggiornamento del NERC 1200. La versione pi recente del NERC 1300 viene chiamata CIP-002-1 dal CIP-009-1 (dove CIP significa Critical Infrastructure Protection). Questi standard sono utilizzato per rendere sicuri dei sistemi elettrici molto grandi sebbene il NERC abbia creato standard anche in altre aree. Gli standard per i sistemi elettrici forniscono anche sicurezza nell'amministrazione di rete nonostante supportino ancora i processi industriali. Il North America Electric Reliability Council ha creato molti standard. Il pi conosciuto NERC 1300 che una modifica di NERC 1200. La pi rencete versione di NERC 1300 definita CIP-002/CIP-009. Questi standard sono usati per mettere in sicurezza grandi sistemi elettrici anche se il NERC ha creato standard in altre aree. Lo standard per i grandi sistemi elettrici tratta anche la sicurezza di rete informatica e supporta i processi di tipo best practice industriali.

NIST
1) La pubblicazione speciale 800-12 fornisce un'ampia panoramica sulla sicurezza informatica e le aree di controllo. Inoltre pone l'accento sull'importanza dei controlli di sicurezza e sul modo di implementarli. Inizialmente questo documento era indirizzato al governo federale sebbene molte pratiche contenuto in questo documento possono essere applicate anche nel settore privato. Nello specifico, era stato scritto per i responsabili, all'interno del governo federale, della gestione di sistemi sensibili. [1] 2) La pubblicazione speciale 800-14 descrive i comuni principi di sicurezza utilizzati. Fornisce una descrizione di alto livello di ci che dovrebbe essere implementato all'interno di una politica di sicurezza informatica. Descrive cosa pu essere fatto per migliorare la sicurezza gi esistente e come sviluppare nuove pratiche di sicurezza. In questo documento sono descritti otto principi e quattordici pratiche. [2] 3) La pubblicazione speciale 800-26 fornisce dei consigli sulla gestione della sicurezza informatica. Questo documento pone enfasi sull'importanza dell'auto valutazione e sulla valutazione dei rischi. [3]

Standard di sicurezza informatica

193

BSI IT Baseline Protection Manual


Il Manuale per la protezione di base IT (in inglese IT Baseline Protection Manual, in tedesco IT-Grundschutzhandbuch) dell'istituto federale Ufficio Federale per la sicurezza informatica della Repubblica tedesca permette di dare attuazione a una pianificazione della sicurezza IT in modo semplice ed economico. Vedi anche IT Baseline Protection Manual

ISO 15408
Questo standard stato sviluppato come test di verifica comune, viene definito in inglese Common Criteria. Dorvrebbe permettere a molte e differenti applicazioni software di essere integrate e testate in modo sicuro. Questo standard non fornisce una lista di requisiti di sicurezza o funzionalit che il sistema deve possedere. Al contrario descrive solo un quadro concettuale al cui interno gli utilizzatori di un sistema informatico possono specificare i loro requisiti di sicurezza, i produttori possono implementare e pubblicizzare le caratteristiche dei loro sistemi e i laboratori di test possono valutare i sistemi per determinare se effettivamente soddisfano i requisiti dichiarati. In altri termini i Common Criteria assicurano che il processo di specificazione, implementazione e valutazione di un sistema rispetto alla sicurezza informatica venga condotto in una maniera rigorosa e standardizzata.

Note
[1] National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12. [2] Guttman, M., Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Generally Accepted Principles and Practices for Securing Information Technology Systems (800-14). (September 1996) [3] Swanson, M., National Institute of Standards and Technology; Technology Administration; U.S. Department of Commerce., Security Self-Assessment Guide for Information Technology Systems (800-26).

Steganografia
La steganografia una tecnica che si prefigge di nascondere la comunicazione tra due interlocutori, infatti il termine composto appunto dalle parole greche (nascosto) e (scrittura). Tracce di questa tecnica si hanno gi nell'antica Grecia: Erodoto narra l'episodio di Demarato che per avvisare i compatrioti di una possibile invasione persiana scrive su di una tavoletta un messaggio da nascondere, poi copre la tavoletta di cera e sulla cera scrive un messaggio innocuo. Poich nell'antichit le tavolette di cera erano normalmente usate per scrivere testi provvisori, non dest sospetti.[1] Per una teorizzazione completa di questa tecnica bisogna per attendere il 1499, quando la steganografia viene teorizzata dall'abate Tritemio nell'omonimo libro.

Steganografia

194

Libri
La "Steganographia" di Tritemio si proponeva di poter inviare messaggi tramite l'uso di linguaggi magici, sistemi di apprendimento accelerato e senza l'utilizzo di simboli o messaggeri. L'opera inizi a circolare in corrispondenze private e suscit reazioni cos allarmate che l'autore decise di non darla alle stampe e ne distrusse addirittura larghe parti, ritenendo che non avrebbero mai dovuto vedere la luce. Continu comunque a circolare in forma di minuta e fu pubblicata postuma nel 1606[2] .

Uso
La steganografia pu trovare uso in ogni forma di comunicazione, sufficiente che mittente e destinatario abbiano concordato un codice non Frontespizio del primo libro sulla vincolato ai normali simboli alfabetici. Ad esempio: Alice e Bob si accordano steganografia sull'uso di un sistema steganografico: il numero di virgole presente in una singola pagina sar tra 1 e 21, questo numero corrisponder ad una lettera dell'alfabeto. Qualora A e B dovessero trovarsi in un regime di comunicazione controllata, potrebbero scrivere pagine di copertura narrando informazioni prive di valore per loro, ma facendo un uso accurato delle virgole, riuscirebbero a nascondere il vero messaggio con questa tecnica steganografica.

Caratteristiche
La steganografia si pone come obiettivo di mantenere nascosta l'esistenza di dati a chi non conosce la chiave atta ad estrarli, mentre per la crittografia non rendere accessibili i dati nascosti a chi non conosce la chiave. La crittanalisi l'attacco alla crittografia, che mira ad estrarre i dati cifrati senza chiave. L'obiettivo della steganalisi non quindi quello di estrarre i dati nascosti, ma semplicemente di dimostrarne l'esistenza.

Principi della steganografia digitale


La steganografia una forma di Sicurezza tramite segretezza, l'algoritmo di steganografia a differenza di un algoritmo crittografico deve tenere conto della forma plausibile che i dati generati devono avere, affinch non destino sospetti. La steganografia valuta la robustezza dei suoi algoritmi sia in condizioni di analisi da parte di individui (che il dato generato sia coerente, almeno alle apparenze, con dati simili) sia da parte di computer (quindi analisi matematiche, statistiche e di confronto con archivi).

Steganografia LSB/rumore di fondo


LSB (dall'inglese least significant bit, bit meno significativo) la tipologia di steganografia pi diffusa. Si basa sulla teoria secondo la quale l'aspetto di un'immagine digitale ad alta definizione non cambia se i colori vengono modificati in modo impercettibile. Ogni pixel rappresentato da un colore differente, cambiando il bit meno significativo di ogni pixel, il singolo colore non risulter variato in modo significativo e il contenuto dell'immagine sar preservato nonostante questa manipolazione. L'algoritmo steganografico riceve in input un'immagine di copertura/contenitore (C), una chiave (K) ed un dato da nascondere (D). Estrapola da C i bit meno significativi, misurandone la dimensione e verificando se questa sufficiente per ospitare D. Tramite K, D viene sparpagliato tra i bit meno significativi, sovrascrivendo i valori originali. Viene cos generato S, il dato steganografico.

Steganografia Chi analizzer S avr davanti a s un'immagine plausibile, e pur conoscendo l'algoritmo avr bisogno di K per verificare se c' un messaggio nascosto. sempre possibile un attacco di tipo forza bruta, avendo chiaro l'algoritmo e il dato da forzare, come avviene nella crittografia. In alcuni algoritmi di steganografia, K viene usato per cifrare D e non nel processo steganografico, che di conseguenza sempre uguale per ogni esecuzione dell'algoritmo. Essendo la sicurezza dell'algoritmo vincolata a parametri umani, non si pu generalizzare dicendo che questo approccio insicuro, ma l'uso della chiave per finalit crittografiche e quindi un uso della distribuzione steganografica non dipendente da chiave, pu diventare una vulnerabilit. L'esempio portato con le immagini pu essere replicato su altri dati multimediati (file audio e video), perch tutti condividono la caratteristica di tollerare distorsioni plausibili, lasciando fruibile il contenuto originale. Questa tecnica steganografica viene generalizzata dicendo che si basa sul rumore di fondo. Tutte quelle porzioni di dati contenenti dettagli inessenziali per la trasmissione del contenuto possono essere utilizzate come contenitore steganografico, una volta trovato un codice adeguato a non causare incoerenze evidenti all'analista.

195

Steganografia pura/a generazione di copertura


In alcuni contesti, piuttosto che usare un contenitore per nascondere dei dati al suo interno, un software di steganografia pu ricevere in input la chiave (K) e il dato (D) e generare autonomamente un dato steganografato. Di fatto il contenitore viene generato basandosi su di una base di dati preesistente. Spammimic [3], dimostrato vulnerabile nel 2007 [4], ha implementato questa tecnica applicandola a contenitori di tipo testo: il software genera spam, in quanto teorica fonte di informazioni casuali e plausibili, come contenitore di dati steganografati. Il fatto che spammimic sia stato dimostrato vulnerabile non da imputarsi alla tecnologia scelta, ma solo alla limitatezza del dizionario dal quale lo spam viene generato e dalla presenza di tratti riconoscibili.

Tools Steganografici
OpenPuff: BMP, JPG, PNG, TGA, Mp3, WAV, 3gp, Mp4, MPEG-1, MPEG-2, VOB, SWF, FLV, PDF S-Tools: BMP, GIF, Wav, unused floppy disk space MP3Stego: Mp3 Invisible Secrets: BMP, PNG, JPG, WAV, Html StegFS: File system steganografico

Attacchi alla steganografia


Steganalisi
La steganalisi il processo mediante il quale possibile dire che un dato contiene dati steganografati o fa parte di una trasmissione steganografica. Questa considerazione non pu essere solo di carattere discreto, ma deve essere contestualizzata nell'uso e nei modi .

Distorsione
Un attacco a distorsione portato quando la terza parte che osserva le comunicazioni pu modificare il dato in modo automatico al fine di cambiarne alcune caratteristiche. Un attacco di distorsione applicato a dei contenuti multimediali con steganografia LSB si realizza diminuendo la definizione del contenuto: infatti qualunque tecnica steganografica sia stata applicata, la ridefinizione dell'immagine danneggia il messaggio nascosto nel dato.

Steganografia

196

Note
[1] Nicola Cocchiaro. Steganografia (http:/ / cocchiar. web. cs. unibo. it/ steg/ intro. html). cocchiar.web.cs.unibo.it, 2005.URL consultato il 4 novembre 2011. [2] Graziella Montemarani, op. cit., p.16 [3] http:/ / www. spammimic. com [4] http:/ / www. delirandom. net/ 20070407/ steganalysis-attack-against-spammimic/

Voci correlate
Watermark Crittografia negabile

Altri progetti
Wikimedia Commons contiene file multimediali: http://commons.wikimedia.org/wiki/ Category:Steganography

Collegamenti esterni
Dmoz - Tools Steganografici (http://search.dmoz.org/Computers/Security/Products_and_Tools/ Cryptography/Steganography/) Tritemio e la Steganografia (http://www.pazuzu.it/tritemio/) Esempio in C di steganografia LSB su file BMP (http://mamo139.altervista.org/index.php?tipo=c&id=100) Graziella Montemarani. Steganografia - Larte della scrittura nascosta (http://www.dia.uniroma3.it/ ~dispense/merola/critto/tesine/stega/stega2.pdf) (pdf). Universit degli Studi Roma Tre - Dipartimento di Informatica e Automazione, 5 giugno 2005.URL consultato il 17/08/2011. (LA) Testo completo della Steganographia (http://books.google.fr/books?id=bQdCAAAAcAAJ& printsec=frontcover&dq=Johannes+Trithemius&hl=it&ei=_QQyTquxCsmLswbi0pTpBg&sa=X& oi=book_result&ct=result&resnum=4&ved=0CDgQ6AEwAw#v=onepage&q&f=false) di Trithemius scaricabile da Google Libri

Strong authentication

197

Strong authentication
Una autenticazione a due fattori (o autenticazione a pi fattori o strong authentication) un metodo di autenticazione che si basa sull'utilizzo congiunto di due metodi di autenticazione individuale.

Metodi di autenticazione
Per autenticarsi a sistemi digitali (es. computer o bancomat) vengono distinte tre diverse metodologie: "Una cosa che conosci", per esempio una password o il PIN. "Una cosa che hai", come un telefono cellulare, una carta di credito un oggetto fisico come un token. "Una cosa che sei", come una impronta digitale, la retina o l'iride, o altre caratteristiche di riconoscimento attraverso caratteristiche uniche del corpo umano (biometria).

Autenticazione a due fattori


Si dice che un sistema fa leva su una autenticazione a due fattori quando si basa su due diversi metodi di autenticazione tra quelli su elencati. Una autenticazione a due fattori si contrappone dunque ad una comune autenticazione basata sulla sola password. Una autenticazione basata su password richiede infatti un solo fattore di autenticazione (come la conoscenza di una password) per concedere l'accesso ad un sistema. Le pi comuni forme di autenticazione a due fattori usano "una cosa che conosci" (una password) come uno dei due fattori, mentre come secondo fattore viene utilizzato o "una cosa che hai" (un oggetto fisico) o "una cosa che sei" (una caratteristica biometrica come una impronta digitale). Un esempio comune di autenticazione a due fattori il bancomat: il tesserino l'oggetto fisico che rappresenta "una cosa che hai" e il PIN "una cosa che sai".

Strong authentication
Quando viene utilizzato pi di un fattore di autenticazione si parla di strong authentication (autenticazione forte); l'uso di un solo fattore, ad esempio la sola password, viene considerato una autenticazione debole. Una strong authentication si basa su pi fattori di autenticazione che possano tutti essere utilizzati online (ci comporta di non usare i fattori di tipo fisico o di utilizzarli in modo diverso).

Voci correlate
Autenticazione Token

TACACS

198

TACACS
TACACS lacronimo di Terminal Access Controller Access Control System ed un protocollo per l'autenticazione e l'autorizzazione remota (non quindi AAA, in quanto manca la funzionalit di Account), nato e usato principalmente nelle reti UNIX, progettato per la rete ARPANET. Esso permette a un server ad accesso remoto di comunicare (nella maggior parte dei casi un NAS) con un server per autenticazione allo scopo di determinare se lutente ha accesso alla rete. stato specificato nella RFC 1492. TACACS permette ad un client avente un nome utente e una password, e di inviare una richiesta al server di autenticazione TACACS, che viene anche chiamato TACACS Daemon o semplicemente TACACSD. Tale server nella maggior parte dei casi un programma eseguito in un determinato calcolatore, il quale elaborando la richiesta del client, permette o nega laccesso. In questo modo il processo di decisione di tipo aperto, cio lalgoritmo e i dati usati per stabilire il permesso implementato nel TACACS daemon da parte dellamministratore. Il protocollo solo si interessa della comunicazione della richiesta e dellesito della stessa. Il protocollo sfrutta la comunicazione con pacchetti UDP, e usa di default la porta 49. I dati vengono scambiati tra client e server attraverso i pacchetti TACACS (aventi una lunghezza tra 6 e 516 byte), che sono inseriti nel campo dati dei pacchetti UDP. Username e password vengono inviati senza criptazione e vengono valutati in modalit case-insensitive. [RFC 1492] Una modifica alloriginale protocollo stata introdotta da CISCO nel 1990, con XTACACS (Extended TACACS), il quale aggiunge la funzionalit di Accounting, rendendo quindi il protocollo di tipo AAA. Unaltra aggiunta la possibilit di operare con pi server XTACACS, la quale aumenta la robustezza del sistema, evitando malfunzionamenti generali dellintera rete generati da un singolo server non funzionante.

Tecniche euristiche
Le analisi (o tecniche) euristiche sono dei tipi di analisi del computer utilizzate dai programmi antivirus per individuare minacce sconosciute o non presenti nel database di virus dell'antivirus. Tuttavia, questo tipo di analisi a volte poco attendibile, se programmi normali si comportano con modalit che secondo i parametri di comportamento dell'antivirus sono tipici dei virus (falso positivo). Le analisi euristiche sono simili alle ricerche proattive, ma le prime, anche se meno attendibili, sono pi sicure delle seconde poich le analisi euristiche analizzano un file solo "osservandolo", mentre le ricerche proattive lo eseguono: cosa che potrebbe dare luogo a infezioni nella macchina.

Tiger team

199

Tiger team
Il termine Tiger Team era usato originariamente con riferimento militare per quelle squadre il cui scopo era di penetrare la sicurezza di installazioni "amiche", e in questo modo di testare le loro misure di sicurezza.

Esempi
I loro membri sono professionisti che lasciano traccia dei loro successi, come ad es. lasciare cartelli di segnalazione con scritto "bomba" in installazioni difensive di importanza critica, oppure note manoscritte recanti la dicitura "i vostri codici sono stati rubati" (cosa che non fanno mai) all'interno di luoghi sicuri, ecc. Alle volte, dopo un'intrusione portata a termine con successo, un membro della sicurezza di alto livello si presenta per un "controllo di sicurezza", e "scopre" le tracce dell'intrusione. Successi di alto livello conseguiti dalle Tiger Teams hanno alle volte portato a pensionamenti anticipati di comandanti di basi o ufficiali addetti alla sicurezza.

Nel mondo Informatico


Il termine diventato popolare nel mondo informatico, dove la sicurezza dei sistemi spesso testata dai Tiger Team. Alcuni Tiger Team sono formati da hacker professionisti che testano la sicurezza dei server delle aziende tentando di accedervi con attacchi remoti tramite la rete locale LAN, Internet o canali di comunicazione considerati "sicuri" come la VPN.

Oggi
Il termine ormai obsoleto, ed adesso pi comune riferirsi a loro come Penetration Tester o Ethical Hacker e il processo di valutazione di un computer o di una infrastruttura informatica come Penetration Test. Il termine diventato noto in Italia in seguito alle vicende sorte intorno al tigerteam di Telecom Italia, dei suoi dirigenti Giuliano Tavaroli e Fabio Ghioni[1] e i suoi collegamenti con il cosiddetto Scandalo Telecom-Sismi. Secondo la stampa facevano parte del tigerteam anche Andrea Pompili (l'autore di Catalypse), Rocco Lucia (messo ai domiciliari per il caso RCS), Andrea Bodei (nipote del filosofo Remo Bodei), Roberto Preatoni (figlio del finanziere di Sharm el-Sheikh Ernesto Preatoni). Il gruppo indagato per intrusione informatica a danno di RCS[2] in particolare per le intercettazioni illegali verso Massimo Mucchetti, varie responsabilit riguardo lo scandalo Telecom-Sismi, il rapimento del Caso Abu Omar (Imam di Milano), l'istigazione al suicidio che ha causato la morte di Adamo Bove e in Brasile per spionaggio internazionale ai danni di Kroll Inc. (agenzia investigativa privata legata alla CIA) nel contesto della scalata di Telecom Italia a Brasil Telecom[3] .

Bibliografia
2007 - Massimo Mucchetti. Il Baco del Corriere. Milano, Feltrinelli, 2007 (vedi su http://www.feltrinellieditore. it/SchedaLibro?id_volume=5000741) 2008 - Giorgio Boatti, Giuliano Tavaroli: Spie, 241 pp, Mondadori, Collana Frecce, ISBN 978-88-04-58072-0 2008 - Sandro Orlando: La repubblica del ricatto - Dossier segreti e depistaggi nell'Italia di oggi (prefazione di Furio Colombo, 299 pp, Chiarelettere editore srl, Milano, ISBN 978-88-6190-004-2 2008 - Emilio Randacio: Una vita da spia - 007 si nasce o si diventa?, 182 pp, Rizzoli, Collana Futuropassato, ISBN 978-88-17-02057-2 2009 - Andrea Pompili. Le Tigri di Telecom. Roma, 2009. ISBN 978-88-6222-068-2

Tiger team

200

Voci correlate
Security Operation Center Hacker Penetration Test Sicurezza informatica Scandalo Telecom-Sismi Caso Abu Omar Caso Adamo Bove

Note
[1] Articolo sull'Espresso - Dio, patria e spioni (http:/ / espresso. repubblica. it/ dettaglio/ Dio-patria-e-spioni/ 1503447/ 16/ 0) [2] Articolo sul Corriere - Sala Mara, il bunker delle tigri di Ghioni (http:/ / archiviostorico. corriere. it/ 2007/ gennaio/ 21/ Sala_Mara_bunker_delle_tigri_co_9_070121163. shtml) [3] Articolo sul Corriere della Sera - Giornalisti spiati. Il Tiger team rubava email (http:/ / www. corriere. it/ Primo_Piano/ Cronache/ 2007/ 01_Gennaio/ 28/ ferrarella. html)

Time Machine (software)


Time Machine

Time Machine in esecuzione con Quick Look che mostra l'anteprima di un file Sviluppatore Ultimaversione S.O. Genere Licenza Apple Inc. - (2007) Mac OS X Backup Software proprietario (Licenza chiusa) [1]

Sito web

Time Machine un programma di backup automatico annunciato il 7 agosto 2006 da Apple Inc. durante il Worldwide Developers Conference. Il programma incluso con la nuova versione del sistema operativo Mac OS X 10.5 Leopard. Time Machine crea delle copie di ogni file utente in modo che se il file dovesse venir sovrascritto o cancellato l'utente possa tornare alla versione precedente. Il programma pu recuperare la versione precedente di un singolo file o di gruppi di file. Time Machine non funziona unicamente con i file del Finder ma in grado di recuperare

Time Machine (software) precedenti versioni di programmi. Il programma per esempio in grado di recuperare album fotografici cancellati da iPhoto o schede cancellate dalla Rubrica Indirizzi. Il programma effettua il backup dei file modificati ogni ora per le ultime 24 ore. Dei backup pi vecchi di un giorno viene mantenuto solo uno per la giornata al fine di non occupare inutilmente spazio. Quindi l'utente pu aver accesso alle modifiche effettuate nell'ultimo giorno con passi di un'ora o nell'arco del periodo precedente con il passo di un backup al giorno. Quando il sistema termina lo spazio disponibile sul disco il programma provvede a rimuovere i backup pi vecchi. Time machine permette di recuperare l'intero sistema operativo e non solo i file dell'utente. Quindi se l'utente lo desidera pu utilizzare il programma per riportare l'intero computer allo stato presente in uno dei backup o per migrare il sistema su un nuovo computer Apple.

201

Interfaccia grafica
Il programma dotato di un'interfaccia grafica coreografica. Una volta selezionato l'elemento che conteneva i file da recuperare (cartelle, programmi, ecc) si attiva il programma. Il programma fa scomparire il Finder e mostra uno sfondo stellato che si muove, in primo piano la finestra o il programma selezionato e dietro la finestra mostra in prospettiva le precedenti versioni temporali dell'elemento da recuperare, in fondo viene mostrato quello che sembra una specie di nucleo stellare. A destra viene mostrata una linea del tempo scorribile, che permette di "navigare" tra le varie copie temporali della finestra selezionata. Quindi come se le singole finestre acquisissero una dimensione temporale e questo spiega il nome del programma ("Time Machine" in inglese significa "macchina del tempo"). La rappresentazione grafica del programma ottenuta tramite il sistema Core Animation inclusa nel sistema operativo. L'utente pu utilizzare Quick Look per visualizzare i file e decidere se recuperare il file.

Tecnologia
Il programma genera per ogni backup una cartella sul volume destinato al backup. I file che non sono stati modificati vengono collegati alle versioni precedenti con degli hard link mentre i file modificati vengono copiati integralmente. Il programma non effettua un backup incrementale ma copia ogni volta l'intero file modificato. Quindi anche una piccola modifica in un file costringe il sistema a effettuare una copia completa del file durante il backup. Apple ha reso disponibili delle API per poter utilizzare Time Machine all'interno di programmi di terze parti, questa API si chiamano Backup Core. Il programma per funzionare correttamente richiede un secondo hard disk con una partizione non avviabile o un computer con Mac OS X Server nella rete locale. La gestione delle revisioni a livello di file system si trova anche nei file system di OpenVMS, in Microsoft Windows 2003 e in Windows Vista.

Configurazione
Gli utenti possono modificare alcune impostazioni di Time Machine riguardanti il backup, tra le quali: possibile modificare il volume dove Time Machine salver i backup e le impostazioni si possono escludere alcune tipologie di file l'impostazione di default di Time Machine, prevede un backup ogni ora. Tuttavia, conserver i backup orari delle ultime 24 ore, quelli giornalieri dell'ultimo mese e quelli settimanali fino a quando non si esaurir lo spazio su disco. Al verificarsi di questo evento, si verr avvisati che i backup pi vecchi saranno rimossi. Nel keynote del 15 gennaio 2008, Jobs ha presentato Time Capsule: esteticamente simile all'AirPort Extreme, oltre a integrare le medesime funzioni di quest'ultimo, contiene un hard disk da 1 TB o da 2 TB a seconda del modello scelto, che permette a Time Machine di effettuare backup di qualsiasi Mac. Il backup potr avvenire sia via LAN che via Wi-Fi.

Time Machine (software)

202

Collegamenti esterni
Pagina di Time Machine sul sito web Apple Italia [1]

Note
[1] http:/ / www. apple. com/ it/ macosx/ what-is-macosx/ time-machine. html

Token (sicurezza)
Un token per la sicurezza (chiamato anche token hardware, token per l'autenticazione, token crittografico, o semplicemente token) un dispositivo fisico necessario per effettuare un'autenticazione (tipicamente una autenticazione a due fattori). Un token si presenta spesso sotto forma di dispositivo elettronico portatile di piccole dimensioni, alimentato a batteria con autonomia nell'ordine di qualche anno, dotato di uno schermo e talvolta di una tastiera numerica. Alcuni token possono essere collegati ad un computer tramite una porta USB per facilitare lo scambio di dati. Un token pu anche essere di tipo software, ove le informazioni necessarie risiedono direttamente nel computer dell'utente, e non in un oggetto esterno.

Token della RSA Security

Funzionamento
Un token tipicamente un generatore di numeri pseudocasuali ad Token della VeriSign intervalli regolari (nell'ordine di poche decine di secondi) secondo un algoritmo che, tra i vari fattori, tiene conto del trascorrere del tempo grazie ad un orologio interno. Altri fattori che influenzano l'algoritmo possono essere il numero di serie del token, o altri codici numerici associati al possessore all'atto della consegna del token. Lo stesso algoritmo anche implementato su di un server di autenticazione, che stato inizialmente sincronizzato con il token e che, quindi, genera la stessa sequenza di numeri pseudocasuali del token negli stessi momenti, pur non essendoci alcuna comunicazione tra i due oggetti. Tale numero viene combinato con una password nota all'utente ed al sistema di autenticazione per generare una password temporanea, o di sessione, che pu essere usata per effettuare l'autenticazione entro la scadenza dell'intervallo temporale. Di conseguenza, la password temporanea per l'autenticazione sar diversa in momenti diversi della stessa giornata. L'autenticazione a due fattori data dal fatto che per generare la password temporanea corretta necessario: possedere lo specifico token che, in un dato istante, genera lo stesso numero pseudocasuale generato dal server di autenticazione; conoscere la password di partenza con cui il numero va combinato. Considerato che la password temporanea scade dopo poche decine di secondi, chi volesse violare la sicurezza dovrebbe non solo indovinare quella valida (cosa che presuppone la conoscenza dell'algoritmo, dei valori che lo influenzano e anche della password nota all'utente) per il particolare istante, ma dovrebbe anche usarla prima che essa scada. Per questo motivo, un token eleva notevolmente gli standard di sicurezza.

Token (sicurezza)

203

Voci correlate
Phishing Keylogger Sniffing

Tolleranza ai guasti
La tolleranza ai guasti (o fault-tolerance, dall'inglese) la capacit di un sistema di non subire fallimenti (cio intuitivamente interruzioni di servizio) anche in presenza di guasti. La tolleranza ai guasti uno degli aspetti che costituiscono l'affidabilit. importante notare che la tolleranza ai guasti non garantisce l'immunit da tutti i guasti, ma solo che i guasti per cui stata progettata una protezione non causino fallimenti. I controlli di protezione (che vengono effettuati a tempo di esecuzione), assieme a controlli analoghi effettuati staticamente (come a tempo di progettazione o di compilazione), sono una metodologia molto efficace per ottenere un'elevata robustezza (rapida rilevazione degli errori e loro confinamento) in un sistema. La tolleranza ai guasti pu portare al peggioramento di altre prestazioni, per cui nella progettazione di un sistema necessario trovare adeguate ottimizzazioni e compromessi.

Robustezza
La robustezza la propriet di quei sistemi che assicurano una rapida rilevazione degli errori e che ne consentono il confinamento. Studi statistici hanno mostrato che almeno due errori su tre sono dovuti a richieste illegali di operazioni su oggetti, cio proprio a quelle richieste che i controlli di protezione prevengono.

Fasi di trattamento del guasto


(da fare)

Misurazioni della tolleranza ai guasti


Una tipica misurazione della tolleranza ai guasti costituita dal calcolare il tempo medio che intercorre tra due fallimenti del sistema (in inglese Mean Time Between Failures, MTBF).

Esempi di applicazioni
La fault-tolerance varia per tipologia a seconda dell'aspetto al quale viene applicata e pu avere tipi di implementazione molto differenti fra loro.

Apparati elettronici
Si pu andare da un semplice sistema di fault-tolerance nell'alimentazione di apparati elettronici, utilizzando un gruppo di continuit o UPS: in caso di assenza della tensione di alimentazione, gli apparati continueranno a funzionare per un periodo dipendente dalla capacit del sistema di backup. Un sistema pi complesso, sempre relativo alle alimentazioni degli apparati attivi, consiste nella replicazione dell'alimentatore; se l'alimentatore principale si dovesse guastare, l'apparato continuer a funzionare grazie ad uno o pi alimentatori posti in ridondanza. La fault-tolerance ovviamente corrisponder al numero di alimentatori ridondanti utilizzati nel sistema: banalmente, se un apparato dispone di tre alimentatori e si guastano tutti contemporaneamente, l'apparato si ferma.

Tolleranza ai guasti

204

Sistemi multiprocessore
Nel campo dei microprocessori, la tecnica SMP permette di utilizzare pi microprocessori contemporaneamente, sfruttando la potenza di calcolo complessiva e, nel caso uno dei processori si dovesse fermare, il funzionamento passer al/ai processore/i ancora in funzione.

Memorizzazione in unit disco


Nella protezione dei dati, si pu ricorrere a sistemi RAID, nei quali la fault-tolerance in funzione dello schema RAID adottato e dell'adozione o meno di dischi hot-spare.

Livelli del fault tolerance


Il metodo pi semplice si chiama mirroring e consente di avere nelle unit di memoria di massa due copie identiche dello stesso disco ( oppure solo di alcuni archivi particolarmente importanti e preselezionati ); quando un' operazione di I/O riscontra un errore, l'elaborazione non viene interrotta potendo essa usare la copia alternativa. Un secondo livello di tolleranza del guasto viene realizzato con la tecnica del duplexing, che consiste nella duplicazione dell'unit di controllo dei dischi ( controller ) oltre che dei dischi. L'utente pu continuare ad elaborare anche nel caso di un guasto al controller o al disco, e diminuiscono i dischi di interruzione. Il terzo livello riguarda la duplicazione dell'intero sistema, del server nel caso di reti locali e del mainframe nel caso di un sistema di grandi dimensioni. Ci sono a disposizione altre tecniche meno costose rispetto alla duplicazione parziale del sistema, che vengono indicate con la sigla RAID (Redundant Array Of Inexpensive Disk). Questa tecnologia consiste nel distribuire i dati su un gruppo di dischi, in modo che sia possibile ricostruire per via matematica tutti i dati eventualmente persi da uno dei dischi.

Voci correlate
Protezione della memoria Variabile casuale esponenziale Triple Modular Redundancy Indice di fragilit

Tor (software di anonimato)

205

Tor (software di anonimato)


Tor

Sviluppatore Ultimaversione S.O. Linguaggio Genere Licenza

Roger Dingledine e Nick Mathewson 0.2.2.33 [1] (settembre 2011)

Multipiattaforma C Onion routing / Anonimato Licenza BSD (Licenza libera) www.torproject.org [2]

Sito web

Tor (The Onion Router) un sistema di comunicazione anonima per Internet basato sulla seconda generazione del protocollo di onion routing. Tor protegge gli utenti dall'analisi del traffico attraverso una rete di onion router (detti anche relay), gestiti da volontari, che permettono il traffico anonimo in uscita e la realizzazione di servizi anonimi nascosti. Originariamente sponsorizzato dalla US Naval Research Laboratory, stato un progetto della Electronic Frontier Foundation ed ora gestito da The Tor Project, una associazione senza scopo di lucro.

Panoramica
Lo scopo di Tor quello di rendere difficile l'analisi del traffico e proteggere cos la privacy, la riservatezza delle comunicazioni, l'accessibilit dei servizi. Il funzionamento della rete Tor concettualmente semplice: i dati che appartengono ad una qualsiasi comunicazione non transitano direttamente dal client al server, ma passano attraverso i server Tor che agiscono da router costruendo un circuito virtuale crittografato a strati. Le comunicazioni via Tor sono a bassa latenza e questo lo rende adatto alla navigazione web, alla posta, instant messaging, SSH, IRC etc. Tor supporta esclusivamente il protocollo TCP. La rete Tor fornisce essenzialmente due servizi: 1. Connessioni anonime in uscita 2. Fornitura di servizi nascosti

Connessioni anonime
Gli utenti della rete Tor eseguono il software Tor sulla loro macchina. Questo software periodicamente negozia un circuito virtuale attraverso pi nodi Tor, fino alla destinazione finale. L'uso della crittografia a strati (per analogia con onion, che in inglese significa cipolla), permette di ottenere una perfetta segretezza in avanti. Pi in particolare, ogni onion router decide a quale nodo della rete spedire i pacchetti e negozia una coppia di chiavi crittografiche per spedire i dati in modo sicuro, cifrandoli. In questo modo, nessun osservatore posto in un punto qualsiasi del circuito, in grado di conoscere l'origine o la destinazione della connessione. Le comunicazioni tra i nodi Tor del circuito sono cifrate, tranne il tratto tra l'ultimo nodo Tor (detto exit node) e la destinazione finale, che normalmente in chiaro. Se la destinazione a sua volta un relay Tor, l'intera

Tor (software di anonimato) comunicazione cifrata e sfugge all'analisi di un eventuale osservatore posto nella tratta finale del circuito. Il software Tor fornisce un'interfaccia SOCKS tramite la quale qualsiasi software di rete che la supporti (browser web, client IRC...) pu comunicare in forma anonima, attraverso un proxy SOCKS locale configurato ad hoc, come Polipo (software) o Privoxy.

206

Servizi nascosti (hidden services)


Anche se la funzionalit pi popolare di Tor quella di fornire anonimato ai client, pu anche fornire anonimato ai server. Usando la rete Tor, possibile ospitare dei server in modo che la loro localizzazione nella rete sia sconosciuta. Un servizio nascosto pu essere ospitato da qualsiasi nodo della rete Tor, non importa che esso sia un relay o solo un client, per accedere ad un servizio nascosto, per, necessario l'uso di Tor da parte del client. In altre parole, possibile offrire un servizio (ad esempio un sito web) in modo totalmente anonimo, come hidden service Tor. Agli hidden services si accede attraverso uno pseudo-dominio di primo livello .onion. La rete Tor capisce la richiesta e apre una connessione con il server desiderato. In genere si preferisce configurare un servizio nascosto in modo che sia accessibile esclusivamente da un'interfaccia di rete non-pubblica. I servizi a cui si accede sia attraverso Tor che la rete pubblica sono suscettibili ad attacchi a correlazione. Un altro vantaggio dei servizi nascosti di Tor che non richiedono indirizzi IP pubblici per funzionare e possono quindi essere ospitati dietro dei firewall e dei NAT.

Tipi di nodi Tor


L'utente pu decidere in che modo usare la rete Tor ed in che modo contribuire, se lo desidera, alla crescita della rete Tor. I principali modi d'uso sono:

Client
In questa configurazione normale di base, Tor gestisce unicamente le connessioni dell'utente permettendogli di collegarsi alla rete Tor.

Middleman relay
un nodo Tor che gestisce traffico di terzi da e per la rete Tor, senza collegarsi direttamente all'esterno. Nel caso funga anche da client, esso gestisce anche le connessioni dell'utente, garantendo un maggiore anonimato. Tutti i relay sono pubblicamente noti, per scelta progettuale.

Exit relay
un nodo Tor che gestisce traffico di terzi da e per la rete Tor, e verso l'esterno. possibile definire una exit policy sulle connessioni in uscita all'esterno della rete Tor. Come il caso precedente, offre una protezione maggiore all'utente che lo usi per le proprie connessioni. Come tutti i relay Tor, essi sono pubblicamente noti.

Bridge relay
I bridge relay [3] sono dei nodi semi-pubblici di tipo sperimentale, studiati per permettere di collegarsi alla rete Tor anche in presenza di un filtraggio efficace contro Tor (come in Cina, Iran ecc.). Non compaiono nelle liste pubbliche dei nodi noti ma devono venire richiesti esplicitamente.

Tor (software di anonimato)

207

Problemi
L'8 settembre 2006, comincia una serie di sequestri[4] di server Tor in Germania da parte delle autorit. La motivazione ufficiale quella di controllare l'eventuale presenza di materiale illegale, contenuto presumibilmente in alcuni servizi nascosti. Questo fatto costituisce il primo vero test per l'intera rete Tor.

Etiquette e abuso
Gli eventuali abusi della rete Tor vengono mitigati dalla possibilit, per ciascun nodo Tor di uscita (exit node), di definire una politica d'uscita (exit policy) che definisca quale tipo di traffico pu uscire o meno attraverso l'exit node. Usando una combinazione di indirizzi e porte, possibile combattere la maggior parte degli abusi. I potenziali abusi includono: Esaurimento della banda considerato scortese e improprio trasferire grandi quantit di dati attraverso la rete Tor, ad esempio con software peer to peer, dato che gli onion router sono mantenuti da volontari che donano la propria banda. E-mail L'uso anonimo del protocollo SMTP (per esempio: l'email), pu portare allo Spam. Di conseguenza, la politica di uscita di default dei nodi Tor rifiuta le connessioni in uscita verso la porta 25, cio quella usata per SMTP. Vandalismo Sicuri del fatto di non poter essere rintracciati, alcuni utenti Tor scrivono messaggi ritenuti impropri su Forum, wiki, o chatroom. Come risultato, molti grandi provider di questi servizi impediscono agli utenti anonimizzati di utilizzare i propri servizi. Wikipedia, ad esempio, inibisce la modifica delle proprie pagine agli utenti anonimi che si collegano via Tor tramite un'estensione chiamata TorBlock. L'uso da parte di utenti registrati resta comunque soggetto a dei limiti.

Limiti
Richieste DNS
importante notare che molti software continuano a effettuare richieste DNS dirette, senza usare il proxy Tor. Ci compromette l'anonimato perch rivela ad un osservatore le richieste DNS fatte, e quindi le destinazioni delle connessioni. Possibili soluzioni a questo problema sono l'uso di Privoxy, o del comando 'tor-resolve' fornito con Tor. In pi, le applicazioni che usano SOCKS 4a (quindi supportano le richieste basate sul nome al proxy) possono veicolare le richieste DNS attraverso la rete anonima, e ottenere che le richieste vengano fatte dal nodo di uscita ottenendo cos lo stesso livello di anonimizzazione del resto del traffico Tor.

Analisi del traffico


Il modello di rischio in cui Tor offre anonimato prevede un osservatore in grado di osservare una piccola parte delle connessioni nella rete Internet, come pu essere un ISP, un governo locale, un server di destinazione. Tor non offre protezione contro un ipotetico avversario globale, in grado di osservare tutte le connessioni della rete: poich Tor un servizio a bassa latenza sarebbe possibile correlare una connessione cifrata di partenza con una connessione in chiaro di destinazione. Inoltre, sarebbero possibili altri attacchi all'anonimato di Tor (ma non l'identit dell'utente di partenza) anche ad un osservatore parziale della rete [5] .

Tor (software di anonimato)

208

Exit node ostili


L'ultimo nodo di un circuito Tor trasmette la connessione cos com' (non cifrata da Tor) alla destinazione finale. Se la connessione finale avviene in chiaro, l'exit node potrebbe spiare i dati trasmessi, ricavandone ad esempio password e altre informazioni. Se la connessione di tipo cifrato (SSL, SSH) non possibile spiare direttamente i dati trasmessi, mentre sono comunque possibili attacchi di tipo Man in the middle riconoscibili dal cambiamento dei certificati crittografici del server di destinazione. Lo scenario di sicurezza in un exit node molto simile all'uso di una connessione pubblica wireless, che pu essere sorvegliata o manipolata facilmente da un osservatore locale. La protezione consiste nell'usare sempre protocolli sicuri cifrati quando si trasmettono informazioni sensibili; bene inoltre verificare i certificati crittografici (SSL, SSH) del server a cui ci si collega.

ISP ostile
Alcuni ipotizzano che un Internet Service Provider ostile potrebbe costruire una propria rete Tor privata e ridirigere l il traffico dei propri utenti Tor sorvegliandone interamente il traffico. Per evitare questo scenario di attacco tuttavia il software Tor dell'utente contiene cablate di default le credenziali (l'indirizzo e le chiavi crittografiche) dei 7 directory authority della rete Tor[6] [7] ; al primo tentativo di collegamento in questa rete ostile l'utente avrebbe un errore di autenticazione crittografica e non potrebbe proseguire. In questo scenario di attacco quindi l'ISP dovrebbe anche distribuire agli utenti una propria versione modificata del software Tor, con le credenziali delle proprie directory authority ostili. Per questo motivo il software Tor viene distribuito tramite diversi canali (il sito web ufficiale, siti web mirror, per email) e si raccomanda la verifica dell'integrit del software tramite le firme crittografiche dei rilasci.

Piattaforme
Tor disponibile per Windows, Linux/BSD/Unix, Mac OS X ed software libero basato sulla licenza BSD.

Note
[1] [2] [3] [4] [5] https:/ / blog. torproject. org/ blog/ iran-blocks-tor-tor-releases-same-day-fix https:/ / www. torproject. org/ https:/ / bridges. torproject. org/ Germania, crackdown contro la rete Tor (http:/ / punto-informatico. it/ p. aspx?id=1641461) da Punto Informatico Low-Cost Traffic Analysis of Tor (http:/ / www. cl. cam. ac. uk/ users/ sjm217/ papers/ oakland05torta. pdf) (PDF). 19-01-2006.URL consultato il 21-05-2007. [6] Tor FAQ: Key management (https:/ / www. torproject. org/ faq. html. en#KeyManagement) [7] Tor directory protocol, version 3 (https:/ / gitweb. torproject. org/ tor. git?a=blob_plain;hb=HEAD;f=doc/ spec/ dir-spec. txt)

Voci correlate
Anonimato Anonymous remailer Crittografia Freenet Identificazione Netsukuku Sicurezza informatica

Tor (software di anonimato)

209

Collegamenti esterni
Sito ufficiale (https://www.torproject.org/) Tor Browser (https://www.torproject.org/projects/torbrowser), browser senza necessit di installazione e gi predisposto per la navigazione tramite Tor Check page (https://check.torproject.org/), verifica l'indirizzo IP TorCheck (https://torcheck.xenobite.eu/), verifica l'indirizzo IP e i potenziali problemi del browser per l'anonimizzazione Tor: lezioni di guida ( 1 (http://punto-informatico.it/2070093/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 2 (http://punto-informatico.it/2099433/PI/Commenti/ cassandra-crossing-tor-lezione-teoria.aspx), 3 (http://punto-informatico.it/2104131/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 4 (http://punto-informatico.it/2110219/PI/Commenti/ cassandra-crossing-tor-lezioni-teoria-4.aspx), 5 (http://punto-informatico.it/2116209/PI/Commenti/ cassandra-crossing-tor-lezioni-server.aspx), 6 (http://punto-informatico.it/2122739/PI/Commenti/ cassandra-crossing-tor-lezioni-guida.aspx), 7 (http://punto-informatico.it/2141287/PI/Commenti/ cassandra-crossing-tor-lezione-freenet-7.aspx)) da Punto Informatico

Triple Modular Redundancy


In informatica, il triple modular redundancy (TMR) un particolare tipo di N-modular redundancy, in cui tre sistemi eseguono un processo, il cui risultato viene sottoposto ad un sistema di voting per produrre un unico output. Se uno dei tre sistemi fallisce, gli altri due sistemi possono mascherare e correggere il fault. Un fallimento del voter comporta il fallimento dell'intero sistema. Per tale motivo in un buon sistema TMR il voter deve essere molto pi affidabile degli altri componenti del TMR. In alternativa, se si adopera un ulteriore TMR a valle di quello considerato, si possono utilizzare tre voter, l'output di ognuno dei quali costituir l'input di ognuna delle copie del TMR successivo. Il TMR pu essere applicato in innumerevoli forme di ridondanza, come ad esempio nel caso del software con l'N-version programming. Alcune memorie ECC utilizzano hardware TMR (in alternativa ai pi comuni codici di Hamming), poich un TMR hardware risulta essere pi veloce della correzione degli errori basata su codici di Hamming fatta in hardware.[1] I sistemi satellitari utilizzano spesso il TMR[2] [3] [4] [5] , sebbene le RAM satellitari utilizzino in genere la correzione degli errori basata su codici di Hamming.[6] Alcuni sistemi di comunicazione impiegano l'N-modular redundancy come una semplice forma di forward error correction. Ad esempio, sistemi di comunicazione basati su 5-modular redundancy (come un FlexRay) utilizza una votazione di maggioranza su 5 elementi, per cui se 2 dei 5 risultati sono errati, gli altri 3 risultati sono in grado di correggere e mascherare il fault.

Realizzazione di un voter
Nel caso in cui il sistema in esame da ridondare sia un sistema digitale in cui ingresso ed uscita sono costituiti da un unico bit, si pu pensare di utilizzare come voter un full-adder, che prenda in ingresso come operandi e riporto entrante le uscite dei tre sistemi costituenti il TMR. La decisione di maggioranza sar costituita dal bit di riporto uscente (l'uscita relativa alla somma pu essere trascurata), in quanto il segnale di riporto di un full-adder alto quando almeno due dei tre ingressi sono alti ed basso quando almeno due dei tre ingressi sono bassi.

Triple Modular Redundancy

210

Voci correlate
Tolleranza ai guasti Dual modular redundant Codici a ripetizione

Note
[1] http:/ / www. apmcsta. org/ File/ doc/ Conferences/ 6th%20meeting/ Chen%20Zhenyu. doc [2] Sspc Mpc (http:/ / www. omnisys. se/ projects/ smart/ power-control/ sspc_mpc. htm) [3] Actel engineers use triple-module redundancy in new rad-hard FPGA - Military & Aerospace Electronics (http:/ / mae. pennnet. com/ Articles/ Article_Display. cfm?Section=OnlineArticles& SubSection=Display& PUBLICATION_ID=32& ARTICLE_ID=111934) [4] SEU Hardening of Field Programmable Gate Arrays (FPGAs) For Space Applications and Device Characterization (http:/ / klabs. org/ richcontent/ Papers/ Synopses/ nsrec94. htm) [5] FPGAs in Space (http:/ / www. fpgajournal. com/ articles/ 20040803_space. htm) [6] Commercial Microelectronics Technologies for Applications in the Satellite Radiation Environment (http:/ / radhome. gsfc. nasa. gov/ radhome/ papers/ aspen. htm)

TruPrevent Technologies
TruPrevent Technologies, sono una serie di tecnologie sviluppate da Panda Software per una protezione proattiva a casa e nelle aziende, in opposizione ai prodotti tradizionali come gli antivirus che offrono una protezione reattiva. Truprevent Technologies offre una generica protezione contro molte tecniche comunemente usate dal nuovo malware, e politiche e regole sviluppate sulle nuove vulnerabilit che appaiono ogni giorno.

Prodotti che implementano TruPrevent


Panda Antivirus Panda Antivirus+Firewall/Panda Titanium Panda Internet Security/Panda Platinum Panda AdminSecure Panda ClientShield with TruPrevent Technologies Panda FileSecure with TruPrevent Technologies TruPrevent Personal Panda ActiveScan and Panda ActiveScan Pro Panda NanoScan and Panda TotalScan

Collegamenti esterni
Sito di Panda Security [1]

Note
[1] http:/ / www. pandasecurity. com/

Trusted computing

211

Trusted computing
L'espressione inglese Trusted Computing (TC, letteralmente informatica fidata o calcolo fidato) si riferisce ad una tecnologia nascente, derivata da specifiche del Trusted Computing Group (TCG) che ha ereditato quelle del Trusted Computing Platform Alliance (TCPA) con l'obiettivo dichiarato di rendere dispositivi come computer o telefoni cellulari pi sicuri mediante l'uso di opportuni Il logo del Trusted Computing Group, gruppo di hardware e software. Il raggiungimento di tale scopo viene ottenuto aziende promotore del Trusted Computing inserendo in ogni dispositivo un chip (denominato Trusted Platform Module o pi brevemente TPM) dotato di una coppia di chiavi crittografiche (univoca per ogni chip), impossibili da modificare anche per il proprietario, e capace di generare altre chiavi per la crittografia di dati o dispositivi[1] . La controversia attorno a tale tecnologia nasce dal fatto che tali dispositivi sarebbero sicuri sia da manomissioni esterne che da eventuali utilizzi, definiti impropri, dell'utente. I principali sviluppatori di tale tecnologia sono i Membri Promotori del Trusted Computing Group, ovvero AMD, HP, IBM, Infineon, Intel, Lenovo, Microsoft e Sun Microsystems[2] . Attualmente soltanto alcuni computer portatili e telefoni cellulari destinati all'utenza business sono dotati del TPM, che li rende pronti per tale tecnologia, mentre diversi produttori di schede madri rendono disponibili prodotti compatibili con l'installazione opzionale del TPM[3] .

Concetti Chiave
Alla base del Trusted Computing vi sono i meccanismi di crittografia asimmetrica. Questi vengono applicati per i seguenti scopi: Ogni singolo dispositivo identificato univocamente da una sorta di passaporto elettronico, ovvero da un numero di serie e una chiave di cifratura Le informazioni possono essere cifrate con la chiave della macchina Le informazioni possono essere firmate con la chiave della macchina La cifratura delle informazioni viene eseguita a livello hardware in modalit sicura L'implementazione di tali meccanismi avviene essenzialmente per mezzo del Trusted Platform Module (TPM), un microchip costruito secondo le specifiche del Trusted Computing Group. Le direttive del Trusted Computing Group specificano che esso debba essere caratterizzato principalmente da un co-processore crittografico per la crittografia asimmetrica, un generatore di chiavi asimmetriche, un generatore di numeri casuali, un motore crittografico HMAC, un motore crittografico SHA-1, un chip di memoria volatile per la memorizzazione di chiavi, utilizzabile anche dall'utente e da un chip di memoria non volatile[4] . L'unit TPM, secondo le specifiche del Trusted Computing Group, avr cinque principali funzionalit. Ognuna ha uno scopo diverso, anche se possono essere usate insieme. Perch siano attive, per, necessario che anche il software in utilizzo ne implementi il supporto. Queste caratteristiche sono: Endorsement Key (chiave di approvazione) Secure I/O (Input/Output sicuro) Memory curtaining (separazione della memoria) Sealed storage / Trusted storage (memoria sigillata / memoria fidata) Remote attestation (attestazione remota)

Trusted computing

212

Endorsement Key
L'integrit del sistema viene protetta da manomissioni e falsificazioni grazie a una sofisticata tecnica crittografica che impedisce a emulatori software (ad esempio driver) di avviare una transazione sicura con un programma, un dispositivo hardware o un sistema remoto. Ci sar realizzabile mediante una coppia di chiavi RSA a 2048 bit che identifica univocamente ogni TPM. Tale coppia di chiavi, detta Endorsement Key (chiave di approvazione), diversa per ogni chip e viene generata al momento della produzione del chip. In alcuni casi, ma non sempre, revocabile (e dunque modificabile) solo con una password fornita dal produttore. Il TPM realizzato in modo che non esistano funzioni in grado di estrarre in alcun modo tale chiave, e lo stesso dispositivo hardware (secondo le specifiche) riconoscer di essere stato manomesso. All'atto dell'instaurazione di una transazione sicura, i TPM coinvolti dovranno firmare un numero casuale per certificare la loro identit e la propria adesione alle specifiche TCG. Ci potr, ad esempio, impedire la falsificazione dell'IMEI di un cellulare rubato. Le credenziali di Approvazione, Conformit e Piattaforma possono generare, su richiesta del proprietario, una Attestation Identity Key (AIK, "chiave di attestazione dell'identit") univoca da sottoporre a una Autorit di Certificazione Questa funzionalit potr estendersi fino alla creazione di una vera e propria infrastruttura a chiave pubblica (PKI) hardware e all'identificazione univoca di ogni dispositivo conforme alle specifiche TCG.

Secure I/O
Le operazioni di input/output vengono rese sicure (da qui il nome di "secure I/O") con l'utilizzo dei meccanismi di cifratura a chiave asimmetrica. Tutte le informazioni che transitano sui bus del sistema sono cifrate: in questo modo impossibile da parte di appositi programmi o meccanismi hardware carpire le informazioni scambiate tra la tastiera e un'applicazione, tra l'applicazione e lo schermo, ... Sul bus di collegamento tra CPU e TPM (se esterno al processore), i dati viaggiano sempre e comunque cifrati. Principali indicazioni: Un sistema di autenticazione biometrico potr garantire all'utente che nessun programma spia intercetti, memorizzi e ritrasmetta i dati di accesso (impronte digitali, iride...). Vedi in seguito per ulteriori approfondimenti. In infrastrutture semplici, si potr garantire l'inefficacia di un keylogger (programma che monitora i caratteri digitati su tastiera) a carpire le chiavi (password) di accesso al sistema. Si potr impedire a programmi di cattura delle immagini visualizzate su schermo di tentare la lettura di un CAPTCHA o il salvataggio di immagini non copiabili, ad es. protette da copia non autorizzata[5] [6] .

Trusted computing

213

Memory curtaining
Il memory curtaining (separazione della memoria) prevede che l'hardware impedisca a ogni programma la lettura e la scrittura delle zone di memoria (lo spazio in cui normalmente i programmi parcheggiano i dati che stanno elaborando in quel momento) utilizzate dagli altri applicativi in esecuzione. Nemmeno il kernel del sistema operativo sar in grado di accedere a tali zone di memoria, anche perch i dati in esse sono cifrati, quindi le informazioni saranno al sicuro anche nel caso in cui un intruso riuscisse a prendere il controllo dell'intero sistema. Qualcosa di molto simile pu essere ottenuto anche con il software, ma l'approccio hardware fornisce una soluzione pi elegante e affidabile. Questo meccanismo pu per anche rendere impossibili alcuni metodi di debugging (correzione degli errori di applicazioni difettose).

Sealed storage
Il sealed storage (memoria sigillata), o trusted storage (memoria fidata), protegge le informazioni per mezzo della cifratura, usando una chiave che deriva dallo stato del sistema, ovvero dal software utilizzato e dall'hardware su cui esso in esecuzione. Questo significa che tali informazioni possono essere fruibili solo con la stessa combinazione di software e hardware. Per esempio, gli utenti che tengono un proprio diario privato sul proprio computer non vogliono che altri programmi o altri computer siano in grado di leggerlo. Oggi, un virus (Sircam faceva qualcosa di simile) pu cercare il diario, leggerlo e inviarlo a qualcun altro. Una volta caduto nelle mani sbagliate, anche se fosse protetto da una password, un cracker potrebbe tentare di accedere al diario per mezzo di un attacco basato su un dizionario. Si potrebbe accedere alle informazioni contenute nel diario dell'utente anche modificando il software di scrittura dello stesso: usando il sealed storage, il diario viene cifrato in modo sicuro cosicch soltanto il programma per la sua gestione (non modificato) presente in quel computer in grado di accedervi. Questo metodo di cifratura dei dati impedisce anche di rimuovere un disco da un computer e utilizzarlo, con i dati in esso contenuti, in un altro computer. Nel trusted storage il compito di decidere chi sia autorizzato ad accedere ai dati fidati ricade sullo stesso dispositivo di memorizzazione, e non sull'applicazione che ha creato i dati. Ci permette ad esempio di assegnare della memoria del disco alle applicazioni fidate di cui le altre applicazioni ignorano l'esistenza, o di creare un disco rigido i cui dati siano leggibili solo da un certo computer. Un disco rigido trusted deve contenere un processore crittografico, per essere in grado di garantire prestazioni elevate nella crittazione del disco, e si pone come radice ((EN): root) di una catena di fiducia ((EN): chain of trust) in cui controlla e firma le periferiche a cui l'utente decide di garantire l'accesso al computer[7] [8] .

Trusted computing

214

Remote attestation
La remote attestation (attestazione remota) permette a terzi di interrogare il sistema e di conoscerne lo stato, ovvero di rilevarne le sue variazioni. In questo modo si pu evitare che informazioni riservate siano inviate da un computer compromesso o non sicuro, o che da questo siano ricevuti comandi "pericolosi". Il meccanismo si basa sul protocollo di Direct Anonymous Attestation, ovvero utilizzando un certificato digitale generato dall'hardware che garantisce l'anonimit del processo. Il sistema pu presentare tale certificato ad altri sistemi remoti per mostrare che esso non stato compromesso. L'attestazione remota di solito effettuata per mezzo della cifratura a chiave pubblica, in modo tale che le informazioni scambiate possano essere lette soltanto dai programmi coinvolti nell'attestazione, e non da malintenzionati. Per riprendere l'esempio del diario, il programma per la sua gestione potrebbe inviare le informazioni contenute in quest'ultimo ad altri computer soltanto se questi sono in grado di attestare che su di essi in esecuzione una copia sicura del programma di gestione dello stesso. Combinata con altre tecnologie, l'attestazione remota fornisce un canale pi sicuro per i dati: l'I/O sicuro li protegge in fase di digitazione sulla tastiera e di visualizzazione sullo schermo, il memory courtaining li protegge mentre questi vengono elaborati, il sealed storage quando vengono salvati sul disco fisso; infine l'attestazione remota protegge i dati da utilizzi non autorizzati anche quando questi vengono utilizzati su altri computer.

Supporto del Trusted Computing


Il Trusted Computing supportato da qualsiasi sistema operativo. Linux lo supporta dalla versione 2.6.13[9] , mentre in Microsoft Windows implementato sia dal sistema operativo stesso, attraverso BitLocker Drive Encryption in Windows Vista, che da programmi sviluppati da terze parti[10] [11] . Anche la piattaforma Java supporta il Trusted Computing attraverso un Trusted Software Stack open source chiamato jTSS[12] . La distribuzione Linux Gentoo supporta il Trusted Computing attraverso il Trusted Software Stack open source Trousers[13] , ed esiste una versione del boot loader GRUB modificata che supporta il Trusted Computing, chiamata TrustedGrub[14] .

Applicazioni del Trusted Computing


Reti Informatiche Sicure
Attraverso il Trusted Computing possibile creare reti informatiche sicure. Il Trusted Computing Group ha pubblicato le specifiche di un'architettura di rete, chiamata Trusted Network Connect, che attraverso il protocollo AAA in grado di garantire l'attestazione anonima sicura di ogni dispositivo che cerca di connettersi alla rete[15] . Ogni dispositivo, al momento della connessione, invia all'autenticatore una serie di informazioni cifrate sulle proprie generalit e sul proprio stato, che vengono confrontate da un sistema di controllo con dei database per garantire o rifiutare l'accesso.

Cifratura del disco rigido


Windows Vista Ultimate e Business fanno uso del Trusted Platform Module per implementare BitLocker Drive Encryption[16] . Il Trusted Platform Module utilizzato per effettuare un bootstrap sicuro e accedere alle chiavi di decrittazione del disco rigido. All'avvio del computer una serie di controlli viene effettuata nel BIOS, nel master boot record e nella partizione di boot finch il Trusted Platform Module non riceve le chiavi di decifratura e le utilizza per decifrare l'hard disk come richiesto. Questo fa s che, per esempio, in caso di furto sia impossibile accedere ai dati

Trusted computing semplicemente inserendo l'hard disk in un altro computer. Enforcer invece un modulo di sicurezza di Linux scritto per garantire la sicurezza del sistema operativo garantendo che non avvenga alcuna alterazione del file system[17] . Enforcer in grado di interagire con hardware trusted per garantire alti livelli di sicurezza per software e dati sensibili. Pu interagire con un Trusted Platform Module per garantire l'immagazzinamento dei dati sicuri in un file system crittato, disabilitandolo quando rileva file alterati e impedendone l'accesso finch la macchina non viene riavviata con file non alterati, proteggendo cos i dati da attacchi. Un terzo programma di crittazione della memoria di massa che fa uso del Trusted Computing Turaya.Crypt, che differisce dagli altri due per essere concepito per essere in grado di funzionare in diverse modalit d'uso[18] . Turaya.Crypt pu infatti crittare sia hard disk che periferiche rimuovibili come chiavi USB; in grado di funzionare sia in sistemi a utente singolo, chiedendo password prima del boot del sistema operativo, sia in sistemi multiutente, garantendo a un amministratore centrale i diritti di poter scegliere le risorse da assegnare a ogni singolo utente.

215

Possibili applicazioni del Trusted Computing


Protezione da virus e programmi spia
La firma digitale del software potr permettere agli utenti di riconoscere le applicazioni originali create da produttori di cui egli si fida, distinguendole da versioni false contenenti componenti di codice maligno. Ad esempio, in rete circolano molte versioni fasulle del popolare programma di messaggistica istantanea MSN Messenger, spacciate per originali ma arricchite di spyware (programmi spia), scaricabili da siti che imitano in tutto la grafica del sito originale. Il Sistema Operativo, verificando la mancanza di una firma digitale valida e constatando che il programma si "spaccia" per prodotto Microsoft, potrebbe avvertire l'utente che il programma non "affidabile". Si noti che le versioni espanse o i client che si appoggiano alla rete MSN di norma dichiarano l'autore (mediante l'infrastruttura PKI). Anche se il Trusted computing indicato come mezzo per rendere il sistema inattaccabile dai virus, Microsoft ha negato che tale funzionalit sar presente con la semplice introduzione della sua architettura NGSCB, in quanto la maggior parte del software, inizialmente, sar il software attuale, "non protetto". Tuttavia il colosso di Redmond afferma che il Trusted computing potr essere utilizzato dai produttori di software come piattaforma di sviluppo per creare antivirus e firewall di nuova generazione, che possono essere avviati in uno stato di esecuzione "protetto" e quindi non manipolabile da virus e programmi spia.

Misure di prevenzione degli imbrogli nei giochi online


Spesso nei giochi in linea viene lamentata la possibilit da parte di certi giocatori (cheater) di imbrogliare mediante l'uso di bot, cio giocatori virtuali governati da intelligenze artificiali, o modificando la propria copia del gioco per avere un vantaggio sugli altri giocatori. Grazie alla combinazione di Remote Attestation, secure I/O e memory curtaining, il server, e allo stesso tempo gli altri client, avranno la certezza dell'onest dei partecipanti alla sfida, ovverosia della genuinit della loro copia del gioco.

Trusted computing

216

Sistemi di Digital Rights Management


L'introduzione dell'infrastruttura di calcolo fidato permetter ai produttori di software la creazione di un sistema DRM (gestione dei diritti digitali, in pratica sistemi anticopia) praticamente inviolabile, impedendo la duplicazione non autorizzata di programmi o materiale audiovisivo. Grazie al Sealed Storage i brani scaricati via Internet o memorizzati su supporto fisico (es. CD Audio) potranno essere crittografati in modo da poter essere letti soltanto da un programma (in caso di brano scaricato anche l'hardware in uso potrebbe venire considerato) sicuro che, grazie al memory curtaining impedir l'intercettazione della forma decrittografata del brano, e grazie al secure I/O non permetter ad altri programmi di spiare i buffer della scheda audio (aree di memoria tampone contenenti i flussi audio che stanno per essere riprodotti) n sostituire la stessa con un impianto di registrazione professionale. Allo stesso modo il software potr tutelarsi da copie non autorizzate.

Protezione dal phishing


Grazie all'uso della Remote Attestation, sar possibile tutelarsi dal crescente fenomeno del phishing eseguendo una verifica sull'integrit del server bancario con cui si tenta una transazione sicura. Le specifiche del TPM prevedono che determinate chiavi di accesso memorizzate nel dispositivo (es. il PIN di accesso al conto corrente bancario) possono essere attivate solo se il richiedente rispetta i requisiti di attestazione. Non solo il browser con supporto TC (TC-enabled in gergo) potr determinare la validit del sito internet anche in caso di improbabile camuffamento del DNS, ma lo stesso TPM non rilascer la chiave, con la solita tecnica della firma di un numero casuale, a nessuno se non agli interlocutori autorizzati: nell'esempio il server bancario in questione.

Correntisti sicuri

Inoltre lo stesso server, mediante AIK e Remote Attestation, potr distinguere se l'utente sta operando dal proprio PC di casa o da un'altra postazione (es. imponendo un tetto massimo alle operazioni, contattando telefonicamente per conferma) qualora egli abbia preso accordi in merito con la propria banca.

Trusted computing

217

Possibilit dell'uso della biometria in Rete


Uno dei principali ostacoli alla diffusione della biometria in una Rete di Calcolatori la non revocabilit delle credenziali di accesso. Una password d'accesso pu essere cambiata, un certificato digitale revocato, ma le impronte digitali o le creste dell'iride non possono essere cambiate nel momento in cui qualcuno entri in possesso di tali informazioni. Pensiamo nuovamente all'autenticazione in un sistema bancario, stavolta con impronte digitali. Le impronte dell'utente vengono trasformate dal lettore in una sequenza di bit, ossia in forma digitale. Tale sequenza di bit verr poi inviata al server per l'autenticazione. Se per assurdo un utente malevolo entrasse in possesso di tale codifica digitale, potrebbe facilmente riutilizzarla per autenticarsi al posto del legittimo utente con un client ad hoc che simula il comportamento del lettore. E non ci sarebbe pi modo per l'utente di utilizzare servizi di autenticazione biometrica perch qualcuno ha gi le sue credenziali.
Bancomat biometrici in Corea del Sud

Con la tecnologia attuale, una connessione SSL garantisce che nessuno possa intercettare la sequenza di bit rappresentante le impronte suddette, ma la presenza di uno spyware sul PC permetterebbe un'intercettazione delle impronte direttamente dal lettore con le conseguenze catastrofiche di cui sopra. Le soluzione al problema praticamente unica: fare in modo che dal bus del lettore esca una sequenza criptata non leggibile da nessuno tranne un software fidato. Con il secure I/O possibile realizzare questa soluzione in tutta sicurezza.

Protezione dal SimUnlock


Molti operatori di telefonia cellulare, come H3G, propongono al pubblico l'acquisto di un telefonino ad un prezzo ridottissimo a patto di utilizzarlo solo ed esclusivamente con la carta SIM abbinata e viceversa. Molti clienti, per usare il cellulare con schede di altri operatori a tariffe pi convenienti e/o per usare la scheda su un altro telefonino: sovrascrivono il software del cellulare in modo da fargli accettare tutte le SIM card GSM/UMTS (il c. d. SimUnlock); sovrascrivono l'IMEI di un secondo apparecchio da usare con la scheda. Grazie all'utilizzo di un opportuno TPM nei cellulari soggetti a blocco, sar impossibile l'avvio con un software diverso da quello specificatamente approvato dal costruttore. Inoltre l'operatore potr usare l'Endorsement Key per stabilire che l'utente non stia usando un cellulare manomesso.

Risultati sicuri dal calcolo distribuito


L'uso dell'attestazione remota potrebbe permettere agli ideatori di un programma di calcolo distribuito che i partecipanti al programma usino una versione trusted del software di elaborazione: in questo modo si pu essere sicuri che i dati inviati da quel client siano corretti, ovverosia che non siano stati deliberatamente alterati dall'utente. Questo permetterebbe di effettuare simulazioni su larga scala (per esempio simulazioni climatiche) avendo la certezza che i partecipanti non forniscono dati falsi: ci assicura che i risultati globali della simulazione siano autentici.

Trusted computing

218

Sostenitori e detrattori
I sostenitori del TC sono oltre 170 aziende[19] tra le pi grandi dell'industria informatica mondiale, come AMD, hp, IBM, Intel, Microsoft e Sun Microsystems e lo presentano come la soluzione per ottenere computer pi sicuri, affidabili e meno attaccabili da virus e programmi nocivi. Microsoft Windows Vista fa uso del Trusted Computing per implementare la tecnologia BitLocker Drive Encryption per la crittografia dell'hard disk, mentre Intel ha lanciato una tecnologia chiamata Trusted Execution Technology per garantire un avanzato supporto hardware del Trusted Computing. L'esercito USA richiede che tutti i suoi computer ne siano dotati[20] [21] ; dal 3 luglio 2007 tutti i computer acquistati dal dipartimento della Difesa Americano devono essere dotati di chip TPM di versione 1.2[22] . La Commissione Europea finanzia un progetto open source per lo sviluppo del Trusted Computing chiamato OpenTC, che lavora a stretto contatto sia con diversi membri del gruppo, quali AMD, Hewlett-Packard e IBM, sia con importanti istituti accademici europei, tra cui l'Universit di Cambridge e il Politecnico di Torino[23] . La pi grossa critica al Trusted Computing Group viene invece dalla comunit legata al software libero. La Free Software Foundation nei propri articoli fa spesso riferimento al Trusted Computing come "Treacherous Computing", ovvero "informatica infda"[24] . In Italia No1984, un gruppo il cui nome si ispira al noto romanzo di G. Orwell "1984", si pone fermamente contro questa nuova tecnologia e, ad oggi, ha tradotto in italiano un breve filmato divulgativo di critica al Trusted Computing[25] ed ha pubblicato vari articoli sull'argomento, assieme ad un elenco dei computer che contengono al proprio interno un chip TPM[26] .

Critiche
Le voci critiche sul Trusted Computing sostengono che un suo effetto indesiderabile potrebbe essere quello di imporre restrizioni immotivate all'uso del computer da parte dei legittimi proprietari. Il livello di fiducia e sicurezza , infatti, garantita dall'amministratore; molti utenti desktop non hanno tuttavia l'esperienza e le capacit d'amministrazione necessarie per operare politiche di sicurezza efficaci sulla propria stazione di lavoro, e le funzionalit del Trusted Computing hanno come obiettivo quello di sopperire alle carenze tecniche del proprietario del PC; l'implicazione denunciata dai critici quella di privare il proprietario del diritto di decidere quale software usare per accedere a servizi offerti da altri computer in rete.

Fotogramma di un famoso video di informazione contro il Trusted Computing

La disapprovazione del TC da parte di alcuni esperti di sicurezza[27] deriva dal fatto che tale tecnologia potrebbe aumentare la capacit di controllo dei sistemi da parte dei produttori hardware e software, in maniera che essi possano imporre quello che gli utenti hanno il diritto di fare con i propri dispositivi, e approfittarne per attuare meccanismi che minaccerebbero la libera competizione del mercato dell'Information and Communication Technology ed il libero sviluppo del software da parte dei singoli individui, come invece attualmente accade. I critici inoltre sono preoccupati del fatto che non si pu essere sicuri che l'hardware che implementa il TC sia realizzato correttamente e non contenga delle backdoor (meccanismi in grado di garantire l'accesso non autorizzato a chi ne conosce presenza e uso) o funzioni nascoste che possono rappresentare un rischio per la sicurezza del sistema e quindi, dipendentemente dall'ambito nel quale il sistema viene utilizzato, per la riservatezza o per la sicurezza di un'azienda o per la sicurezza nazionale. La paura nasce dal fatto che le specifiche del TC sono pubbliche ma non lo sono le relative implementazioni. Allo stesso modo, molti sono preoccupati che i modelli crittografici ed i relativi algoritmi utilizzati diventino obsoleti. Ci potrebbe portare ad un'obsolescenza forzata dei computer con TC. Per esempio, nelle nuove versioni delle specifiche TC stato aggiunto, e richiesto, l'algoritmo crittografico AES.

Trusted computing Mentre i sostenitori affermano che il Trusted Computing aumenta la sicurezza, i critici ribattono che non solo la sicurezza non ne trarr alcun beneficio, ma il TC faciliter anche la realizzazione di Digital Rights Management (DRM) di nuova generazione, leder il diritto alla riservatezza e imporr altre restrizioni agli utenti (legittimi proprietari del dispositivo). Affidare la gestione dei computer in rete ad autorit di controllo piuttosto che ai singoli individui potrebbe creare fenomeni di censura informatica. Per i critici, bisogner dunque contrastare il Trusted Computing con il secure computing (informatica sicura), in cui la principale preoccupazione sia quella dell'anonimato piuttosto che della trasparenza. I sostenitori del secure computing sostengono che possibile ottenere della sicurezza addizionale senza passare il controllo dei computer dagli utenti a dei super-utenti. Come risposta a ci, i sostenitori del TC ritengono che le preoccupazioni sulla riservatezza siano prive di basi, poich i consumatori manterranno la scelta tra sistemi basata sulle loro necessit individuali. I sostenitori del TC asseriscono che alcune necessit richiedano dei cambiamenti a livello hardware per permettere al computer di agire come un sistema fidato, ricordando anche che, nel caso in cui non si intenda utilizzare tale tecnologia, il modulo TPM rimovibile da un computer oppure completamente disattivabile attraverso il BIOS.

219

La natura della fiducia


Il nome della tecnologia deriva da trust (in italiano "fiducia") ma assume un significato particolare: non significa che sia affidabile dal punto di vista dell'utente, ma piuttosto, secondo i detrattori del Trusted Computing, che debba essere considerato fidato secondo i canoni imposti dai produttori dei dispositivi, del software o dei contenuti multimediali che vengono fruiti attraverso questi dispositivi. Infatti i dispositivi che implementeranno tale tecnologia potranno, oltre che proteggere il software da manomissioni, imporre restrizioni su applicazioni ritenute non desiderabili dai produttori (ad esempio perch inaffidabili, pericolose per l'utente o, secondo i detrattori, per gli interessi del produttore stesso). La principale critica mossa al TC quindi che non verrebbe implementato a causa della poca fiducia verso il mondo informatico da parte degli utenti, ma a causa della poca fiducia verso gli utenti da parte delle aziende aderenti al progetto.

Impossibilit di cambiare software


In precedenza stato fatto l'esempio del diario. Il sealed storage, pur proteggendolo da codice maligno, secondo i critici non farebbe distinzione tra questi ed altri programmi utili, come quelli che potrebbero essere usati per convertire il diario in un nuovo formato o semplicemente editor migliori. Un utente che volesse cambiare il programma per la gestione del proprio diario con uno alternativo (concorrente) potrebbe incontrare problemi come l'impossibilit per il nuovo programma per la gestione del diario di leggere le informazioni presenti nel vecchio, perch nel Libert di scegliere il proprio browser e il proprio caso in cui l'applicazione che ha creato i dati faccia uso di sealed lettore musicale storage (ovvero il sistema utilizzi il TC) i dati creati sarebbero accessibili soltanto da questa e non dal nuovo programma. Secondo tali speculazioni l'utente potrebbe quindi essere impossibilitato a leggere o modificare le informazioni presenti nel proprio diario se non per mezzo del programma con quale esso stato creato. Se l'editor originale non permettesse l'esportazione dei file in una versione non protetta da sealed storage, l'utente si ritroverebbe costretto all'uso di tale programma. C' chi teme che Microsoft o altri produttori di software possa usare questa funzionalit per impedire a programmi di automazione per l'ufficio come OpenOffice.org di leggere file prodotti con il pacchetto proprietario Office. La diffusione, ad esempio, di documenti Word in Rete da parte di una Pubblica Amministrazione o azienda dove Office in uso da anni, costringerebbe tutti coloro che necessitano di leggere tali documenti ad acquistare una regolare licenza del pacchetto (ed eventualmente del sistema operativo Microsoft Windows).[28] Ci, tuttavia, seppur

Trusted computing tecnicamente possibile per Microsoft, non sarebbe legale, in quanto verrebbero violate le norme antitrust, atte a impedire il monopolio di un soggetto nel mercato.

220

Perdita del controllo sui propri dati


I contestatori del TC, vista la presenza delle maggiori etichette musicali e cinematografiche nel TCG, contestano che l'obiettivo unico del Trusted Computing sia quello di supportare in modo pi rigoroso il meccanismo di gestione dei diritti digitali o Digital Rights Management (DRM): una tecnologia per evitare che gli utenti condividano e utilizzino, senza autorizzazione, file coperti da diritti d'autore o privati. Il Trusted Computing pu essere usato per attuare meccanismi di DRM[29] . Ad esempio gli artisti potrebbero fornire delle regole su come la loro musica pu essere utilizzata, al momento del download (scaricamento), in maniera tale che l'utente abbia la possibilit di fruire della loro opera solo un numero limitato di volte, a loro totale discrezione[30] . Inoltre potrebbero usare l'attestazione remota per inviare la loro musica solo ad un lettore musicale in grado di far rispettare le loro regole: il sealed storage impedirebbe all'utente di aprire il file con un altro lettore che non rispetta le restrizioni dell'editore, mentre il memory curtaining impedirebbe all'utente di fare una copia del file mentre esso viene riprodotto. Un eventuale watermark audio impedirebbe la riproduzione su sistemi trusted (muniti di supporto a TC) se l'utente registrasse il brano per via analogica con metodi convenzionali, ad esempio collegando l'uscita della scheda audio ad un impianto di registrazione. Senza l'attestazione remota, questo problema non esisterebbe. L'utente potrebbe scaricare la canzone e riprodurla con un lettore che non rispetta le restrizioni dell'artista, o uno che permette la conversione della canzone in un formato "senza restrizioni" come l'MP3 o l'Ogg. Difficolt nel cambiare computer Con il Trusted Platform Module facente parte integrante e indivisibile del personal computer (ad esempio se integrato nella CPU), tutte le identit digitali (le Attestation Identity Key) utilizzate per proteggere i dati e i contenuti multimediali legalmente acquisiti sono, di fatto, "al di fuori della portata dell'utente". Per un utente che voglia cambiare computer (ad esempio per malfunzionamento), oppure utilizzare i suoi dati su pi di una piattaforma, secondo i critici, potrebbe rappresentare un problema. Le specifiche del TCG prevedono una procedura per il trasferimento delle AIK ad un altro TPM[31] , ma secondo i critici tale procedura non pu essere semplice, in quanto aprirebbe la strada a possibili violazioni alle restrizioni delle licenze d'uso di software, o di contenuti protetti da propriet intellettuale, che utilizzino sistemi DRM legati alla tecnologia del TC. D'altro canto, chi volesse utilizzare l'infrastruttura TC del proprio computer per proteggere dati di cui l'autore, vorrebbe avere la possibilit di trasferire facilmente tali dati anche su altri sistemi ai quali ha accesso, come in grado di fare se utilizza soluzioni di protezione della privacy quali GPG o PGP.

Perdita dell'anonimato su Internet


Poich un computer con tecnologia TC in grado di dichiarare la propria identit, secondo i critici sar possibile per i venditori, ed altri in grado di sfruttare la funzionalit dell'attestazione, ottenere dati sull'identit dell'utente di quel computer con un elevato grado di precisione, nonostante il Trusted Computing, come detto sopra, utilizzi l'attestazione anonima. Questa capacit condizionata alla ragionevole probabilit che l'utente, in un certo momento, fornisca delle informazioni di identificazione, volontariamente o indirettamente. Un sistema comune per ottenere e collegare queste informazioni la registrazione, da parte dell'utente, del suo computer subito dopo l'acquisto. Un altro sistema la comunicazione delle informazioni di identificazione ad un sito internet di un affiliato al venditore. Con le nuove tecnologie di identificazione come quelle biometriche e RFID, sempre pi diffuse, previsto che gli utenti del computer vengano identificati con molta accuratezza, e che sia disponibile un numero maggiore di informazioni su di loro. Mentre chi propone il TC sostiene che gli acquisti in linea e le transizioni di denaro possano

Trusted computing essere ritenute pi sicure grazie all'attestazione remota, questa schedatura potrebbe causare la perdita dell'aspettativa di anonimato da parte dell'utente durante l'utilizzo di Internet. L'unico dubbio che gli scettici si pongono quello delle modalit di utilizzo effettive dei dati personali ottenuti, specie in paesi come l'Italia dove la normativa sul trattamento dei dati personali molto severa.

221

Owner Override
Una delle principali polemiche nasce perch il Trusted Computing protegge il sistema da tutte le interferenze, persino dal controllo del proprietario. Una semplice soluzione a questo problema quella di lasciare al proprietario dell'elaboratore la possibilit di controllare queste protezioni. Questa operazione denominata Owner Override ed attualmente abbozzata soltanto come un suggerimento di modifica. Prevede la possibilit da parte del proprietario di "scavalcare" le protezioni imposte dal dispositivo TPM sui dati sensibili. Quando la Owner Override viene attivata, l'elaboratore utilizza il percorso sicuro di I/O per assicurarsi che ci sia fisicamente una persona presente e che tale persona sia il proprietario dell'elaboratore. L'utente proprietario potrebbe decidere quindi di: impedire l'attivazione del Trusted Platform Module; alterare la propria identit, cio la Attestation Identity Key; generare false attestazioni; gestire le proprie chiavi (non la Endorsement Key, ovviamente) salvate all'interno del TPM. La prima funzionalit disponibile su tutte le piattaforme dotate di TC. Attraverso il tool di configurazione del BIOS, il proprietario della macchina pu disattivare completamente il TPM in modo che il computer si comporti come una macchina di vecchia generazione. Ci potrebbe ovviamente incidere sulla possibilit di utilizzare software che ha come requisito minimo un TPM genuino, ossia un TPM che abbia una Endorsement Key riconosciuta come genuina dal server cui ci si vuole collegare. Con l'Attestazione Remota scavalcata, sarebbe possibile forzare l'elaboratore a generare false attestazioni per esempio, certificati che indicano che si sta usando Internet Explorer quando in realt si usa Mozilla Firefox. Invece di riportare quando il software stato modificato, l'attestazione remota indicherebbe al contrario quando il software stato cambiato senza il permesso del proprietario[32] . Alcuni membri del TCG hanno per contestato questa modifica, presentandola come la potenziale rovina del movimento TC . L'Owner Override, se permettesse al proprietario di manipolare le informazioni di sicurezza, farebbe cadere l'intera idea di fiducia nei confronti degli elaboratori degli altri utenti, ossia il compito stesso dell'Attestazione Remota. La Owner Override continuerebbe a fornire tutti i benefici di sicurezza e di esecuzione sulla propria macchina, ma perderebbe tutta la capacit di accertare che un altro proprietario non abbia modificato le regole o le restrizioni sulla sua macchina durante le transazioni in Rete.

Praticit del Trusted Computing


I critici sostengono che il Trusted Computing abbia dei rilevanti problemi pratici: qualsiasi chip, incluso il TPM, pu rompersi, e in quel caso deve essere aggiornato o sostituito. Ci in alcuni casi, come per esempio il mancato backup delle chiavi di attestazione, comporterebbe per l'utente la perdita dell'accesso ai propri dati[33] : dati che possono essere di grande importanza e/o valore per l'utente stesso e che non potranno essere recuperati in alcun modo. Alcuni utenti ritengono che la possibilit di un tale evento sia inaccettabile. Un'altra critica molto pesante al TC l'ipotetica impossibilit di accesso ai dati della macchina in caso di perdita delle password di accesso. Un sistema di crittografia automatica dei dati rende impossibile l'operazione di recupero dei dati (perch quasi sempre non il sistema ad essere importante, ma i dati che contiene) per questo i sistemi di crittografia automatica vengono utilizzati solo in contesti relativamente ristretti. Basare i diritti d'accesso ai dati o l'identificazione dell'utente sull'identit verificabile di un qualche componente hardware pone inoltre il problema di come smaltire i rifiuti elettronici.

Trusted computing

222

Voci correlate
Trusted Computing Group Trusted Network Connect Trusted Platform Module Trusted Software Stack Sicurezza informatica Crittografia

Note
[1] (EN) TPM Design Principles - Specification Version 1.2 - Level 2, Revision 103 (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), sezione 38, "Revoke Trust" [2] (EN) Trusted Computing Fact Sheet (https:/ / www. trustedcomputinggroup. org/ about/ FACTSHEET_revised_sept_07. pdf) [3] Asus presenta la nuova linea di schede madri compatibili con Windows Vista (http:/ / it. asus. com/ news_show. aspx?id=5996) [4] (EN) TCG TPM Specification Design Principles, versione 1.2, revisione 103, pagina 16 e successive (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip) [5] (EN) Intel Trusted Execution Technology Architectural Overview (http:/ / www. intel. com/ technology/ security/ downloads/ arch-overview. pdf) - Pagina 3, Protected Graphics [6] (EN) OpenTC -D02.2 Requirements Definition and Specification (http:/ / www. opentc. net/ deliverables2006/ OTC_D02. 2_Requirements_Definition_and_Specification_update. pdf) - Pagina 90 [7] (EN) Slide sul Trusted Storage (https:/ / www. trustedcomputinggroup. org/ groups/ storage/ TCG_storage_spec_avail_slides_FINAL. pdf) [8] (EN) The Register - Trusted Storage Specs near to completion (http:/ / www. theregister. co. uk/ 2007/ 06/ 21/ trusted_computing_drafts_hdd_security/ ) [9] (EN) Registro dei cambiamenti in Linux 2.6.13 (http:/ / www. kernel. org/ pub/ linux/ kernel/ v2. 6/ ChangeLog-2. 6. 13) [10] Infineon Security Platform nel Sony Vaio TX3XP (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1549/ sony-vaio-tx3xp-10-ore-di-autonomia-e-tpm-12_3. html) [11] Utility per la sicurezza nei notebook Acer (http:/ / www. hwupgrade. it/ articoli/ portatili/ 1600/ utility-per-la-sicurezza-dei-notebook-acer_5. html) [12] (EN) Trusted Computing for the Java Platform (http:/ / trustedjava. sourceforge. net/ ) [13] (EN) Trousers Home Page (http:/ / trousers. sourceforge. net/ ) [14] (EN) TrustedGrub su SourgeForge.net (http:/ / sourceforge. net/ projects/ trustedgrub) [15] (EN) Trusted Network Connect FAQ (https:/ / www. trustedcomputinggroup. org/ faq/ TNCFAQ/ ) [16] Ferguson, Niels. AES-CBC + Elephant: A Disk Encryption Algorithm for Windows Vista (http:/ / download. microsoft. com/ download/ 0/ 2/ 3/ 0238acaf-d3bf-4a6d-b3d6-0a0be4bbb36e/ BitLockerCipher200608. pdf). Microsoft TechNet, August 2006 [17] (EN) Enforcer Home Page (http:/ / enforcer. sourceforge. net/ ) [18] (EN) Turaya.Crypt Device Encryption Information (http:/ / www. emscb. com/ content/ pages/ turaya. crypt. htm) [19] (EN)https:/ / www. trustedcomputinggroup. org/ about/ members/ [20] (EN) U.S. Army requires trusted computing (http:/ / www. securityfocus. com/ brief/ 265) [21] (EN) strategic goal n. 3 , "deliver a joint netcentric information that enables warfighter decision superiority", October 2006 (http:/ / www. army. mil/ ciog6/ news/ 500Day2006Update. pdf) [22] (EN)http:/ / iase. disa. mil/ policy-guidance/ dod-dar-tpm-decree07-03-07. pdf [23] (EN) OpenTC Partners (http:/ / www. opentc. net/ index. php?option=com_content& task=view& id=5& Itemid=37) [24] Richard Stallman - Puoi fidarti del tuo computer? (http:/ / www. gnu. org/ philosophy/ can-you-trust. it. html) [25] Filmato di critica sul Trusted Computing (http:/ / www. no1984. org/ Trusted_Computing_movie) [26] Hardware TC-compliant - no1984.org (http:/ / www. no1984. org/ Hardware_TC-compliant) [27] (EN) Trusted Computing' Frequently Asked Questions - Ross Anderson (http:/ / www. cl. cam. ac. uk/ ~rja14/ tcpa-faq. html) [28] (EN) Electronic Frontier Foundation - Meditations on Trusted Computing (http:/ / www. eff. org/ wp/ meditations-trusted-computing) [29] (EN) Authenticated Booting, Remote Attestation, Sealed Memory aka Trusted Computing (http:/ / os. inf. tu-dresden. de/ Studium/ DOS/ SS2007/ 02_Booting. pdf) [30] (EN) Digital Rights Management Demonstrator (http:/ / www. emscb. com/ download/ Turaya. FairDRM_req_design_070313. pdf) Requirements, Analysis, and Design [31] Trusted Computing - The RTM and the TPM Infrastructure Group Working Activity (http:/ / www. isg. rhul. ac. uk/ files/ IY5608_-_Lecture_4_Infrastructure_WG. pdf), Royal Holloway University of London [32] (EN) Trusted Computing: Promise and Risk (http:/ / www. eff. org/ wp/ trusted-computing-promise-and-risk) - Electronic Frontier Foundation [33] (EN) Cosa succede ai miei dati se il TPM si rompe? (http:/ / trousers. sourceforge. net/ faq. html#2. 3) ,Trousers FAQ

Trusted computing

223

Altri progetti
Wikisource contiene opere originali: http://it.wikisource.org/wiki/Puoi fidarti del tuo computer?

Collegamenti esterni
Siti e documentazioni ufficiali
(EN) Sito del Trusted Computing Group (https://www.trustedcomputinggroup.org) (EN) Next Generation Secure Computing Base di Microsoft (http://www.microsoft.com/resources/ngscb/ default.mspx) (EN) Wave Systems Corp. TPM Trust Infrastructure provider (http://www.wave.com/)

Discussione e informazione sul Trusted Computing


SicurezzaInformatica.it Categoria Trusted Computing (http://www.sicurezzainformatica.it/archives/ trusted_computing/) (EN) AEL wiki on Trusted Computing with many links and press articles (http://wiki.ael.be/index.php/ TrustedComputing) (EN) Security in Open versus Closed Systems (http://www.ftp.cl.cam.ac.uk/ftp/users/rja14/toulouse.pdf) (PDF) (EN) The Register story about Intel's LaGrande chip project (http://theregister.co.uk/content/3/27047.html) (EN) ExtremeTech article: Microsoft's Palladium: Security for whom? (http://www.extremetech.com/article2/ 0,3973,263367,00.asp) (EN) Digital Rights Management issues in real-time and safety/mission critical systems (http://www. linuxdevices.com/articles/AT7225637142.html) Sostenitori del Trusted Computing (EN) vantaggi del trusted computing secondo la IBM (http://domino.research.ibm.com/comm/ research_projects.nsf/pages/gsal.TCG.html) (EN) The Need for TCPA (http://www.research.ibm.com/gsal/tcpa/why_tcpa.pdf) di David Safford (PDF) Oppositori del Trusted Computing No1984.org (http://www.no1984.org) Sito web italiano degli oppositori al TC (EN) Against-TCPA (http://www.againsttcpa.com/) (EN) Free Software Foundation (FSF) (http://www.fsf.org/)

Progetti che fanno uso di Trusted Computing


(EN) openTC (http://www.opentc.net/) - Progetto sponsorizzato dalla UE per creare software open source che sfrutti il TC (EN) TrouSerS (http://trousers.sourceforge.net/) - The Open Source TCG Stack (EN) Enforcer (http://enforcer.sourceforge.net/) - Driver Linux per l'utilizzo di Trusted Computing (EN) Trusted Java (http://trustedjava.sourceforge.net/) - API Java per Trusted Computing

Trusted Platform Module

224

Trusted Platform Module


Il Trusted Platform Module (letteralmente modulo per una piattaforma fidata, spesso abbreviato come TPM) il nome con cui vengono indicate sia le specifiche per la costruzione di un microchip deputato alla sicurezza informatica, pubblicate dal Trusted Computing Group, sia il chip stesso. Tale microchip viene generalmente implementato come modulo aggiuntivo per la scheda madre di un computer, ma si pu trovare anche in palmari e in altri dispositivi elettronici. Tale chip era noto in precedenza come Chip Fritz, nome che deriva dal senatore statunitense Ernest "Fritz" Hollings, forte sostenitore di questo progetto. Lo scopo del TPM l'aumento della sicurezza informatica: ogni chip dotato di una coppia di chiavi crittografiche uniche, che lo rendono univocamente identificabile, e di un motore per la crittografia asimmetrica per la criptazione dei dati. Il Trusted Platform Module progettato per essere disponibile su qualsiasi sistema operativo o piattaforma[1] . Attualmente tali chip sono diffusi tra i portatili destinati all'utenza business e diversi produttori di schede madri e computer desktop e forniscono il supporto opzionale a tale tecnologia. Intel ha dichiarato che entro il 2008 incorporer il TPM nel South Bridge di ogni scheda madre[2] . Secondo la International Data Corporation, entro il 2010 tutti i portatili e praticamente quasi tutti i PC saranno dotati di TPM[3] .

Architettura
Le specifiche pubblicate dal Trusted Computing Group[4] definiscono quale dev'essere l'architettura del processore e quali funzionalit minime esso deve offrire. Ogni TPM deve offrire determinate minime funzioni[5] , ovvero: generazione di numeri pseudo-casuali; generazione e memorizzazione di chiavi crittografiche (RSA); cifratura e decifratura di informazioni con RSA; generazione e verifica di hash SHA1.

A tale scopo, ogni Trusted Platform Module deve essere dotato di specifiche componenti, connesse tra loro attraverso un bus interno e capaci di interagire con il resto del calcolatore con un bus esterno. Tali componenti devono essere i seguenti:

Dispositivo di Input/Output
Il componente di I/O deve essere in grado di gestire le comunicazioni sui bus interni ed esterni, crittografando e decodificando le informazioni quando necessario. Deve garantire l'accesso al dispositivo in associazione col dispositivo Opt-In.

Coprocessore Crittografico
Ogni dispositivo deve essere dotato di un processore in grado di eseguire le seguenti operazioni: Generazione asimmetrica di chiavi Crittazione e decrittazione asimmetrica Generazione di numeri casuali Hashing SHA-1

Tale processore pu utilizzare anche la crittografia asimmetrica per comunicazioni interne al modulo, ma non deve esporre dati generati con algoritmi simmetrici all'esterno dello stesso. Per l'emissione di firme digitali, viene utilizzato l'algoritmo asimmetrico RSA con chiave di dimensione di 2048 bytes, sebbene il modulo debba supportare anche chiavi da 512 e 1024 byte. Tali chiavi possono essere note solo al modulo o in congiunzione tra un'entit

Trusted Platform Module esterna e il modulo stesso.

225

Generatore di Chiavi Crittografiche


Il generatore di chiavi deve essere in grado di generare coppie di chiavi asimmetriche e chiavi simmetriche. Non posta alcuna limitazione sul tempo di creazione delle chiavi.

Motore HMAC
Il motore HMAC deve essere in grado di fornire due importanti funzioni: Provare la correttezza dei dati di identificazione Provare che i dati in ingresso nel modulo sono autorizzati e non hanno subito modifiche durante la trasmissione. A tale scopo viene utilizzato l'algoritmo crittografico HMAC con una dimensione di chiave di 20 bytes e una dimensione di blocco dati di 64 bytes. Le peculiarit dell'algoritmo lo rendono adatto a tali scopi: HMAC utilizza infatti una combinazione del messaggio originale e della chiave segreta per la crittografia dei dati, garantendo la massima sicurezza.

Generatore di Numeri Pseudocasuali


Il motore di numeri casuali la sorgente della casualit all'interno del modulo. Le specifiche prevedono l'utilizzo di un algoritmo generatore di numeri pseudo-casuali per la creazione di chiavi e per la firma digitale. Il generatore di numeri casuali deve essere costituito da un componente in grado di accettare e mescolare dati imprevedibili da un coprocessore per restituire tali dati come risultato di una funzione non invertibile, come l'algoritmo SHA-1. A ogni chiamata deve essere in grado di generare 32 bytes di dati casuali. Il componente per la creazione di numeri casuali deve essere inizializzato durante la lavorazione con dati casuali, generati per esempio attraverso il disturbo termico del segnale o attraverso software appositi; dopo tale inizializzazione, nessuna entit, nemmeno il produttore stesso, deve essere in grado di controllare lo stato di tale generatore. Durante l'utilizzo, tale componente continuer a usare casualit hardware o software per generare i dati casuali, come per esempio il controllo casuale di combinazioni di tasti premuti o combinando i movimenti del mouse. La funzione utilizzata come output deve necessariamente ricevere un minore numero di bit in input rispetto a quelli restituiti in output, per garantire l'impossibilit di risalire allo stato del generatore di numeri.

Motore SHA-1
Il modulo deve integrare un dispositivo in grado di gestire hash SHA-1 di 160 bits di dimensione. Tali hash vengono utilizzati per la firma digitale dei file.

Gestore di Alimentazione
Il Trusted Platform Module deve essere fornito di un componente in grado di gestire l'alimentazione del modulo e di informare il modulo stesso sullo stato di alimentazione dei dispositivi disponibili sulla macchina in cui installato. Queste informazioni vengono utilizzate dal modulo per rilevare la presenza fisica di utilizzatori della macchina per fare in modo, per esempio, che alcune specifiche operazioni sul modulo siano eseguibili solo attraverso l'autorizzazione o, in caso di gestione remota, della presenza di un operatore.

Trusted Platform Module

226

Opt-In
Il componente Opt-In deve essere in grado di fornire i meccanismi e le protezioni necessarie per accendere, spegnere, attivare o disattivare il TPM. inoltre il componente deputato al controllo della presenza fisica di operatori sulla macchina sui cui installato il Trusted Platform Module. Il componente Opt-In deve garantire che il modulo possa essere acceso, spento, attivato o disattivato solo da utenti che detengono il controllo del TPM, definiti come TPM Owner, o, nel caso di Owner remoto, se vi sono operatori presenti sulla macchina.

Motore di Esecuzione
Il motore di esecuzione esegue il codice esterno, ottenuto dal modulo di Input/Output, per utilizzare le funzionalit del Trusted Platform Module. Deve essere in grado di garantire la trasparenza delle operazioni e la protezione dei dati sensibili.

Memoria non volatile


Il modulo deve essere dotato di memoria non volatile, deputata al mantenimento di informazioni quali l'identit del Trusted Platform Module. Tale memoria deve essere accessibile al proprietario del modulo, o da entit autorizzate dallo stesso, per la conservazione sicura di dati. Il modulo, a causa della limitata vita dei componenti di memoria non volatile, deve accedere a tali componenti in modo da non rendere loro e, quindi, il modulo stesso, prematuramente inutilizzabili.

Utilizzo
Per essere utilizzato, ogni Trusted Platform Module richiede l'utilizzo di uno specifico Trusted Software Stack, anch'esso determinato dalle specifiche del Trusted Computing Group. Se usato insieme ad tale software, il TPM pu: attestare l'identit e lo stato fidato della piattaforma di cui fa parte (attestazione remota); cifrare le informazioni che vengono inviate sui bus del sistema o salvate sulla memoria di massa (data sealing, lett. "sigillamento dei dati", e data binding. lett. "collegamento dei dati" al TPM); La tecnica di sealing dei dati corrisponde al salvataggio dei dati cifrati usando una chiave che dipende dallo stato del sistema, ossia una la combinazione dell'hardware e del software in esecuzione. La decifratura degli stessi dati sar possibile soltanto per mezzo della stessa chiave, cio utilizzando la stessa configurazione del sistema all'atto del salvataggio (lo stesso hardware e lo stesso software in esecuzione). Il binding si riferisce alla cifratura dei dati usando una chiave di approvazione detta Endorsement Key, ovvero una chiave RSA che identifica univocamente il TPM stesso inserita nel chip durante la sua fabbricazione garantendo cos che tali dati siano decifrabili soltanto dallo stesso modulo che li ha criptati. L'attestazione remota viene effettuata per mezzo di apposite chiavi di cifratura, dette AIK (Attestation Identity Key), generate all'occorrenza dal TPM .In alternativa dalla versione 1.2 delle specifiche TCG per autenticarsi su rete possibile utilizzare il protocollo di Direct Anonymous Attestation [6] [7] , che consente l'autenticazione remota della macchina preservando la riservatezza del sistema autenticato. Il chip, in sostanza, ha una funzione di controllo passivo sull'hardware ed il software installato sulla macchina su cui presente. Per mezzo di speciali registri al suo interno, detti PCR (Platform Configuration Register), il TPM tiene traccia dell'evoluzione dello stato del sistema, misurandolo (si tratta praticamente dell'elaborazione di un hash delle informazioni prelevate dai dispositivi e del software in esecuzione) secondo la seguente formula

ovvero, il contenuto dell'i-esimo PCR viene aggiornato (al tempo 1, RFC 3174
[8]

) con l'hash SHA1 (US Secure Hash Algorithm ) e sulle informazioni prelevate

) calcolato sul contenuto precedente dello stesso registro (al tempo

attualmente (al tempo

) dal sistema (all'avvio del sistema, il contenuto dei PCR impostato a 0).

Trusted Platform Module Il software (il boot loader, il sistema operativo, i programmi applicativi), realizzato opportunamente per interfacciarsi con il TPM, potr quindi decidere, in base alle informazioni correntemente contenute nei PCR ed in base alla propria logica programmata, quali operazioni intraprendere.

227

Critiche
Molte opposizioni all'adozione di questo tipo di chip si sono levate dall'ambito del software libero e dei sostenitori del fair use. I detrattori sostengono che tale sistema possa essere usato non solo per rendere pi sicura una macchina, anche se rimane da chiarire chi che stabilisce le regole in base alle quali ritenere sicuro un determinato stato del sistema, ma anche per decidere quali programmi possano accedere a certi dati, creando od amplificando una sorta di monopolio da parte dei sostenitori del Trusted Computing. Il microchip, secondo le specifiche pubblicate dal Trusted Computing Group, ha per solo un controllo passivo sul software, ovvero non in grado di decidere ci che un utente pu utilizzare; al contrario, per, un software basato sul Trusted Platform Module potrebbe decidere di non eseguire operazioni considerate non sicure come, per esempio, la connessione a una rete considerata non affidabile. Critiche si sono sollevate contro il sistema di attestazione remota[9] , mentre taluni ritengono che il sealing abbia come funzione essenziale la creazione di nuovi e pi efficaci sistemi di Digital Rights Management, piuttosto che una protezione delle informazioni in s.

Bug
Nell'ottobre 2007 stata scoperta una falla di sicurezza basata sul buffer overflow nei servizi forniti dal modulo TPM installati sui Notebook IBM ThinkPad che permetterebbe l'esecuzione di codice arbitrario attraverso pacchetti HTTP[10] . IBM ha consegnato tutti i dati relativi alla falla a Lenovo[11] per la risoluzione del problema. A dicembre 2007 non sono disponibili ulteriori informazioni al riguardo.

Voci correlate
Trusted Computing Trusted Computing Group Trusted Software Stack Hengzhi chip

Bibliografia
(EN) Specifiche del Trusted Platform Module [12], versione 1.2, revisione 103

Note
[1] (EN) FAQ sul Trusted Platform Module (https:/ / www. trustedcomputinggroup. org/ faq/ TPMFAQ/ ) [2] (EN) Trusted Computing: come rendere i vostri dati e sistemi veramente sicuri (https:/ / www. trustedcomputinggroup. org/ news/ events/ pastevents/ presentations/ GovSec_Presentation_052505. pdf) [3] Microsoft's leaner approach to Vista security (http:/ / m. news. com/ Microsofts+ leaner+ approach+ to+ Vista+ security/ 2163-7355_3-5843808. html) [4] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ [5] (EN) Specifiche del Trusted Computing (https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip), versione 1.2, revisione 103, pagine 16 e successive. [6] (EN) Direct Anonymous Attestation (http:/ / eprint. iacr. org/ 2004/ 205. pdf) [7] (EN) Direct Anonymous Attestation -versione ridotta (http:/ / www. zurich. ibm. com/ ~jca/ papers/ brcach04. pdf) [8] http:/ / www. faqs. org/ rfcs/ rfc3174. html [9] (http:/ / www. oceanidigitali. it/ drupal/ DAA) [10] (EN) http:/ / en. securitylab. ru/ nvd/ 305875. php [11] (EN) http:/ / www. irmplc. com/ index. php/ 111-Vendor-Alerts

Trusted Platform Module


[12] https:/ / www. trustedcomputinggroup. org/ specs/ TPM/ mainP1DPrev103. zip

228

Trusted Software Stack


Il Trusted Software Stack una API standard per l'utilizzo del Trusted Platform Module, le cui specifiche sono pubblicate dal Trusted Computing Group[1] . Il Trusted Software Stack progettato per l'interoperabilit su tutti i sistemi operativi. Con la versione 1.2 delle specifiche stato aggiornato per garantire il supporto al protocollo di Direct Anonymous Attestation e la creazione di chiavi di attestazione AIK [2] .

Principali Funzionalit
Quelle che seguono sono solo alcune delle funzionalit che il trusted software stack fornisce: In pratica, qualsiasi applicazione che sfrutti le funzionalit offerte dal trusted computing deve usare un trusted software stack per accedere alle funzioni offerte dal TPM .Le funzionalit elencate di seguito vanno quindi considerate come delle funzionalit che potrebbero essere offerte da applicazioni funzionanti su una trusted platform che sfruttino le API fornite dal Trusted software stack. Le funzionalit di dette applicazioni infatti non sono state standardizzate dal TCG.

Policy Translation
Implementazione di tutte le politiche di sicurezza che vengono imposte dai programmi all'utente o ai programmi dall'utente

Privacy Protection
Difesa dell' utente dagli abusi del TC (nessun software deve ad esempio fare il sealing dei dati o inviare la parte pubblica dell' Endorsement Key a terze parti senza il consenso del proprietario del TPM )

Trusted GUI
Garantisce la protezione dei dati considerati sensibili dalle applicazioni che sfruttano il TSS sia in input che in output

Compartment Manager
Gestisce le partizioni di esecuzione; alcune applicazioni possono essere avviate in una partizione di esecuzione protetta che sfrutta le funzionalit offerte dal trusted computing per garantire l'integrit dell'applicazione e la privacy dei dati da essa elaborati

Note
[1] https:/ / www. trustedcomputinggroup. org/ faq/ TSSFAQ/ (EN) FAQ sul Trusted Software Stack [2] https:/ / www. trustedcomputinggroup. org/ faq/ TSS_1. 2_FAQ/ (EN) FAQ sul Trusted Software Stack versione 1.2

Voci correlate
Trusted Computing Trusted Computing Group Trusted Platform Module

Trusted Software Stack

229

Collegamenti esterni
(EN) Specifiche del Trusted Software Stack (https://www.trustedcomputinggroup.org/specs/TSS/ TSS_1_2_Errata_A-final.pdf) (EN) FAQ di Trousers (http://trousers.sourceforge.net/faq.html), un TSS open source (EN) Architettura di una "trusted platform" (http://www.perseus-os.org/content/pages/Overview.htm) (EN) Introduzione al trusted software stack (http://www.perseus-os.org/content/pages/Trusted Software.htm) (EN) Presentazione dell'architettura del trusted computing , sezione 4.5.3 (https://www.trustedcomputinggroup. org/groups/TCG_1_4_Architecture_Overview.pdf)

Vulnerability Assessment and Mitigation


La metodologia di Vulnerability Assessment and Mitigation (VAM) consiste di un processo volto a valutare l'efficacia dei sistemi di sicurezza ed a valutarne il livello di sicurezza. Lo scopo di questa ricerca quello di trovare le falle di quello specifico sistema, per poterlo cos migliorare e prevenire eventuali attacchi basati su quelle vulnerabilit. L'utilizzo del VAM si rende necessario pi volte durante l'arco di un anno, in quanto la tecnologia progredisce in fretta e con essa anche gli strumenti per attaccare un sistema, che potrebbero quindi avvalersi di nuove vulnerabilit eventualmente messe in luce dal progresso tecnologico e strategico. Di seguito andremo ad analizzare i diversi livelli ai quali pu essere applicato il VAM.

DataBase
Al terzo livello si trovano i Database (Oracle, SQL Server, Sybase SQL Server). Queste banche dati verranno analizzate automaticamente da strumenti in grado di rilevare eventuali debolezze nel campo della sicurezza. noto come un DataBase contenga una gran mole di informazioni critiche ed indispensabili per un'azienda e data l'enorme complessit venutasi a creare durante la loro organizzazione, si vengono facilmente a creare vulnerabilit comodamente sfruttabili da un malintenzionato, molto pi di quanto possa accadere con le falle presenti nei Sistemi Operativi.

Rete Telefonica
Il quarto possibile portale di accesso risulta essere la rete telefonica, vera e propria alternativa agli attacchi tramite IP, che solitamente sono difesi dall'uso di firewall. Nel caso specifico verranno valutati i possibili bachi presenti nei Sistemi RAS e saranno scansionati anche modem e centralini, alla ricerca di possibili vie di accesso per eventuali attacchi. Tale attivit viene chiamata WarDial.

Altre infrastrutture non TCP/IP


Ad essere sotto esame questa volta possono essere reti X.25, SNA, sistemi mainframe, ecc.

Applicazioni
L'ultimo punto della nostra lista prevede l'External Application Assessment e l'Internal Application Assessment. Il primo caso analizza un'applicazione web dal punto di vista dell'utente senza competenze specifiche, ovvero senza che questo sia a conoscenza dell'architettura dell'applicazione. Vengono incluse nell'analisi anche le eventuali sezioni protette da username e password presenti nell'applicazione, che pu offrire servizi tramite protocolli HTTP o HTTPS. Nello specifico vengono verificati i seguenti campi relativi alla sicurezza: information leakage, ovvero scansione dei dati sensibili inviati tramite l'applicativo e che potrebbero essere esposti al rischio di venire intercettati da un malintenzionato tramite l'esame del codice HTML, degli script o di

Vulnerability Assessment and Mitigation altre informazioni ottenibili da eventuali meccanismi di debugging. approfondita analisi dei campi interattivi tra l'applicazione e l'utente, in modo da individuare eventuali falle create da input (in)volontariamente inserito, buffer overflow, ecc. procedure di autenticazione problematiche relative ad una sessione, come ad esempio timeout, logout, hijacking, login tramite indirizzi non verificati, ecc. validazione ed alterabilit dei dati esecuzione di comandi in zone impreviste dell'applicazione, che ad esempio tramite specifiche stringhe SQL pu portare alla diretta manipolazione del DataBase, con chance di acquisizione, modifica, cancellazione dei dati presenti interazioni inappropriate o non corrette con il Sistema Operativo (shell escapes) analisi della sicurezza dei dati inviati tramite l'applicazione

230

Nel caso dell'Internal Application Assessment, che comprende anche i punti elencati qui sopra, vengono presi in considerazione anche i seguenti casi: aspetti legati alla configurazione di web server e application server configurazione di DataBase Management System (DBMS) presenti ed eventuali interazioni tra questi e l'applicazione stessa esame dei file di log e/o di configurazione utilizzabili dai web server e dagli application server vulnerabilit legate alla determinata architettura utilizzata nell'applicazione

Conclusioni
Ogni attivit elencata qui sopra andrebbe eseguita a cadenza periodica (4-6 volte durante l'arco dei 365 giorni) e costituisce una risorsa irrinunciabile nella continua ricerca di affidabilit dei sistemi di sicurezza aziendali. Grazie al loro impiego possibile instaurare un'efficace politica di difesa che garantisca investimenti volti al potenziamento dell'Infrastruttura IT.

Fonti e autori delle voci

231

Fonti e autori delle voci


Access token Fonte:: http://it.wikipedia.org/w/index.php?oldid=30271248 Autori:: Abisys, Avesan, Davide21, Frieda, Marcuscalabresus, Smallpox, 1 Modifiche anonime Accountability Fonte:: http://it.wikipedia.org/w/index.php?oldid=45556773 Autori:: Avesan, Daniele Forsi, Koeman77, Luisa, 5 Modifiche anonime Anomaly based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=38058501 Autori:: Abisys, Alleborgo, Avesan, Guignol, Hellis, 4 Modifiche anonime Anonimato Fonte:: http://it.wikipedia.org/w/index.php?oldid=44512507 Autori:: Beatrice, Blaumeer, Davide, Djechelon, Dread83, Elbloggers, Elcairo, Erinaceus, Hellis, Iron Bishop, Joana, Littoria, Luckyz, Micione, Olando, Pequod76, Sailko, Sbisolo, Senza nome.txt, Skywolf, Suisui, Tofi s, Twice25, Una giornata uggiosa '94, Wiskandar, 9 Modifiche anonime Antivirus Fonte:: http://it.wikipedia.org/w/index.php?oldid=45789016 Autori:: .snoopy., Abisys, Airon90, Albertop81, Alleborgo, Amux, Ary29, Avesan, ChemicalBit, Comune mortale, Cruccone, Davide, DostoHouskij, Drugonot, Ekerazha, Eth000, Eumolpo, Fiaschi, Gdevitis, Giuseppe129, Goemon, Hashar, Hellis, Ianezz, Ignlig, Iron Bishop, Joebigwheel, Leonardi Paolo, M7, Marco Plassio, Marcok, Marcuscalabresus, Mark250594, Massic80, Mcoletti, MikyT, Mirko92, Misi91, Morgan Sand, Neq00, Osk, Otrebor81, Paginazero, Pastore Italy, Phantomas, Pickblack, Pracchia-78, R0tAbLe, RanZag, Rollopack, Sailko, Salvatore Ingala, Sassospicco, Sbisolo, Senpai, Stemby, Strech, Strutsi, Teletrasporto, ThomasL, Tommaso Ferrara, Troels Nybo, Vipera, Zippit, 138 Modifiche anonime Application-level gateway Fonte:: http://it.wikipedia.org/w/index.php?oldid=29310329 Autori:: Abisys, Avesan, Davide21, Frieda, Marcuscalabresus Architettura di reti sicure Fonte:: http://it.wikipedia.org/w/index.php?oldid=43764909 Autori:: AnjaManix, AttoRenato, Avesan, Jacklab72, La vale84, 10 Modifiche anonime L'arte dell'inganno Fonte:: http://it.wikipedia.org/w/index.php?oldid=45717283 Autori:: Alexander VIII, Avesan, Azrael555, Bultro, Ciovo, Crypto, Fragolino, Ilario, Mauro742, Mess, Mk178, Schickaneder, The Doc, Truman Burbank, Twice25, 3 Modifiche anonime L'arte dell'intrusione Fonte:: http://it.wikipedia.org/w/index.php?oldid=45728909 Autori:: Fantasma, Fedhman ASLR Fonte:: http://it.wikipedia.org/w/index.php?oldid=41166366 Autori:: Aushulz, Avesan, Balfabio, Dbiagioli, Dispe, Eberk89, Gliu, Hellis, Instigate cjsc (Narine), Kormoran, Luisa, Realtebo, Tatufan, Terame, 8 Modifiche anonime Audit Fonte:: http://it.wikipedia.org/w/index.php?oldid=45740849 Autori:: AttoRenato, Avesan, Azrael555, Cisco79, F l a n k e r, LoReNicol, Marcuscalabresus, Ppiero, Rago, 7 Modifiche anonime Autenticazione Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461719 Autori:: Abisys, Alberto da Calvairate, Arriano60, Ary29, Avesan, B3t, Calibro, Davide, FrAnCiS, Frieda, Hellis, Joana, Leo72, Loriscuba, Mac9, Melissa85, No2, Paulatz, Perteghella, Pigr8, Quadrispro, Roberto.catini, Sassospicco, Valepert, 18 Modifiche anonime Backup Fonte:: http://it.wikipedia.org/w/index.php?oldid=44998538 Autori:: Andreasosio, Antonell, Apollo13, Arriano60, Ary29, Avesan, DJ JJ, Dry Martini, Eumolpo, Giorasta, Hellis, Iron Bishop, Lorenzo Fratti, Loroli, M4gnum0n, M7, Mr buick, Porta seriale, Pracchia-78, Prinzimaker, Sbisolo, Stefano Boldrini, Stemby, Suisui, Taueres, Wikit2006, 31 Modifiche anonime BitLocker Drive Encryption Fonte:: http://it.wikipedia.org/w/index.php?oldid=45554122 Autori:: Abisys, Aka-Red, Ary29, Avesan, Dbiagioli, Hellis, Jenaplinskin, No2, Olando, Phantomas, Playstation, Saint-Just, Simo ubuntu, VisedNetGhost, 4 Modifiche anonime Capability Fonte:: http://it.wikipedia.org/w/index.php?oldid=38655998 Autori:: Abisys, Alby One Kenoby, Avesan, DnaX, Gizm0 CAPTCHA Fonte:: http://it.wikipedia.org/w/index.php?oldid=45741272 Autori:: .anaconda, Abisys, AnyFile, Arroww, Ary29, Avesan, B3t, Beta16, Biopresto, Christiandes00, Cochrane, Danno, Dantadd, Djechelon, ElfQrin, Eumolpo, Gacio, Hellis, Ignlig, Jacopo, Joe mentina, Llorenzi, Lorello, Loroli, Lp, LucAndrea, Marcel Bergeret, Marco Plassio, Marcok, Martin Mystre, Melefabrizio, Mikelima, O--o, Otrebor81, Rogledi, Sandrobt, Sannita, Sassospicco, SbiellONE, Sesquipedale, ShadowMario, Tank00, Tecya1994, Timendum, Wikit2006, 47 Modifiche anonime Carta d'identit elettronica italiana Fonte:: http://it.wikipedia.org/w/index.php?oldid=45798523 Autori:: Airon90, Alblefter, AnjaManix, Atram85, Avesan, Balfabio, Dantadd, Doc.mari, FSoft, Fantasma, Fra610, Frigotoni, Gamia, Guimar, Hellis, Kar.ma, L736E, Larry Yuma, Lecter, Marcok, Marcus89, Matteo Pedani, Neq00, Paolosub, Phantomas, Pietrodn, Resoli, Salento81, Simone, Skydrake, Ultracold, Urzyken, Vale maio, 35 Modifiche anonime CCleaner Fonte:: http://it.wikipedia.org/w/index.php?oldid=45786803 Autori:: (E = MC), .snoopy., Abisys, Antonell, Avesan, Biscionecanale5, BlackLukes, ChemicalBit, Cochrane, Exorcist Z, Gdevitis, Gliu, Hellis, IceHawk, Invision2.0, Italink, Ivan2912, Madaki, Marce79, Marcko, Massic80, Massimiliano Sconda, Mixer1, Nick91, Patrias, Rocker85, Rojelio, Snake303, Sonic89, Tommaso Ferrara, Yoruno, Zippit, 39 Modifiche anonime Centro nazionale anticrimine informatico per la protezione delle infrastrutture critiche Fonte:: http://it.wikipedia.org/w/index.php?oldid=43022126 Autori:: Kaspo, Michele.V, Nicola Romani, Ogoorcs, Trikke, Z0n3, 3 Modifiche anonime Certificate authority Fonte:: http://it.wikipedia.org/w/index.php?oldid=46005702 Autori:: .anaconda, Abisys, Ary29, AttoRenato, Avesan, Brownout, Eumolpo, Gianfranco, Lara Casadei, Leo72, Melissa85, MitRouting, Osmosis, Pigr8, Pracchia-78, Senza nome.txt, 24 Modifiche anonime Certificate revocation list Fonte:: http://it.wikipedia.org/w/index.php?oldid=41604272 Autori:: Alleborgo, Hrundi V. Bakshi, Larry Yuma, Melissa85, Porta seriale, 5 Modifiche anonime Certificato digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=45005913 Autori:: Abisys, Avesan, Giaros, Golan, Hellis, LapoLuchini, Leo72, Lukius, Melissa85, Orso della campagna, Paginazero, Papesatan, Simo ubuntu, Snowdog, TierrayLibertad, 10 Modifiche anonime Checksum Fonte:: http://it.wikipedia.org/w/index.php?oldid=44957599 Autori:: .anaconda, Abisys, Avesan, Buzz lightyear, Cotton, Drugonot, IngDani, Jotar, Melknix, Miguelsan, Nalegato, Vittoealloggio, 10 Modifiche anonime chroot Fonte:: http://it.wikipedia.org/w/index.php?oldid=44152924 Autori:: .anaconda, Avesan, Cappra, Ddonato, Djechelon, EndelWar, Fale, Luisa, Paulatz, Sonic, Stemby, SuperSecret, 8 Modifiche anonime Clickjacking Fonte:: http://it.wikipedia.org/w/index.php?oldid=44495091 Autori:: Abisys, Angus73, Azrael555, Bol2030, Embyte, Gamon2, Massimo874, Onjacktallcuca, Phantomas, Ticket 2010081310004741, 8 Modifiche anonime Confidenzialit Fonte:: http://it.wikipedia.org/w/index.php?oldid=45130878 Autori:: Al Pereira, Avesan, BMF81, Fbuccolieri, Gestas, Johnlong, Maurinap, Maximix, Rodamaker, Simo82, 1 Modifiche anonime Contactless smartcard Fonte:: http://it.wikipedia.org/w/index.php?oldid=22169544 Autori:: .jhc., Abisys, Avesan, Ermanon, Kaus, Lenore Data mining e sicurezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=36930592 Autori:: Ary29, Avesan, Fabio.gastone, Helios, Jalo, Sentruper, Simonepedemonte, Truman Burbank, 4 Modifiche anonime Demilitarized zone Fonte:: http://it.wikipedia.org/w/index.php?oldid=45501387 Autori:: .anaconda, Abisys, Avesan, DnaX, Guidomac, Paolosub, Pap3rinik, Saint-Just, Sassospicco, 8 Modifiche anonime Dependability Fonte:: http://it.wikipedia.org/w/index.php?oldid=38625374 Autori:: Avesan, ErBabbuino, Maurizio.Cattaneo, O.Taris, Truman Burbank, 18 Modifiche anonime Digital Signature Algorithm Fonte:: http://it.wikipedia.org/w/index.php?oldid=45649311 Autori:: Abisys, Airon90, Avesan, Brownout, Dinwath, Leo72, Maxi83, 12 Modifiche anonime Direct Anonymous Attestation Fonte:: http://it.wikipedia.org/w/index.php?oldid=45129027 Autori:: Abisys, Aka-Red, AndreaFox, Dbiagioli, Larry Yuma, Sesquipedale, Valepert Disaster prevention Fonte:: http://it.wikipedia.org/w/index.php?oldid=40419803 Autori:: Comune mortale, Lauraventurini, Sandr0, 1 Modifiche anonime

Fonti e autori delle voci


Disaster recovery Fonte:: http://it.wikipedia.org/w/index.php?oldid=45354794 Autori:: Alleborgo, Arriano60, Ary29, Avesan, Condor33, Giampfrank, Guam, Hellis, Ignlig, Joana, Marius, Pracchia-78, Protarkus, Qbert88, Sassospicco, Veneziano, 29 Modifiche anonime Dll injection Fonte:: http://it.wikipedia.org/w/index.php?oldid=40407340 Autori:: Abisys, Avemundi, Fabio.gastone, Filippof, Luckyz, 12 Modifiche anonime Documento programmatico sulla sicurezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=39471322 Autori:: Abisys, Arriano60, Avesan, Condor33, Dabbia, Guidomac, H2o, Mcicogni, Zerounobit, 7 Modifiche anonime Extensible Authentication Protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=45939326 Autori:: Abisys, Alleborgo, Amux, Ary29, Avesan, Digemall, Dinwath, EffeX2, Gwenda, PsYLo, Salvatore Ingala, 5 Modifiche anonime False acceptance rate Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047619 Autori:: Centrodiurnomilano, Hicks, Porta seriale, Valepert FileVault Fonte:: http://it.wikipedia.org/w/index.php?oldid=43690177 Autori:: Abisys, Fask, Hellis, Kiado, Nuovoastro, Pietrodn, Senpai, WikiKiwi, 3 Modifiche anonime Filtro bayesiano Fonte:: http://it.wikipedia.org/w/index.php?oldid=45417413 Autori:: Arodichevski, Barbaking, Beta16, Cataldoc, Daniele Forsi, Desmodromico, EdoM, ICEAGE, IUserMac, IlPasseggero, Iron Bishop, Mark91, No2, Piddu, Pullus In Fabula, Ssspera, Viscontino, 11 Modifiche anonime Fingerprint Fonte:: http://it.wikipedia.org/w/index.php?oldid=44493219 Autori:: %Pier%, Abisys, Alfio, Avesan, Chessstoria, Gabriele85, Lucas, Marcuscalabresus, Theferro, 5 Modifiche anonime Firma digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856070 Autori:: 2csolution, Abisys, Alezk90, Alfio, AnjaQantina, Avesan, Beta16, Brownout, Ciano, Condor33, Danielefrongia, Danielemarongiu, DarkAp, Draco3565, Dsig, Elbloggers, Eleinad, Eumolpo, Fasselle, Firiwizzo, Freddynofear, Gac, Gchiavacci, GiaGar, GiorgioCha, Giottone, Guidomac, Hashar, Henrykus, Icestorm82, LapoLuchini, Lara sette, Leo72, Lucas, Lucas Malor, M7, Marcok, Maupag, MaxDel, Melissa85, Mike.lifeguard, Mizardellorsa, Next, Orso della campagna, Paulatz, Phantomas, Piddu, Pietrodn, Pracchia-78, Raistolo, Rojelio, Rudd84, Segnali dallo spazio, Senza nome.txt, SiGMa83, Smart, Snowdog, Soccerboy, Stemby, Superchilum, Taueres, Template namespace initialisation script, Tommaso Ferrara, Trixt, Twice25, ZioNicco, 191 Modifiche anonime Firma elettronica Fonte:: http://it.wikipedia.org/w/index.php?oldid=45856112 Autori:: Ampsicora, Diuturno, Freddynofear, Lucas, Mizardellorsa, Raistolo, Redirete, S.fontana, S141739, Sanremofilo, Soccerboy, 11 Modifiche anonime Gestione della continuit operativa Fonte:: http://it.wikipedia.org/w/index.php?oldid=45355070 Autori:: Arriano60, Avesan, Condor33, Eumolpo, Giampfrank, Pastore Italy, Squattaturi, Stefanuzz1986, Theirrulez, Veneziano, 11 Modifiche anonime GnuTLS Fonte:: http://it.wikipedia.org/w/index.php?oldid=45892718 Autori:: Dega180, Lucabon, Tenebroso, 1 Modifiche anonime Greylisting Fonte:: http://it.wikipedia.org/w/index.php?oldid=40133889 Autori:: Avesan, No2, Pracchia-78, Triquetra, 9 Modifiche anonime Hardening Fonte:: http://it.wikipedia.org/w/index.php?oldid=44556797 Autori:: Guignol Hash Fonte:: http://it.wikipedia.org/w/index.php?oldid=45527891 Autori:: .mau., Abisys, Alberto da Calvairate, Alez, Amux, Avesan, Biopresto, Brownout, Caresia, Danielefrongia, Drugonot, Elbloggers, ErBabbuino, GiacomoV, Guidomac, Hellis, IlGino, Kotik, LapoLuchini, Leo72, Livedrop, Nickname, Paginazero, Painlord2k, Paulatz, Piddu, Qualc1, Sandr0, Sassospicco, Sbisolo, Seics, Shivanarayana, Sirabder87, Snowdog, Wiso, Wizard, 58 Modifiche anonime Hengzhi chip Fonte:: http://it.wikipedia.org/w/index.php?oldid=20969868 Autori:: Aka-Red, Avesan, Cobb, Dbiagioli, Fabio.gastone, Halfmount, Sannita, 1 Modifiche anonime Honeypot Fonte:: http://it.wikipedia.org/w/index.php?oldid=45327575 Autori:: Abisys, Akash, Avesan, Edo, FrAnCiS, Gvf, Moongateclimber, 7 Modifiche anonime Host-based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=22170948 Autori:: Abisys, Avesan, Elcairo, Emilio2005, Hellis, IlGino, Nalegato, 1 Modifiche anonime Identity management Fonte:: http://it.wikipedia.org/w/index.php?oldid=33847429 Autori:: %Pier%, Abisys, Avesan, Caulfield, Frieda, Ilafra, Kal-El, Koji, Lucas, Paginazero, Paolosub, 2 Modifiche anonime Identit digitale Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461689 Autori:: Abisys, Ary29, Avesan, Blacksoul, Bonasia Calogero, CavalloRazzo, EdoM, Federica73, Hellis, Joebigwheel, L736E, Larry Yuma, No2, Reputation Manager, Salento81, Sbisolo, Silvalbar, Simone, 3 Modifiche anonime Integrit dei dati Fonte:: http://it.wikipedia.org/w/index.php?oldid=44245373 Autori:: Avesan, Bultro, Hellis, 2 Modifiche anonime Internet Security Policy Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849540 Autori:: AnjaManix, Condor33, Defa, Javier80, LaseriumFloyd, Maurizio.Cattaneo, Mekgen, Phantomas, Tirinto, 8 Modifiche anonime Intrusion Countermeasures Electronics Fonte:: http://it.wikipedia.org/w/index.php?oldid=33884127 Autori:: Abisys, Ary29, Avesan, Chem, Fstefani, Hauteville, Hellis, Laz (riassegnato), Rollopack, 1 Modifiche anonime Intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=45852268 Autori:: .anaconda, Abisys, Air swan, Avesan, Burattone, ChemicalBit, Daniele Forsi, Daphiel, Helios, Hellis, Marcuscalabresus, Marti 171285, Mrlele, Veneziano, 42 Modifiche anonime Intrusion prevention system Fonte:: http://it.wikipedia.org/w/index.php?oldid=44561693 Autori:: Abisys, Avesan, DanGarb, Daphiel, Formica rufa, Guignol, Hellis, Lusum, 3 Modifiche anonime IS auditing Fonte:: http://it.wikipedia.org/w/index.php?oldid=36448547 Autori:: Abisys, Avesan, Fabio.gastone, Jacklab72, Joram, Mcicogni, Torsolo, Vulkano, 16 Modifiche anonime ISO/IEC 27001 Fonte:: http://it.wikipedia.org/w/index.php?oldid=45723000 Autori:: Alejo2083, Antarello, Ary29, Avesan, Beta16, Biopresto, Claudio Pace, Condor33, DnaX, Elifb, Gacio, Gamon2, Mario1952, Mattiacrespi, Mcicogni, Metralla, Miao, Microsoikos, No2, Riccardov, Roberto.atzeni, 21 Modifiche anonime IT Baseline Protection Manual Fonte:: http://it.wikipedia.org/w/index.php?oldid=35849615 Autori:: Avesan, Bultro, Condor33, Eumolpa, Larry Yuma, Maurizio.Cattaneo, Phantomas, Sentruper Jingjing e Chacha Fonte:: http://it.wikipedia.org/w/index.php?oldid=44543011 Autori:: Avesan, Nicola Romani, RanZag, 1 Modifiche anonime Key server Fonte:: http://it.wikipedia.org/w/index.php?oldid=41838130 Autori:: Abisys, Alfio, Avesan, LapoLuchini, Laurentius, MM, Osmosis, Piddu, Porta seriale, Unriccio, 1 Modifiche anonime Lista di controllo degli accessi Fonte:: http://it.wikipedia.org/w/index.php?oldid=44331384 Autori:: %Pier%, Abisys, Atheist, Avesan, BMF81, Delas, Enzotib, Hce, Hellis, Losgi, MaxDel, Perteghella, Poweruser, Simone, Tux75, Twice25, Windowsuninstall, 8 Modifiche anonime Login Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228533 Autori:: Abisys, Ancelli, Avesan, B3t, Giovannigobbin, Guidomac, Jaqen, Lorito, Moloch981, Phantomas, Pietrodn, Pigr8, Xag Knoj, 10 Modifiche anonime Metodo Gutmann Fonte:: http://it.wikipedia.org/w/index.php?oldid=43417033 Autori:: Abisys, Absolwent, Avesan, Cristiano70, Gdevitis, Hellis, O--o, Pcdazero, Pracchia-78, Turbovets Christina, 11 Modifiche anonime Metodologia Octave Fonte:: http://it.wikipedia.org/w/index.php?oldid=38418743 Autori:: Avesan, Defa, Jollyroger, Marcol-it, Nevepois, No2 Microsoft Strider Fonte:: http://it.wikipedia.org/w/index.php?oldid=39047033 Autori:: %Pier%, Alleborgo, Ary29, Avesan, EffeX2, Hellis, Lusum, Mfisk, Phantomas, Simo ubuntu, Teocrito, Theferro, 3 Modifiche anonime

232

Fonti e autori delle voci


Modello Bell-LaPadula Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461977 Autori:: %Pier%, Abisys, Ary29, Avesan, Calabash, Francesco Betti Sorbelli, Ippatsu, No2, Serenella Canepa, Tommaso Ferrara, 5 Modifiche anonime Modello Biba Fonte:: http://it.wikipedia.org/w/index.php?oldid=45729568 Autori:: Abisys, Alexander VIII, Ary29, Avesan, Elcairo, Francesco Betti Sorbelli, Serenella Canepa, Squattaturi, 12 Modifiche anonime Modello Brewer e Nash Fonte:: http://it.wikipedia.org/w/index.php?oldid=36415125 Autori:: Ary29, Avesan, Francesco Betti Sorbelli, 2 Modifiche anonime Modello Clark-Wilson Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699772 Autori:: Abisys, Avesan, Francesco Betti Sorbelli, WK, 1 Modifiche anonime MS-CHAP Fonte:: http://it.wikipedia.org/w/index.php?oldid=29360958 Autori:: Abisys, Avesan, BLeonardo, Beta16, Dinwath, Giorasta, Krdan, Piero Montesacro, Vulkano, 5 Modifiche anonime MS-CHAPv2 Fonte:: http://it.wikipedia.org/w/index.php?oldid=29273785 Autori:: Abisys, Avesan, BLeonardo, Beta16, Daniele Forsi, Littoria, 2 Modifiche anonime Negazione plausibile Fonte:: http://it.wikipedia.org/w/index.php?oldid=43955453 Autori:: Bramfab, F.cristarella, Guznadar, Rago, ZipoBibrok5x10^8, 4 Modifiche anonime Netcraft Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496037 Autori:: Abisys, Avesan, Marcuscalabresus, Rojelio Network intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=42907856 Autori:: Abisys, Ary29, Avesan, Bultro, ChemicalBit, Daniloviz, Daphiel, Fale, Formica rufa, Guignol, Hellis, Joana, Johnlong, Massimiliano Lincetto, Nalegato, No2, Phantomas, Senza nome.txt, Sesquipedale, 7 Modifiche anonime Network tap Fonte:: http://it.wikipedia.org/w/index.php?oldid=45642974 Autori:: Abisys, Alleborgo, Avesan, Beta16, CavalloRazzo, Ducatimonster, Leleco, Simo82, 8 Modifiche anonime Next-Generation Secure Computing Base Fonte:: http://it.wikipedia.org/w/index.php?oldid=44443887 Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, Ary29, Avesan, Barbaking, Dbiagioli, Ft1, Gacio, Hellis, Jenaplinskin, Leoman3000, Moongateclimber, Nanae, Orion21, R0tAbLe, Sailko, Saint-Just, Simo ubuntu, Skywolf, Tanarus, Trikky, Vichingo, Zago84, 18 Modifiche anonime Nmap Fonte:: http://it.wikipedia.org/w/index.php?oldid=45510522 Autori:: Abisys, Alfio, Alleborgo, Ary29, Avesan, Brownout, Elitre, Fale, Frieda, Giacomo Ritucci, Hce, Iron Bishop, Patrias, Shishii, Stemby, Sumail, TetsuyO, The Blinder Grunt, 13 Modifiche anonime One-time password Fonte:: http://it.wikipedia.org/w/index.php?oldid=39222466 Autori:: Alby1987, DnaX, Marioquark, Mastermirko, 1 Modifiche anonime OpenID Fonte:: http://it.wikipedia.org/w/index.php?oldid=41521680 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Archenzo, Ary29, Avesan, Bebabi34, Davide89v, ElSaxo, Elbloggers, FiloSottile, Gigasoft, Gvf, Hellis, Lelli Gabriele, PRONTOMAMMA, Paulox, PiKey, Snowdog, Superchilum, TheDRaKKaR, Vermondo, 23 Modifiche anonime OpenSSL Fonte:: http://it.wikipedia.org/w/index.php?oldid=44847743 Autori:: Abisys, Ary29, Avesan, Eumolpo, Hellis, IlGino, Leo72, Lucabon, MaEr, Morningfrost, Piddu, Salvatore Ingala, Stefano-c, 7 Modifiche anonime OSSIM Fonte:: http://it.wikipedia.org/w/index.php?oldid=37367730 Autori:: Abisys, Avesan, CavalloRazzo, Dr Zimbu, Franganghi, Frieda, Mess, Saro-bs, Veneziano, 3 Modifiche anonime Password authentication protocol Fonte:: http://it.wikipedia.org/w/index.php?oldid=41945471 Autori:: AKappa, Abisys, Ary29, Avesan, Dinwath, Dommac, FrAnCiS, Nikimast85 Penetration Test Fonte:: http://it.wikipedia.org/w/index.php?oldid=38337673 Autori:: Alez, Andrea.Lazzari, Avesan, Ermanon, Eumolpo, Melancholyblues, Mgirolami, Pacochan, 7 Modifiche anonime Piano di contingenza Fonte:: http://it.wikipedia.org/w/index.php?oldid=45411573 Autori:: Edipo, Eumolpo, L736E, No2, Pastore Italy, Piero Montesacro, Rago, 1 Modifiche anonime Port knocking Fonte:: http://it.wikipedia.org/w/index.php?oldid=39472278 Autori:: Abisys, Ary29, Avesan, Brownout, Calabash, No2, Saint-Just, Salvatore Ingala, 2 Modifiche anonime Privoxy Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766927 Autori:: Avemundi, CavalloRazzo, Elbloggers, Sir marek Procedura GIANOS Fonte:: http://it.wikipedia.org/w/index.php?oldid=33860223 Autori:: %Pier%, Avesan, Frieda, Massimiliano Lincetto, No2, Sbisolo, 2 Modifiche anonime Protezione Fonte:: http://it.wikipedia.org/w/index.php?oldid=43387792 Autori:: A7N8X, Avesan, BMF81, Barbaking, CavalloRazzo, Davide.it, Dch, Grigio60, Lombardelli, Marcol-it, No2, Pipep, Rago, SusannaGr, 3 Modifiche anonime Protezione del database Fonte:: http://it.wikipedia.org/w/index.php?oldid=43104340 Autori:: Abisys, Ary29, Avesan, Bultro, Capinca, Dedda71, Faberh, Mauro742, No2, Quatar, Remulazz, Sentruper, 7 Modifiche anonime Protocollo AAA Fonte:: http://it.wikipedia.org/w/index.php?oldid=33853658 Autori:: .snoopy., Abisys, Ary29, Avesan, EffeX2, Elitre, Hellis, Massimiliano Lincetto, Moongateclimber, Shaka, Vulkano, 3 Modifiche anonime Protocollo Kerberos Fonte:: http://it.wikipedia.org/w/index.php?oldid=45228918 Autori:: Abisys, Amux, Avesan, Barbaking, Billoilbullocitrullo, DanGarb, Dommac, Endriupizza, Eweriuer, Frieda, Giacomo Ritucci, Hellis, Ippatsu, Leo72, Marco Ciaramella, Mau db, Senza nome.txt, SiGMa83, Simoz, VincenzoX, Vulkano, Wiso, 23 Modifiche anonime RADIUS Fonte:: http://it.wikipedia.org/w/index.php?oldid=41364630 Autori:: .anaconda, Abisys, Arriano60, Ary29, Avesan, Diego.demartin, Digemall, Dinwath, Ggp81, Gwenda, Larry Yuma, Orso della campagna, Pracchia-78, Salvatore Ingala, Theferro, Vito.Vita, Vulkano, 7 Modifiche anonime Recovery Point Objective Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496090 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Duroy, Lucas, MM, Rojelio, 1 Modifiche anonime Recovery Time Objective Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496096 Autori:: %Pier%, .anaconda, Abisys, Alleborgo, Avesan, Daniele Forsi, Duroy, 4 Modifiche anonime Restore Fonte:: http://it.wikipedia.org/w/index.php?oldid=38440883 Autori:: Abisys, Comune mortale, EH101, 2 Modifiche anonime Risk Assessment Fonte:: http://it.wikipedia.org/w/index.php?oldid=43588706 Autori:: Ary29, Avesan, Dinwath, Pastore Italy, S2812911, Trikke, Zuzu macumba, 4 Modifiche anonime S/KEY Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496114 Autori:: Avesan, Calabash, Meirut, 8 Modifiche anonime SANS Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496121 Autori:: Avesan, Mess, Riccardov, Tizianol, 2 Modifiche anonime Security descriptor Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496145 Autori:: Avesan, EH101, Marcuscalabresus, No2, Rede23, Rojelio, Simo ubuntu, Stefano Nesti, 3 Modifiche anonime Security Management Fonte:: http://it.wikipedia.org/w/index.php?oldid=41645490 Autori:: Basilero, Eumolpo, LucaG83, Remulazz, Stonehead, 6 Modifiche anonime Security Operation Center Fonte:: http://it.wikipedia.org/w/index.php?oldid=45699710 Autori:: Avesan, Blackberry, Caig, Lusum, Ninja Forever, Pontiniaweb, 12 Modifiche anonime Sicurezza tramite segretezza Fonte:: http://it.wikipedia.org/w/index.php?oldid=40572867 Autori:: Abisys, Ares, Avesan, CavalloRazzo, Hal8999, LapoLuchini, Leo72, Rael, Senpai, Sliwers, 2 Modifiche anonime Signature based intrusion detection system Fonte:: http://it.wikipedia.org/w/index.php?oldid=23023424 Autori:: Abisys, Avesan, Guignol, Hellis, 2 Modifiche anonime Single sign-on Fonte:: http://it.wikipedia.org/w/index.php?oldid=42222767 Autori:: Abisys, Arriano60, AttoRenato, Avesan, Cotton, Cruccone, Klaudio, Larry Yuma, Oplero, Outer root, Pfalcone, ReliableBeaver, Reny, Wikit2006, Ygriega, 7 Modifiche anonime Sistema di riconoscimento biometrico Fonte:: http://it.wikipedia.org/w/index.php?oldid=43789545 Autori:: Abisys, Annuale, Ary29, AttoRenato, Avesan, Basilero, Centrodiurnomilano, Cribegh, Formica rufa, Joebigwheel, Lunasv85, MarcoConsiglio, No2, Patafisik, Phantomas, Piero, Saint-Just, Stampasanti, 12 Modifiche anonime

233

Fonti e autori delle voci


Snort Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766392 Autori:: Abisys, Airon90, AttoRenato, Avesan, Cecco13, Daniele Forsi, Daniloviz, Dr Zimbu, Fale, Freepenguin, Frieda, Massimiliano Lincetto, Moongateclimber, Pietrodn, Saro-bs, 12 Modifiche anonime Social Network Poisoning Fonte:: http://it.wikipedia.org/w/index.php?oldid=44534131 Autori:: Bonasia Calogero, Marco Plassio, Paganinip, Sanremofilo, 17 Modifiche anonime Spam Fonte:: http://it.wikipedia.org/w/index.php?oldid=45836652 Autori:: .anaconda, .jhc., 213.21.175.xxx, Abisys, Alessio, Alessio Ganci, Alkalin, Amux, Ansgarius, ArmandoEdera, Ary29, Avesan, Beard, Beta16, Biopresto, Bohtont, Bravi Massimiliano, Buggia, Calabash, Caulfield, Cerume, ColdShine, Cruccone, Cyberuly, DarkAp89, DarkBeam, Davide.mula, Dedda71, Dome, Elbloggers, Eth000, F l a n k e r, F. Cosoleto, Frieda, Gabriel24, Gac, Gacio, Giancarlodessi, Guidomac, Hauteville, Hellis, Ieio78, Ignlig, IlSignoreDeiPC, Iron Bishop, KS, Kahless, Kibira, Kill off, Kronos, Laurentius, Lbreda, Lilja, Limonadis, Lisergia, Looka, Loroli, LucAndrea, LucaLuca, LuigiPetrella, Luisa, M7, Magnum87, MaiDireChiara, Marchack, Marcok, Marcol-it, MatriX, Maurice Carbonaro, Max98, Melos, Midnight bird, Minucc, Mizardellorsa, Moongateclimber, Nicoli, Ninja, No2, Pablomoroe, Paginazero, Pallanzese, Paul Gascoigne, Phantomas, Piero Montesacro, Pierosuper, Pracchia-78, Rachele.zanchetta, Rael, Rollopack, Salvatore Ingala, Sbisolo, Segnali dallo spazio, Senpai, Shanpu, Shivanarayana, Sid-Vicious, Snowdog, Sparko, Square87, Supernino, Taueres, Ticket 2010081310004741, Ticket OTRS 2011102410007641, Tomfox, Tommaso Ferrara, Torredibabele, Trixt, Twice25, Ulisse0, Umal, Unriccio, Veneziano, VincenzoX, Vipera, Vituzzu, Wolf, Yoruno, 170 Modifiche anonime Spim Fonte:: http://it.wikipedia.org/w/index.php?oldid=42375469 Autori:: Ariel, Comune mortale, Continua Evoluzione, Neustradamus, No2, RanZag, Sesquipedale, Ticket 2010081310004741, 32 Modifiche anonime Stamping Authority Fonte:: http://it.wikipedia.org/w/index.php?oldid=38387757 Autori:: Basilero, DnaX, Martaericaarosio, Sanremofilo, Soccerboy Standard di sicurezza informatica Fonte:: http://it.wikipedia.org/w/index.php?oldid=45900292 Autori:: Avesan, Bultro, Claudio Pace, Condor33, Dirtydozen, FCom T 65, Hellis, Javier80, Maurizio.Cattaneo, Mcicogni, Pask666, Phantomas, Pil56, Senpai, Superchilum, Tirinto, 8 Modifiche anonime Steganografia Fonte:: http://it.wikipedia.org/w/index.php?oldid=44936325 Autori:: .jhc., .snoopy., 213-156-56-135.fastres.net, A7N8X, Abisys, Agnellino, Avesan, Barbaking, Blackvisionit, Claudio1234567, GiacomoV, Guidomac, Guignol, Hrundi V. Bakshi, Ivo Avido, Jacopo, Jalo, LapoLuchini, Lele giannoni, Leo72, Lilja, Lox, Luckyz, Mamo139, Marcok, Maxx1972, Patafisik, PersOnLine, Piergiorgio Massari, Piero, Powerlife, Qualc1, Roneda, Sbisolo, Senza nome.txt, Shivanarayana, Snowdog, TierrayLibertad, Tio Sam, Truman Burbank, Twice25, Vanni, ZipoBibrok5x10^8, 49 Modifiche anonime Strong authentication Fonte:: http://it.wikipedia.org/w/index.php?oldid=40126131 Autori:: Abisys, Andreabesio, Arriano60, Avesan, B3t, Besioandrea, Brownout, Cochrane, Fabexplosive, Kaus, Marcus89, Toutoune25, Yerul, 2 Modifiche anonime TACACS Fonte:: http://it.wikipedia.org/w/index.php?oldid=44461711 Autori:: Abisys, Avesan, Bultro, Buzz lightyear, Diego.demartin, Hellis, Mess, No2, ReliableBeaver, Vulkano Tecniche euristiche Fonte:: http://it.wikipedia.org/w/index.php?oldid=43731245 Autori:: Comune mortale, Eumolpo, Sanremofilo, Tommaso Ferrara, 2 Modifiche anonime Tiger team Fonte:: http://it.wikipedia.org/w/index.php?oldid=43834038 Autori:: Abisys, Avesan, Cristante Giulio, Eumolpo, Figiu, Gacio, Ignlig, Jacopo, PersOnLine, Simoz, Spirit, Svello89, 67 Modifiche anonime Time Machine (software) Fonte:: http://it.wikipedia.org/w/index.php?oldid=44559204 Autori:: .anaconda, Abisys, Ary29, Avesan, G84, Generale Lee, Gerlos, Hellis, Marcok, Pietrodn, Pracchia-78, 16 Modifiche anonime Token (sicurezza) Fonte:: http://it.wikipedia.org/w/index.php?oldid=42660207 Autori:: Abisys, Arriano60, Avesan, Ianezz, Marcuscalabresus, Rollopack, 4 Modifiche anonime Tolleranza ai guasti Fonte:: http://it.wikipedia.org/w/index.php?oldid=41635822 Autori:: Abisys, Avesan, BMF81, Colom, ErBabbuino, Frieda, Giratinatorterra, Hellis, Ilario, Kibira, Larry Yuma, Lucasasdelli, Maurizio.Cattaneo, Piddu, Pipep, Pppgiuliappp, Restu20, 4 Modifiche anonime Tor (software di anonimato) Fonte:: http://it.wikipedia.org/w/index.php?oldid=44766264 Autori:: .jhc., Abisys, Amarvudol, Avesan, Barbaking, Blaumeer, Came88, Continua Evoluzione, Danpro, Elbloggers, Elitre, Fale, Giancarlo Rossi, Iron Bishop, Jacopo, Leo72, Mac'ero, Marc-Andr Abrock, Maskx, Mastrob88, Pap3rinik, Phantomas, Pietrodn, RobertoITA, Rollopack, Salvatore Ingala, Senpai, Ticket OTRS 2011102410007641, Tomchen1989, Trek00, Vituzzu, WaterPhoenix, 63 Modifiche anonime Triple Modular Redundancy Fonte:: http://it.wikipedia.org/w/index.php?oldid=43098598 Autori:: Abisys, Ary29, Jaqen, No2, Sbisolo, 10 Modifiche anonime TruPrevent Technologies Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496201 Autori:: Avesan, Gliu, Marcuscalabresus, Stefano Nesti Trusted computing Fonte:: http://it.wikipedia.org/w/index.php?oldid=45596121 Autori:: %Pier%, Abisys, Aka-Red, AltraStoria, AmonSl, Ary29, Austroungarika, Avesan, Blackcat, Broc, Castagna, Ciovo, Civv, Cruccone, Dbiagioli, Diego Petrucci, Djechelon, Domenico De Felice, Dommac, Drugonot, Dudo, Eriassa, Faboski, Fdigiuseppe, Felyx, Giacomo Ritucci, Gvf, Hce, Hellis, IlPisano, Jacopo, Jajo, Jalo, Joevinegar, KrovatarGERO, Leonardoprosperi, Lilja, LoStrangolatore, Lohe, LtWorf, Luckyz, MaXeR, Marcok, Marcuscalabresus, Marzian, Moroboshi, Nemo bis, No2, Ominolore, Phantomas, Piero, Reddstain, Riccardov, Salvatore Ingala, Snowdog, Ssspera, Tommaso Ferrara, Valepert, 94 Modifiche anonime Trusted Platform Module Fonte:: http://it.wikipedia.org/w/index.php?oldid=41348630 Autori:: Abisys, Aka-Red, Antilope, Dbiagioli, Eumolpo, Hellis, IlPisano, Larry Yuma, Mickey83, Phantomas, RanZag, Sergiojoshua, Slim8shady9, Smallpox, SuperSecret, 10 Modifiche anonime Trusted Software Stack Fonte:: http://it.wikipedia.org/w/index.php?oldid=41506351 Autori:: Abisys, Aka-Red, Ary29, Dbiagioli, IlPisano, Mickey83, No2, Olando Vulnerability Assessment and Mitigation Fonte:: http://it.wikipedia.org/w/index.php?oldid=35496210 Autori:: Abisys, AnjaManix, Ary29, Avesan, F l a n k e r, Guignol, Lafox, Sbisolo, 2 Modifiche anonime

234

Fonti, licenze e autori delle immagini

235

Fonti, licenze e autori delle immagini


Immagine:Wikisource-logo.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikisource-logo.svg Licenza: logo Autori:: Nicholas Moreau Immagine:Wikiquote-logo.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikiquote-logo.svg Licenza: Public Domain Autori:: -xfi-, Dbc334, Doodledoo, Elian, Guillom, Jeffq, Krinkle, Maderibeyza, Majorly, Nishkid64, RedCoat, Rei-artur, Rocket000, 11 Modifiche anonime Immagine:Commons-logo.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Commons-logo.svg Licenza: logo Autori:: SVG version was created by User:Grunt and cleaned up by 3247, based on the earlier PNG version, created by Reidab. Immagine:Wiktionary-ico-de.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wiktionary-ico-de.png Licenza: logo Autori:: Bobit, F l a n k e r, Melancholie, Mxn, Nodulation, Rocket000, Saibo Immagine:Auth ssh.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Auth_ssh.png Licenza: BSD Autori:: Original uploader was Pigr8 at it.wikipedia File:burned laptop secumem 16.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Burned_laptop_secumem_16.jpg Licenza: Creative Commons Attribution-Sharealike 3.0 Autori:: secumem File:Buffalo LinkStation Mini and a PP3 battery.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Buffalo_LinkStation_Mini_and_a_PP3_battery.jpg Licenza: Creative Commons Attribution-Sharealike 3.0 Autori:: Phobie File:Captcha voorbeeld.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Captcha_voorbeeld.jpg Licenza: Public Domain Autori:: Original uploader was GWirken at nl.wikipedia Image:CIE fronte sample.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:CIE_fronte_sample.jpg Licenza: Public Domain Autori:: User:Ultracold Image:CIE retro sample.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:CIE_retro_sample.jpg Licenza: Public Domain Autori:: User:Ultracold Immagine:CCleaner.PNG Fonte:: http://it.wikipedia.org/w/index.php?title=File:CCleaner.PNG Licenza: sconosciuto Autori:: (E = MC), EH101, Massic80 Immagine:Flag of Italy.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Flag_of_Italy.svg Licenza: Public Domain Autori:: see below File:PublicKeyCertificateDiagram It.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:PublicKeyCertificateDiagram_It.svg Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported Autori:: Giaros Immagine:Demilitarized Zone Diagram it.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Demilitarized_Zone_Diagram_it.png Licenza: Public Domain Autori:: Utente:Sassospicco, Benj File:Hash_function.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Hash_function.svg Licenza: Public Domain Autori:: Ggia, Helix84, Joanjoc, LyingB, Mdd, Nguyn Thanh Quang, 3 Modifiche anonime File:Jingjing.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Jingjing.jpg Licenza: sconosciuto Autori:: Utente:Nicola Romani File:Chacha.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Chacha.jpg Licenza: sconosciuto Autori:: Utente:Nicola Romani Immagine:Logon linux.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logon_linux.jpg Licenza: sconosciuto Autori:: Pigr8, 1 Modifiche anonime Immagine:Logon testo.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logon_testo.png Licenza: BSD Autori:: Original uploader was Pigr8 at it.wikipedia Immagine:NGSCB-diagram.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:NGSCB-diagram.png Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported Autori:: Daniel Ghler Immagine:Wikibooks-logo.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Wikibooks-logo.svg Licenza: logo Autori:: User:Bastique, User:Ramac et al. File:spammed-mail-folder.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Spammed-mail-folder.png Licenza: GNU General Public License Autori:: Ascnder, Bawolff, KAMiKAZOW, LordT, RJaguar3, 11 Modifiche anonime File:Spam with cans.jpeg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Spam_with_cans.jpeg Licenza: Creative Commons Attribution-ShareAlike 3.0 Unported Autori:: w:User:TheMuujMatthew W. Jackson File:Netspam.gif Fonte:: http://it.wikipedia.org/w/index.php?title=File:Netspam.gif Licenza: Public Domain Autori:: N.Manytchkine File:Primer libro de steganografia.JPG Fonte:: http://it.wikipedia.org/w/index.php?title=File:Primer_libro_de_steganografia.JPG Licenza: GNU Free Documentation License Autori:: ribagorda garnacho Immagine:Timemachine.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Timemachine.jpg Licenza: sconosciuto Autori:: Hellis Immagine:RSA-SecurID-Tokens.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:RSA-SecurID-Tokens.jpg Licenza: Creative Commons Attribution-ShareAlike 1.0 Generic Autori:: User:Mateusza Immagine:Token_Verisign.JPG Fonte:: http://it.wikipedia.org/w/index.php?title=File:Token_Verisign.JPG Licenza: GNU Free Documentation License Autori:: Rollopack Immagine:Tor logo0.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Tor_logo0.png Licenza: Creative Commons Attribution 3.0 Autori:: Tor Project Immagine:Logo tcg.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Logo_tcg.jpg Licenza: sconosciuto Autori:: Aka-Red Immagine:Nuvola mimetypes file locked.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Nuvola_mimetypes_file_locked.png Licenza: GNU Lesser General Public License Autori:: Abu badali, Alno, Alphax Immagine:Crystal Clear app key bindings.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Crystal_Clear_app_key_bindings.png Licenza: GNU Free Documentation License Autori:: CyberSkull, Rocket000, Ysangkok Immagine:Crystal Clear app hardware.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Crystal_Clear_app_hardware.png Licenza: GNU Free Documentation License Autori:: CyberSkull, Kazukiokumura, Ysangkok Immagine:Vista-hd.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Vista-hd.png Licenza: GNU General Public License Autori:: Abu badali, CyberSkull, Sasa Stefanovic Immagine:Contact-new.svg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Contact-new.svg Licenza: sconosciuto Autori:: The people from the Tango! project Immagine:PhishingTrustedBank.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:PhishingTrustedBank.png Licenza: Public Domain Autori:: Andrew Levine Immagine:Biometric DAB.jpg Fonte:: http://it.wikipedia.org/w/index.php?title=File:Biometric_DAB.jpg Licenza: GNU General Public License Autori:: Alno, Chris 73, Feth, 1 Modifiche anonime file:Fotogramma video TC.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Fotogramma_video_TC.png Licenza: sconosciuto Autori:: Valepert Immagine:Kde34screenshot.png Fonte:: http://it.wikipedia.org/w/index.php?title=File:Kde34screenshot.png Licenza: GNU General Public License Autori:: AVRS, KAMiKAZOW, Kocio, Mardus, Raphael Frey, Red devil 666, Speck-Made, Zantastik, 1 Modifiche anonime

Licenza

236

Licenza
Creative Commons Attribution-Share Alike 3.0 Unported //creativecommons.org/licenses/by-sa/3.0/