La sicurezza nelle tecnologie per la mobilità
Transcript
La sicurezza nelle tecnologie per la mobilità
La sicurezza nelle tecnologie per la mobilità 1 I testi sono stati redatti da: Anna Vaccarelli (Istituto di Informatica e Telematica - CNR Pisa) Alessandro Castrucci (Istituto di Informatica e Telematica - CNR Pisa) Raffaele Natale – Assosecurity – Laboratorio ICT Sergio Sagliocco - CSP – Innovazione nelle ICT Si ringraziano per la revisione finale del testo e per i preziosi suggerimenti forniti: Alessandro Falleni (Istituto di Informatica e Telematica – CNR Pisa) Graziella Pastore – Regione Piemonte – Laboratorio ICT Mario Ancilli – Regione Piemonte – Laboratorio ICT Roberto Borri – CSP – Innovazione nelle ICT Roberto Moriondo – Regione Piemonte Sergio Duretti – CSP – Innovazione nelle ICT Si ringraziano i rappresentanti del Consiglio Direttivo di Assosecurity per il contributo fornito nell'ideazione della pubblicazione" 2 Indice Prefazione....................................................................................................................................... 6 Introduzione.................................................................................................................................... 7 1. Mobilità: una definizione ........................................................................................................ 9 1.1. 2. Mobilità virtuale e mobilità fisica .................................................................................. 10 Reti, protocolli e dispositivi................................................................................................... 14 2.1. Le tecnologie e i protocolli di comunicazione................................................................ 14 2.1.1. Global System for Mobile (GSM) Communication ................................................ 15 2.1.2. General Packet Radio Service (GPRS) Systems ..................................................... 16 2.1.3. Enhanced Data Rates for GSM Evolution (EDGE)................................................. 17 2.1.4. Universal Mobile Telecommunications System (UMTS) ....................................... 17 2.1.5. High Speed Downlink Packet Access (HSDPA)..................................................... 19 2.1.6. Bluetooth ............................................................................................................... 20 2.1.7. Infrarosso (IrDA)................................................................................................... 22 2.1.8. 802.11 Wireless Local Area Network (WLAN)...................................................... 22 2.1.9. WiMax (IEEE 802.16) ........................................................................................... 24 2.1.10. Ethernet (LAN)...................................................................................................... 27 2.1.11. RFID ..................................................................................................................... 28 2.2. I protocolli applicativi di supporto alla mobilità............................................................. 30 2.2.1. 2.2.1.1. Il protocollo SIP............................................................................................. 31 2.2.1.2 Il protocollo H.323............................................................................................. 32 2.2.1.3 Una soluzione proprietaria: Skype...................................................................... 32 2.2.2 2.3 3. La telefonia IP ....................................................................................................... 30 Le reti virtuali private (VPN) ................................................................................. 33 Dispositivi per la mobilità.............................................................................................. 35 La protezione dei notebook ................................................................................................... 38 3.1. Vulnerabilità dei dispositivi notebook............................................................................ 39 3.2. Analisi di strumenti software per la cifratura dei filesystem (fisici e virtuali)................. 40 3.2.1. Cifratura di device fisici......................................................................................... 42 3.2.2. Dischi virtuali cifrati.............................................................................................. 43 3.2.3. PGP Desktop 9.5.................................................................................................... 44 3.2.4. BestCrypt............................................................................................................... 46 3 3.2.5. CrossCrypt............................................................................................................. 47 3.2.6. CrossCryptX509 .................................................................................................... 48 3.2.7. TrueCrypt .............................................................................................................. 49 3.2.8. Strumenti su piattaforma Linux.............................................................................. 50 3.3. Sistemi biometrici per la cifratura dei dati...................................................................... 53 3.4. Problematiche di sicurezza legate all'autenticazione....................................................... 54 3.4.1. Controllo standard degli accessi al sistema operativo tramite password.................. 55 3.4.2. Cracking delle password e contromisure ................................................................ 56 3.4.2.1. Sistemi Windows ........................................................................................... 57 3.4.2.2. Sistemi Linux................................................................................................. 60 3.4.3. 4. 3.5. Analisi di dispositivi portatili hard disk e memorie USB che permettono la cifratura al volo 62 3.5.1. Hard Disk .............................................................................................................. 63 3.5.2. Memorie flash........................................................................................................ 66 La protezione nei palmari...................................................................................................... 67 4.1. 5. Uso di sistemi biometrici per l'autenticazione......................................................... 60 Analisi dei software di cifratura disponibili per palmari................................................. 67 4.1.1. High encryption pack............................................................................................. 68 4.1.2. FreeOTFE.............................................................................................................. 68 4.1.3. SafeGuard PDA ..................................................................................................... 70 4.2. Autenticazione biometrica su palmari ............................................................................ 71 4.3. Applicazioni per la protezione delle informazioni nei dispositivi PDA........................... 72 La protezione degli Smartphone ............................................................................................ 77 5.1. Dispositivi Smartphone ................................................................................................. 77 5.2. La sicurezza nello sviluppo di applicazioni.................................................................... 78 5.2.1. La sicurezza nell’ambiente Java ME ...................................................................... 78 5.2.2. La sicurezza vista nell’ambito delle applicazioni Java Wireless ............................. 81 5.2.3. La sicurezza nella KVM a basso-livello ................................................................. 81 5.2.4. Il Class Verifier ..................................................................................................... 81 5.2.5. Sicurezza di livello-applicativo .............................................................................. 82 5.2.6. La sandbox del CLDC/MIDP................................................................................. 83 5.3. Analisi degli strumenti software per la protezione degli smartphone.............................. 84 5.3.1. Sicurezza e protezione dei dati sensibili ................................................................. 84 5.3.2. Data Defender........................................................................................................ 85 4 5.3.3. Bluetooth Token e Bluetooth Process Manager ...................................................... 87 5.3.4. Secure SMS ........................................................................................................... 89 5.3.5. Secure TLS Messaging .......................................................................................... 92 5.3.6. Mobile SEAS Voting............................................................................................. 94 Acronimi ...................................................................................................................................... 98 Bibliografia................................................................................................................................. 102 Siti d’interesse ........................................................................................................................ 104 5 Prefazione È con grande piacere che introduco il presente testo, frutto della collaborazione tra i soci di Assosecurity, collaborazione scientifica e redazionale ormai divenuta nel corso degli anni un appuntamento fisso ed un’occasione di confronto e rinnovamento in cui le finalità di divulgazione scientifica e culturale dell’Associazione trovano concreta attuazione. La pubblicazione di quest’anno mira a diffondere conoscenze specifiche nel campo della sicurezza su reti e dispositivi di mobilità, un settore sempre più rilevante e che ben si integra con le precedenti pubblicazioni in tema di identità digitale. Ciascuno di noi utilizza strumenti che ci permettono sempre più di essere costantemente connessi e che quindi richiedono una particolare attenzione nei confronti delle problematiche della sicurezza. Grazie al lavoro di analisi e approfondimento avviato dall’Istituto di Informatica e Telematica del CNR di Pisa e sviluppato in collaborazione con il Laboratorio ICT della Regione Piemonte e il CSP presentiamo con questo volume lo stato dell’arte nel settore della Mobile Security, ovviamente senza alcuna pretesa di esaustività ma con l’obiettivo – documentato dalla nutrita presenza di casi di studio – di fornire a tutti i lettori un quadro di riferimento il più possibile ampio e documentato sul tema. Commenti ed osservazioni sono graditi e possono essere inviati a: [email protected]. Buona lettura! Prof. Antonio Lioy Presidente Assosecurity 6 Introduzione La crescita e l'evoluzione dell'ICT, in particolare relativamente allo sviluppo di reti di interconnessione tra i sistemi informativi, con la conseguente diffusione in uno spettro di applicazione sempre più vasto, impongono una rigorosa attenzione alle problematiche di sicurezza. La diffusione di Internet come principale sistema di scambio di informazioni e come strumento imprenditoriale per la vendita o l'erogazione di servizi offre, infatti, nuove e numerose opportunità di sviluppo ma espone anche a rischi che non possono certo essere sottovalutati. In particolare, la crescente diffusione delle reti (sia cablate sia senza fili) e l’estensione delle possibilità di connessione alla rete, sia dal punto di vista geografico sia in relazione al bacino di utenza, ha aumentato notevolmente il grado di connettività degli utenti, che ora, attraverso punti di accesso distribuiti, possono accedere alle risorse offerte dalla rete in qualsiasi luogo ed in qualsiasi momento. Ciò costituisce certo un vantaggio ma porta con sé anche una serie di problematiche che gli amministratori devono affrontare, siano essi aziende o enti pubblici. Le fonti di questi potenziali rischi sono numerose e variano dai virus informatici, ai trojan, ai malware, alle backdoor, agli spyware, fino ad arrivare a veri e propri attacchi di criminalità informatica quali il cracking di interi sistemi o attacchi DoS (Denial of Service). Data la varietà delle tecnologie e delle implementazioni nel settore, prima di affrontare compiutamente il tema della Mobile Security, è utile chiarire quali sono le forze in gioco, ovvero definire gli strumenti, gli scenari, le tecnologie ed i protocolli per la comunicazione nei sistemi mobili e nomadici. A questo scopo il Capitolo 1 offre una prima definizione dell’attuale scenario ICT in rapporto alle diverse accezioni di mobilità (hardware, software, utente); il Capitolo 2, dedicato a reti, protocolli e dispositivi, si focalizza sulle caratteristiche dei sistemi e delle tecnologie di comunicazione attualmente in uso, mettendone in luce le reciproche differenze, le criticità in ambiente mobile/nomadico ed i protocolli applicativi di supporto alla mobilità. Entrando maggiormente nel dettaglio delle implicazioni tecniche, i capitoli successivi si concentrano principalmente su tre diverse tipologie di dispositivi: notebook (Capitolo 3), palmari (Capitolo 4) e smartphone (Capitolo 5) dei quali vengono descritte strategie e soluzioni per la sicurezza delle informazioni. La scelta è caduta su quei dispositivi che più frequentemente si trovano esposti a furti ed a minacce di sicurezza in ragione della loro sempre maggiore portabilità e maneggevolezza oltre che della loro mobilità e capacità di connessione. Questi dispositivi hanno prestazioni tali da permettere lo 7 svolgimento in remoto delle consuete attività lavorative e devono conseguentemente poter proteggere le informazioni memorizzate. Lo studio prende in considerazione i sistemi di cifratura dei dati a livello hardware, software e biometrico, in ambiente Linux e Windows, per i notebook e Java ME Java Wireless per smartphone. Oltre ai sistemi di cifratura, una grande attenzione è stata dedicata anche alla sicurezza nell’ambito dell’autenticazione, sia mediante il classico sistema delle password, sia con i più innovativi sistemi di rilevazione biometrica, tenendo conto anche dei più recenti sviluppi nel campo dell’autenticazione dell’identità digitale e dei processi sicuri di e-voting. Lo studio si è proposto di valutare le soluzioni/strategie migliori e le contromisure applicabili per ovviare ai rischi di eventuali attacchi ed ai problemi di sicurezza così strettamente legati alla stessa natura di portabilità e fruibilità dei dispositivi. 8