Metodi e tecniche per la tutela e la protezione
dei dati personali
Alberto Russo - Consulenza [email protected]
www.WeWantWeb.it
Sicurezza sul Lavoro
Di cosa parleremo....
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 2
Di cosa parleremo....
Sicurezza Informatica
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 3
Di cosa parleremo....
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 4
Di cosa parleremo....
Protezione dei Dati nel PC● Scelta della password
● Protezione delle reti Wi-Fi
● Protezione dei file personali sul disco
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 5
Di cosa parleremo....
Protezione dei Dati nel PC● Scelta della password
● Protezione delle reti Wi-Fi
● Protezione dei file personali sul disco
Protezione durante la navigazione● Minacce informatiche
● Phishing e truffe telematiche
● La navigazione sicura con HTTPS
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 6
Di cosa parleremo....
Protezione dei Dati nel PC● Scelta della password
● Protezione delle reti Wi-Fi
● Protezione dei file personali sul disco
Protezione durante la navigazione● Minacce informatiche
● Phishing e truffe telematiche
● La navigazione sicura con HTTPS
Protezione delle comunicazioni● Comunicazione sincrona: Chat
● Comunicazione asincrona: Email
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 7
Di cosa parleremo....
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 8
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 9
Cifratura e Crittografia
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 10
Cifratura e Crittografia Cosa è la Crittografia
● La parola crittografia deriva dall'unione di due parole greche: κρυπτóς
(kryptós) che significa "nascosto", e γραφία (graphía) che significa
"scrittura" .
● Metodi per rendere un messaggio "offuscato" in modo da non essere
comprensibile a persone non autorizzate a leggerlo.
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 11
Cifratura e Crittografia Cosa è la Crittografia
● La parola crittografia deriva dall'unione di due parole greche: κρυπτóς
(kryptós) che significa "nascosto", e γραφία (graphía) che significa
"scrittura" .
● Metodi per rendere un messaggio "offuscato" in modo da non essere
comprensibile a persone non autorizzate a leggerlo.
La cifratura è l'applicazione di uno di questi metodi
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 12
Cifratura e Crittografia Cifratura simmetrica
● Si utilizza la stessa chiave (password) sia per cifrare che per decifrare un
messaggio
Cifratura asimmetrica
● Si utilizzano due chiavi una per cifrare e una per decifrare un messaggio
Glossario
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 13
Protocollo di comunicazione
● Insieme di regole che permettono la comunicazione tra 2 o più entità
Wi-FI
● Connettività Wireless (senza fili)
Client-Server
● Tipo di comunicazione che tra un PC che richiede un servizio ed un PC
che che esegue la richiesta
Falla di sicurezza
● Problema che può avere un qualunque sistema informatico
normalmente utilizzata per attacchi informatici
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 14
Scelta della password
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 15
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 16
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 17
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password● Password di facile intuizione (es. 1234, 0000, password, ecc.)
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 18
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password● Password di facile intuizione (es. 1234, 0000, password, ecc.)
● Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 19
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password● Password di facile intuizione (es. 1234, 0000, password, ecc.)
● Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
● Utilizzo di sequenze numeriche
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 20
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password● Password di facile intuizione (es. 1234, 0000, password, ecc.)
● Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
● Utilizzo di sequenze numeriche
● Utilizzo di parole di senso compiuto
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 21
Scelta della password Password di almeno 8 caratteri con lettere MAIUSCOLE/minuscole,
numeri e caratteri speciali (!”£$%&/=?^ì' ecc.)
Errori comuni nella scelta delle password● Password di facile intuizione (es. 1234, 0000, password, ecc.)
● Utilizzo di informazioni facili da reperire (es. nome e cognome, data di
nascita o di fidanzamento/matrimonio, nome dell'animale domestico,
ecc.)
● Utilizzo di sequenze numeriche
● Utilizzo di parole di senso compiuto
● Ecc.
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 22
Scoprire una password
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 23
Scoprire una password Attacco di forza bruta
● Utilizza la ricerca esaustiva (metodo forza bruta)
● Verifica tutte le password teoricamente possibili fino a che si trova
quella effettivamente corretta
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 24
Scoprire una password Attacco di forza bruta
● Utilizza la ricerca esaustiva (metodo forza bruta)
● Verifica tutte le password teoricamente possibili fino a che si trova
quella effettivamente corretta
Attacco a dizionario
● Verifica solo le password ritenute più probabili
● Queste password sono solitamente contenute in una lista (detta
dizionario) o un file
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 25
Fidarsi della propria password
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 26
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 27
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 28
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 29
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 30
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 31
Fidarsi della propria password Controllandola attraverso strumenti Web
● Utilizza strumenti web per testare la propria password
● Es. zxcvbn di Dropbox
Cambiarla abbastanza spesso
Non utilizzarla su siti poco fidati (utilizzare una password non
importante)
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Non dare la tua password a nessuno!
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 32
Protezione delle reti Wi-Fi
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 33
Protezione delle reti Wi-Fi 4 tipi di chiavi di sicurezza
● Aperta (nessuna chiave di accesso)
● WEP
● WPA
● WPA2
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 34
Protezione delle reti Wi-Fi 4 tipi di chiavi di sicurezza
● Aperta (nessuna chiave di accesso)
● WEP
● WPA
● WPA2
Scopo della chiave di protezione ???
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 35
Protezione delle reti Wi-Fi 4 tipi di chiavi di sicurezza
● Aperta (nessuna chiave di accesso)
● WEP
● WPA
● WPA2
Scopo della chiave di protezione
● Evitare accessi indesiderati (conservazione della banda internet)
● Cifratura delle comunicazioni tra il PC ed il router/modem/access-point
Wi-Fi
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 36
Scoprire la chiave di protezione del Wi-Fi
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 37
Scoprire la chiave di protezione del Wi-Fi Chiave WEP
● Si può scoprire facilmente (< 30 min) ChopChop e Fragmentation
attack
● Vulnerabile anche se non vi sono utenti collegati
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 38
Scoprire la chiave di protezione del Wi-Fi Chiave WEP
● Si può scoprire facilmente (< 30 min) ChopChop e Fragmentation
attack
● Vulnerabile anche se non vi sono utenti collegati
Chiave WPA
● Anche questa è vulnerabile
● Il tempo per scoprirla è proporzionale alla lunghezza e alla complessità
● Ha bisogno che vi siano utenti collegati
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 39
Scoprire la chiave di protezione del Wi-Fi Chiave WEP
● Si può scoprire facilmente (t < 30min) ChopChop e Fragmentation
attack
● Vulnerabile anche se non vi sono utenti collegati
Chiave WPA
● Anche questa è vulnerabile
● Il tempo per scoprirla è proporzionale alla lunghezza e alla complessità
● Ha bisogno che vi siano utenti collegati
Chiave WPA2
● Vulnerabile, ma solo se la password di rete è debole
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 40
Fidarsi della propria chiave di rete
Vedi PASSWORD
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 41
Protezione dei file presenti sul disco
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 42
Protezione dei file presenti sul disco Evitare la rimozione o la modifica non autorizzata e non voluta dei dati
sul disco
● Utilizzo di algoritmi e software per la cifratura dei file e dei dischi
● Utilizzo di sistemi per il salvataggio dei file (Backup)
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 43
Processo di cifratura
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 44
Processo di cifratura Testo o file da cifrare, es. “Alberto Russo”
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 45
Processo di cifratura Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
● Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 46
Processo di cifratura Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
● Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
● es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 47
Processo di cifratura Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
● Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
● es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Solo chi conosce la chiave può decifrare il testo
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 48
Processo di cifratura Testo o file da cifrare, es. “Alberto Russo”
L'algoritmo chiede un chiave per la cifratura
● Una password che dobbiamo conoscere solo noi, es.
“PoN2012.sicurezza”
L'algoritmo utilizza la chiave inserita per cifrare il testo o file
● es. “==KbBethDtoTMtXN8dt9s6k/KYAQKYQl+11PEozrbM294=”
Solo chi conosce la chiave può decifrare il testo
Test: EncryptOrDecrypt
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 49
Algoritmi di cifratura AES
● Advanced Encryption Standard
● Standard del governo degli Stati Uniti d'America
● Conosciuto anche con il nome Rijndael
● 1° posto nel 1997 al “Processo di standardizzazione dell'Advanced
Encryption Standard”
Serpent
● 2° posto nel 1997 al “Processo di standardizzazione dell'Advanced
Encryption Standard”
Twofish
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 50
Strumenti per la cifratura TrueCrypt
● www.truecrypt.org
● Cifratura di singoli file o interi dischi
● Utilizza AES, Serpent e Twofish
● Possibilità di utilizzarli a cascata
● Open Source
● Versioni per Windows, Mac OS e Linux
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 51
Backup
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 52
Backup Creare copie di backup
● Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 53
Backup Creare copie di backup
● Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Dove eseguire un backup?
● Per uso personale: in un hard disk esterno
● Per un uso aziendale: su nastri magnetici
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 54
Backup Creare copie di backup
● Copiare una serie di file per un eventuale ripristino dopo una
cancellazione o modifica non voluta.
Dove eseguire un backup?
● Per uso personale: in un hard disk esterno
● Per un uso aziendale: su nastri magnetici
Tipi di backup
● Completo
● Incrementale
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 55
Backup Quando creare copie di backup
● Backup incrementale: 1 volta a settimana
● Backup completo: 1 volta al mese
Protezione dei Dati nel PC
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 56
Strumenti per il Backup Windows
● Cobian Backup
● www.cobiansoft.com
● Utilizzo di cifratura dei backup
Mac OS
● Time Machine
● Incluso in Mac OS X v10.5 e versioni successive
Linux
● Déjà Dup
● launchpad.net/deja-dup
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 57
Minacce informatiche Virus
● È codice malevolo
● Si diffondono da un computer a un altro tramite lo spostamento di file
infetti ad opera degli utenti
● Il loro scopo non è sempre quello di far danni
Trojan horse
● Permette l'accesso remoto non autorizzato al PC
● Non possiedono funzioni di auto-replicazione fino alle password
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 58
Minacce informatiche Spyware
● Raccolgono informazioni dal sistema su cui sono installati e per
trasmetterle ad un destinatario interessato
● Le informazioni carpite possono andare dalle abitudini di navigazione
fino alle password
Keylogger
● Programma in grado di registrare tutto ciò che un utente digita su una
tastiera o che copia e incolla
● Modalità silenziosa
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 59
Come difendersi dalle minacce
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 60
Come difendersi dalle minacce Antivirus e antispyware
● Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
● Esistono molti antivirus per uso personale (CASA) gratuiti
● Per uso professionale bisogna acquistarne uno a pagamento
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 61
Come difendersi dalle minacce Antivirus e antispyware
● Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
● Esistono molti antivirus per uso personale (CASA) gratuiti
● Per uso professionale bisogna acquistarne uno a pagamento
Navigare con criterio
● Non scaricare e aprire file .exe se questi non vengono da fonti certe
● Non aprire allegati di mail se questi non erano previsti
● Limitare l'uso del peer to peer (p2p) es. Emule, torrent, ecc.
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 62
Come difendersi dalle minacce Antivirus e antispyware
● Software per il controllo in tempo reale e dell'intero disco per
controllare la presenza di minacce
● Esistono molti antivirus per uso personale (CASA) gratuiti
● Per uso professionale bisogna acquistarne uno a pagamento
Navigare con criterio
● Non scaricare e aprire file .exe se questi non vengono da fonti certe
● Non aprire allegati di mail se questi non erano previsti
● Limitare l'uso del peer to peer (p2p) es. Emule, torrent, ecc.
Aggiornare sempre programmi e sistema operativo
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 63
Phishing e truffe telematiche
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 64
Phishing e truffe telematiche Ingegneria sociale
● Intende lo studio del comportamento individuale di una persona al fine
di carpire informazioni utili
● Viene utilizzata in campo informatico dai cracker, per trovare
informazioni utili per accedere ai suoi sistemi informatici
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 65
Phishing e truffe telematiche Ingegneria sociale
● Intende lo studio del comportamento individuale di una persona al fine
di carpire informazioni utili
● Viene utilizzata in campo informatico dai cracker, per trovare
informazioni utili per accedere ai suoi sistemi informatici
Phishing
● Particolare tipo di Ingegneria sociale
● Si utilizza una mail per attirare l'utente su un sito per poi estrorcere
informazioni importanti
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 66
Difendersi dal Phishing Ingegneria sociale
● Evitare di accettare amicizie non tali sui social network
● Non inserire informazioni troppo personali su internet
Phishing
● Le società bancarie e assicurative non chiedono MAI le credenziali di
accesso tramite mail
● Utilizzare browser che avvertono della contraffazione del sito
● Prima di inserire dati importanti controlla sempre l'indirizzo web del sito
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 67
La navigazione sicura con HTTPS HTTPS
● Protocollo di comunicazione
● HyperText Transfer Protocol over Secure Socket Layer
● Utilizza una cifratura di tipo asimmetrico (SSL/TLS)
Funzionamento
● Utilizzo di un certificato digitale ovvero un documento elettronico che
associa l'identità di una persona ad una chiave pubblica
● Impedire intercettazioni dei contenuti che potrebbero essere effettuati
tramite la tecnica di attacco del man in the middle
Protezione durante la navigazione
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 68
Utilizzare HTTPS Attivare il protocollo https
● I siti più importanti hanno la possibilità di utilizzare https
● Impostare la connessione sicura tra le opzioni di questi siti
● Utilizzare programmi che forzino l'utilizzo di questo protocollo
Firefox e Chrome
● HTTPS Everywhere
● www.eff.org/https-everywhere
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 69
Comunicazione sincrona: Chat XMPP
● Protocollo di comunicazione
● Extensible Messaging and Presence Protocol
● È usato da Facebook, Google e tra un po' anche MSN
● Comunicazione Client-Server e Server-Client
Sicurezza
● Uso di crittografia a simmetrica (TLS)
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 70
Problemi di sicurezza TLS
● Utilizzo di crittografia non è obbligatorio
Keylogger o Spyware
● Se presente un keylogger o uno spyware sul PC essi possono registrare
la conversazione in uscita
Soluzione
● Controllare se presente un meccanismo di crittografia (Facebook)
● Munirsi di antivirus
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 71
Comunicazione asincrona: Email POP3 e IMAP
● Protocollo di comunicazione
● Utilizzati per la ricezione di messaggi di posta
● Comunicazione Client-Server e Server-Client
Sicurezza
● Protocollo di comunicazione
● Utilizzati per l'invio dei messaggi di posta
● Comunicazione Client-Server e Server-Client
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 72
Sicurezza nelle Email
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 73
Sicurezza nelle Email Crittografia simmetrica
● Problema dell'invio della chiave
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 74
Sicurezza nelle Email Crittografia simmetrica
● Problema dell'invio della chiave
Crittografia asimmetrica
● Chiave pubblica
● Chiave privata
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 75
Sicurezza nelle Email Crittografia simmetrica
● Problema dell'invio della chiave
Crittografia asimmetrica
● Chiave pubblica
● Chiave privata
PGP e GNUPG
● crittografia a chiave pubblica
● www.gnupg.org
Protezione delle comuncazioni
Alberto Russo - [email protected] - Metodi e tecniche per la tutela e la protezione dei dati personali - 76
Sicurezza nelle Email Crittografia simmetrica
● Problema dell'invio della chiave
Crittografia asimmetrica
● Chiave pubblica
● Chiave privata
PGP e GNUPG
● crittografia a chiave pubblica
● Esempio
Rimane sempre il problema della complessità della chiave