Pericoli

INTERNET Sicurezza & Privacy

INTERNET

Premessa Doverosa premessa .....

Premessa La sicurezza Informatica NON esiste !

INTERNET Cookie Spyware Trojan Ransom Phishing Spam I Pericoli

INTERNET Glossario:

INTERNET Cookie: Come fa il sito www.pincopallino.it a ricordarsi che ci sono già stato?

INTERNET Cookie: Il sito ha, con ogni probabilità, depositato sul nostro PC un cookie .
Il cookie è un file di testo che il sito scrive, spesso a nostra insaputa, nel PC. All’interno di questo file sono memorizzate alcune informazioni utili al sito per tracciarci.

INTERNET Cookie:
Quasi tutti i browser consentono di bloccare i cookie ma per usare certi siti è indispensabile lasciarli scaricare.
La parola cookie significa biscotto.

INTERNET Cookie:
Un cookie è composto da solo testo, non contiene codice che può essere eseguito.
Non è un virus , né uno spyware (software che spia i nostri movimenti su Internet) o peggio ancora un malware (dialer, rootkit, ecc..).

INTERNET Cookie, perchè?
La connessione tra il browser ed il server è di tipo stateless (senza stato).
Una connessione tra il browser ed il server funziona così. Il browser
Richiede la connessione al server
Manda la richiesta
Accetta la risposta
Termina la connessione

INTERNET Cookie perchè?:
Una volta terminata la connessione, il server non mantiene alcuna memoria della richiesta.
Il cookie serve per registrare dei dati importanti da mantenere tra una connessione e l’altra.

INTERNET Cookie perchè?:
Tutti i maggiori browser consentono di bloccare lo scaricamento dei cookie .
I progettisti di siti stanno, perciò, studiando altre tecniche per memorizzare i dati degli utenti.

INTERNET

INTERNET Cookie - Applicazioni e problemi sulla privacy Le applicazioni più comuni vanno dalla memorizzazione di informazioni sulle abilitazioni dell'utente alla tracciatura dei movimenti dell'utente stesso all'interno dei siti web che visita.

INTERNET Spyware: Uno spyware è un tipo di software che raccoglie informazioni riguardanti l'attività online di un utente (siti visitati, acquisti eseguiti in rete etc) senza il suo consenso, trasmettendole tramite Internet ad un'organizzazione che le utilizzerà per trarne profitto, solitamente attraverso l'invio di pubblicità mirata.

INTERNET Spyware: I programmi per la raccolta di dati che vengono installati con il consenso dell'utente (anche se spesso negando il consenso non viene installato il programma) non sono propriamente spyware, sempre che sia ben chiaro all'utente quali dati siano oggetto della raccolta ed a quali condizioni questa avvenga (purtroppo ciò avviene molto raramente).

INTERNET Spyware: In un senso più ampio, il termine spyware è spesso usato per definire un'ampia gamma di malware (software maligni) dalle funzioni più diverse, quali l'invio di pubblicità non richiesta (spam), la modifica della pagina iniziale o della lista dei Preferiti del browser, oppure attività illegali quali la redirezione su falsi siti di e-commerce (phishing) o l'installazione di dialer truffaldini per numeri a tariffazione speciale.

INTERNET Spyware: Gli spyware, a differenza dei virus e dei worm, non hanno la capacità di diffondersi autonomamente, quindi richiedono l'intervento dell'utente per essere installati. In questo senso sono dunque simili ai trojan. Uno spyware può essere installato sul computer di un ignaro utente sfruttando le consuete tecniche di social engineering.

INTERNET Spyware: Molti programmi offerti "gratuitamente" su Internet nascondono in realtà un malware di questo tipo: il software dunque non è gratuito, ma viene pagato attraverso un'invasione della privacy dell'utente, spesso inconsapevole. In alcuni casi, la stessa applicazione che promette di liberare dagli spyware ha in realtà installato spyware o è essa stessa uno spyware

INTERNET Spyware: Molti software sono diffusi dichiarando esplicitamente di contenere un componente che verrà utilizzato per tracciare le abitudini di navigazione dell'utente: in questo caso siamo in presenza non di uno spyware propriamente detto, ma di un programma rilasciato con licenza adware.

INTERNET Spyware: L'installazione può avvenire in maniera ancora più subdola, semplicemente visitando delle pagine Web disegnate per sfruttare vulnerabilità del browser che consentono l'esecuzione automatica di applicazioni non sicure.

INTERNET Spyware: In alcuni casi il meccanismo dei cookies può assumere connotazioni e scopi simili a quelli degli spyware, con efficacia limitata al sito Web che li usa.

INTERNET Spyware - Danni causati Gli spyware costituiscono innanzittutto una minaccia per la privacy dell'utente, in quanto carpiscono senza autorizzazione informazioni sul suo comportamento quando connesso ad Internet: tempo medio di navigazione, orari di connessione, siti Web visitati, se non dati più riservati come gli indirizzi e-mail e le password.

INTERNET Spyware - Danni causati Questi malware portano con sé anche delle conseguenze sul funzionamento del computer su cui sono installati. I danni vanno dall'utilizzo di banda della connessione ad Internet , con conseguente riduzione della velocità percepita dall'utente, all'occupazione di cicli di CPU e di spazio nella memoria RAM , fino all'instabilità o al blocco del sistema.

INTERNET Spyware - Strumenti di difesa L'arma migliore per difendersi dagli spyware è diffidare da qualsiasi software offerto gratuitamente su Internet: come detto l'inclusione in programmi molto scaricati è il mezzo più frequente di diffusione di questi malware.

INTERNET Spyware - Strumenti di difesa Evitare di visitare siti "sospetti", come quelli che offrono software pirata o crack è un'altra precauzione salutare, così come l'astenersi dal seguire i link contenuti nei messaggi di spam (posta indesiderata) ricevuti nella casella di posta elettronica.

INTERNET Spyware - Strumenti di difesa Mantenere sempre il proprio sistema operativo aggiornato con le patch rilasciate dal produttore può spesso prevenire l'installazione di spyware che sfruttino di vulnerabilità del sistema (va sottolineato, tuttavia, che sono si sono avuti esempi di spyware o malware in grado di sfruttare vulnerabilità per le quali il produttore non aveva ancora rilasciato una patch).

INTERNET Trojan: Un trojan o trojan horse (dall'inglese per Cavallo di Troia), è un tipo di malware.

INTERNET Trojan: Deve il suo nome al fatto che le sue funzionalità sono nascoste all'interno di un programma apparentemente utile; è dunque l'utente stesso che installando ed eseguendo un certo programma, inconsapevolmente, installa ed esegue anche il codice trojan nascosto.

INTERNET Trojan: L'attribuzione del termine "Cavallo di Troia" ad un programma o, comunque, ad un file eseguibile, è dovuta al fatto che esso nasconde il suo vero fine. È proprio il celare le sue reali "intenzioni" che lo rende un trojan.

INTERNET Trojan: In genere col termine Trojan ci si riferisce ai trojan ad accesso remoto (detti anche RAT dall'inglese Remote Administration Tool), composti generalmente da 2 file: il file server, che viene installato nella macchina vittima, ed un file client, usato dal pirata per inviare istruzioni che il server esegue.

INTERNET Trojan: In questo modo, come con il mitico stratagemma adottato da Ulisse, la vittima è indotta a far entrare il programma nella città, ossia, fuor di metafora, ad eseguire il programma.

INTERNET Trojan: Esistono anche alcuni software legali, come GoToMyPC, PCAnywhere o VNC con funzionalità simili ai trojan, ma che non sono dei cavalli di Troia poiché l'utente è consapevole della situazione.

INTERNET Trojan: I trojan non si diffondono autonomamente come i virus o i worm, quindi richiedono un intervento diretto dell'aggressore per far giungere l'eseguibile maligno alla vittima.

INTERNET Trojan: Spesso è la vittima stessa a ricercare e scaricare un trojan sul proprio computer, dato che i cracker amano inserire queste "trappole" ad esempio nei videogiochi piratati, che in genere sono molto richiesti.

INTERNET Trojan: Vengono in genere riconosciuti da un antivirus aggiornato come tutti i malware. Se il trojan in questione non è ancora stato scoperto dalle software house degli antivirus, è possibile che esso venga rilevato, con la scansione euristica, come probabile malware.

INTERNET Trojan: Un trojan può contenere qualsiasi tipo di istruzione maligna. Spesso i trojan sono usati come veicolo alternativo ai worm e ai virus per installare delle backdoor o dei keylogger sui sistemi bersaglio.

INTERNET Trojan: All'incirca negli anni successivi al 2001 o 2002 i trojan incomiciarono ad essere utilizzati sistematicamente per operazioni criminose; in particolare per inviare messaggi di spam e per rubare informazioni personali quali numeri di carte di credito e di altri documenti o anche solo indirizzi email.

INTERNET Trojan: I Trojan di nuova generazione hanno molteplici funzionalità, quali connessioni tramite IRC bot, formando appunto Botnet, e opzioni per nascondersi meglio nel sistema operativo, utilizzando tecniche simili ai Rootkit.

INTERNET Worm: Un worm (letteralmente "verme") è una particolare categoria di malware in grado di autoreplicarsi. È simile ad un virus, ma a differenza di questo non necessita di legarsi ad altri eseguibili per diffondersi.

INTERNET Worm - Modalità di diffusione Tipicamente un worm modifica il computer che infetta, in modo da venire eseguito ogni volta che si avvia la macchina e rimanere attivo finché non si spegne il computer o non si arresta il processo corrispondente. Il worm tenta di replicarsi sfruttando Internet in diverse maniere: spesso i mezzi di diffusione sono più di uno per uno stesso worm.

INTERNET Worm - Modalità di diffusione Il mezzo più comune impiegato dai worm per diffondersi è la posta elettronica: il programma malizioso ricerca indirizzi e-mail memorizzati nel computer ospite ed invia una copia di sé stesso come file allegato (attachment) a tutti o parte degli indirizzi che è riuscito a raccogliere.

INTERNET Worm - Modalità di diffusione La tipologia forse più subdola di worm sfrutta dei bug di alcuni software o sistemi operativi, in modo da diffondersi automaticamente a tutti i computer vulnerabili connessi in rete.

INTERNET Ransom “ Riscatto”: tipo di malware che chiede un riscatto all'utente per essere rimosso dal pc.

INTERNET Spam Lo spamming (detto anche fare spam) è l'invio di grandi quantità di messaggi indesiderati (generalmente commerciali). Può essere messo in atto attraverso qualunque media, ma il più usato è Internet, attraverso l'e-mail..

INTERNET

INTERNET Spam - Origine del termine Il termine trae origine da uno sketch comico del Monty Python's Flying Circus ambientato in un locale nel quale ogni pietanza proposta dalla cameriera era a base di Spam (un tipo di carne in scatola).

INTERNET Spam - Origine del termine Man mano che lo sketch avanza, l'insistenza della cameriera nel proporre piatti con "spam" ("uova e spam, uova pancetta e spam, salsicce e spam" e così via) si contrappone alla riluttanza del cliente per questo alimento, il tutto in un crescendo di un coro inneggiante allo "spam" da parte di alcuni Vichinghi seduti nel locale.

INTERNET Spam - Scopi Il principale scopo dello spamming è la pubblicità, il cui oggetto può andare dalle più comuni offerte commerciali a proposte di vendita di materiale pornografico o illegale, come software pirata e farmaci senza prescrizione medica, da discutibili progetti finanziari a veri e propri tentativi di truffa.

INTERNET Spam - Scopi Uno spammer, cioè l'individuo autore dei messaggi spam, invia messaggi identici (o con qualche personalizzazione) a migliaia di indirizzi e-mail.

INTERNET Spam - Scopi Questi indirizzi sono spesso raccolti in maniera automatica dalla rete (articoli di Usenet, pagine web) attraverso apposti programmi, ottenuti da database o semplicemente indovinati usando liste di nomi comuni.

INTERNET Spamming attraverso E-Mail I più grandi ISP come America OnLine riferiscono che una quantità che varia da un terzo a due terzi della capacità dei loro server di posta elettronica viene consumata dallo spam.

INTERNET Spam:
È illegale (negli USA e in Australia)
È un costo per ISP e utenti finali
Genera traffico di rete e quindi degrado delle prestazioni
Non solo e-mail, ma blog, forum, usenet, ecc..

INTERNET Spam – Come proteggersi
Denunciare ( [email_address] )
Evitate di rispondere
Leggere la posta attraverso un webmail
Dotarsi di strumenti anti-spam (filtri)
Evitare siti “strani” e non lasciare l'indirizzo

INTERNET Spam – Bug e Javascript Molti programmi di posta incorporano le funzionalità di un Web browser come la visualizzazione di codice HTML e immagini. Questa caratteristica può facilmente esporre l'utente a immagini offensive o pornografiche contenute nelle e-mail di spam.

INTERNET Spam – Bug e Javascript Ma ancor peggio possono essere eseguiti codici magligni che potrebbero installare nel sistema trojan o altri malware. Quindi »»» SPAM »» come veicolo per i malware

INTERNET Phishing In ambito informatico il phishing è una attività truffaldina che sfrutta una tecnica di ingegneria sociale, ed è utilizzata per ottenere l'accesso a informazioni personali o riservate con la finalità del furto di identità mediante l'utilizzo delle comunicazioni elettroniche, soprattutto messaggi di posta elettronica fasulli o messaggi istantanei, ma anche contatti telefonici..

INTERNET

INTERNET Phishing Grazie a questi messaggi, l'utente è ingannato e portato a rivelare dati personali, come numero di conto corrente, numero di carta di credito, codici di identificazione, ecc.

INTERNET

Phishing - Metodologia di attacco Il processo standard delle metodologie di attacco di phishing può riassumersi nelle seguenti fasi: 1. l'utente malintenzionato (phisher) spedisce al malcapitato ed ignaro utente un messaggio e-mail che simula, nella grafica e nel contenuto, quello di una istituzione nota al destinatario (per esempio la sua banca, il suo provider web, un sito di aste online a cui è iscritto).dal phisher e quindi finiscono nelle mani del malintenzionato.

Phishing - Metodologia di attacco 2. l'e-mail contiene quasi sempre avvisi di particolari situazioni o problemi verificatesi con il proprio conto corrente/account (ad esempio un addebito enorme, la scadenza dell'account ecc.).

Phishing - Metodologia di attacco 3. l'e-mail invita il destinatario a seguire un link, presente nel messaggio, per evitare l'addebito e/o per regolarizzare la sua posizione con l'ente o la società di cui il messaggio simula la grafica e l'impostazione.

Phishing - Metodologia di attacco 4. il link fornito, tuttavia, non porta in realtà al sito web ufficiale, ma ad una copia fittizia apparentemente simile al sito ufficiale, situata su un server controllato dal phisher, allo scopo di richiedere ed ottenere dal destinatario dati personali particolari, normalmente con la scusa di una conferma o la necessità di effettuare una autenticazione al sistema; queste informazioni vengono memorizzate dal server gestito dal phisher e quindi finiscono nelle mani del malintenzionato.

Phishing - Metodologia di attacco 5. il phisher utilizza questi dati per acquistare beni, trasferire somme di denaro o anche solo come "ponte" per ulteriori attacchi.

Phishing :: Difesa Una preoccupazione frequente degli utenti che subiscono il phishing è capire come ha fatto il perpetratore a sapere che hanno un conto presso la banca o servizio online indicato nel messaggio-esca.

Phishing :: Difesa In realtà, normalmente il phisher non sa se la sua vittima ha un account presso il servizio preso di mira dalla sua azione: si limita ad inviare lo stesso messaggio-esca a un numero molto elevato di indirizzi di e-mail, facendo spamming, nella speranza di raggiungere per caso qualche utente che ha effettivamente un account presso il servizio citato.

Phishing :: Difesa Pertanto non è necessaria alcuna azione difensiva a parte il riconoscimento e la cancellazione dell'e-mail che contiene il tentativo di phishing.

Phishing :: Difesa Esistono programmi specifici come la barra anti-phishing di Netcraft e anche liste nere (blacklist), che consentono di avvisare l'utente quando visita un sito probabilmente non autentico.

Phishing :: Difesa Gli utenti di Microsoft Outlook / Outlook Express possono proteggersi anche attraverso il programma gratuito Delphish, un toolbar inserito nel MS Outlook / MS Outlook Express con il quale si può trovare i link sospetti in un'e-mail.

Come Difendersi Sistemi sicuri per lo scambio di dati (SSL, Crittocrafia, firma digitale, ecc..) Navigazione anonima (TOR, Privoxy, DNS, free Proxy, ecc..) Email sicure: PEC

La posta elettronica La E-Mail (abbreviazione di Electronic Mail, in italiano: posta elettronica) è un servizio internet grazie al quale ogni utente può inviare o ricevere dei messaggi.

La posta elettronica È l'applicazione Internet più conosciuta e più utilizzata attualmente. La sua nascita risale al 1972, quando Ray Tomlinson installò su ARPANET un sistema in grado di scambiare messaggi fra le varie università.

La posta elettronica È la controparte digitale ed elettronica della posta ordinaria e cartacea. A differenza di quest'ultima, il ritardo con cui arriva dal mittente al destinatario è normalmente di pochi secondi/minuti.

EMAIL :: Modello di servizio Lo scopo del servizio di e-mail è il trasferimento di messaggi da un utente ad un altro. Ciascun utente può possedere una o più caselle e-mail, sulla quale può ricevere messaggi, che vengono conservati per lui. Quando lo desidera, l'utente può consultare il contenuto della sua casella, organizzarlo, inviare messaggi a uno o più altri utenti.

EMAIL :: Modello di servizio L'accesso alla casella di posta elettronica è normalmente controllato da una password o da altre forme di autenticazione. La modalità di accesso al servizio è quindi asincrona, ovvero per la trasmissione di un messaggio non è necessario che mittente e destinatario siano contemporaneamente attivi o collegati.

EMAIL :: Modello di servizio La consegna al destinatario dei messaggi inviata non è garantita. Nel caso un server SMTP non riesca a consegnare un messaggio che ha ricevuto, tenta normalmente di inviare una notifica al mittente per avvisarlo della mancata consegna, ma anche questa notifica è a sua volta un messaggio di e-mail (generato automaticamente dal server), e quindi la sua consegna non è garantita.

EMAIL :: Modello di servizio Il mittente può anche richiedere una conferma di consegna o di lettura dei messaggi inviati, ma il destinatario è normalmente in grado di decidere se vuole inviare o meno tale conferma. Il significato della conferma di lettura può essere ambiguo, in quanto aver visualizzato un messaggio per pochi secondi in un client non significa averlo letto, compreso o averne condiviso il contenuto.

Indirizzi email A ciascuna casella sono associati uno o più indirizzi di e-mail. Questi hanno la forma nomeutente@dominio, dove nomeutente è un nome scelto dall'utente o dall'amministratore del server, che identifica in maniera univoca un utente (o un gruppo di utenti), e dominio è un nome DNS.

Indirizzi email L'indirizzo e-mail può contenere qualsiasi carattere alfabetico e numerico (escluse le accentate) e alcuni simboli come l'underscore (_) e il punto (.).

Modalità di funzionamento del servizio I componenti fondamentali del sistema di e-mail sono i client (detti in gergo MUA, Mail User Agent), utilizzati per accedere ad una casella di posta elettronica e per inviare messaggi, e i server, che svolgono due funzioni fondamentali:
immagazzinare i messaggi per uno o più utenti (detti in gergo MS, Message Store)
ricevere i messaggi in arrivo ed in partenza e smistarli (detti in gergo MTA, Mail Transfer Agent).

Modalità di funzionamento del servizio

Modalità di funzionamento del servizio I protocolli tipicamente impiegati per lo scambio di email sono l'SMTP, usato per l'invio, la ricezione e l'inoltro dei messaggi tra server, e POP e IMAP, usati per la ricezione e consultazione dei messaggi da parte degli utenti.

Modalità di funzionamento del servizio I client richiedono la configurazione dei server da contattare, e sono quindi adatti principalmente a computer usati regolarmente. È anche molto diffusa la possibilità di consultare una casella e-mail attraverso il web.

Modalità di funzionamento del servizio In Italia esistono numerosi siti che offrono gratuitamente uno o più indirizzi e-mail. Questi offrono sempre un accesso alla e-mail tramite web, e talvolta solo quello.

Modalità di funzionamento del servizio Numerosi servizi e-mail offrono capacità crescenti per gli allegati e l'intero archivio della posta elettronica. Per l'archivio Google e Yahoo offrono 1 gigabyte, 10 Gigs 10 gigabyte e Mailnation 1000 gigabyte (1 terabyte).

Modalità di funzionamento del servizio Google e Yahoo non consentono di inviare allegati di dimensione complessiva maggiore di 10 megabyte; esistono servizi gratuiti, senza archivio delle e-mail, come [1], per l'invio di allegati fino a 100 mega, e a pagamento per file più pesanti.

Modalità di funzionamento del servizio Inaffidabilità del protocollo IP »» rischio di perdita delle email? Soluzioni?

PEC Ovvero Posta Elettronica Certificata

PEC Il principale vantaggio dell'e-mail è l'immediatezza.

PEC Il principale svantaggio dell'e-mail è l'inaffidabilità.

PEC Che cosa è la Posta Elettronica Certificata (PEC)?

PEC? La Posta Elettronica Certificata (PEC) corrisponde alla posta elettronica convenzionale (e-mail) con l'aggiunta di alcuni accorgimenti che la rendono assimilabile ad una normale raccomandata con avviso di ricevimento in modo da acquisire valore legale e mantenere la consueta facilità di utilizzo.

PEC? Con questo approccio viene fornito al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici.

PEC? "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell'avvenuta spedizione del messaggio e dell'eventuale allegata documentazione.

PEC? Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale.

PEC? Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte venga conservata per un periodo di tempo definito a cura dei gestori, con lo stesso valore giuridico delle ricevute risposta. I messaggi possono includere testo, immagini, audio, video o qualsiasi tipo di file.

PEC? Chi può usufruire della PEC?

PEC? Sia i privati cittadini e le aziende che le pubbliche amministrazioni.

PEC La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica nel quale è fornita al mittente documentazione elettronica, con valenza legale, attestante l'invio e la consegna di documenti informatici.

PEC "Certificare" l'invio e la ricezione - i due momenti fondamentali nella trasmissione dei documenti informatici - significa fornire al mittente, dal proprio gestore di posta, una ricevuta che costituisce prova legale dell’avvenuta spedizione del messaggio e dell’eventuale allegata documentazione.

PEC Allo stesso modo, quando il messaggio perviene al destinatario, il gestore invia al mittente la ricevuta di avvenuta (o mancata) consegna con precisa indicazione temporale. Nel caso in cui il mittente smarrisca le ricevute, la traccia informatica delle operazioni svolte, conservata per legge per un periodo di 30 mesi, consente la riproduzione, con lo stesso valore giuridico, delle ricevute stesse.

PEC DPR 11 FEBBRAIO 2005 CHE DISCIPLINA L'UTILIZZO DELLA PEC

Email: Crittocrafia La crittografia è l'arte di progettare algoritmi (o cifrari) per crittografare un messaggio rendendolo incomprensibile a tutti tranne al suo destinatario che con un algoritmo simile deve essere in grado di codificarlo, attraverso un parametro segreto detto chiave, usato in precedenza anche dal mittente per la cifratura.

Email: Crittocrafia Crittografia ::: Metodologia per rendere il messagio “offuscato”

Email: Crittocrafia Nel giugno 1991 lo statunitense Philip Zimmermann realizza e distribuisce gratuitamente il programma PRETTY GOOD PRIVACY (PGP), un programma di crittografia diventato ormai uno standard.

Email: Crittocrafia Questo permette di mantenere la privacy e la sicurezza dei propri dati personali in formato elettronico.

Email: Crittocrafia Per la realizzazione di PGP, Zimmermann viene citato in tribunale dalla RSA Data Security Inc. per violazione del brevetto sull'algoritmo RSA, e accusato dal governo degli Stati Uniti di esportazione illegale di strumenti crittografici.

Email: Crittocrafia Entrambe le cause finiscono nel nulla. L'accusa di esportazione illegale viene ritirata nel 1996, mentre la controversia con RSA verrà mediata da una successiva collaborazione tra le due parti.

Email: Crittocrafia Il software in questione non fa altro che implementare un sistema di crittografia misto con tre algoritmi:

Email: Crittocrafia
il sistema a chiavi pubbliche RSA
quello a chiavi private IDEA
l'algoritmo di hashing MD5

Email: Crittocrafia È distribuito gratuitamente per uso personale e può essere scaricato dal sito PGP, oppure dai cd-rom allegati nelle riviste del settore.

Email: Crittocrafia La sicurezza di un sistema di crittografia risiede solo ed esclusivamente nella segretezza della chiave e non dell'algoritmo che è opportuno far conoscere alla pubblica analisi, in modo che se ne possano scoprire eventuali punti deboli (bug) in tempo.

Email: Crittocrafia Funzionamento generale

Email: Crittocrafia Un algoritmo di crittografia riceve un testo da codificare (detto testo in chiaro) e lo trasforma, attraverso la chiave, in un testo cifrato apparentemente incomprensibile.

Email: Crittocrafia I passaggi di cifratura e decifratura del testo vengono solitamente indicati in questo modo: cifratura: M = Ck(Mc) decifratura: Dk(Ck(M)) = M

Email: Crittocrafia dove M è il messaggio da cifrare, C è l'algoritmo di codifica, D quello di decodifica e k il parametro per i due algoritmi (chiave).

Email: Crittocrafia I metodi di crittografia di questo tipo che utilizzano la stessa chiave per la codifica e la decodifica sono detti metodi a chiave segreta . Altri metodi che utilizzano due chiavi diverse per la codifica e la decodifica vengono detti a chiave pubblica.

Email: Crittocrafia La lunghezza della chiave utilizzata è uno dei fattori più importanti per la segretezza del testo, evita infatti che possa essere decifrato per tentativi (brute force)

Email: Crittocrafia Provare tutte le possibili combinazioni di caratteri che potrebbero formare una chiave è un problema che gli analisti definiscono a complessità computazionale esponenziale

Email: Crittocrafia Alcuni esempi ....

Email: Crittocrafia Il cifrato di Cesare Per comunicare con i sui generali, Giulio Cesare sostituiva ad ogni lettera del messaggio un'altra lettera un certo numero di posizioni più avanti nell'alfabeto.

Email: Crittocrafia Per l'esattezza utilizzava la chiave "3", tutte le lettere venivano scalate di tre cifre: la A diventava D, la B diventava E, la C diventava F e così via.

Email: Crittocrafia Supponiamo di dover decifrare con questo metodo la frase: PROVA DI CIFRATURA E di utilizzare la chiave 3. Il testo cifrato (utilizzando il moderno alfabeto) sarà: SURYD GL FLIUDWXUD

Email: Crittocrafia La chiave utilizzata per la cifratura è la stessa che viene utilizzata per la decifratura e per questo deve essere scambiata tra le due parti che devono comunicare.

Email: Crittocrafia La debolezza di questo cifrato sta bel fatto che come avrete capito si possono utilizzare solo 25 chiavi

Email: Crittocrafia
Il cifrario di Leon Battista Alberti
...
...
Metodi a trasposizione di colonne e macchina Enigma
Il DES (IBM)
IDEA: l'evoluzione definitiva
La crittografia a chiave pubblica e RSA

Email: Crittocrafia PGP ... come funziona

Email: Crittocrafia Il suo funzionamento è molto semplice: supponiamo che l'utente A voglia spedire all'utente B un messaggio.

Email: Crittocrafia PGP cifra tale messaggio utilizzando l'algoritmo IDEA con una chiave K generata casualmente che verrà inviata all'utente B cifrata con la sua chiave pubblica con l'algoritmo RSA, insieme al messaggio cifrato con IDEA.

Email: Crittocrafia Quindi .... ogni persona con questo sistema possiede una coppia di chiavi, quella pubblica può essere tranquillamente distribuita e resa di pubblico dominio perché consente solo di cifrare il messaggio, mentre quella privata deve essere conosciuta solo da una persona.

Email: Crittocrafia Un approccio alternativo al problema dell'autenticazione di una chiave pubblica è lo schema della rete di fiducia, basato sull'uso di certificati emessi dalle parti stesse e sull'attestazione della bontà di questi certificati da parte di terzi. Esempi di implementazione di questo schema sono GPG (GNU Privacy Guard) e PGP (Pretty Good Privacy).

Email: Crittocrafia CAcert.org gestisce una rete di fiducia simile a quelle usate da PGP, con la differenza che le informazioni relative alle relazioni di fiducia tra le parti vengono mantenute su database centralizzati.

Email: Crittocrafia ma tornando alla cifratura PGP ....

Email: Crittocrafia In questo modo solo B può, con la propria chiave Privata, recuperare la chiave K ed usarla per leggere il resto del messaggio.

Email: Crittocrafia La firma digitale La crittografia a chiave pubblica è ritenuta una delle più importanti intuizioni nel campo delle comunicazioni anche per il fatto che può essere utilizzata per risolvere il problema della firma digitale.

Email: Crittocrafia La firma digitale di un documento (per documento intendiamo qualsiasi cosa sia memorizzata con tecnologie informatiche e quindi trasmissibile tramite sistemi di comunicazione quali Internet) si pone di risolvere tre problemi (definiti come autenticazione e integrità dei dati):

Email: Crittocrafia
che il destinatario possa verificare l'identità del mittente
che il mittente non possa disconoscere un documento da lui firmato
che il destinatario non possa inventarsi o modificare un documento firmato da qualcun altro

Email: Crittocrafia Per firmare un documento si utilizza come detto la crittografia a chiave pubblica , in una modalità che può essere definita inversa.

Email: Crittocrafia Se un individuo cifra un messaggio con la sua chiave privata, quel messaggio cifrato potrà essere letto da tutte le persone che possiedono la sua chiave pubblica.

Email: Crittocrafia Se queste riusciranno a decifrare il messaggio avranno la certezza che è stato inviato dal proprietario della chiave pubblica usata per la decifratura.

Email: Crittocrafia Tutto è garantito dal principio base della crittografia asimmetrica, dal fatto cioè che la chiave segreta decifra solo ciò che è stato cifrato con la rispettiva chiave pubblica e viceversa.

Email: Crittocrafia Come si può notare la firma digitale non garantisce la segretezza del contenuto del documento, infatti tutti i possessori della chiave pubblica del mittente possono averne accesso.

Email: Crittocrafia I problemi di PGP Purtroppo nemmeno PGP ha resistito alle sempre più pesanti pressioni del governo degli stati uniti, da sempre contrario alla diffusione della cosiddetta crittografia forte.

Email: Crittocrafia Senza troppa pubblicità, nelle versioni dalla 5.5 alla 6.5.3 sia freeware che commerciali, la Network Associates aveva implementato un sistema per il "key escrow", una funzione che permette di creare e archiviare chiavi crittografiche aggiuntive per permettere ad una terza parte di poter decifrare i documenti in caso di necessità.

Email: Crittocrafia Ufficialmente si parla del capo di un'azienda quando l'oggetto cifrato contiene materiale necessario al proseguimento del lavoro, ma molto probabilmente si pensava ad un agente di governo.

Email: Crittocrafia Questa chiave aggiuntiva comunque poteva essere inserita solo col consenso del proprietario della chiave pubblica, e questa sembrava una soluzione accettabile, ................

Email: Crittocrafia ................ se non fosse che la funzione in esame, chiamata anche Additional Decryption Keys (ADK), non è affatto sicura in PGP, visto che il software sembra incapace di distinguere fra una chiave aggiuntiva inserita in una chiave pubblica in modo legittimo (col consenso del proprietario) da una inserita in modo fraudolento.

Email: Crittocrafia Per questo, ma non solo, Phil Zimmermann, che si è sempre battuto per la diffusione della crittografia tanto da essere accusato di violazioni delle leggi federali, ha deciso di lasciare nell'aprile 2001 la Network Associates per passare a nuovi progetti con la Hush, un'azienda che si occupa di sicurezza nella telefonia e che ha già brevettato un motore di crittografia per la posta davvero molto simile a PGP.

Digital rights management Altrimenti detti DRM

Digital rights management Con Digital Rights Management (DRM), il cui significato letterale è gestione dei diritti digitali , si intendono i sistemi tecnologici mediante i quali i titolari di diritti d'autore possono esercitare ed amministrare tali diritti nell'ambiente digitale, grazie alla possibilità di rendere protetti, identificabili e tracciabili tutti gli usi in rete di materiali adeguatamente “marchiati”.

Digital rights management Scenario Con l'avvento delle tecnologie digitali, copiare un file multimediale (audio o video) è diventato semplice e non comporta, a differenza dei supporti analogici, una diminuzione della qualità.

Digital rights management Grazie alla diffusione di strumenti digitali per l'accesso a contenuti multimediali, quali personal computer, mp3 player, telefonini di nuova generazione, lettori di divx, ..........

Digital rights management ............. e alla diffusione dell'accesso a Internet e della larga banda e delle reti peer to peer, l'accesso e la distribuzione in tutto il mondo di contenuti multimediali è alla portata di ogni singolo utente, creando nuovi scenari capaci di modificare il consolidato sistema autore-distributore-cliente, a danno sicuramente del distributore e indirettamente dell'autore.

TOR Tor: anonimato in rete

TOR Tor è uno strumento per migliorare la sicurezza e la protezione delle persone e delle aziende su Internet. Tor rende anonimi la navigazione e la pubblicazione su internet, l'instant messaging, IRC, SSH e altro ancora.

TOR Tor offre una piattaforma su cui gli sviluppatori di software possono costruire nuove applicazioni sfruttandone le caratteristiche di anonimato, protezione e sicurezza.

TOR Tor serve per proteggersi dall'analisi del traffico, una forma di sorveglianza della rete che minaccia la privacy e l'anonimato personale, i rapporti d'affari e le attività confidenziali, la sicurezza dello stato.

TOR Con Tor le comunicazioni vengono indirizzate attraverso una rete distribuita di server, chiamati onion router, che proteggono l'utente dalla profilazione dei siti web, o da intercettazioni locali che, controllando il traffico dei dati, possono capire quali siti vengono visitati.

Oltre al WWW Netiquette ...

Oltre al WWW La Netiquette, parola derivata dalla contrazione del vocabolo inglese net (rete) e quello di lingua francese étiquette (buona educazione), è un insieme di regole che disciplinano il comportamento di un utente di Internet nel rapportarsi agli altri utenti attraverso risorse quali newsgroup, mailing list, forum o e-mail in genere.

Oltre al WWW Il rispetto della netiquette non è imposto da alcuna legge, ma si fonda su una convenzione ormai di generale condivisione. Sotto un aspetto giuridico, la netiquette è spesso richiamata nei contratti di fornitura di servizi di accesso da parte dei provider.

Oltre al WWW Il mancato rispetto della netiquette comporta una generale disapprovazione da parte degli altri utenti della Rete, solitamente seguita da un isolamento del soggetto "maleducato" e talvolta dalla richiesta di sospensione di alcuni servizi utilizzati per compiere atti contrari ad essa (di solito l'e-mail e usenet).

Oltre al WWW Sono comportamenti contrari alla netiquette, e talvolta sanzionati dagli abuse desk: inviare spam, effettuare mailbombing e l'eccessivo cross-posting e/o multiposting sui newsgroup di Usenet.

Oltre al WWW Anche l'invio di email senza un oggetto è una cosa poco rispettosa nei confronti del destinatario: molti ricevono per lavoro decine o anche centinaia di email al giorno, se tutte queste non avessero un oggetto sarebbe quasi impossibile definire una priorità con la quale leggerle, questo ovviamente con notevole disagio per chi dovesse ricevere i messaggi senza oggetto.

Oltre al WWW Quella che segue è la netiquette approvata dalla Registration Authority Italiana.

Oltre al WWW Etica e norme di buon uso dei servizi di rete: Fra gli utenti dei servizi telematici di rete, prima fra tutte la rete Internet, ed in particolare fra i lettori dei servizi di "news" Usenet, si sono sviluppati nel corso del tempo una serie di "tradizioni" e di "principi di buon comportamento" (galateo) che vanno collettivamente sotto il nome di "netiquette".

Oltre al WWW Tenendo ben a mente che la entità che fornisce l'accesso ai servizi di rete (provider, istituzione pubblica, datore di lavoro, etc.) può regolamentare in modo ancora più preciso i doveri dei propri utenti, riportiamo in questo documento un breve sunto dei principi fondamentali della "netiquette", a cui tutti sono tenuti ad adeguarsi.

Oltre al WWW # Quando si arriva in un nuovo newsgroup o in una nuova lista di distribuzione via posta elettronica, è bene leggere i messaggi che vi circolano per almeno due settimane prima di inviare propri messaggi in giro per il mondo: in tale modo ci si rende conto dell'argomento e del metodo con cui lo si tratta in tale comunità.

Oltre al WWW # Se si manda un messaggio, è bene che esso sia sintetico e descriva in modo chiaro e diretto il problema.

Oltre al WWW # Non usare i caratteri tutti in maiuscolo nel titolo o nel testo dei tuoi messaggi, nella rete questo comportamento equivale ad "urlare" ed è altamente disdicevole.

Oltre al WWW # Non divagare rispetto all'argomento del newsgroup o della lista di distribuzione; anche se talvolta questo comportamento è accettato o almeno tollerato aggiungendo il tag [OT] (cioè Off Topic che significa "fuori argomento") nell'oggetto del proprio messaggio.

Oltre al WWW # Se si risponde ad un messaggio, evidenziare i passaggi rilevanti del messaggio originario, allo scopo di facilitare la comprensione da parte di coloro che non lo hanno letto, ma non riportare mai sistematicamente l'intero messaggio originale.

Oltre al WWW # Non condurre "guerre di opinione" sulla rete a colpi di messaggi e contromessaggi: se ci sono diatribe personali, è meglio risolverle via posta elettronica in corrispondenza privata tra gli interessati.

Oltre al WWW # Non pubblicare mai, senza l'esplicito permesso dell'autore, il contenuto di messaggi di posta elettronica.

Oltre al WWW # Non pubblicare messaggi stupidi o che semplicemente prendono le parti dell'uno o dell'altro fra i contendenti in una discussione. Leggere sempre le FAQ (Frequently Asked Questions) relative all'argomento trattato prima di inviare nuove domande.

Oltre al WWW # Non inviare tramite posta elettronica messaggi pubblicitari o comunicazioni che non siano stati sollecitati in modo esplicito.

Oltre al WWW # Non essere intolleranti con chi commette errori sintattici o grammaticali. Chi scrive, è comunque tenuto a migliorare il proprio linguaggio in modo da risultare comprensibile alla collettività.

THE END Grazie a tutti per l'attenzione

Pericoli

by Federico Sette on Feb 06, 2009

Accessibility

Categories

Upload Details

Usage Rights

Statistics

Pericoli Presentation Transcript