I futuri scenari della sicurezza informatica Danilo Bruschi Dip. Informatica e Comunicazione Università degli Studi di Milano Sommario • Breve rassegna dei principali attacchi in rete • Scenari futuri • Breve rassegna sulle strategie introdotte per • • • far fronte al problema Analisi delle strategie Nuove proposte Conclusioni Roma 06/2004 Passato • Attacchi a siti istituzionali e grandi aziende (Internet worm, Citibank, DoD, CIA ecc.) • Hacker i protagonisti della scena • Molti attacchi distruttivi • Virus relativamente lenti a diffondersi e particolarmente distruttivi Roma 06/2004 Presente • Relativo abbandono degli attacchi in stile “hacker” • Molti virus Molti veloci ma poco distruttivi Alcuni lenti ma molto distruttivi • Graduale abbandono della email come meccanismo di infezione • Crescente numero di sistemi utenti obiettivo di intrusione • Diffusione di spyware • Digital Identity theft Roma 06/2004 FUTURO • Il virus perfetto: molto veloce e distruttivo, che possa distruggere la rete prima che sia individuato il suo antivirus • I nuovi obiettivi degli attacchi informatici: Singoli ed i loro dati personali Singoli ed i loro sistemi Le nuove tecnologie: PDA, cellulari, Wi-Fi, elettrodomestici Roma 06/2004 Strategie - Passato • Molta enfasi sulla repressione: Leggi e convenzioni sul cybercrime Leggi e convenzioni sui diritti d’autore in rete • Molta enfasi sull’imposizione: legge sulla privacy Invio bilanci on-line • Abbastanza enfasi sulla risposta: CERT Roma 06/2004 …ma il bit non è l’atomo (I) • La repressione non è efficace: Nascondere le proprie tracce in rete non è difficile Avere false identità in rete non è difficile • L’imposizione è diseducativa Rallenta il processo di apprendimento Allontana l’utente dalle tecnologie Roma 06/2004 …ma il bit non è l’atomo (II) • La rivoluzione informatica ha sconvolto i paradigmi di riferimento e se nell’era dell’atomo repressione e imposizione potevano essere efficaci • Nell’era del bit Prevenzione, Sensibilizzazione e Formazione assumono un ruolo preponderante Roma 06/2004 Prevenzione (privacy) • Il problema non è solo proteggere i dati raccolti, ma evitare che si raccolgano • Tutti i servizi informatici hanno bisogno di una identificazione? Sulla rete è possibile fare acquisti in maniera assolutamente anonima (digital cash) Esistono sistemi per accedere a servizi a pagamento in modo anonimo (Anonymous credential Esistono sistemi per accedere in modo autorizzato e anonimo a qualunque servizio di rete Roma 06/2004 Prevenzione (security) • Ogni PC (specialmente se connesso in • banda larga) è oggi una potenziale “arma” Sulla base di questa considerazione abbiamo sviluppato un sistema per disarmare i computer Il sistema rende innocuo un qualunque PC Basato sul principio “proteggi gli altri da te stesso” invece che “proteggiti dalla rete” Ha ricevuto molta attenzione dalla comunità scientifica internazionale Roma 06/2004 Il problema è la governance • Viviamo in una fase storica in cui ad un mutamento della società verso una società del bit, non è ancora corrisposto un mutamento della classe dirigente (gran parte) verso la BIT GENERATION • Il risultato: Difficoltà nello sfruttamento delle potenzialità delle nuove tecnologie Difficoltà nel predisporre progetti innovativi Uso poco appropriato delle tecnologie Arretratezza della società civile Roma 06/2004 Conclusioni “Technological progress is like an axe in the hands of a pathological criminal “ Albert Einstein Roma 06/2004