Recenti sviluppi della sicurezza ICT

1
Recenti sviluppi della sicurezza ICT

• Prof. Alfredo De Santis
• Dipartimento di Informatica ed Applicazioni R.M.
  Capocelli
• Università degli Studi di Salerno
• Fisciano (SA), 30 Novembre 2005

2
INTERPHONET
3
Recenti problematiche per Internet

• Malware
• Virus, cavalli di troia, adware, spyware, etc.
• Rintracciabilità
• Furto didentità
• Pharming
• Phishing

Stesse problematiche anche in Interphonet
4
Rintracciabilità

• Rintracciabilità in Internet
• Lorigine di una comunicazione è associata ad un
  indirizzo IP dellapparato
• E difficile rintracciare un indirizzo IP se si
  utilizzano tecniche di anonimia
• Rintracciabilità su reti telefoniche fisse o
  mobili
• Lorigine di una comunicazione è il numero
  dellutenza
• Più facile che su Internet

In caso di indagine, rintracciare lorigine è
solo il primo passo per rintracciare un utente
5
Rintracciabilità in Interphonet VoIP

• VoIP permette ad un utente di Internet di
  avere un numero telefonico
• Si chiama/risponde tramite un computer connesso
  ad Internet
• Si possono avere numeri regolari in tempi
  brevissimi, gratuitamente e con un alto grado di
  anonimato
• Ad esempio 06-12345678
• Lutilizzatore del servizio può trovarsi
  fisicamente in qualsiasi punto della rete
  Internet (ad esempio in unaltra nazione)

Anche per un utente esperto è difficile
distinguere un numero VoIP da un numero della
rete fissa tradizionale Un numero VoIP nasconde
la reale posizione geografica di chi lo utilizza
6
Rintracciabilità in Interphonet

• Una comunicazione VoIP può avere come origine o
  destinazione le reti mobili o fisse
• Rintracciare un utente del servizio VoIP vuol
  dire rintracciarlo in Interphonet
• Se un utente VoIP usa le tecniche di anonimia per
  Internet rintracciarlo è difficile

7
Pharming
Un malintenzionato può avvantaggiarsi del
servizio di VoIP per lanciare attacchi di
pharming
Installazione di un IVR raggiungibile al
089-1234567 (VoIP)

• Un attacco di pharming dirotta
• le chiamate della vittima

INTERNET
PSTN
Lutente digita il numero della sua banca, ma in
realtà chiama 089-1234567
8
SMS falsi

• SMS vengono inseriti nella rete di telefonia
  mobile tramite Internet
• Appositi servizi Web
• Lindirizzo del mittente viene specificato
  dallutente
• Si può inserire un qualsiasi numero

9
Phishing con SMS falsi
Mittente Banca Rella Comunicazione URGENTE,
chiamare al 089-1234567
Buongiorno, è la Banca Rella, mi servirebbero
informazioni sul suo Conto
INTERNET
10
M-commerce

• Prevede lutilizzo di dispositivi mobili per
• Acquisto o vendita di prodotti
• Accesso ad informazioni
• Transazioni finanziarie
• Diversi sistemi di pagamento basati su SMS
• Acquisto biglietti trasporto pubblico con
  addebito su carta di credito (Ticketless di
  Trenitalia e BIT di ATAC)
• Acquisto loghi e suonerie per cellulari (con
  addebito su SIM)
• Pagamento parcheggio

11
Acquisti via SMSun semplice esempio

• Basta inviare un SMS per farsi addebitare su SIM
  il costo di loghi e suonerie per cellulari

• Problemi di sicurezza
• Gli SMS possono essere falsificati
• Lutente può ripudiare lacquisto

Cliente
Mercante
12
Acquisti via SMSun esempio più complesso
Banca
Cliente
Mercante
13
Acquisti via SMSun esempio più complesso
Banca
Cliente
Mercante
14
Punti deboli della sicurezza in Interphonet

• Pharming e Phishing hanno successo perché è
  possibile impersonare un altro utente

Manca l autenticazione tra i due end-point in
una connessione

• Si possono carpire informazioni riservate anche
  intercettando le comunicazioni mobili
• La cifratura del GSM è debole

Manca una cifratura forte end-to-end a garanzia
della privatezza delle conversazioni
15
SPEECH Secure Personal End-to-End Communication
with Handheld

• Applicazione per PocketPC 2002 e superiori
• Permette conversazioni autenticate, cifrate e non
  ripudiabili
• Permette linvio di SMS cifrati ed autenticati
• Utilizzabile su rete GSM (9600 bps o superiori) e
  reti TCP/IP
• Non necessita di hardware dedicato
• Dipartimento di Informatica ed Applicazioni R.M.
  Capocelli
• Provincia di Salerno

16
Come funziona SPEECH
A stabilisce un canale di comunicazione con B
La mutua autenticazione tra A e B avviene tramite
certificati digitali (SSL)
B
A
A e B negoziano una chiave di cifratura
La conversazione è cifrata con un elevato livello
di sicurezza tramite AES
A e B firmano la registrazione digitale della
conversazione e si scambiano la firma
Autenticazione, confidenzialità e non ripudio
sono garantiti dai più moderni, noti e robusti
algoritmi conosciuti
17
Servizi di call-center banche

• La mutua autenticazione previene il furto di
  identità Phishing e Pharming falliscono
• La cifratura del canale garantisce la
  riservatezza della conversazione
• Il non ripudio della conversazione protegge sia
  la banca che il cliente da operazioni bancarie
  non autorizzate

INTERNET
PSTN
18
Altri scenari di utilizzo

• Acquisto e vendita di titoli azionari
• Militare/Investigativo
• Giudiziario
• Antispionaggio industriale
• Tutela della privacy

19
Key Escrow

• SPEECH dà la possibilità di decifrare la
  comunicazione ad un insieme di Agenzie
• Ogni agenzia singolarmente non è in grado di
  decifrare la comunicazione

Agenzia 1
Agenzia 2
A
B
20
Key Escrow

• SPEECH dà la possibilità di decifrare la
  comunicazione ad un insieme di Agenzie
• Ogni agenzia singolarmente non è in grado di
  decifrare la comunicazione

Agenzia 1
Agenzia 2
A
B

• La decifratura può essere richiesta
• solo da un giudice
• La privacy degli individui è garantita
• In casi estremi è consentita lintercettazione

21
Altri temi di ricerca e progetti attivi

• Informazioni nascoste nei documenti digitali
  (Office e PDF)
• E-voting
• Filesystem cifrato
• Time stamping
• Moneta elettronica e micro pagamenti
• Smart Card e sistemi di autenticazione

22
GRAZIE PER LATTENZIONE