Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Sicurezza dei Sistemi Informatici: Affidabilità, Integrità, Riservatezza e Autenticazione, Appunti di Elementi di Informatica

sicurezza informatica, definizione, ruoli, regole, storia e il suo sviluppo

Tipologia: Appunti

2019/2020

Caricato il 10/03/2020

rosapialorusso
rosapialorusso 🇮🇹

4 documenti

1 / 7

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
La sicurezza di
un sistema informatico
-Per sicurezza di un sistema informatico si intende la
salvaguardia dei seguenti aspetti fondamentali:
• affidabilità
• integrità
• riservatezza
• autenticità
• non ripudio
-Affidabilità dei dati
e’ la proprietà che devono possedere i dati per essere sempre accessibili o disponibili agli utenti autorizzati.
Esempi di violazione di affidabilità sono:
Mancanza di fornitura elettrica;
Rottura di un componente hardware;
-Integrità dei dati
E’ la protezione dei dati realizzata in modo da evitare la loro corruzione. In particolare, nella trasmissione, i dati
devono arrivare così come trasmessi, mentre nella memorizzazione, i dati devono coincidere in ogni istante con
quelli memorizzati originariamente. Si dice che
l’integrità riguarda la protezione da modifiche non autorizzate.
Esempi di violazione di integrità sono:
cancellazione non autorizzata di un file;
modifica non autorizzata di un file
-Riservatezza
E’ la protezione dei dati realizzata in modo che essi siano accessibili “in lettura” solo dai legittimi destinatati. Si
dice che la riservatezza riguarda la protezione da letture non
autorizzate.
Esempi di violazione della riservatezza sono:
intercettazione di dati durante la loro trasmissione;
accesso non autorizzato dei dati memorizzati su un
server.
-Autenticazione o autenticità
E’ la protezione sulla certezza della sorgente, della destinazione e del contenuto del messaggio.
Un esempio di violazione è:
• la spedizione di un’e-mail da parte di un pirata informatico che si maschera facendo credere che il mittente
dell’e-mail sia una persona conosciuta al destinatario.
-Non ripudio
E’ la protezione sulla certezza che chi trasmette (non ripudio del mittente) e chi riceve (non ripudio del
destinatario) non possano negare di aver rispettivamente inviato e ricevuto i dati.
Esempi di non ripudio presi dalla vita di tutti i giorni in situazioni analoghe a quelle informatiche sono:
• in una raccomandata con ricevuta di ritorno il sistema postale garantisce il non ripudio da parte del
destinatario, in quanto quest’ultimo deve firmare di persona la ricevuta di ritorno (è
garanzia pertanto anche la sua autenticità);
• con l’autenticazione della firma da parte di un pubblico ufficiale si garantisce, invece, il non ripudio del mittente
(oltre alla sua autenticità).
Esempi di violazione del non ripudio sono:
• carta intestata falsa;
• firma falsa;
• falsa e-mail.
pf3
pf4
pf5

Anteprima parziale del testo

Scarica Sicurezza dei Sistemi Informatici: Affidabilità, Integrità, Riservatezza e Autenticazione e più Appunti in PDF di Elementi di Informatica solo su Docsity!

La sicurezza di

un sistema informatico

-Per sicurezza di un sistema informatico si intende la salvaguardia dei seguenti aspetti fondamentali:

  • affidabilità
  • integrità
  • riservatezza
  • autenticità
  • non ripudio -Affidabilità dei dati e’ la proprietà che devono possedere i dati per essere sempre accessibili o disponibili agli utenti autorizzati. Esempi di violazione di affidabilità sono:
  • Mancanza di fornitura elettrica;
  • Rottura di un componente hardware; -Integrità dei dati E’ la protezione dei dati realizzata in modo da evitare la loro corruzione. In particolare, nella trasmissione, i dati devono arrivare così come trasmessi, mentre nella memorizzazione, i dati devono coincidere in ogni istante con quelli memorizzati originariamente. Si dice che l’integrità riguarda la protezione da modifiche non autorizzate. Esempi di violazione di integrità sono:
  • cancellazione non autorizzata di un file;
  • modifica non autorizzata di un file -Riservatezza E’ la protezione dei dati realizzata in modo che essi siano accessibili “in lettura” solo dai legittimi destinatati. Si dice che la riservatezza riguarda la protezione da letture non autorizzate. Esempi di violazione della riservatezza sono:
  • intercettazione di dati durante la loro trasmissione;
  • accesso non autorizzato dei dati memorizzati su un server. -Autenticazione o autenticità E’ la protezione sulla certezza della sorgente, della destinazione e del contenuto del messaggio. Un esempio di violazione è:
  • la spedizione di un’e-mail da parte di un pirata informatico che si maschera facendo credere che il mittente dell’e-mail sia una persona conosciuta al destinatario. -Non ripudio E’ la protezione sulla certezza che chi trasmette (non ripudio del mittente) e chi riceve (non ripudio del destinatario) non possano negare di aver rispettivamente inviato e ricevuto i dati. Esempi di non ripudio presi dalla vita di tutti i giorni in situazioni analoghe a quelle informatiche sono:
  • in una raccomandata con ricevuta di ritorno il sistema postale garantisce il non ripudio da parte del destinatario, in quanto quest’ultimo deve firmare di persona la ricevuta di ritorno (è garanzia pertanto anche la sua autenticità);
  • con l’autenticazione della firma da parte di un pubblico ufficiale si garantisce, invece, il non ripudio del mittente (oltre alla sua autenticità). Esempi di violazione del non ripudio sono:
  • carta intestata falsa;
  • firma falsa;
  • falsa e-mail.

-“Si definisce sicuro un sistema informatico in cui le informazioni contenute vengono garantite, attraverso sistemi e misure di sicurezza appositamente predisposti, contro il pericolo di violazioni dei precedenti aspetti sulla sicurezza”. -La sicurezza dei dati in rete In una qualsiasi rete di comunicazione ha sempre avuto grande importanza la sicurezza dei dati trasmessi, tra una sorgente di informazione e una destinazione, particolarmente, poi, quando è coinvolta la rete Internet. Tecnicamente è possibile per chiunque interporsi fisicamente tra l’origine del flusso dei dati e la loro destinazione per intercettare i singoli pacchetti di dati e ricostruire l’intera informazione trasmessa, potendo violare così quasi tutti gli aspetti fondamentali sulla sicurezza ovvero: riservatezza, affidabilità , autenticità e integrità. Ad esempio , è tecnicamente possibile:

  • Intercettare tutte le e-mail indirizzate a un particolare utente;
  • Intercettare i numeri di carta di credito. -Schematizzazione della trasmissione via Internet -Violazioni della sicurezza: attacchi ai sistemi informatici “Con il termine attacco , in ambito informatico, si intende qualsiasi agente accidentale o intenzionale finalizzato a sovvertire le misure di sicurezza di un sistema informatico. ” Un attacco è un qualsiasi “agente”;
  • Un agente attivo è un qualsiasi agente (umano o non umano) che può violare tutti gli aspetti relativi alla sicurezza.
  • Un agente passivo è un qualsiasi agente (umano o non umano) che può violare solo la riservatezza di un sistema informatico. -esempi
  • Un fulmine è un agente attivo che viola l’integrità e l’affidabilità dei dati.
  • Un pirata che “ascolta” in rete messaggi riservati è un agente passivo in quanto viola solo l’aspetto della riservatezza. Esempi di attacchi da parte di agenti attivi e umani sono:
  • Attentato a impianti informatici di pubblica utilità.
  • Falsificazione di documenti informatici.
  • Accesso abusivo a un sistema informatico o telematico.
  • Detenzione e diffusione abusiva di codici di accesso a sistemi informatici o telematici.
  • Diffusione di programmi idonei a danneggiare o interrompere il funzionamento di un sistema informatico.
  • Violazione di corrispondenza telematica, intercettazione di messaggi di posta elettronica.
  • Danneggiamento di sistemi informatici e telematici.
  • Frode informatica, cioè l’alterazione dell’integrità dei dati allo scopo di procurarsi un ingiusto profitto.
  • La sicurezza di un sistema informatico coincide con l’insieme di accorgimenti organizzativi e tecnici che debbono essere adottati per ridurre al minimo tutti i possibili attacchi da parte di un qualsiasi agente.” -Gli hacker e gli strumenti per violare la sicurezza.Coloro che commettono crimini informatici (intesi come violazione di norme giuridiche) vengono genericamente indicati come hacker, cracker, pirati informatici o criminali informatici , termini che spesso sono usati come sinonimi ma, che invece hanno una certa differenza nel significato. -Differenza fra hacker e cracker
  • L’hacker è qualcuno che si interessa di informatica: è il cracker che si serve di essa per fare danni o per commettere crimini.
  • L’ hacker non danneggerebbe mai un sistema, anzi, sono proprio quelli che si impegnano affinché tutto sia più sicuro. L’hacker è etico, ha una sua filosofia ed è orgoglioso di ciò che sa. Agisce a fin di bene, ma non è escluso che penetri nei sistemi altrui: egli infatti
  • Riservatezza e integrità dei dati -La protezione di un messaggio tra mittente e destinatario Un sistema di crittografia consiste nel codificare, cifrare o criptare i messaggi da trasmettere in una rete prima che essi siano spediti, e decodificare, decifrare o decriptare tali messaggi una volta arrivati a destinazione. I componenti di base per un buon sistema di crittografia sono:
  • Gli algoritmi;
  • Le chiavi di crittografia Esempi di crittografia esistono sin dall’antichità (ad es. il codice di Cesare) e sono stati da sempre utilizzati in ambito militare.
  • Un semplice sistema di crittografia: il codice di Cesare (del I° secolo a.C.) Le due componenti di base del sistema di crittografia chiamato codice di Cesare sono:
  • La chiave, che è un numero N compreso tra 1 e 25;
  • L’algoritmo , che consiste nella sostituzione di ciascuna lettera con l’N-esima successiva (in modo ciclico). Esempio: consideriamo N=3. avremo quindi che:
  • Alla lettera a corrisponde la lettera d ;
  • Alla lettera b corrisponde la lettera e ; E così via fino ad arrivare alla lettera z , alla quale corrisponde ciclicamente la lettera c. Si è considerata la lettera a come lettera successiva alla z (codice ciclico). Il codice di Cesare può venire facilmente forzato dopo pochi tentativi. Attualmente esistono due tecniche di crittografia che garantiscono una notevole efficacia e sicurezza e che sono largamente utilizzate in ambiente internet:
  • La crittografia a chiave privata o crittografia simmetrica;
  • La crittografia a chiave pubblica o crittografia asimmetrica. -Crittografia simmetrica (o a chiave privata o a chiave segreta) Nella crittografia simmetrica si utilizza una sola chiave, detta cifrario, sia per cifrare che per decifrare i messaggi. La chiave è conosciuta sia al mittente sia al destinatario, pertanto deve essere mantenuta segreta e condivisa. Usando una notazione matematica: “sia M il messaggio da trasmettere e C la chiave di cifratura; l’algoritmo di cifratura sulla chiave C è rappresentato dalla funzione Ec(). Allora applicando Ec() a M otteniamo Ec(M), che rappresenta il messaggio cifrato”. Solo chi conosce C può decifrare la funzione inversa che chiamiamo Ec-1() al messaggio cifrato. Pertanto: M →(cifratura) →Ec(M) →(spedizione su canale insicuro) →(decifratura) Ec-1(Ec(M)) = M -I limiti della crittografia simmetrica I limiti di questa tecnica di crittografia sono riassunti nella segretezza della chiave. Infatti, chi possiede la chiave di cifratura può sostituirsi facilmente al mittente del messaggio e chi possiede il cifrario può sostituirsi altrettanto facilmente al destinatario (per intercettare il messaggio). Si pensi a un ambiente come internet. Per decifrare il messaggio, il destinatario deve conoscere la chiave, e tale chiave deve essere comunicata attraverso un canale sicuro. Ma lo scopo della crittografia è proprio quello di creare un canale sicuro; non possiamo quindi permetterci di inviare la chiave attraverso un canale insicuro. Si ricorre a sistemi di crittografia a chiave asimmetrica -Crittografia asimmetrica (1) Nella crittografia asimmetrica (formulata per la prima volta da Diffie ed Hellmann nel 1976) esiste una coppia di chiavi asimmetriche : una diretta e una inversa , legate da una relazione matematica. In questo sistema di crittografia
  • è possibile utilizzare ciascuna chiave indifferentemente per cifrare oppure per decifrare;
  • la chiave utilizzata per cifrare un testo non può essere utilizzata per poi decifrarlo;
  • la conoscenza di una delle due chiavi non fornisce alcuna informazione sull’altra chiave. -Crittografia asimmetrica (2) Chiunque voglia trasmettere un messaggio deve munirsi della coppia di chiavi asimmetriche, utilizzando un programma per la loro generazione. Una delle chiavi deve essere resa pubblica , depositandola, ad esempio, su un registro di chiavi pubbliche su un server internet. Tale registro contiene quindi una sola chiave (detta appunto chiave pubblica ) della coppia di chiavi asimmetriche e non offre nessuna informazione che consenta di ricostruire l’altra chiave della coppia (detta quindi chiave privata ), che resta all’utente mittente del messaggio. Come funziona un acquisto on-line (1) Il successo del commercio elettronico è strettamente collegato alla possibilità di effettuare transazioni sicure sulla rete. Lo scenario di riferimento in un ambiente di commercio elettronico con sistema di pagamento on-line è quello in cui un acquirente, connesso a Internet da un PC remoto, accede a un negozio virtuale su un sito internet. Il gestore del negozio on-line, ricevuto l’ordine di acquisto, deve richiedere un’autorizzazione per procedere con il pagamento. Le parti coinvolte in una transazione commerciale in cui il pagamento avviene con carta di credito sono:
  • il titolare della carta ( acquirente );
  • chi vende il bene/servizio ( venditore );
  • l’ente finanziario cui il venditore si appoggia ( ente finanziario );
  • il gateway di pagamento, cioè il software che gestisce la transazione;
  • la società che ha emesso la carta di credito ( società emettitrice );
  • le Autority competenti al rilascio del certificato digitale.
  • Come funziona un acquisto on-line (2) un esempio Supponiamo che il signor Rossi stia acquistando dal sito www.zanichelli.it e debba utilizzare il sistema di pagamento on-line tramite carta di credito emessa dalla Società Z. Il sito in questione si appoggia all’ente finanziario Ente Y. Fase 1 Una volta che il signor Rossi ha deciso di pagare on-line un articolo dal sito www.zanichelli.it subentra il gateway di pagamento. Fase 2 Entra in collegamento “protetto”, utilizzando, ad es., il protocollo SSL, tra il sito www.zanichelli.it e l’ente finanziario Ente Y. Tale situazione viene comunicata al signor Rossi mostrando il certificato del sito dell’ente finanziario con il quale si sta collegando. Attraverso questo collegamento sicuro, il signor Rossi digita, oltre ai suoi dati personali, il suo numero di carta di credito che viene registrato dal server sicuro dell’Ente Y. Fase 3 L’ente Y inoltra la richiesta di autorizzazione al pagamento ai circuiti internazionali e in particolare alla società emettitrice della carta di credito Società Z. Fase 4 I circuiti internazionali comunicano all’Ente Y l’esito della richiesta. Fase 5 L’ente Y comunica tale esito, in tempo reale, sia al signor Rossi sia al venditore gestore del sito www.zanichelli.it. Fase 6 L’acquisto è concluso, ulteriore conferma viene comunicata via e-mail. -Come funziona un acquisto on-line -I cookie e la sicurezza I cookie sono piccoli file di testo che i web server creano e memorizzano sui computer dei visitatori per poterli identificare nelle visite successive. Sono stati ideati per uno scopo del tutto legittimo, ma è facile abusare per tenere sotto controllo le abitudini di navigazione di un utente. Questo piccolo pezzo d’informazione viene inviato da web server al browser quando questi si connette per la prima volta. In seguito, il browser rinvierà una copia del cookie al server all’inizio di ogni connessione. Ilserver usa solitamente i cookie per ricordare i dati dell’utente e per mantenere l’illusione di una sessione che abbracci più pagine. I cookie contengono:
  • Gli attributi di dominio : indicano al browser a quali tipi di server i cookie devono essere rimandati;
  • Gli attributi di campo : indicano al browser quali sono gli URL , all’interno di un dominio, ai quali i cookie devono essere rimandati. -Protezione tramite firewall

Le linee ISDN, permettono la trasmissione dei dati in forma digitale e garantiscono quindi una velocità maggiore di quella del modem analogico. Trasmissione in forma digitale significa che il segnale usato dal computer non viene modulato secondo una determinata onda sonora, come nel caso del modem, ma codificato e inviato lungo la linea come una lunga sequenza di zero e uno. Per poter sfruttare questa tecnologia di trasmissione è necessario dotarsi di un Terminal Adapter ISDN (talvolta chiamato impropriamente modem ISDN) e chiedere alla compagnia telefonica di trasformare la nostra normale linea telefonica analogica in linea ISDN (operazione realizzata installando una speciale 'borchia'). Con un collegamento ISDN si hanno a disposizione due linee telefoniche (due canali) su cui la voce o i dati posso viaggiare a 64 Kbps in entrambi i sensi, quindi si paga un canone doppio rispetto alla linea normale, ma è possibile essere collegati ad Internet e telefonare nello stesso tempo, oppure, se il Provider lo permette, essere collegati a Internet a 128 Kbps. La tecnologia ADSL è l'ultima arrivata e rappresenta una grande novità nel mondo delle connessioni ad Internet per i seguenti motivi:

  • si è sempre connessi alla Rete e non occorre dunque chiamare il Provider ad ogni connessione
  • potenzialmente ha una enorme velocità di connessione, e che di solito, per le utenze domestiche, arriva fino a 640 Kbps in ricezione e 128 Kbps in invio
  • come con l'ISDN, si può usare la linea telefonica mentre si è connessi ad Internet. Per poter usufruire di questa tecnologia di comunicazione è necessario dotarsi di Terminal Adapter ADSL e chiedere alla compagnia telefonica la trasformazione della propria linea normale in linea ADSL.