La sicurezza nelle tecnologie per la mobilità

La sicurezza nelle tecnologie per la mobilità
1
I testi sono stati redatti da:
Anna Vaccarelli (Istituto di Informatica e Telematica - CNR Pisa)
Alessandro Castrucci (Istituto di Informatica e Telematica - CNR Pisa)
Raffaele Natale – Assosecurity – Laboratorio ICT
Sergio Sagliocco - CSP – Innovazione nelle ICT
Si ringraziano per la revisione finale del testo e per i preziosi suggerimenti forniti:
Alessandro Falleni (Istituto di Informatica e Telematica – CNR Pisa)
Graziella Pastore – Regione Piemonte – Laboratorio ICT
Mario Ancilli – Regione Piemonte – Laboratorio ICT
Roberto Borri – CSP – Innovazione nelle ICT
Roberto Moriondo – Regione Piemonte
Sergio Duretti – CSP – Innovazione nelle ICT
Si ringraziano i rappresentanti del Consiglio Direttivo di Assosecurity per il contributo fornito
nell'ideazione della pubblicazione"
2
Indice
Prefazione....................................................................................................................................... 6
Introduzione.................................................................................................................................... 7
1.
Mobilità: una definizione ........................................................................................................ 9
1.1.
2.
Mobilità virtuale e mobilità fisica .................................................................................. 10
Reti, protocolli e dispositivi................................................................................................... 14
2.1.
Le tecnologie e i protocolli di comunicazione................................................................ 14
2.1.1.
Global System for Mobile (GSM) Communication ................................................ 15
2.1.2.
General Packet Radio Service (GPRS) Systems ..................................................... 16
2.1.3.
Enhanced Data Rates for GSM Evolution (EDGE)................................................. 17
2.1.4.
Universal Mobile Telecommunications System (UMTS) ....................................... 17
2.1.5.
High Speed Downlink Packet Access (HSDPA)..................................................... 19
2.1.6.
Bluetooth ............................................................................................................... 20
2.1.7.
Infrarosso (IrDA)................................................................................................... 22
2.1.8.
802.11 Wireless Local Area Network (WLAN)...................................................... 22
2.1.9.
WiMax (IEEE 802.16) ........................................................................................... 24
2.1.10.
Ethernet (LAN)...................................................................................................... 27
2.1.11.
RFID ..................................................................................................................... 28
2.2.
I protocolli applicativi di supporto alla mobilità............................................................. 30
2.2.1.
2.2.1.1.
Il protocollo SIP............................................................................................. 31
2.2.1.2
Il protocollo H.323............................................................................................. 32
2.2.1.3
Una soluzione proprietaria: Skype...................................................................... 32
2.2.2
2.3
3.
La telefonia IP ....................................................................................................... 30
Le reti virtuali private (VPN) ................................................................................. 33
Dispositivi per la mobilità.............................................................................................. 35
La protezione dei notebook ................................................................................................... 38
3.1.
Vulnerabilità dei dispositivi notebook............................................................................ 39
3.2.
Analisi di strumenti software per la cifratura dei filesystem (fisici e virtuali)................. 40
3.2.1.
Cifratura di device fisici......................................................................................... 42
3.2.2.
Dischi virtuali cifrati.............................................................................................. 43
3.2.3.
PGP Desktop 9.5.................................................................................................... 44
3.2.4.
BestCrypt............................................................................................................... 46
3
3.2.5.
CrossCrypt............................................................................................................. 47
3.2.6.
CrossCryptX509 .................................................................................................... 48
3.2.7.
TrueCrypt .............................................................................................................. 49
3.2.8.
Strumenti su piattaforma Linux.............................................................................. 50
3.3.
Sistemi biometrici per la cifratura dei dati...................................................................... 53
3.4.
Problematiche di sicurezza legate all'autenticazione....................................................... 54
3.4.1.
Controllo standard degli accessi al sistema operativo tramite password.................. 55
3.4.2.
Cracking delle password e contromisure ................................................................ 56
3.4.2.1.
Sistemi Windows ........................................................................................... 57
3.4.2.2.
Sistemi Linux................................................................................................. 60
3.4.3.
4.
3.5.
Analisi di dispositivi portatili hard disk e memorie USB che permettono la cifratura al
volo
62
3.5.1.
Hard Disk .............................................................................................................. 63
3.5.2.
Memorie flash........................................................................................................ 66
La protezione nei palmari...................................................................................................... 67
4.1.
5.
Uso di sistemi biometrici per l'autenticazione......................................................... 60
Analisi dei software di cifratura disponibili per palmari................................................. 67
4.1.1.
High encryption pack............................................................................................. 68
4.1.2.
FreeOTFE.............................................................................................................. 68
4.1.3.
SafeGuard PDA ..................................................................................................... 70
4.2.
Autenticazione biometrica su palmari ............................................................................ 71
4.3.
Applicazioni per la protezione delle informazioni nei dispositivi PDA........................... 72
La protezione degli Smartphone ............................................................................................ 77
5.1.
Dispositivi Smartphone ................................................................................................. 77
5.2.
La sicurezza nello sviluppo di applicazioni.................................................................... 78
5.2.1.
La sicurezza nell’ambiente Java ME ...................................................................... 78
5.2.2.
La sicurezza vista nell’ambito delle applicazioni Java Wireless ............................. 81
5.2.3.
La sicurezza nella KVM a basso-livello ................................................................. 81
5.2.4.
Il Class Verifier ..................................................................................................... 81
5.2.5.
Sicurezza di livello-applicativo .............................................................................. 82
5.2.6.
La sandbox del CLDC/MIDP................................................................................. 83
5.3.
Analisi degli strumenti software per la protezione degli smartphone.............................. 84
5.3.1.
Sicurezza e protezione dei dati sensibili ................................................................. 84
5.3.2.
Data Defender........................................................................................................ 85
4
5.3.3.
Bluetooth Token e Bluetooth Process Manager ...................................................... 87
5.3.4.
Secure SMS ........................................................................................................... 89
5.3.5.
Secure TLS Messaging .......................................................................................... 92
5.3.6.
Mobile SEAS Voting............................................................................................. 94
Acronimi ...................................................................................................................................... 98
Bibliografia................................................................................................................................. 102
Siti d’interesse ........................................................................................................................ 104
5
Prefazione
È con grande piacere che introduco il presente testo, frutto della collaborazione tra i soci di
Assosecurity, collaborazione scientifica e redazionale ormai divenuta nel corso degli anni un
appuntamento fisso ed un’occasione di confronto e rinnovamento in cui le finalità di divulgazione
scientifica e culturale dell’Associazione trovano concreta attuazione.
La pubblicazione di quest’anno mira a diffondere conoscenze specifiche nel campo della sicurezza
su reti e dispositivi di mobilità, un settore sempre più rilevante e che ben si integra con le precedenti
pubblicazioni in tema di identità digitale.
Ciascuno di noi utilizza strumenti che ci permettono sempre più di essere costantemente connessi e
che quindi richiedono una particolare attenzione nei confronti delle problematiche della sicurezza.
Grazie al lavoro di analisi e approfondimento avviato dall’Istituto di Informatica e Telematica del
CNR di Pisa e sviluppato in collaborazione con il Laboratorio ICT della Regione Piemonte e il CSP
presentiamo con questo volume lo stato dell’arte nel settore della Mobile Security, ovviamente senza
alcuna pretesa di esaustività ma con l’obiettivo – documentato dalla nutrita presenza di casi di
studio – di fornire a tutti i lettori un quadro di riferimento il più possibile ampio e documentato sul
tema.
Commenti ed osservazioni sono graditi e possono essere inviati a: [email protected].
Buona lettura!
Prof. Antonio Lioy
Presidente Assosecurity
6
Introduzione
La crescita e l'evoluzione dell'ICT, in particolare relativamente allo sviluppo di reti di
interconnessione tra i sistemi informativi, con la conseguente diffusione in uno spettro di
applicazione sempre più vasto, impongono una rigorosa attenzione alle problematiche di sicurezza.
La diffusione di Internet come principale sistema di scambio di informazioni e come strumento
imprenditoriale per la vendita o l'erogazione di servizi offre, infatti, nuove e numerose opportunità
di sviluppo ma espone anche a rischi che non possono certo essere sottovalutati.
In particolare, la crescente diffusione delle reti (sia cablate sia senza fili) e l’estensione delle
possibilità di connessione alla rete, sia dal punto di vista geografico sia in relazione al bacino di
utenza, ha aumentato notevolmente il grado di connettività degli utenti, che ora, attraverso punti di
accesso distribuiti, possono accedere alle risorse offerte dalla rete in qualsiasi luogo ed in qualsiasi
momento. Ciò costituisce certo un vantaggio ma porta con sé anche una serie di problematiche che
gli amministratori devono affrontare, siano essi aziende o enti pubblici.
Le fonti di questi potenziali rischi sono numerose e variano dai virus informatici, ai trojan, ai
malware, alle backdoor, agli spyware, fino ad arrivare a veri e propri attacchi di criminalità
informatica quali il cracking di interi sistemi o attacchi DoS (Denial of Service).
Data la varietà delle tecnologie e delle implementazioni nel settore, prima di affrontare
compiutamente il tema della Mobile Security, è utile chiarire quali sono le forze in gioco, ovvero
definire gli strumenti, gli scenari, le tecnologie ed i protocolli per la comunicazione nei sistemi
mobili e nomadici.
A questo scopo il Capitolo 1 offre una prima definizione dell’attuale scenario ICT in rapporto alle
diverse accezioni di mobilità (hardware, software, utente); il Capitolo 2, dedicato a reti, protocolli e
dispositivi, si focalizza sulle caratteristiche dei sistemi e delle tecnologie di comunicazione
attualmente in uso, mettendone in luce le reciproche differenze, le criticità in ambiente
mobile/nomadico ed i protocolli applicativi di supporto alla mobilità.
Entrando maggiormente nel dettaglio delle implicazioni tecniche, i capitoli successivi si
concentrano principalmente su tre diverse tipologie di dispositivi: notebook (Capitolo 3), palmari
(Capitolo 4) e smartphone (Capitolo 5) dei quali vengono descritte strategie e soluzioni per la
sicurezza delle informazioni.
La scelta è caduta su quei dispositivi che più frequentemente si trovano esposti a furti ed a minacce
di sicurezza in ragione della loro sempre maggiore portabilità e maneggevolezza oltre che della loro
mobilità e capacità di connessione. Questi dispositivi hanno prestazioni tali da permettere lo
7
svolgimento in remoto delle consuete attività lavorative e devono conseguentemente poter
proteggere le informazioni memorizzate.
Lo studio prende in considerazione i sistemi di cifratura dei dati a livello hardware, software e
biometrico, in ambiente Linux e Windows, per i notebook e Java ME Java Wireless per smartphone.
Oltre ai sistemi di cifratura, una grande attenzione è stata dedicata anche alla sicurezza nell’ambito
dell’autenticazione, sia mediante il classico sistema delle password, sia con i più innovativi sistemi
di rilevazione biometrica, tenendo conto anche dei più recenti sviluppi nel campo
dell’autenticazione dell’identità digitale e dei processi sicuri di e-voting.
Lo studio si è proposto di valutare le soluzioni/strategie migliori e le contromisure applicabili per
ovviare ai rischi di eventuali attacchi ed ai problemi di sicurezza così strettamente legati alla stessa
natura di portabilità e fruibilità dei dispositivi.
8