Ottava lezione:
Privacy e Sicurezza
(Capitolo 15 e parte Capitolo 10)
Informatica e Laboratorio
Sergio Mascetti
1
Prima parte
Introduzione alla sicurezza
informatica
Informatica e Laboratorio
Sergio Mascetti
2
Il concetto di sicurezza
• Un sistema informatico dovrebbe garantire
– Confidenzialità:
solo chi è autorizzato a leggere i dati lo può fare
– Integrità:
solo chi è autorizzato a modificare i dati lo può
fare
– Disponibilità:
i dati devono essere accessibili a chi è autorizzato
Informatica e Laboratorio
Sergio Mascetti
3
La sicurezza informatica
• Ambito applicativo e di ricerca di grande
attualità e di ampio interesse
• I risultati sono applicati:
– in ambito militare e civile
– per enti governativi, grandi aziende, privati
cittadini
• Problematiche molto complesse:
– vedremo principalmente aspetti interessanti per
un uso privato dei computer
Informatica e Laboratorio
Sergio Mascetti
4
Chi è l’avversario?
• Avversario: entità che tenta di violare la sicurezza di
un sistema
• Agente software: un programma autonomo
finalizzato a danneggiare dei sistemi e, in genere, a
diffondersi autonomamente
• Agente umano: persona che, utilizzando diversi
applicativi software, tenta di violare la sicurezza di un
sistema.
Informatica e Laboratorio
Sergio Mascetti
5
La sicurezza assoluta non esiste.
• Il livello di sicurezza deve essere adeguato alle
informazioni che devono essere protette.
• Quanto vale l’informazione da proteggere?
– Quanto siamo disposti a
spendere per proteggerla?
– Quanto è disposto a spendere
l’avversario per ottenere
l’informazione?
Informatica e Laboratorio
Sergio Mascetti
6
Organizzazione della lezione
• Introduzione alla crittografia
– aspetti teorici e concettuali
• Alcune nozioni relative alla sicurezza
– aspetti maggiormente pratici e applicativi
• Introduzione alla gestione della privacy
Informatica e Laboratorio
Sergio Mascetti
7
Seconda parte:
La crittografia
“Critto che?”
Informatica e Laboratorio
Sergio Mascetti
8
La crittografia
• Tecnica finalizzata ad alterare l’informazione in
modo tale da renderla inutilizzabile a
chiunque tranne che alle persone autorizzate.
Testo in chiaro
Cifratura
Testo cifrato
Chiave di cifratura
Informatica e Laboratorio
Decifratura
Testo in chiaro
Chiave di decifratura
Sergio Mascetti
9
La crittografia a chiave simmetrica
• La stessa chiave utilizzata per cifrare e decifrare
• Esempio di funzione di cifratura: XOR
– XOR = operatore logico booleano
– input = due valori booleani
– output = 1 (vero) se uno
dei due input è 1 (vero),
ma non entrambi;
altrimenti, output=0 (falso)
Informatica e Laboratorio
Sergio Mascetti
XOR
a
b
a OR b
VERO
VERO
FALSO
VERO
FALSO
VERO
FALSO
VERO
VERO
FALSO
FALSO
FALSO
10
Una proprietà dell’XOR
• Date due serie di bit A e B, indichiamo A XOR B
il risultato del XOR applicato ai bit di A e B
– esempio: 0101 XOR 1001 = 1100
– si dice “applicato bit a bit”
• Vale quindi la seguente proprietà:
– A XOR B = C  C XOR B = A
– 0101 XOR 1001 = 1100  1100 XOR 1001 = 0101
Informatica e Laboratorio
Sergio Mascetti
11
“A cosa ci serve?”
• Cifratura:
– “testo in chiaro” XOR “chiave” = testo cifrato
• Decifratura:
– “testo cifrato” XOR “chiave” = testo in chiaro
• Possiamo usare la stessa chiave per cifrare e
decifrare
Informatica e Laboratorio
Sergio Mascetti
12
Cosa può fare l’attaccante?
Esempio con 1 bit
• Supponiamo che l’attaccante ottenga un bit di informazione
cifrata e non conosca la chiave
– L’attaccante ottiene l’informazione 1
– Supponiamo che anche la chiave sia di 1 bit
• L’attaccante sa che:
– se la chiave fosse 1, allora il testo in chiaro sarebbe 0 (0 XOR 1 = 1)
– se la chiave fosse 0, allora il testo in chiaro sarebbe 1 (1 XOR 0 = 1)
– la chiave ha il 50% di probabilità di essere 0 e il 50% di essere 1
• Dunque dato il testo cifrato, l’attaccante sa che il testo in
chiaro è 1 al 50% e 0 al 50%
– Cioè non ha imparato nulla sul testo in chiaro!
– È proprio quello che volevamo.
Informatica e Laboratorio
Sergio Mascetti
13
Cifratura a chiave simmetrica:
perché funziona
• L’idea è che:
– Cifrare è “facile”
– Decifrare è “facile” se si conosce la chiave
– Decifrare è “molto difficile” se non si conosce la
chiave
• Quale formalismo usiamo per catturare
formalmente questa intuizione?
Informatica e Laboratorio
Sergio Mascetti
14
Complessità computazionale della
cifratura a chiave simmetrica (1)
• Consideriamo un testo in chiaro T di lunghezza fissata
• Problema: cifra T usando una chiave (nota) K
– Complessità computazionale lineare nella lunghezza (in
bit) di K
• Problema: decifra T usando una chiave (nota) K
– Complessità computazionale lineare nella lunghezza (in
bit) di K
• (nota: in alcuni sistemi usati nella pratica, la
complessità computazionale è ancora minore)
Informatica e Laboratorio
Sergio Mascetti
15
Complessità computazionale della
cifratura a chiave simmetrica (2)
• Problema: decifra T senza conoscere la chiave
– Bisogna provare per tutte le chiavi possibili
– Quante sono le chiavi possibili?
• Se la lunghezza della chiave è n-bit, tutte le chiavi
possibili sono 2^n (“2 alla n”).
• La complessità computazionale è esponenziale rispetto
alla lunghezza (in bit) della chiave.
Informatica e Laboratorio
Sergio Mascetti
16
Complessità computazionale della
cifratura a chiave simmetrica (3)
• “E questo a cosa ci serve?”
• Basta aumentare di 1 bit la lunghezza della
chiave
– Il tempo necessario per cifrare e decifrare
(conoscendo la chiave) aumenta di pochissimo
– Il tempo necessario per decifrare (senza conoscere
la chiave) raddoppia!
Informatica e Laboratorio
Sergio Mascetti
17
“compro un sacco di computer e ti
frego, tiè!”
• No, non ce la puoi fare.
• Un algoritmo di cifratura a chiave simmetrica con chiave a
64bit è stato violato usando un migliaio di computer per 5
anni.
• Violare una cifratura a 128 bit è 2^64 volte più difficile:
– Per farlo nello stesso tempo (5 anni) servirebbero circa 2^64 (=circa
10^19) volte il numero di computer (circa 10 mila miliardi di miliardi di
computer)
• oppure mille computer per 50 miliardi di miliardi di anni
– Invece il tempo per cifrare e decifrare (conoscendo la chiave)
raddoppia solamente!
Informatica e Laboratorio
Sergio Mascetti
18
Cifratura a chiave simmetrica
• Vantaggi:
– molto rapido cifrare e decifrare
– molto difficile da violare
• Svantaggi:
– le due componenti della comunicazione devono
preventivamente concordare la chiave
– c’è una chiave per ogni possibile coppia di entità
che devono comunicare: se le componenti sono n,
le chiavi sono nell’ordine di n2
Informatica e Laboratorio
Sergio Mascetti
19
Quando viene usata la cifratura a
chiave simmetrica
• Tutte le volte in cui le due componenti della
comunicazione hanno un “momento sicuro” per
scambiarsi la chiave
• Esempi:
– in ambienti militari: prima che l’aereo decolli, scambia la
chiave con la base
– nei cellulari: la chiave è scritta nella SIM e l’operatore la
conosce (è l’operatore stesso che ha rilasciato la SIM)
• Questo schema di cifratura non è adatto quando non
si sa, a priori, con chi si andrà a comunicare.
Informatica e Laboratorio
Sergio Mascetti
20
La cifratura a chiave pubblica (o
asimmetrica)
• La chiave usata per cifrare è diversa dalla chiave per
decifrare.
– Non entriamo nel dettagli di come si calcola la funzione di
cifratura
• Le chiavi vengono create a coppie <pr, pu>:
– pr: la chiave privata è nota solo all’entità
– pu: la chiave pubblica è nota a tutti
• Se cifro usando pr, posso decifrare solo con pu
– …o viceversa: se cifro con pu, posso decifrare solo
con pr
Informatica e Laboratorio
Sergio Mascetti
21
Cifratura a chiave pubblica:
cifratura dell’informazione
Testo in chiaro
Cifratura
Testo cifrato
Chiave pubblica
del destinatario
Informatica e Laboratorio
Decifratura
Testo in chiaro
Chiave privata
del destinatario
Sergio Mascetti
22
Cifratura a chiave pubblica
• Vantaggi:
– non richiede lo scambio preventivo di chiavi
– ogni entità deve avere una chiave per ogni altra
entità, quindi se ci sono n entità, il numero delle
chiavi è nell’ordine di n
• Svantaggi:
– cifratura e decifratura sono più lente rispetto alla
cifratura a chiave simmetrica
– la dimostrazione di correttezza di queste tecniche
è basata su un’assunzione non ancora dimostrata.
Informatica e Laboratorio
Sergio Mascetti
23
“E tutti usano questa tecnica senza
che sia stata dimostrata?”
• Problema aperto dell’informatica
– P =? NP
• Non abbiamo tempo di capire cosa voglia dire in
realtà questo problema
– tutti assumono P ≠ NP
– ma non è ancora stato dimostrato
• Se qualcuno dimostrasse P=NP
– le tecniche di cifratura asimmetrica (come sono ora)
diverrebbero inutili
– l’informatica cambierebbe completamente
Informatica e Laboratorio
Sergio Mascetti
24
Quando viene usata la cifratura
asimmetrica
• Quando ci sono tante entità che devono comunicare
tra di loro ma che non si conoscono a priori
• Quando l’informazione è importante ma non vitale
– i militari non usano chiave asimmetrica perché la
correttezza non è stata ancora completamente dimostrata.
• Esempi:
– Sul web (tutte le volte che accedete ad un indirizzo del tipo
“https:”)
– Posta elettronica: esistono programmi che permettono lo
scambio di chiavi e la cifratura dei messaggi
Informatica e Laboratorio
Sergio Mascetti
25
Cifratura a chiave pubblica:
firma digitale
• Usando la cifratura a chiave pubblica:
– chiunque potrebbe essere il mittente di un messaggio
• Però è possibile usare la cifratura a chiave pubblica
per garantire l’identità del mittente
Testo concordato
a priori
Cifratura
Testo cifrato
(firma digitale)
Chiave privata
del mittente
Informatica e Laboratorio
Decifratura Testo concordato
a priori
Chiave pubblica
del mittente
Sergio Mascetti
26
Firma digitale: esempio
• Supponiamo che la frase concordata a priori sia “casa”.
• Sergio cifra “casa” con la propria chiave privata. Poi
invia il risultato, assieme al proprio nome, a Daniela
• Daniela riceve “Sergio” e un testo cifrato. Prova a
decifrare il testo cifrato con la chiave pubblica relativa
a Sergio.
– se ottiene la parola “casa” vuol dire che il messaggio arriva
proprio da Sergio perché deve essere stato cifrato con la
chiave privata di Sergio (che solo Sergio conosce)
Informatica e Laboratorio
Sergio Mascetti
27
Composizione di firma digitale e
cifratura
• Per garantire sia la riservatezza del messaggio, sia la
provenienza, si cifra la firma digitale assieme al testo
del messaggio.
Testo in chiaro
e firma digitale
Cifratura
Chiave pubblica
del destinatario
Informatica e Laboratorio
Cifratura
Testo
cifrato
Testo in chiaro
Decifratura e firma digitale
Chiave privata
del destinatario
Sergio Mascetti
28
Seconda parte:
alcune nozioni (pratiche) di
sicurezza informatica
“virus sul PC? Preferisco prendere io l’H1N1...”
Informatica e Laboratorio
Sergio Mascetti
29
I virus e non solo
• “virus informatico” (in senso lato):
– termine usato dagli utenti
– indica un qualunque programma finalizzato a
compiere azioni illecite in un computer
– Il termine tecnico è “malware”
• In termini tecnici i “virus” sono un particolare
tipo di malware
– ma ne esistono anche altri
Informatica e Laboratorio
Sergio Mascetti
30
I virus (in termini tecnici)
• Parte di codice che risiede all’interno di un
programma
• Quando il programma viene mandato in
esecuzione, anche quella parte del codice
viene eseguita:
– può modificare dati, trasmettere dati, etc...
– cerca di infettare altri programmi
• Si trasmette attraverso la copia di software
infetto su altri computer
Informatica e Laboratorio
Sergio Mascetti
31
Come si diffonde il malware?
• Attraverso exploit
– si sfruttano (“exploit” = “sfruttare”) errori nel
codice del sistema operativo, oppure di qualche
altra applicazione
• Attraverso gli utenti
– che eseguono del codice non sicuro (per es:
allegati delle email o programmi scaricati)
Informatica e Laboratorio
Sergio Mascetti
32
Esempio
• Blaster è un malware (un worm, per la
precisione) che si diffonde (diffondeva)
sfruttando un errore di Windows.
• Le macchine venivano infettate quando erano
in funzione, senza nessuna colpa da parte
dell’utente.
Informatica e Laboratorio
Sergio Mascetti
33
Esempio
• Creo un programma che cancella tutti i file .doc dal
computer e poi si auto-invia (come allegato) a tutti i
contatti di posta elettronica assieme alla scritta:
“Guarda che bel programma!”
• Come si diffonde?
– Grazie agli utenti (ingenui) che eseguono l’allegato
• Fa danni?
– Programmi simili hanno fatto miliardi di dollari di danni nel
mondo
Informatica e Laboratorio
Sergio Mascetti
34
Come ci si difende dal malware?
• Usando tutte queste soluzioni:
1) Usando programmi di protezione come antivirus
e firewall
2) Aggiornando regolarmente il software utilizzato
3) Avendo un comportamento responsabile:
conoscere le minacce di sicurezza permette di
capire come si posso prevenire attacchi di
sicurezza
Informatica e Laboratorio
Sergio Mascetti
35
Antivirus
• Sono programmi che scansionano (=passano in
rassegna) tutti i file sull’hard disk alla ricerca di virus:
– A volte prevengono le infezioni scansionando
automaticamente alcuni file in ingresso sulla macchina
(es. gli allegati ai messaggi)
– Se non prevengono l’infezione a volte permettono di
limitare i danni
• Un antivirus protegge solo contro i virus che conosce
– nuovi virus vengono creati quasi giornalmente
–  è necessario aggiornare le “definizioni dei virus” (cioè
l’elenco dei virus conosciuti) molto di frequente
Informatica e Laboratorio
Sergio Mascetti
36
Firewall
• Sono programmi che monitorizzano tutto il
traffico Internet in entrata e in uscita:
– permettono di rilevare comportamenti anomali
che potrebbero essere causati da malware
• Quando rilevano un comportamento anomalo
chiedono all’utente cosa fare
– ma se l’utente non sa cosa sia un firewall, non sa
cosa rispondere!
Informatica e Laboratorio
Sergio Mascetti
37
Firewall, esempio
• Esempio di messaggio per l’utente:
– “Un programma sta tentando di accedere alla porta TCP
1034. Blocco la connessione?”
• Significa che un programma sta tentando di
comunicare in rete. Due possibilità:
– se avete appena lanciato un’applicazione che comunica in
rete (es: un programma di file sharing) allora non dovete
bloccare.
– altrimenti bloccate la connessione: potrebbe trattarsi di un
malware che sta cercando di comunicare via rete.
Informatica e Laboratorio
Sergio Mascetti
38
Aggiornare il software
• Abbiamo detto che molti virus si diffondono a
causa di errori nel codice
• Quando uno di questi errori viene individuato,
di solito viene rilasciata una correzione (o
“patch”)
• È importante aggiornare regolarmente il
sistema operativo e le altre applicazioni che
usate.
Informatica e Laboratorio
Sergio Mascetti
39
Gli utenti consapevoli sono la
migliore difesa
• Alcuni concetti che vi possono aiutare ad
avere sistemi più sicuri:
– Multi-utenze
– Incertezza sulla provenienza dei messaggi
– Uso di backup
– Password sicure
Informatica e Laboratorio
Sergio Mascetti
40
Multi-utenze
• La maggior parte dei sistemi operativi recenti
supportano l’accesso alla macchina da parte di
diversi utenti con diversi diritti di accesso.
– Alcuni utenti sono amministratori cioè possono
modificare tutte le impostazioni di una macchina
– Altri utenti hanno accesso limitato e non possono
accedere ad alcune impostazioni.
Informatica e Laboratorio
Sergio Mascetti
41
Multi-utenze (2)
• Principio base: se un utente esegue un
programma, il programma ha gli stessi diritti di
accesso dell’utente
– questo vale anche per i virus!
• Se accedete alla macchina come
amministratori e prendete un virus:
– il virus ha accesso illimitato alla vostra macchina
• Se lavorate come utenti semplici:
– anche se prendete un virus, questo potrà fare
meno danni
Informatica e Laboratorio
Sergio Mascetti
42
Multi-utenze (3)
• Come si procede di solito: si creano almeno
due utenti
– Un amministratore, per quando dovete installare
un programma, modificare delle impostazioni del
sistema, etc…
– Un utente per l’utilizzo normale della macchina
Informatica e Laboratorio
Sergio Mascetti
43
Incertezza sulla provenienza (e sul
contenuto) dei messaggi
• In Internet circolano molti messaggi il cui scopo è
imbrogliare gli utenti ingenui:
– Mail, messaggi istantanei, etc…
• Non si tratta solo di virus, ma anche di semplici frodi.
• Quando ricevi un messaggio, anche da una persona
nota, ricordati che quel messaggio potrebbe non
arrivare veramente da lui
– per esempio, alcuni virus spediscono dei messaggi a tutti i
contatti nella rubrica.
Informatica e Laboratorio
Sergio Mascetti
44
Non fatevi fregare
• Nessuno vi chiederà (mai!) la vostra password via
posta elettronica (perché non è sicuro).
– Se vi viene richiesta una password via email, è una truffa.
• Moltissime catene via mail sono fatte esclusivamente
per raccogliere indirizzi di email da usare per lo spam
– Es: “l’azienda XYZ ti darà 100$ se mandi questa mail ad
almeno 30 persone”
• Ci sono mille altri modi per truffare gli ingenui:
pensate prima di agire.
Informatica e Laboratorio
Sergio Mascetti
45
Uso di backup
• A causa di virus o di problemi hardware i dati
vengono regolarmente persi:
– Il problema non è “se verranno persi”, ma “quando”
• C’è una soluzione: fate un backup (=copia di
sicurezza) su un supporto esterno (hard disk o DVD)
– per esperienza: gli utenti iniziano a fare il backup dei
propri dati dopo che li hanno persi una volta.
• In ambito personale è brutto perdere i dati
– In ambito lavorativo è inaccettabile
Informatica e Laboratorio
Sergio Mascetti
46
Identificazione degli utenti
• Per poter garantire la sicurezza è necessario
identificare gli utenti
• Come si possono identificare gli utenti?
– Da ciò che hanno:
• Es: tessera magnetica
– Da ciò che sono:
• Es: scansione della retina, impronte digitali
– Da ciò che sanno:
• Es: una parola segreta (password)
Informatica e Laboratorio
Sergio Mascetti
47
Le password
• Strumento di identificazione molto diffuso
– non richiede hardware apposito (come un lettore
di impronte digitali)
– permette un discreto livello di sicurezza
• a patto che le password siano usate con accortezza
Informatica e Laboratorio
Sergio Mascetti
48
Come vengono usate le password
• Quando l’utente sceglie la password, una funzione
(di cifratura) viene applicata
– la funzione ha la proprietà di essere molto difficile da
invertire
• Noto x è facile calcolare f(x). Noto y è molto difficile calcolare x
tale che f(x) = y.
– la password (cifrata) viene memorizzata
– esempio di password cifrata: $tpUk9dlmYsavwW1U8wPkI/
• Quando si richiede la password
– la stessa funzione viene applicata alla password inserita
– se il risultato è uguale a quello memorizzato, si ha l’accesso
Informatica e Laboratorio
Sergio Mascetti
49
Attacco a forza bruta
• Un avversario che vuole trovare una password che
non conosce, può provare tutte le combinazioni
possibili
• Quante sono le password possibili?
– supponiamo che ogni carattere della password possa avere
100 valori diversi (minuscole, maiuscole, numeri, alcuni
segni di punteggiatura)
– se la password è lunga 1 carattere: 100 possibili password
– se la password è lunga 2 caratteri: 1002 possibili password
– se la password è lunga n caratteri: 100n possibili password
Informatica e Laboratorio
Sergio Mascetti
50
Attacco forza bruta (cont.)
• La complessità computazionale del problema
“trova la password con la tecnica brute force”
è esponenziale rispetto alla lunghezza della
password
– quindi, in pratica, non computabile per un numero
di caratteri superiore a 7 o 8
• 1008 = 10.000.000.000.000.000
• Morale: se volete usare una password
resistente contro questo attacco, createla
lunga almeno 7 o 8 caratteri
Informatica e Laboratorio
Sergio Mascetti
51
Attacchi basati
su dizionario
• Gli utenti molto (troppo!)
spesso usano parole di
senso compiuto come password:
– nomi comuni o propri
• Oppure semplici varianti di questi nomi:
– nomi seguiti da un numero
– concatenazione di nomi
• Il numero di queste parole è molto inferiore rispetto
al numero di combinazioni di caratteri che devono
essere provate con la tecnica brute force.
Informatica e Laboratorio
Sergio Mascetti
52
Attacchi basati su dizionario (2)
• Esistono degli elenchi di nomi, parole e semplici
concatenazioni di queste con numeri
• In un attacco basato su dizionario l’attaccante prova
ad utilizzare le parole contenute in questi elenchi per
avere l’accesso
• Da un esperimento svolto sulle password degli
studenti nei laboratori di informatica qualche anno
fa:
– Il 40% delle password sono state violate in 5 minuti
mediante un attacco basato su dizionario.
Informatica e Laboratorio
Sergio Mascetti
53
Come scegliere una password
• Obiettivo:
– lunga almeno 7 caratteri
– non una parola di senso compiuto (o una semplice
concatenazione)
– dovete ricordarla!
– meglio se contiene anche numeri (e segni di
punteggiatura, se consentito dal sistema)
• Una tecnica (ne esistono tante): pensate ad una frase
che ricordate a memoria ed usate le iniziali
– esempio: “44 gatti in fila per 6”  44gifp6
Informatica e Laboratorio
Sergio Mascetti
54
Come usare le password
• In teoria:
– Sarebbe meglio avere una password diversa per ogni servizio che
usate
• Nella pratica:
– Sono troppe le password da ricordare
– Se non si usa un programma di gestione delle password (ancora poco
diffusi) è complicato
• Consigli:
– Usate alcune password (almeno 3 o 4) e differenziatele in base
all’importanza
• Es: non usate per un gioco online la stessa password che usate per la banca!
– Cambiate regolarmente le password
Informatica e Laboratorio
Sergio Mascetti
55
Terza parte:
La privacy
“che c’entra con la sicurezza?”
Informatica e Laboratorio
Sergio Mascetti
56
Diritto alla privacy
• Privacy riconosciuta a livello legale a livello
nazionale e sovrannazionale. Es:
– Dichiarazione Europea dei diritti dell’uomo;
– Legge 675/96
Informatica e Laboratorio
Sergio Mascetti
57
Cos’è la privacy?
• Non è semplice fornire una definizione puntuale di
privacy
– spesso dipende dal contesto
• Una definizione generale:
– “Privacy: diritto di una persona di scegliere liberamente in
quali circostanze e fino a che punto rivelare agli altri se
stessa, il proprio atteggiamento e il proprio
comportamento” (dal “Fluency”)
• Le leggi tutelano alcune tipologie di informazioni
ritenute particolarmente sensibili:
– informazioni mediche, orientamento sessuale, religioso,
politico.
Sergio Mascetti
58
La privacy e il trattamento
automatico dell’informazione
• Tecnologie moderne permettono di:
– acquisire enormi quantità di dati, memorizzarle,
condividerle
– effettuare ragionamenti su queste informazioni
per derivarne altre
• Esempio di ragionamento:
– supponete di avere una tessera di fidelizzazione di
un supermercato
– se un cliente compra cibo per gatti quasi tutte le
settimane  avrà un gatto.
Informatica e Laboratorio
Sergio Mascetti
59
“Vabbé, ma cosa mi importa se
sanno che ho un gatto?”
• Che diritto hanno di sapere qualcosa su di me
che io non voglio che loro sappiano?
• Se al posto del cibo per gatti, voi compraste
delle medicine?
– quali informazioni potrebbero scoprire su di voi?
– cosa potrebbero farne di queste informazioni?
Informatica e Laboratorio
Sergio Mascetti
60
“Ma a volte mi sta bene che
sappiano qualcosa di me”
• Se il supermercato sa che ho un gatto, mi può
spedire pubblicità mirata con le promozioni
che mi possono interessare
– es: sconti sulla pappa per gatti
• Dov’è il limite tra i vantaggi del rilascio di
informazioni private e la violazione della
privacy?
Informatica e Laboratorio
Sergio Mascetti
61
Il problema della privacy, in
generale
• Non solo le informazioni che rilasciamo
esplicitamente possono essere usate per
violare la nostra privacy
– ma anche le informazioni derivate
• La privacy assoluta (ormai) non esiste
– necessario trovare compromessi tra privacy e altre
esigenze (sicurezza pubblica, vantaggi derivanti dal
rilascio di informazioni personali)
Informatica e Laboratorio
Sergio Mascetti
62
Bisogna avere il controllo
• L’utente deve poter avere il controllo sulle
informazioni che vengono rilasciate:
– So quali informazioni rilascio?
– Posso sapere quali informazioni un ente ha su di
me?
– Posso cancellare le mie informazioni quando
voglio?
• Questi diritti sono garantiti dalla legge
– ma sono veramente applicabili?
Informatica e Laboratorio
Sergio Mascetti
63
La posizione degli utenti e la privacy
• Già ora esistono alcuni servizi che sono forniti sulla base della
locazione degli utenti
–
–
–
–
es: dov’è la pizzeria più vicina (programma AroundMe per iPhone)
es: dimmi quando c’è un mio amico vicino a me (Google Latitude)
es: social network geo-referenziati (es: estensioni per Facebook)
sono detti “servizi basati sulla locazione”
• Alcuni cellulari forniscono periodicamente la locazione
dell’utente (es: HTC Magic con sistema operativo Android)
• In futuro si diffonderanno molto
• Gli utenti comunicano spesso la
loro posizione ad un fornitore di servizi.
– e la privacy?
Informatica e Laboratorio
Sergio Mascetti
64
La posizione degli utenti e la privacy
• Cosa può derivare un attaccante che riesce ad ottenere
queste informazioni?
– qual è l’identità dell’utente che ha fatto la richiesta (anche se l’utente
non lo dice esplicitamente)
– dove è stato l’utente: quindi molte informazioni personali. Ad
esempio: quali locali frequenta? E’ stato in ospedale? E’ stato alla
manifestazione?
• Il mio ambito di ricerca è questo:
– come è possibile fornire questi servizi garantendo
formalmente la privacy degli utenti?
– “che noia mortale” penserete voi... vi sbagliate!
Informatica e Laboratorio
Sergio Mascetti
65
Quarta parte:
Conclusioni
“Accidenti, ci ha detto tantissime cose....”
Informatica e Laboratorio
Sergio Mascetti
66
Riepilogo
• Abbiamo visto cosa si intende con sicurezza
informatica:
– cosa si vuole proteggere
– chi potrebbe essere l’avversario
• Idea generale della crittografia:
– rendere comprensibili delle informazioni solo a chi
è in possesso della chiave per decifrare
• Due tipi di crittografia:
– a chiave simmetrica
– a chiave asimmetrica (o pubblica)
Informatica e Laboratorio
Sergio Mascetti
67
Riepilogo (cont.)
• Abbiamo introdotto il concetto di malware:
– cioè software che ha lo scopo di compiere azioni
illecite
• Abbiamo visto alcuni semplici principi per
avere maggiore sicurezza nella pratica
Informatica e Laboratorio
Sergio Mascetti
68
Riepilogo (3)
• Il problema della privacy:
– tutela legale e consapevolezza del rischio.
• Un esempio di ricerca in ambito informatico
Informatica e Laboratorio
Sergio Mascetti
69
Glossario
•
•
•
•
•
•
Confidenzialità, integrità, disponibilità
L’operatore logico XOR
Cifratura e decifratura
Cifratura a chiave simmetrica e asimmetrica
Virus (in termine tecnico), malware, exploit
Attacchi a forza bruta (o bruteforce) e attacchi
basati su dizionario
Informatica e Laboratorio
Sergio Mascetti
70