Sicurezza e firma digitale

La sicurezza informatica come creazione di valore: non più solo

fattore di costo ma driver per la qualità e lo sviluppo

SICUREZZA EFIRMA DIGITALESICUREZZA EFIRMA DIGITALE

Direzione Centrale Tecnologia e Processi Area Sistemi

Patrizia Gabrieli

IndiceIndice

Pag. 2

Presentazione

La sicurezza nell’azienda Banca

La sicurezza informatica

La catena tecnologica della sicurezza

La firma digitale

http://images.google.it/imgres?imgurl=http://www.easyinks.com/triangle/gfx/lucchetto.jpg&imgrefurl=http://www.clyde.it/vita-da-clyde/sicurezza&h=231&w=312&sz=8&hl=it&start=49&um=1&tbnid=URY7qU-ZTvBq1M:&tbnh=87&tbnw=117&prev=/images%3Fq%3Dsicurezza%2Binformatica%26start%3D40%26ndsp%3D20%26um%3D1%26hl%3Dit%26lr%3Dlang_it%26sa%3DN

PresentazionePresentazione

Banca Marche sviluppa la propria

attività prevalentemente nelle Marche,

territorio di tradizionale insediamento, ma

allarga il proprio raggio di azione anche

all'Italia centrale (Emilia Romagna,

Abruzzo, Molise, Umbria, Lazio) dove

intende fortemente ampliare la propria

azione.

La storia - Banca Marche nasce nel 1995 dalla fusione di tre casse di risparmio, Jesi, Pesaro e Macerata che si uniscono per creare una grande banca del territorio.

Struttura Societaria Banca Marche Carilo – Cassa di Risparmio di Loreto S.p.A. Focus Gestioni S.G.R. S.p.A. Medioleasing S.p.A. Banca delle Marche Gestione Internazionale Lux S.A.

Organico Oggi Banca Marche conta 300 sportelli e oltre 3.000 dipendenti che lavorano al servizio di circa 350.000 clienti.

Direzione Centrale Tecnologia e Processi

Pag. 3

IndiceIndice

Pag. 4

Presentazione




La firma digitale


La sicurezza nell'azienda BANCALa sicurezza nell'azienda BANCA


Pag. 5

http://images.google.it/imgres?imgurl=http://www.rtsi.ch/prog/images/Trasm/stretta_mano_fiducia_amicizia_patto-b.jpg&imgrefurl=http://www.forum.rai.it/lofiversion/index.php/t80383.html&h=200&w=320&sz=7&hl=it&start=1&tbnid=V6pnwQFls42DgM:&tbnh=74&tbnw=118&prev=/images%3Fq%3Dstretta%2Bmano%2Bfiducia%26gbv%3D2%26hl%3Dit%26sa%3DG



Pag. 6

Da un servizio di difesa delle infrastrutture

A un servizio di supporto al cliente e alle strategie del business



Pag. 7

Sono elementi fondamentali per lo sviluppo del mercato

Offrire fiducia, attraverso servizi di sicurezza informatica a 360° che garantiscano affidabilità nel mondo virtuale della Rete, permettendo così ai clienti e agli utenti di comunicare e collaborare, scambiando dati, documenti ed informazioni online in piena sicurezza ed in linea con le normative attualmente vigenti.


Pag. 8



Pag. 9

Dall’ultimo rapporto dell’Antiphishing Work Group (APWG) (dic 2007)


IndiceIndice

Pag. 10

Presentazione




La firma digitale


La sicurezza informaticaLa sicurezza informatica


Pag. 11

L’interesse per la sicurezza nei sistemi

informatici è cresciuto negli ultimi anni in

funzione della loro diffusione, del ruolo sempre

più importante che essi hanno assunto nei

contesti in cui operano, della loro crescente

complessità, interconnessione e conseguente

esposizione a possibili attacchi

I dati e le informazioni elaborate e trattate dai

sistemi informativi rappresentano un

patrimonio di immenso valore: talvolta la

perdita, il danneggiamento, il furto o l’alte-

razione di dati possono provocare danni

incalcolabili fino a determinare l’impossi-bilità

di proseguire l’attività aziendale

Le società che svolgono attività su Internet sono quelle più esposte a tale rischio.



Pag. 12

http://images.google.it/imgres?imgurl=http://delpup.files.wordpress.com/2007/10/20070528jpg.jpg&imgrefurl=http://delpup.wordpress.com/2007/10/&h=360&w=450&sz=52&hl=it&start=151&um=1&tbnid=hOWra_TT5kI8HM:&tbnh=102&tbnw=127&prev=/images%3Fq%3Dsicurezza%2Binformatica%26start%3D140%26ndsp%3D20%26um%3D1%26hl%3Dit%26lr%3Dlang_it%26sa%3DN



Pag. 13

Come scegliere una password sicura

La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password……….

Come scegliere una password sicura

La scelta di una password sicura è un aspetto di fondamentale importanza per accedere ai servizi in rete protetti; infatti, oltre a creare una chiave per accedere al sistema, si deve individuare un codice che sia difficilmente intercettabile, affinchè nessuno possa scoprirlo e utilizzarlo per scopi fraudolenti o di disturbo. Queste che vi illustriamo sono alcuni semplici regole che tutti gli utenti dovrebbero osservare per essere certi di scegliere e proteggere una buona password……….



Pag. 14

I rischi e i possibili attacchiI rischi e i possibili attacchi


Pag. 15

ACCESSO NON AUTORIZZATO: o utilizzo di servizi non autorizzati.

GUASTI: hardware e/o guasti di impianti, Disastri naturali.

INSERIMENTO DI DATI NON CORRETTI

VULNERABILITA’ delle applicazioni

VIRUS, PROGRAMMI SPIA: es WEB TROJAN che una volta installati su un PC senza nemmeno che l’utente se ne accorga, registrano e trasmettono le operazioni eseguite o addirittura modificano la configurazione del suo PC

PHISHING: “prendere all’amo” o "spillaggio di dati sensibili” è una tecnica che ha la finalità di ottenere i dati personali di un soggetto o informazioni riservate quali credenziali

SPAMMING: Invio di grandi quantità di messaggi indesiderati quali pubblicità indesiderata

SPOOFING: Sono diversi tipi di attacchi spoofing (WEB, SMS, e-MAIL, ecc..). Si tratta di far credere alla vittima che si è qualcosa di diverso acquisendo una reputazione maggiore

PHARMING: Si tratta di una tecnica fraudolenta con cui il “navigante” viene condotto su un sito clone di quello che intendeva raggiungere

FURTO D’IDENTITA’: furto delle credenziali di accesso

PROFILAZIONE O TRACCIAMENTO: Si tratta dell’attività volta a monitorare i dati personali di un soggetto con la finalità di acquisire le sue abitudini di vita, il lavoro svolto,ecc.


Pag. 16

Il PHISHINGIl PHISHINGIl PISHING è una tecnica che ha come obiettivo quello di convincere (Phishing significa prendere all’amo) le vittime a fornire modo inconsapevole le proprie credenziali di accesso a sistemi di E-commerce o di E-banking.Esistono diverse modalità di phishing, quella più comune è basata sull’utilizzo della e-mail.

Banche ed istituzioni non fanno mai richiesta dei dati personali a mezzo di una e-mail.

Altri attacchiAltri attacchi


Pag. 17

Visitando un sito web con un controllo

ActiveX, involontariamente si

installa un programma redirector che

altera il file HOST del PC o il contenuto

della cache DNS o l’indirizzo del DNS.

Quando l’utente si collega ad esempio al

sito della sua banca on-line, la

sessione viene reindirizzata, senza che

l’utente se ne accorga o sospetti nulla,

al sito web di un hacker.

L’utente apre e-mail apparentemente

legittima, che con messaggi

accattivanti invita ad aprire un file

allegato o a visitare un sito web.

Un programma nascosto nel sito,

installa sul PC dell’utente un lettore di

key-stroke in grado di catturare i

caratteri che l’utente digita sulla

tastiera ed in particolare il nome e la

password inseriti al login.

PHARMINGKEYSTORE LOGGING

IndiceIndice

Pag. 18

Presentazione




La firma digitale


La catena della sicurezzaLa catena della sicurezza


Pag. 19

http://images.google.it/imgres?imgurl=http://www.seledoro.it/images/chiave.jpg&imgrefurl=http://asteroideb612.blogs.it/2007/06/&h=1772&w=770&sz=110&hl=it&start=9&tbnid=m3MjaGxMrAB5VM:&tbnh=150&tbnw=65&prev=/images%3Fq%3Daprire%2Bporta%26gbv%3D2%26hl%3Dit


Pag. 20

La famiglia dei prodotti di internet banking Banca Marche comprende i seguenti servizi:

Inbank Imprese

Inbank Famiglie

Inbank i mercati a portata di Mouse

Inbank Enti Pubblici

E-bankingE-banking


Direzione Centrale Tecnologia e Processi Pag. 21

Accesso sicuro Comunicazione

sicura

Sistemi protetti dalle intrusioni

DATI, SW, HW affidabili

Identità sicura – Riservatezza – Integrità – Non Ripudio Firma digitale

12

3

4

5


Pag. 22

Accesso sicuroAccesso sicuro

Affidarsi ad un solo fattore di autenticazione (una password) può mettere seriamente a rischio la sicurezza: una password digitata sul PC può essere facilmente copiata o sottratta tramite uno degli innumerevoli software di cui gli hacker fanno uso.


Pag. 23

Accesso Sicuro - OTPAccesso Sicuro - OTP

L’OTP (One Time Password) è uno strumento estremamente sicuro e di semplice utilizzo, delle dimensioni di un portachiavi, che alla pressione di un pulsante visualizza un numero di 6 cifre da utilizzare come password di conferma delle disposizioni.

La sequenza di cifre deriva da una serie di grandezze segrete, ed è in funzione di un orario fornito da un “real time clock” interno al dispositivo. Ogni 36 secondi viene generata una nuova password completamente diversa e non connessa alla precedente, utilizzabile una sola volta. Dopo aver predisposto una disposizione di pagamento online, ed aver scelto di firmare, basta leggere il numero sul display dell’OTP ed inserirlo come richiesto nella procedura dell’internet banking.


Pag. 24

Il programma conserva tutte le

informazioni personali dentro se stesso in

modo protetto. Una volta che la penna

USB viene collegata a un qualunque Pc,

permette di usare quel computer, anche

se poco sicuro, per fare tutto, dall'e-

banking alla navigazione in rete all'uso

della posta elettronica e di documenti.

Ma, una volta che uno esce da Ceedo e

scollega la sua penna è come se

chiudesse la porta dietro di sè senza

lasciare alcuna traccia del suo passaggio.

I propri dati rimangono solo sul supporto

esterno su cui Ceedo è installato.

Il nuovo sistema di autenticazione e firma digitale, che è il sistema oggi più sicuro per gestire servizi online, è composto da un dispositivo hardware USB e da un programma (Ceedo).

Il possesso del dispositivo hw con memoria flash e del PIN sono i due elementi alla base del meccanismo di

“autenticazione forte a due fattori”

Accesso Sicuro – Firma DigitaleAccesso Sicuro – Firma Digitale


Pag. 25

Accesso Sicuro – Firma DigitaleAccesso Sicuro – Firma Digitale

Offrire fiducia attraverso i servizi di sicurezzaCon l’introduzione della firma digitale e l’attivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela:rapidità nell’attivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale);

massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato);

massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita);

possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti;

possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo contiene un’area di memoria di circa 100 MB a disposizione del cliente.

Offrire fiducia attraverso i servizi di sicurezzaCon l’introduzione della firma digitale e l’attivazione del nuovo processo di consegna dei kit, sono previsti i seguenti vantaggi per la clientela:rapidità nell’attivazione del servizio (già il giorno successivo alla sottoscrizione dello stesso in filiale);

massima sicurezza (la firma digitale rappresenta il massimo in termini di sicurezza oggi presente sul mercato);

massima versatilità (il token di firma può essere utilizzato su qualunque computer e non necessita di una postazione definita);

possibilità di utilizzare il token di firma anche al di fuori del servizio e-banking, per firmare digitalmente i propri documenti;

possibilità di utilizzare il token di firma come un normale dispositivo USB, per salvare file o quant’altro. Infatti il dispositivo contiene un’area di memoria di circa 100 MB a disposizione del cliente.


Pag. 26

Comunicazione SicuraComunicazione Sicura

Secure Sockets Layer (SSL) è un protocollo con cui si realizzano connessioni cifrate, e quindi,protette, su Internet.

HTTPS sintatticamente identico allo schema http:// ma con la differenza che tra il protocollo TCP e HTTP si interpone un livello di crittografia/autenticazione.In pratica viene creato un canale di comunicazione criptato tra il client e il server.

Questo canale garantisce che solamente il client e il server siano in grado di conoscere il contenuto della comunicazione.

http://it.wikipedia.org/wiki/Transmission_Control_Protocol

http://it.wikipedia.org/wiki/HTTP

http://it.wikipedia.org/wiki/Client

http://it.wikipedia.org/wiki/Server


Pag. 27

In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi.Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web.

In Internet Explorer verrà visualizzata l'icona di un lucchetto sulla barra dello stato di protezione. La barra dello stato di protezione è situata a destra della barra degli indirizzi.Il certificato utilizzato per crittografare la connessione contiene anche informazioni sull'identità del proprietario del sito Web o dell'organizzazione. Fare clic sul lucchetto per visualizzare l'identità del sito Web.

Comunicazione SicuraComunicazione Sicura

mshelp://windows/?id=fdc42cc7-7450-41f7-8b6b-43d0751b0320#gtmt_certificate_def

mshelp://windows/?id=fdc42cc7-7450-41f7-8b6b-43d0751b0320#gtmt_certificate_def


Pag. 28

La crittografiaLa crittografia

La crittografia è la scienza che si occupa di sviluppare metodi finalizzati a nascondere il contenuto di un messaggio tramite l’uso di un algoritmo e di una chiave.

La crittografia moderna si divide in due branche fondamentali:

La crittografia a chiave simmetrica (una sola chiave)

La crittografia a chiave asimmetrica (due chiavi)

Crittografia SimmetricaCrittografia Simmetrica


Pag. 29

y=f(x) Algoritmo basato su:

- Alfabeto in chiaro- Alfabeto cifrante

Chiave costituita dall’offset tra i due alfabeti (ad es. 3)

Messaggio in chiaro: “salve mondo”

Messaggio crittato:”vdoyh prqgr”

Sicurezza (autenticazione debole dell’interlocutore): “paternità” e “non ripudio” non sono possibili

Lo scambio della chiave condivisa deve avvenire attraverso un canale sicuro Per n coppie di interlocutori sono necessarie n(n-1)/2 chiavi simmetriche distinte


Pag. 30

Crittografia a chiave simmetricaCrittografia a chiave simmetrica


Pag. 31

Crittografia a chiave asimmetricaCrittografia a chiave asimmetrica

Viene anche chiamata crittografia a chiave pubblica; ogni soggetto ha due chiavi:

Chiave pubblica: da distribuire a tutti i soggetti con i quali si vuole comunicare

Chiave privata: da tenere segreta

Ciò che viene cifrato con la chiave pubblica può essere decifrato solo con la chiave privata corrispondente (operazione che può essere fatta solo dal proprietario della chiave).

Gli algoritmi di questo tipo sono detti a chiave asimmetrica e il più noto di tutti è l’algoritmo RSA.

È nel 1978 che questo sistema trova la sua applicazione reale. Infatti sono 3 ricercatori del MIT (Ronald Rivest, Adi Shamir e Leonard Adleman) che hanno saputo implementare tale logica utilizzando particolari proprietà formali dei numeri primi con alcune centinaia di cifre. L'algoritmo da loro inventato viene denominato RSA per via delle iniziali dei loro cognomi.


Pag. 32

Crittografia a chiave asimmetricaCrittografia a chiave asimmetrica


Pag. 33

Combinazione di chiavi Combinazione di chiavi

Viene generata una chiave simmetrica utilizzabile una sola volta (chiave di sessione)

Il messaggio viene cifrato con la chiave di sessione

La chiave di sessione viene cifrata con la chiave pubblica del destinatario

Il protocollo SSL utilizza una combinazione tra crittografia a chiave segreta e crittografia a chiave asimmetrica:


Pag. 34

Combinazione di chiavi Combinazione di chiavi

CLIENT


Pag. 35

Secure Socket Layer (SSL) Secure Socket Layer (SSL)

Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia.

Gli utenti dovrebbero accorgersi delle manomissioni della chiave pubblica rilasciata con un certificato digitale, ricevendo un avvertimento da un pop-up circa un problema con il certificato. Quest'ultimo è molto simile a un certificato reale, però non è firmato da una Certification Authority di comprovata fiducia.


Pag. 36


CLIENT


Pag. 37


Nella crittografia asimmetrica, sussiste il problema di come ottenere la chiave pubblica di un altro utente, in modo fidato. Per risolvere questo problema, si ricorre all'esistenza di una terza parte, una sorta di garante, detta Certification Authority (CA).

La CA associa quindi alla chiave pubblica dei singoli individui, l'identità del legittimo proprietario, mediante l'emissione di un Certificato Digitale, che viene firmato utilizzando la propria chiave privata. Chi riceve il certificato firmato può verificare l'autenticità dello stesso (attraverso la chiave pubblica della CA).


Pag. 38

La catena della sicurezzaLa catena della sicurezzaReverse Proxy

Il PROXY è un’infrastruttura che si interpone tra il client e il server. Il client non parla direttamente con il server ma passa attraverso il proxy.

FirewallTutto il traffico della rete è soggetto alle regole (policy) definite nel Firewall.La Banca è dotata di una struttura di firewall a due livelli (interno ed esterno) per proteggersi da Internet e da Intranet.Sonde di Intrusion Detection (IDS)Nei punti nevralgici della rete sono state installate delle sonde IDS in grado di rilevare attività sospette sulla rete.Agiscono come “poliziotti di quartiere” analizzando gli eventi sulla rete comunicando alla “Centrale” (Security Operation Center) le attività riconducibili ad azioni criminose.

Un IDS può essere para-gonato ad un antifurto ed un firewall ad una porta blindata


Pag. 39

Sistemi protetti dalle intrusioniSistemi protetti dalle intrusioni


Pag. 40


Attraverso la virtualizzazione dei server è possibile garantire massima affidabilità dei sistemi e tempi rapidi di ripartenza in caso di guasto.La virtualizzazione dei server favorisce la standardizzazione e semplifica la gestione delle risorse.


Pag. 41


Date post:	01-Jan-2016
Category:	Documents
Upload:	richard-rivers
View:	35 times
Download:	0 times

Sicurezza e firma digitale

Documents