I futuri scenari della sicurezza informatica

I futuri scenari della
sicurezza informatica
Danilo Bruschi
Dip. Informatica e Comunicazione
Università degli Studi di Milano
Sommario
• Breve rassegna dei principali attacchi in rete
• Scenari futuri
• Breve rassegna sulle strategie introdotte per
•
•
•
far fronte al problema
Analisi delle strategie
Nuove proposte
Conclusioni
Roma 06/2004
Passato
• Attacchi a siti istituzionali e grandi aziende
(Internet worm, Citibank, DoD, CIA ecc.)
• Hacker i protagonisti della scena
• Molti attacchi distruttivi
• Virus relativamente lenti a diffondersi e
particolarmente distruttivi
Roma 06/2004
Presente
• Relativo abbandono degli attacchi in stile “hacker”
• Molti virus


Molti veloci ma poco distruttivi
Alcuni lenti ma molto distruttivi
• Graduale abbandono della email come meccanismo
di infezione
• Crescente numero di sistemi utenti obiettivo di
intrusione
• Diffusione di spyware
• Digital Identity theft
Roma 06/2004
FUTURO
• Il virus perfetto: molto veloce e distruttivo,
che possa distruggere la rete prima che sia
individuato il suo antivirus
• I nuovi obiettivi degli attacchi informatici:



Singoli ed i loro dati personali
Singoli ed i loro sistemi
Le nuove tecnologie: PDA, cellulari, Wi-Fi,
elettrodomestici
Roma 06/2004
Strategie - Passato
• Molta enfasi sulla repressione:


Leggi e convenzioni sul cybercrime
Leggi e convenzioni sui diritti d’autore in rete
• Molta enfasi sull’imposizione:


legge sulla privacy
Invio bilanci on-line
• Abbastanza enfasi sulla risposta:

CERT
Roma 06/2004
…ma il bit non è l’atomo (I)
• La repressione non è efficace:


Nascondere le proprie tracce in rete non è difficile
Avere false identità in rete non è difficile
• L’imposizione è diseducativa


Rallenta il processo di apprendimento
Allontana l’utente dalle tecnologie
Roma 06/2004
…ma il bit non è l’atomo (II)
• La rivoluzione informatica ha sconvolto i
paradigmi di riferimento e se nell’era
dell’atomo repressione e imposizione
potevano essere efficaci
• Nell’era del bit Prevenzione,
Sensibilizzazione e Formazione assumono
un ruolo preponderante
Roma 06/2004
Prevenzione (privacy)
• Il problema non è solo proteggere i dati raccolti, ma
evitare che si raccolgano
• Tutti i servizi informatici hanno bisogno di una
identificazione?



Sulla rete è possibile fare acquisti in maniera
assolutamente anonima (digital cash)
Esistono sistemi per accedere a servizi a pagamento in
modo anonimo (Anonymous credential
Esistono sistemi per accedere in modo autorizzato e
anonimo a qualunque servizio di rete
Roma 06/2004
Prevenzione (security)
• Ogni PC (specialmente se connesso in
•
banda larga) è oggi una potenziale “arma”
Sulla base di questa considerazione abbiamo
sviluppato un sistema per disarmare i
computer



Il sistema rende innocuo un qualunque PC
Basato sul principio “proteggi gli altri da te stesso”
invece che “proteggiti dalla rete”
Ha ricevuto molta attenzione dalla comunità
scientifica internazionale
Roma 06/2004
Il problema è la governance
• Viviamo in una fase storica in cui ad un mutamento
della società verso una società del bit, non è ancora
corrisposto un mutamento della classe dirigente
(gran parte) verso la BIT GENERATION
• Il risultato:




Difficoltà nello sfruttamento delle potenzialità delle nuove
tecnologie
Difficoltà nel predisporre progetti innovativi
Uso poco appropriato delle tecnologie
Arretratezza della società civile
Roma 06/2004
Conclusioni
“Technological progress is like an axe in the hands of a pathological criminal “
Albert Einstein
Roma 06/2004