Ottava lezione: Privacy e Sicurezza (Capitolo 15 e parte Capitolo 10) Informatica e Laboratorio Sergio Mascetti 1 Prima parte Introduzione alla sicurezza informatica Informatica e Laboratorio Sergio Mascetti 2 Il concetto di sicurezza • Un sistema informatico dovrebbe garantire – Confidenzialità: solo chi è autorizzato a leggere i dati lo può fare – Integrità: solo chi è autorizzato a modificare i dati lo può fare – Disponibilità: i dati devono essere accessibili a chi è autorizzato Informatica e Laboratorio Sergio Mascetti 3 La sicurezza informatica • Ambito applicativo e di ricerca di grande attualità e di ampio interesse • I risultati sono applicati: – in ambito militare e civile – per enti governativi, grandi aziende, privati cittadini • Problematiche molto complesse: – vedremo principalmente aspetti interessanti per un uso privato dei computer Informatica e Laboratorio Sergio Mascetti 4 Chi è l’avversario? • Avversario: entità che tenta di violare la sicurezza di un sistema • Agente software: un programma autonomo finalizzato a danneggiare dei sistemi e, in genere, a diffondersi autonomamente • Agente umano: persona che, utilizzando diversi applicativi software, tenta di violare la sicurezza di un sistema. Informatica e Laboratorio Sergio Mascetti 5 La sicurezza assoluta non esiste. • Il livello di sicurezza deve essere adeguato alle informazioni che devono essere protette. • Quanto vale l’informazione da proteggere? – Quanto siamo disposti a spendere per proteggerla? – Quanto è disposto a spendere l’avversario per ottenere l’informazione? Informatica e Laboratorio Sergio Mascetti 6 Organizzazione della lezione • Introduzione alla crittografia – aspetti teorici e concettuali • Alcune nozioni relative alla sicurezza – aspetti maggiormente pratici e applicativi • Introduzione alla gestione della privacy Informatica e Laboratorio Sergio Mascetti 7 Seconda parte: La crittografia “Critto che?” Informatica e Laboratorio Sergio Mascetti 8 La crittografia • Tecnica finalizzata ad alterare l’informazione in modo tale da renderla inutilizzabile a chiunque tranne che alle persone autorizzate. Testo in chiaro Cifratura Testo cifrato Chiave di cifratura Informatica e Laboratorio Decifratura Testo in chiaro Chiave di decifratura Sergio Mascetti 9 La crittografia a chiave simmetrica • La stessa chiave utilizzata per cifrare e decifrare • Esempio di funzione di cifratura: XOR – XOR = operatore logico booleano – input = due valori booleani – output = 1 (vero) se uno dei due input è 1 (vero), ma non entrambi; altrimenti, output=0 (falso) Informatica e Laboratorio Sergio Mascetti XOR a b a OR b VERO VERO FALSO VERO FALSO VERO FALSO VERO VERO FALSO FALSO FALSO 10 Una proprietà dell’XOR • Date due serie di bit A e B, indichiamo A XOR B il risultato del XOR applicato ai bit di A e B – esempio: 0101 XOR 1001 = 1100 – si dice “applicato bit a bit” • Vale quindi la seguente proprietà: – A XOR B = C C XOR B = A – 0101 XOR 1001 = 1100 1100 XOR 1001 = 0101 Informatica e Laboratorio Sergio Mascetti 11 “A cosa ci serve?” • Cifratura: – “testo in chiaro” XOR “chiave” = testo cifrato • Decifratura: – “testo cifrato” XOR “chiave” = testo in chiaro • Possiamo usare la stessa chiave per cifrare e decifrare Informatica e Laboratorio Sergio Mascetti 12 Cosa può fare l’attaccante? Esempio con 1 bit • Supponiamo che l’attaccante ottenga un bit di informazione cifrata e non conosca la chiave – L’attaccante ottiene l’informazione 1 – Supponiamo che anche la chiave sia di 1 bit • L’attaccante sa che: – se la chiave fosse 1, allora il testo in chiaro sarebbe 0 (0 XOR 1 = 1) – se la chiave fosse 0, allora il testo in chiaro sarebbe 1 (1 XOR 0 = 1) – la chiave ha il 50% di probabilità di essere 0 e il 50% di essere 1 • Dunque dato il testo cifrato, l’attaccante sa che il testo in chiaro è 1 al 50% e 0 al 50% – Cioè non ha imparato nulla sul testo in chiaro! – È proprio quello che volevamo. Informatica e Laboratorio Sergio Mascetti 13 Cifratura a chiave simmetrica: perché funziona • L’idea è che: – Cifrare è “facile” – Decifrare è “facile” se si conosce la chiave – Decifrare è “molto difficile” se non si conosce la chiave • Quale formalismo usiamo per catturare formalmente questa intuizione? Informatica e Laboratorio Sergio Mascetti 14 Complessità computazionale della cifratura a chiave simmetrica (1) • Consideriamo un testo in chiaro T di lunghezza fissata • Problema: cifra T usando una chiave (nota) K – Complessità computazionale lineare nella lunghezza (in bit) di K • Problema: decifra T usando una chiave (nota) K – Complessità computazionale lineare nella lunghezza (in bit) di K • (nota: in alcuni sistemi usati nella pratica, la complessità computazionale è ancora minore) Informatica e Laboratorio Sergio Mascetti 15 Complessità computazionale della cifratura a chiave simmetrica (2) • Problema: decifra T senza conoscere la chiave – Bisogna provare per tutte le chiavi possibili – Quante sono le chiavi possibili? • Se la lunghezza della chiave è n-bit, tutte le chiavi possibili sono 2^n (“2 alla n”). • La complessità computazionale è esponenziale rispetto alla lunghezza (in bit) della chiave. Informatica e Laboratorio Sergio Mascetti 16 Complessità computazionale della cifratura a chiave simmetrica (3) • “E questo a cosa ci serve?” • Basta aumentare di 1 bit la lunghezza della chiave – Il tempo necessario per cifrare e decifrare (conoscendo la chiave) aumenta di pochissimo – Il tempo necessario per decifrare (senza conoscere la chiave) raddoppia! Informatica e Laboratorio Sergio Mascetti 17 “compro un sacco di computer e ti frego, tiè!” • No, non ce la puoi fare. • Un algoritmo di cifratura a chiave simmetrica con chiave a 64bit è stato violato usando un migliaio di computer per 5 anni. • Violare una cifratura a 128 bit è 2^64 volte più difficile: – Per farlo nello stesso tempo (5 anni) servirebbero circa 2^64 (=circa 10^19) volte il numero di computer (circa 10 mila miliardi di miliardi di computer) • oppure mille computer per 50 miliardi di miliardi di anni – Invece il tempo per cifrare e decifrare (conoscendo la chiave) raddoppia solamente! Informatica e Laboratorio Sergio Mascetti 18 Cifratura a chiave simmetrica • Vantaggi: – molto rapido cifrare e decifrare – molto difficile da violare • Svantaggi: – le due componenti della comunicazione devono preventivamente concordare la chiave – c’è una chiave per ogni possibile coppia di entità che devono comunicare: se le componenti sono n, le chiavi sono nell’ordine di n2 Informatica e Laboratorio Sergio Mascetti 19 Quando viene usata la cifratura a chiave simmetrica • Tutte le volte in cui le due componenti della comunicazione hanno un “momento sicuro” per scambiarsi la chiave • Esempi: – in ambienti militari: prima che l’aereo decolli, scambia la chiave con la base – nei cellulari: la chiave è scritta nella SIM e l’operatore la conosce (è l’operatore stesso che ha rilasciato la SIM) • Questo schema di cifratura non è adatto quando non si sa, a priori, con chi si andrà a comunicare. Informatica e Laboratorio Sergio Mascetti 20 La cifratura a chiave pubblica (o asimmetrica) • La chiave usata per cifrare è diversa dalla chiave per decifrare. – Non entriamo nel dettagli di come si calcola la funzione di cifratura • Le chiavi vengono create a coppie <pr, pu>: – pr: la chiave privata è nota solo all’entità – pu: la chiave pubblica è nota a tutti • Se cifro usando pr, posso decifrare solo con pu – …o viceversa: se cifro con pu, posso decifrare solo con pr Informatica e Laboratorio Sergio Mascetti 21 Cifratura a chiave pubblica: cifratura dell’informazione Testo in chiaro Cifratura Testo cifrato Chiave pubblica del destinatario Informatica e Laboratorio Decifratura Testo in chiaro Chiave privata del destinatario Sergio Mascetti 22 Cifratura a chiave pubblica • Vantaggi: – non richiede lo scambio preventivo di chiavi – ogni entità deve avere una chiave per ogni altra entità, quindi se ci sono n entità, il numero delle chiavi è nell’ordine di n • Svantaggi: – cifratura e decifratura sono più lente rispetto alla cifratura a chiave simmetrica – la dimostrazione di correttezza di queste tecniche è basata su un’assunzione non ancora dimostrata. Informatica e Laboratorio Sergio Mascetti 23 “E tutti usano questa tecnica senza che sia stata dimostrata?” • Problema aperto dell’informatica – P =? NP • Non abbiamo tempo di capire cosa voglia dire in realtà questo problema – tutti assumono P ≠ NP – ma non è ancora stato dimostrato • Se qualcuno dimostrasse P=NP – le tecniche di cifratura asimmetrica (come sono ora) diverrebbero inutili – l’informatica cambierebbe completamente Informatica e Laboratorio Sergio Mascetti 24 Quando viene usata la cifratura asimmetrica • Quando ci sono tante entità che devono comunicare tra di loro ma che non si conoscono a priori • Quando l’informazione è importante ma non vitale – i militari non usano chiave asimmetrica perché la correttezza non è stata ancora completamente dimostrata. • Esempi: – Sul web (tutte le volte che accedete ad un indirizzo del tipo “https:”) – Posta elettronica: esistono programmi che permettono lo scambio di chiavi e la cifratura dei messaggi Informatica e Laboratorio Sergio Mascetti 25 Cifratura a chiave pubblica: firma digitale • Usando la cifratura a chiave pubblica: – chiunque potrebbe essere il mittente di un messaggio • Però è possibile usare la cifratura a chiave pubblica per garantire l’identità del mittente Testo concordato a priori Cifratura Testo cifrato (firma digitale) Chiave privata del mittente Informatica e Laboratorio Decifratura Testo concordato a priori Chiave pubblica del mittente Sergio Mascetti 26 Firma digitale: esempio • Supponiamo che la frase concordata a priori sia “casa”. • Sergio cifra “casa” con la propria chiave privata. Poi invia il risultato, assieme al proprio nome, a Daniela • Daniela riceve “Sergio” e un testo cifrato. Prova a decifrare il testo cifrato con la chiave pubblica relativa a Sergio. – se ottiene la parola “casa” vuol dire che il messaggio arriva proprio da Sergio perché deve essere stato cifrato con la chiave privata di Sergio (che solo Sergio conosce) Informatica e Laboratorio Sergio Mascetti 27 Composizione di firma digitale e cifratura • Per garantire sia la riservatezza del messaggio, sia la provenienza, si cifra la firma digitale assieme al testo del messaggio. Testo in chiaro e firma digitale Cifratura Chiave pubblica del destinatario Informatica e Laboratorio Cifratura Testo cifrato Testo in chiaro Decifratura e firma digitale Chiave privata del destinatario Sergio Mascetti 28 Seconda parte: alcune nozioni (pratiche) di sicurezza informatica “virus sul PC? Preferisco prendere io l’H1N1...” Informatica e Laboratorio Sergio Mascetti 29 I virus e non solo • “virus informatico” (in senso lato): – termine usato dagli utenti – indica un qualunque programma finalizzato a compiere azioni illecite in un computer – Il termine tecnico è “malware” • In termini tecnici i “virus” sono un particolare tipo di malware – ma ne esistono anche altri Informatica e Laboratorio Sergio Mascetti 30 I virus (in termini tecnici) • Parte di codice che risiede all’interno di un programma • Quando il programma viene mandato in esecuzione, anche quella parte del codice viene eseguita: – può modificare dati, trasmettere dati, etc... – cerca di infettare altri programmi • Si trasmette attraverso la copia di software infetto su altri computer Informatica e Laboratorio Sergio Mascetti 31 Come si diffonde il malware? • Attraverso exploit – si sfruttano (“exploit” = “sfruttare”) errori nel codice del sistema operativo, oppure di qualche altra applicazione • Attraverso gli utenti – che eseguono del codice non sicuro (per es: allegati delle email o programmi scaricati) Informatica e Laboratorio Sergio Mascetti 32 Esempio • Blaster è un malware (un worm, per la precisione) che si diffonde (diffondeva) sfruttando un errore di Windows. • Le macchine venivano infettate quando erano in funzione, senza nessuna colpa da parte dell’utente. Informatica e Laboratorio Sergio Mascetti 33 Esempio • Creo un programma che cancella tutti i file .doc dal computer e poi si auto-invia (come allegato) a tutti i contatti di posta elettronica assieme alla scritta: “Guarda che bel programma!” • Come si diffonde? – Grazie agli utenti (ingenui) che eseguono l’allegato • Fa danni? – Programmi simili hanno fatto miliardi di dollari di danni nel mondo Informatica e Laboratorio Sergio Mascetti 34 Come ci si difende dal malware? • Usando tutte queste soluzioni: 1) Usando programmi di protezione come antivirus e firewall 2) Aggiornando regolarmente il software utilizzato 3) Avendo un comportamento responsabile: conoscere le minacce di sicurezza permette di capire come si posso prevenire attacchi di sicurezza Informatica e Laboratorio Sergio Mascetti 35 Antivirus • Sono programmi che scansionano (=passano in rassegna) tutti i file sull’hard disk alla ricerca di virus: – A volte prevengono le infezioni scansionando automaticamente alcuni file in ingresso sulla macchina (es. gli allegati ai messaggi) – Se non prevengono l’infezione a volte permettono di limitare i danni • Un antivirus protegge solo contro i virus che conosce – nuovi virus vengono creati quasi giornalmente – è necessario aggiornare le “definizioni dei virus” (cioè l’elenco dei virus conosciuti) molto di frequente Informatica e Laboratorio Sergio Mascetti 36 Firewall • Sono programmi che monitorizzano tutto il traffico Internet in entrata e in uscita: – permettono di rilevare comportamenti anomali che potrebbero essere causati da malware • Quando rilevano un comportamento anomalo chiedono all’utente cosa fare – ma se l’utente non sa cosa sia un firewall, non sa cosa rispondere! Informatica e Laboratorio Sergio Mascetti 37 Firewall, esempio • Esempio di messaggio per l’utente: – “Un programma sta tentando di accedere alla porta TCP 1034. Blocco la connessione?” • Significa che un programma sta tentando di comunicare in rete. Due possibilità: – se avete appena lanciato un’applicazione che comunica in rete (es: un programma di file sharing) allora non dovete bloccare. – altrimenti bloccate la connessione: potrebbe trattarsi di un malware che sta cercando di comunicare via rete. Informatica e Laboratorio Sergio Mascetti 38 Aggiornare il software • Abbiamo detto che molti virus si diffondono a causa di errori nel codice • Quando uno di questi errori viene individuato, di solito viene rilasciata una correzione (o “patch”) • È importante aggiornare regolarmente il sistema operativo e le altre applicazioni che usate. Informatica e Laboratorio Sergio Mascetti 39 Gli utenti consapevoli sono la migliore difesa • Alcuni concetti che vi possono aiutare ad avere sistemi più sicuri: – Multi-utenze – Incertezza sulla provenienza dei messaggi – Uso di backup – Password sicure Informatica e Laboratorio Sergio Mascetti 40 Multi-utenze • La maggior parte dei sistemi operativi recenti supportano l’accesso alla macchina da parte di diversi utenti con diversi diritti di accesso. – Alcuni utenti sono amministratori cioè possono modificare tutte le impostazioni di una macchina – Altri utenti hanno accesso limitato e non possono accedere ad alcune impostazioni. Informatica e Laboratorio Sergio Mascetti 41 Multi-utenze (2) • Principio base: se un utente esegue un programma, il programma ha gli stessi diritti di accesso dell’utente – questo vale anche per i virus! • Se accedete alla macchina come amministratori e prendete un virus: – il virus ha accesso illimitato alla vostra macchina • Se lavorate come utenti semplici: – anche se prendete un virus, questo potrà fare meno danni Informatica e Laboratorio Sergio Mascetti 42 Multi-utenze (3) • Come si procede di solito: si creano almeno due utenti – Un amministratore, per quando dovete installare un programma, modificare delle impostazioni del sistema, etc… – Un utente per l’utilizzo normale della macchina Informatica e Laboratorio Sergio Mascetti 43 Incertezza sulla provenienza (e sul contenuto) dei messaggi • In Internet circolano molti messaggi il cui scopo è imbrogliare gli utenti ingenui: – Mail, messaggi istantanei, etc… • Non si tratta solo di virus, ma anche di semplici frodi. • Quando ricevi un messaggio, anche da una persona nota, ricordati che quel messaggio potrebbe non arrivare veramente da lui – per esempio, alcuni virus spediscono dei messaggi a tutti i contatti nella rubrica. Informatica e Laboratorio Sergio Mascetti 44 Non fatevi fregare • Nessuno vi chiederà (mai!) la vostra password via posta elettronica (perché non è sicuro). – Se vi viene richiesta una password via email, è una truffa. • Moltissime catene via mail sono fatte esclusivamente per raccogliere indirizzi di email da usare per lo spam – Es: “l’azienda XYZ ti darà 100$ se mandi questa mail ad almeno 30 persone” • Ci sono mille altri modi per truffare gli ingenui: pensate prima di agire. Informatica e Laboratorio Sergio Mascetti 45 Uso di backup • A causa di virus o di problemi hardware i dati vengono regolarmente persi: – Il problema non è “se verranno persi”, ma “quando” • C’è una soluzione: fate un backup (=copia di sicurezza) su un supporto esterno (hard disk o DVD) – per esperienza: gli utenti iniziano a fare il backup dei propri dati dopo che li hanno persi una volta. • In ambito personale è brutto perdere i dati – In ambito lavorativo è inaccettabile Informatica e Laboratorio Sergio Mascetti 46 Identificazione degli utenti • Per poter garantire la sicurezza è necessario identificare gli utenti • Come si possono identificare gli utenti? – Da ciò che hanno: • Es: tessera magnetica – Da ciò che sono: • Es: scansione della retina, impronte digitali – Da ciò che sanno: • Es: una parola segreta (password) Informatica e Laboratorio Sergio Mascetti 47 Le password • Strumento di identificazione molto diffuso – non richiede hardware apposito (come un lettore di impronte digitali) – permette un discreto livello di sicurezza • a patto che le password siano usate con accortezza Informatica e Laboratorio Sergio Mascetti 48 Come vengono usate le password • Quando l’utente sceglie la password, una funzione (di cifratura) viene applicata – la funzione ha la proprietà di essere molto difficile da invertire • Noto x è facile calcolare f(x). Noto y è molto difficile calcolare x tale che f(x) = y. – la password (cifrata) viene memorizzata – esempio di password cifrata: $tpUk9dlmYsavwW1U8wPkI/ • Quando si richiede la password – la stessa funzione viene applicata alla password inserita – se il risultato è uguale a quello memorizzato, si ha l’accesso Informatica e Laboratorio Sergio Mascetti 49 Attacco a forza bruta • Un avversario che vuole trovare una password che non conosce, può provare tutte le combinazioni possibili • Quante sono le password possibili? – supponiamo che ogni carattere della password possa avere 100 valori diversi (minuscole, maiuscole, numeri, alcuni segni di punteggiatura) – se la password è lunga 1 carattere: 100 possibili password – se la password è lunga 2 caratteri: 1002 possibili password – se la password è lunga n caratteri: 100n possibili password Informatica e Laboratorio Sergio Mascetti 50 Attacco forza bruta (cont.) • La complessità computazionale del problema “trova la password con la tecnica brute force” è esponenziale rispetto alla lunghezza della password – quindi, in pratica, non computabile per un numero di caratteri superiore a 7 o 8 • 1008 = 10.000.000.000.000.000 • Morale: se volete usare una password resistente contro questo attacco, createla lunga almeno 7 o 8 caratteri Informatica e Laboratorio Sergio Mascetti 51 Attacchi basati su dizionario • Gli utenti molto (troppo!) spesso usano parole di senso compiuto come password: – nomi comuni o propri • Oppure semplici varianti di questi nomi: – nomi seguiti da un numero – concatenazione di nomi • Il numero di queste parole è molto inferiore rispetto al numero di combinazioni di caratteri che devono essere provate con la tecnica brute force. Informatica e Laboratorio Sergio Mascetti 52 Attacchi basati su dizionario (2) • Esistono degli elenchi di nomi, parole e semplici concatenazioni di queste con numeri • In un attacco basato su dizionario l’attaccante prova ad utilizzare le parole contenute in questi elenchi per avere l’accesso • Da un esperimento svolto sulle password degli studenti nei laboratori di informatica qualche anno fa: – Il 40% delle password sono state violate in 5 minuti mediante un attacco basato su dizionario. Informatica e Laboratorio Sergio Mascetti 53 Come scegliere una password • Obiettivo: – lunga almeno 7 caratteri – non una parola di senso compiuto (o una semplice concatenazione) – dovete ricordarla! – meglio se contiene anche numeri (e segni di punteggiatura, se consentito dal sistema) • Una tecnica (ne esistono tante): pensate ad una frase che ricordate a memoria ed usate le iniziali – esempio: “44 gatti in fila per 6” 44gifp6 Informatica e Laboratorio Sergio Mascetti 54 Come usare le password • In teoria: – Sarebbe meglio avere una password diversa per ogni servizio che usate • Nella pratica: – Sono troppe le password da ricordare – Se non si usa un programma di gestione delle password (ancora poco diffusi) è complicato • Consigli: – Usate alcune password (almeno 3 o 4) e differenziatele in base all’importanza • Es: non usate per un gioco online la stessa password che usate per la banca! – Cambiate regolarmente le password Informatica e Laboratorio Sergio Mascetti 55 Terza parte: La privacy “che c’entra con la sicurezza?” Informatica e Laboratorio Sergio Mascetti 56 Diritto alla privacy • Privacy riconosciuta a livello legale a livello nazionale e sovrannazionale. Es: – Dichiarazione Europea dei diritti dell’uomo; – Legge 675/96 Informatica e Laboratorio Sergio Mascetti 57 Cos’è la privacy? • Non è semplice fornire una definizione puntuale di privacy – spesso dipende dal contesto • Una definizione generale: – “Privacy: diritto di una persona di scegliere liberamente in quali circostanze e fino a che punto rivelare agli altri se stessa, il proprio atteggiamento e il proprio comportamento” (dal “Fluency”) • Le leggi tutelano alcune tipologie di informazioni ritenute particolarmente sensibili: – informazioni mediche, orientamento sessuale, religioso, politico. Sergio Mascetti 58 La privacy e il trattamento automatico dell’informazione • Tecnologie moderne permettono di: – acquisire enormi quantità di dati, memorizzarle, condividerle – effettuare ragionamenti su queste informazioni per derivarne altre • Esempio di ragionamento: – supponete di avere una tessera di fidelizzazione di un supermercato – se un cliente compra cibo per gatti quasi tutte le settimane avrà un gatto. Informatica e Laboratorio Sergio Mascetti 59 “Vabbé, ma cosa mi importa se sanno che ho un gatto?” • Che diritto hanno di sapere qualcosa su di me che io non voglio che loro sappiano? • Se al posto del cibo per gatti, voi compraste delle medicine? – quali informazioni potrebbero scoprire su di voi? – cosa potrebbero farne di queste informazioni? Informatica e Laboratorio Sergio Mascetti 60 “Ma a volte mi sta bene che sappiano qualcosa di me” • Se il supermercato sa che ho un gatto, mi può spedire pubblicità mirata con le promozioni che mi possono interessare – es: sconti sulla pappa per gatti • Dov’è il limite tra i vantaggi del rilascio di informazioni private e la violazione della privacy? Informatica e Laboratorio Sergio Mascetti 61 Il problema della privacy, in generale • Non solo le informazioni che rilasciamo esplicitamente possono essere usate per violare la nostra privacy – ma anche le informazioni derivate • La privacy assoluta (ormai) non esiste – necessario trovare compromessi tra privacy e altre esigenze (sicurezza pubblica, vantaggi derivanti dal rilascio di informazioni personali) Informatica e Laboratorio Sergio Mascetti 62 Bisogna avere il controllo • L’utente deve poter avere il controllo sulle informazioni che vengono rilasciate: – So quali informazioni rilascio? – Posso sapere quali informazioni un ente ha su di me? – Posso cancellare le mie informazioni quando voglio? • Questi diritti sono garantiti dalla legge – ma sono veramente applicabili? Informatica e Laboratorio Sergio Mascetti 63 La posizione degli utenti e la privacy • Già ora esistono alcuni servizi che sono forniti sulla base della locazione degli utenti – – – – es: dov’è la pizzeria più vicina (programma AroundMe per iPhone) es: dimmi quando c’è un mio amico vicino a me (Google Latitude) es: social network geo-referenziati (es: estensioni per Facebook) sono detti “servizi basati sulla locazione” • Alcuni cellulari forniscono periodicamente la locazione dell’utente (es: HTC Magic con sistema operativo Android) • In futuro si diffonderanno molto • Gli utenti comunicano spesso la loro posizione ad un fornitore di servizi. – e la privacy? Informatica e Laboratorio Sergio Mascetti 64 La posizione degli utenti e la privacy • Cosa può derivare un attaccante che riesce ad ottenere queste informazioni? – qual è l’identità dell’utente che ha fatto la richiesta (anche se l’utente non lo dice esplicitamente) – dove è stato l’utente: quindi molte informazioni personali. Ad esempio: quali locali frequenta? E’ stato in ospedale? E’ stato alla manifestazione? • Il mio ambito di ricerca è questo: – come è possibile fornire questi servizi garantendo formalmente la privacy degli utenti? – “che noia mortale” penserete voi... vi sbagliate! Informatica e Laboratorio Sergio Mascetti 65 Quarta parte: Conclusioni “Accidenti, ci ha detto tantissime cose....” Informatica e Laboratorio Sergio Mascetti 66 Riepilogo • Abbiamo visto cosa si intende con sicurezza informatica: – cosa si vuole proteggere – chi potrebbe essere l’avversario • Idea generale della crittografia: – rendere comprensibili delle informazioni solo a chi è in possesso della chiave per decifrare • Due tipi di crittografia: – a chiave simmetrica – a chiave asimmetrica (o pubblica) Informatica e Laboratorio Sergio Mascetti 67 Riepilogo (cont.) • Abbiamo introdotto il concetto di malware: – cioè software che ha lo scopo di compiere azioni illecite • Abbiamo visto alcuni semplici principi per avere maggiore sicurezza nella pratica Informatica e Laboratorio Sergio Mascetti 68 Riepilogo (3) • Il problema della privacy: – tutela legale e consapevolezza del rischio. • Un esempio di ricerca in ambito informatico Informatica e Laboratorio Sergio Mascetti 69 Glossario • • • • • • Confidenzialità, integrità, disponibilità L’operatore logico XOR Cifratura e decifratura Cifratura a chiave simmetrica e asimmetrica Virus (in termine tecnico), malware, exploit Attacchi a forza bruta (o bruteforce) e attacchi basati su dizionario Informatica e Laboratorio Sergio Mascetti 70