la sicurezza delle transazioni e comunicazioni
Transcript
la sicurezza delle transazioni e comunicazioni
LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 1 di 26 LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 2 di 26 NOTE LEGALI La riproduzione parziale o totale del presente materiale è consentita solo per usi non commerciali purché sia mantenuto invariato il contenuto e i riferimenti all’autore: obbligatoriamente dovrà essere inserito, in posizione visibile, un link al sito http://www.amicopc.com Sui siti diversi da AmicoPc la consultazione di queste pagine non può essere assoggettata a nessun tipo di pagamento o registrazione, nemmeno gratuita, di qualsivoglia tipo di dati personali (nome, cognome, email o altro). Nel caso in cui, per visualizzare queste pagine, abbiate dovuto fornire dati personali o corrispondere un qualsiasi pagamento, siete pregati di comunicarcelo mediante il modulo disponibile all'indirizzo http://www.amicopc.com/contact.asp oppure scrivendo all’indirizzo [email protected] Lo staff di AmicoPc e gli autori della guide nonché i responsabili dei siti che ospitano queste pagine, non forniscono alcuna garanzia, neppure implicita, sulla correttezza delle informazioni qui riportate. In nessun caso possono essere ritenuti responsabili per eventuali malfunzionamenti, perdite di dati, cali di prestazioni o qualsiasi altro danno dovuto all'utilizzo di tale materiale. I diritti di autore sui testi e/o sull'altro materiale pubblicato rimangono di esclusiva proprietà degli autori Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 3 di 26 SOMMARIO INTRODUZIONE ...................................................................................... 4 ESIGENZE DI SICUREZZA ........................................................................ 5 STORIA DELLA CRITTOGRAFIA.................................................................. 7 TECNICHE di CIFRATURA.......................................................................... 8 1. SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (SIMMETRICA) ................. 8 2. SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (ASIMMETRICA) ............. 8 3. SISTEMI CRITTOGRAFICI MISTI ......................................................... 9 FIRMA DIGITALE ................................................................................... 10 NORMATIVA DI RIFERIMENTO .............................................................. 10 CHIAVE ASIMMETRICA E FUNZIONE DI HASH ........................................ 10 AUTORITÀ DI CERTIFICAZIONE ............................................................ 12 SICUREZZA NELLE TRANSAZIONI............................................................ 14 1. CONNESSIONE BROWSER-SITO........................................................ 14 2. CONNESSIONE INTRANET-INTERNET ................................................ 15 3. INTRANET AZIENDALE..................................................................... 16 4. COMPUTER DELL'UTENTE................................................................. 17 I COSTI della SICUREZZA....................................................................... 19 AMERICA ........................................................................................... 19 ITALIA .............................................................................................. 20 1. FIREWALL ...................................................................................... 22 2. TOOL ANTI-INTRUSIONE ................................................................. 22 UN'AUTHORITY PER LA SICUREZZA NEL COMMERCIO ELETTORNICO .......... 24 MA SIAMO DAVVERO SICURI?................................................................. 25 Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 4 di 26 INTRODUZIONE Lo straordinario sviluppo delle reti di comunicazione e dei servizi offerti mediante la tecnologia dell'Informazione, può considerarsi, senza ombra di dubbio, come la grande rivoluzione di fine secolo. Mai prima d'ora l'uomo si era trovato a disporre di un mezzo tanto potente per comunicare il proprio pensiero: oggi possiamo raggiungere con facilità, da qualsiasi posto e a costi ridotti praticamente qualsiasi altro essere umano ovunque si trovi; ed anche i nostri documenti scritti, viaggiando ad incredibili velocità, possono raggiungere in pochi istanti numerosi destinatari. La crescente disponibilità di banda passante, unità ai sempre minori costi di connettività ed alla disponibilità sempre maggiore dei punti d'accesso, ha fatto delle moderne reti di comunicazione il vero e proprio sistema nervoso del pianeta. Eppure anche questa magnifica costruzione ha il suo tallone d'Achille: la sicurezza. Proprio perché ''reti aperte'', le reti digitali sono intrinsecamente insicure: esse non sono state progettate in modo da garantire autoprotezione e difesa contro eventuali abusi. Ne discende che esse sono particolarmente sensibili all'intercettazione ed all'alterazione dei dati trasmessi nonché alla violazione dei supporti informatici ad essa connessi. Il problema è ancora più sentito quando si parla di commercio elettronico, o più in generale quando i dati trasferiti contengono informazioni riservate: la sicurezza è il presupposto fondamentale su cui si fonda il rapporto fiduciario fra acquirente e venditore, fra banche e correntisti… Senza garanzie adeguate l'utente non avrà incentivi all'utilizzo di tali tecnologie che, sebbene siano più convenienti, sono anche più insicure. Inoltre il desiderio dell'utente di garantire la propria riservatezza e anonimato mal si concilia con la necessità di imputabilità, cioè la possibilità effettiva di conoscere l'identità degli utenti e di ciò che stanno facendo. Il tentativo di creare siti completamente anonimi va contro le nozioni di imputabilità, autenticità, integrità, revocabilità, non ripudiazione e non può essere in armonia con la necessità di applicare la legge di fronte ad una frode significativa. Ideale sarebbe trovare un giusto bilanciamento fra queste diverse esigenze e tale compromesso dovrebbe essere attentamente protetto. La protezione delle informazioni trasmesse via Internet richiede tutte le attenzioni normalmente dedicate ai corrispondenti documenti cartacei. Il passaggio dai documenti tradizionali al relativo documento elettronico deve venire gestito in maniera tale da conservare, ed eventualmente migliorare, le tradizionali politiche di sicurezza al fine di consentire un sistema di comunicazione sicuro. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 5 di 26 ESIGENZE DI SICUREZZA A livello generale è necessario garantire • • • • l'integrità dell'host: la manutenzione di un sistema di host ha una complessità che cresce esponenzialmente col numero di servizi implementati. Di conseguenza testarne la sicurezza non è un'impresa banale. Il rischio è che qualcuno potrebbe penetrare nel sistema per arrecando danno all'azienda o agli altri utenti; una barriera contro lo spoofing (sostituzione di identità): pratica per cui una trasmissione sembra provenire da un utente autorizzato. Per esempio, nello spoofing IP, a una trasmissione viene assegnato l'indirizzo IP di un utente autorizzato per ottenere l'accesso a suo nome. A questo punto è possibile rintracciare le richieste del client a cui ci si è sostituiti facendo da tramite fra il server e il client stesso, lasciando transitare le informazioni non ritenute interessanti, limitandosi a trattenere o distorcere i dati considerati importanti; una barriera contro i virus: se è vero che ogni giorno vengono rilasciati otto nuovi tipi di virus, si può comprendere come la difesa da questo tipo di attacchi non sia da sottovalutare; evitare l'accesso, la distruzione e il furto dei dati. Il problema principale è che le reti digitali sono prevalentemente composte da canali che non sono privati ma sono a disposizione di tutti, e nei quali la maggior parte dei dati circola ''in chiaro'', cioè senza alcuna codifica: su Internet è possibile inviare messaggi anonimi o addirittura a nome di qualcun altro, intercettare posta elettronica, acquisire di nascosto informazioni sul di un determinato utente. Ciò che viene a mancare è la ''certezza del contesto'': certezza che l'autore del messaggio sia realmente colui che dice di essere, certezza che il messaggio giunto sino a noi sia identico a quello spedito dal mittente, certezza che il messaggio sia stato inviato realmente dal suo autore, certezza che il mittente potesse legittimamente inviare quel messaggio, certezza che il messaggio sia stato inviato in quel giorno e in quelle ora… E naturalmente la certezza che il messaggio da noi inviato giunga realmente a destinazione, certezza dell'identità del destinatario, e così via. Più precisamente si hanno quattro diverse esigenze di certezza che una rete sicura deve garantire: • certezza dell'identità dei corrispondenti (identificazione), cioè garantire che la controparte sia realmente chi dice di essere; • certezza delle legittimità dell'operazione (autorizzazione), sapere cioè se la controparte sia autorizzata a compiere determinate operazioni; • certezza dell'integrità del messaggio (autenticazione), garanzia che il messaggio non sia stato modificato lungo il percorso; • certezza della segretezza della comunicazione (riservatezza), in modo che terzi non autorizzati non possano venire a conoscenza di informazioni riservate. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 6 di 26 L'unico strumento che consente di fare ciò è la crittografia, cioè l'insieme delle tecniche di codifica, decodifica e autenticazione di dati e messaggi mediante l'uso di chiavi, cioè stringhe di bit che permettono di identificare il titolare della chiave e di eseguire le funzioni previste dall'algoritmo. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 7 di 26 STORIA DELLA CRITTOGRAFIA Nel corso dei secoli si è fatto ricorso alla crittografia per i più diversi motivi: religiosi, politici e non ultimi economici. Ci sono poi casi in cui il ricorso ad un linguaggio segreto è motivato da ragioni di riservatezza personale: Marco Tullio Cicerone ogni tanto ''cifrava'' qualche passaggio delle lettere scritte ai familiari; Leonardo da Vinci compilava le sue annotazioni scrivendo al rovescio; Wolfgang Goethe spediva lettere amorose incomprensibili a chi non ne conoscesse il ''codice di accesso''. L'utilizzo più massiccio di scritture segrete ha però avuto luogo per motivi diplomatici e militari. Il far ricorso alla crittografia per poter comunicare con sicurezza pare sia nato all'epoca degli Egizi, anche se ben presto ne fecero uso anche gli altri popoli. Enea Tacticus, vissuto nel quarto secolo avanti Cristo, scrisse il primo trattato sulla crittografia di cui si abbia notizia. Cesare e Augusto si servirono ampiamente del sistema di trasposizione delle lettere. Nel Medioevo ricordiamo i trattati di crittografia scritti da Gabriel de Lavinde (1357-83), da Leon Battista Alberti (1467-72) e da Cicco Simonetta (1474); anche Niccolò Macchiavelli, durante la sua attività diplomatica, utilizzò codici segreti. Con il passare del tempo la crittografia ha perfezionato le proprie tecniche, ma è stato soltanto nel periodo fra le due guerre che, mediante il ricorso a elaboratori elettromeccanici, essa è riuscita a velocizzare il processo di codifica e decodifica del messaggio. Agli inizi degli anni Settanta, con l'introduzione dei computer, è stato sviluppato ''Lucifer'', basato sul sistema misto di cifratura per trasposizione (per esempio la lettera A diventa E, la B diventa F e così via) e per sostituzione (la lettera A diventa 1, la lettera B diventa 2…). Nel 1976 viene introdotto il ''DES'' (Data Encryption System), basato sull'uso di una chiave di 56 bit, che offre ben settanta miliardi di combinazioni diverse; nonostante ciò alcuni esperti sono riusciti a violarlo. In quello stesso anno W. Diffie e M. Hellman introdussero il concetto della crittografia a chiave pubblica, concetto che trovò successivamente applicazione pratica negli studi di tre matematici del Massachusetts Institute of Technology (MIT), R. Rivest, Adi Shamir e L. Adleman, che nell'aprile del 1977 idearono l'algoritmo RSA (dalle iniziali dei loro cognomi) (1) Nel 1990 è stato creato IDEA (International Data Encryption Algorithm) il quale utilizza una chiave di 128 bit ed è generalmente giudicato sicuro. Marcello Morelli, "La comunicazione in Rete", Ed. Franco Angeli, Milano, 1999 (1) Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 8 di 26 TECNICHE di CIFRATURA Le tecnologie di cifratura, fondamentalmente, si dividono in tre categorie: 1. SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (SIMMETRICA) La crittografia a chiave privata individua due algoritmi (uno di codifica e l'atro di decodifica) ed un'unica chiave. Per cifrare e decifrare un documento sia il mittente che il destinatario usano la stessa chiave: pertanto essi devono preventivamente accordarsi sulla chiave da utilizzare. Uno dei più diffusi algoritmi di questa categoria è il già citato DES (Data Encryption Standard). 2. SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (ASIMMETRICA) La crittografia a chiave pubblica comprende anch'essa due algoritmi (uno di codifica e l'altro di decodifica) ma utilizza due chiavi differenti, una pubblica (nota a chiunque) e l'altra privata (conosciuta solo dal titolare). La chiave pubblica del destinatario viene utilizzata per codificare il messaggio, il quale può essere letto solo mediante la corrispondente chiave privata, conosciuta solo dal destinatario stesso. Per la decodifica non esistono alternative: o si conosce la chiave privata o non si ha possibilità di decodificare il messaggio. In tal modo si ha la certezza che un messaggio crittografato mediante la chiave pubblica del destinatario verrà letto solamente dal destinatario stesso. Entrambe le chiavi devono essere registrate presso una Certification Autority che garantisce la corrispondenza fra una determinata chiave e il relativo proprietario, in modo da avere la sicurezza che ad una determinata chiave corrisponde una persona precisa ed individuabile. Le chiavi pubbliche di tutti gli utenti sono raccolte in un elenco, consultabile via telematica, ottenendo così un'infrastruttura allo stesso tempo semplice ma efficace, evitando inoltre di doversi scambiare la chiave crittografica prima di poter comunicare. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 9 di 26 3. SISTEMI CRITTOGRAFICI MISTI Attualmente il metodo più usato consiste in una forma mista di queste due tecniche: ogni utente ha una propria coppia di chiavi, una privata e una pubblica, ma ogni volta che si devono codificare dei dati si crea una chiave simmetrica di sessione variabile di volta in volta. Con essa si esegue la codifica, dopo di che la chiave simmetrica viene criptata con la chiave pubblica del destinatario (in modo che sia leggibile solo da lui) e allegata al messaggio. Quando il destinatario riceve il messaggio, usa la sua chiave privata per decifrare la "chiave simmetrica di sessione" e quindi usa quest'ultima per decodificare il messaggio. Questo metodo riesce a riassumere in sé la maggior sicurezza data dall'utilizzo delle coppie di chiavi per ogni utente (propria della crittografia asimmetrica) con la maggior velocità di codifica e decodifica (propria dell'uso della chiave simmetrica). In tal modo viene garantita la segretezza, l'autenticità e l'integrità dei dati. Si pensi infatti che le chiavi private e pubbliche sono composte da 1024 bit, ossia una serie di 1 e 0 estremamente lunga. Applicando il calcolo delle probabilità si ottengono 2^1024 combinazioni possibili. Immaginando di usare un supercomputer (per esempio un Cray in logica EECL) con una frequenza di clock di ben 1.000 Mhz e con una capacità di calcolo pari a 10^9 tentativi per secondo, questo 2^1024 impiegherebbe = 5,⋅10^2917 (57 seguito da 290 (10^9) ⋅ (60 ⋅ 60 ⋅ 24 ⋅ 365) zeri) anni per trovare la chiave cercata. Al momento sono state forzate solamente chiavi molto corte (al massimo 56 bit). Su questo concetto si basa il funzionamento della Firma Digitale. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 10 di 26 FIRMA DIGITALE NORMATIVA DI RIFERIMENTO La firma digitale basata sulla crittografia a chiave pubblica si è ormai affermata come principale strumento in grado, allo stato attuale della tecnologia, di assicurare l'integrità e la provenienza dei documenti informatici e quindi di svolgere per questi la funzione che nei documenti tradizionali è assolta dalla firma autografa. La normativa di riferimento è il DPR 10 novembre 1997 n° 513, uno degli allegati del "pacchetto Bassanini", la quale introduce ufficialmente nel nostro ordinamento il documento elettronico e la firma digitale, dando ad esse il medesimo valore legale e probatorio delle rispettive controparti cartacee. Si tratta effettivamente di un notevole balzo in avanti del nostro legislatore, il quale, per una volta, è riuscito a mettersi al passo con i tempi, estendendo al mondo dell'informazione digitale quel patrimonio di legalità e fiducia che era caratteristica dei soli documenti "tangibili". Infatti il già citato DPR del 10 novembre 1997n° 513 ha equiparato la firma digitale a quella tradizionale, disponendo che: "Il documento informatico sottoscritto con firma digitale […] ha efficacia di scrittura privata"; "l'apposizione o l'associazione della firma digitale al documento informatico equivale alla sottoscrizione prevista per gli atti e documenti in forma scritta su supporto cartaceo"; "i contratti stipulati con strumenti informatici o per via telematica mediante l'uso della firma digitale […] sono validi e rilevanti a tutti gli effetti di legge"; Con l'introduzione nella nostra legislazione dei concetti di documento elettronico e firma digitale si aprono infinite possibilità di sviluppo delle relazioni fra cittadini e pubblica amministrazione: il decreto 513 prevede esplicitamente la possibilità che i cittadini corrispondano con le pubbliche amministrazioni per via telematica per tutte le funzioni ordinarie, e che la firma digitale possa essere utilizzata dai cittadini per qualsiasi atto avente valore legale. L’Autorità per l'Informatica nella Pubblica Amministrazione, in virtù del ruolo di consulente della Presidenza del Consiglio dei Ministri, ha assunto un ruolo trainante nella predisposizione della normativa del settore, svolgendo un’intensa attività che ha portato dallo studio iniziale del 1996, alla bozza di regolamento dell’estate 1997, dalla quale è stato derivato il regolamento contenuto nel DPR. CHIAVE ASIMMETRICA E FUNZIONE DI HASH Essa si basa sul sistema crittografico a chiave pubblica (o asimmetrica) di almeno 1024 bit, che, come si è visto, garantisce la possibilità di attribuire un documento ad un determinato soggetto con assoluta certezza ed opponibilità ai terzi; requisito fondamentale affinché si instauri il rapporto fiduciario che sta alla base di qualsiasi attività di commercio elettronico. Tale sistema di chiave asimmetrica consente quindi di inviare messaggi che possono essere letti solo da colui che possiede la relativa chiave privata: il destinatario di cui abbiamo utilizzato la chiave pubblica. Tale struttura consente ai suoi utilizzatori di ''firmare'' i documenti in modo da attribuirsene la paternità: per fare ciò basta crittografare il messaggio utilizzando la propria chiave privata. Per leggerlo Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 11 di 26 occorre decodificarlo utilizzando la relativa chiave pubblica, accessibile a tutti: se la decifrazione avverrà con successo, si ha la prova incontrovertibile che il messaggio è stato scritto proprio da quel mittente, in quanto nessun altro all'infuori di lui possiede la chiave privata necessaria per crittografarlo. Nella realtà però si utilizza un sistema di chiavi miste, utilizzando uno strumento che prende il nome di funzione di hash. Si tratta di una particolare funzione che ricevendo in ingresso un numero qualsiasi (il grande numero binario che costituisce il documento da firmare), produce in uscita un numero molto più piccolo (una ventina di byte) il cui valore dipende in modo strettissimo dal valore di ingresso. Il valore ottenuto da questa elaborazione, si chiama impronta del documento originario, in quanto ne costituisce una sorta di impronta digitale. Questa funzione inoltre deve essere tale da garantire che modifiche anche minime al documento sino evidenziate con impronte differenti. Una volta ottenuta l'impronta del documento (ben più maneggevole del documento stesso) questa viene crittografata con la chiave privata del mittente. Il risultato di ciò è la vera firma digitale applicata al messaggio. Chi vuole verificare l'autenticità di un documento relativamente ad una data firma, non fa altro che applicare a sua volta la funzione convenzionale di hash per ricavarne l'impronta. Dopodiché prende la presunta firma e la decifra utilizzando la chiave pubblica dell'autore, ottenendo così una seconda impronta. Ora basta confrontare le due impronte, quella ricavata direttamente dal documento e quella ottenuta dalla decodifica mediante chiave pubblica: se esse coincidono si può essere certi che il documento è stato realmente generato dalla stessa persona che ne ha generato la ''firma''. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 12 di 26 A questo punto è facile comprendere la definizione di firma digitale data dal DPR 513/1997 secondo la quale essa è "il risultato della procedura informatica (validazione) basta su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici" (art. 1 lett. b). AUTORITÀ DI CERTIFICAZIONE Tutta la costruzione che poggia sulla firma digitale ha però un serio punto debole: la gestione degli elenchi delle chiavi pubbliche. Infatti in mancanza di un reale controllo chiunque potrebbe depositare una chiave a nome di un altro e quindi spacciarsi per lui. Affinché tutto il sistema funzioni e dia garanzie di fiducia, occorre dunque instaurare una rigorosa infrastruttura di certificazione che garantisca l'effettiva identità di ciascuno: quindi un terzo, dotato di imparzialità nei confronti degli utenti, che certifichi per l'appunto, l'autenticità delle chiavi e la corrispondenza della chiave pubblica con il suo titolare. Questo ruolo è ricoperto dal "Certificatore", comunemente chiamato Autorità di Certificazione", al quale il DPR n° 513/1997 attribuisce, tra gli altri, l'obbligo di identificare con certezza la persona che fa richiesta della certificazione, rilasciare e rendere pubblico il certificato, procedere tempestivamente alla revoca ed alla sospensione del certificato, dandone immediata pubblicazione e comunicando, altresì, all'Autorità per l'Informatica nella Pubblica Amministrazione (AIPA) e al singolo utente la cessazione della propria attività di certificatore, con preavviso di almeno sei mesi. Per garantire l'identità dei soggetti che utilizzano la firma digitale e per fornire protezione nei confronti di possibili danni derivanti da un esercizio non adeguato delle attività di certificazione, il DPR n.513/97 richiede che il soggetto certificatore sia in possesso di particolari requisiti e sia incluso in un elenco pubblico, consultabile per via telematica, predisposto ed aggiornato a cura dell'Autorità per l'informatica nella Pubblica Amministrazione. Va inoltre precisato che tale Certificatore non è un'Autorità centrale bensì un soggetto giuridico, pubblico o privato. Dal punto di vista pratico funziona così: chi desiderasse utilizzare la firma digitale deve innanzitutto recarsi presso un Autorità di registrazione per il riconoscimento. Tale Autorità (le cui funzioni potrebbero essere svolte dagli sportelli bancari, dagli uffici postali…) invierà i dati acquisiti al Certificatore consegnando al richiedente una smartcard (una specie di tessera bancomat dotata però di microchip e non di banda magnetica) e un software che, insieme, consentiranno di generare, con l'aiuto di un personal computer, la chiave pubblica che dovrà essere inviata al Certificatore, il quale provvederà alla sua pubblicazione. La chiave privata invece rimane memorizzata indelebilmente all'interno della stessa smartcard. In mancanza della smartcard non sarà quindi possibile apporre la firma digitale. Va aggiunto che le "istruzioni" presenti nel microchip della smartcard include un sistema di sicurezza che la disabilita dopo alcuni tentativi di effrazione, in modo da evitare eventuali tentativi di cracking. Tali Certification Authority garantiscono quindi la provenienza e la paternità delle chiavi, rilasciando opportuni certificati: lo Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 13 di 26 standard adottato è l' ISO X.509; stranamente non ha avuto riconoscimento legale il ben più diffuso PGP (Pretty Good Privacy). Nonostante siano presenti ancora alcune incertezze legislative, vale la pena di ricordare come l'Italia si sia posta all'avanguardia essendo il primo paese ad avere attribuito piena validità giuridica ai documenti elettronici. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 14 di 26 SICUREZZA NELLE TRANSAZIONI Tralasciando gli aspetti culturali, sociali e politici che possono favorire, o al contrario rallentare la diffusione del commercio via Internet, vogliamo qui analizzare le soluzioni tecnologiche che consentono di definire sicura una transazione effettuata mediante rete digitale. Se si dovesse garantire un adeguata sicurezza di una singola postazione di lavoro, si dovrebbero prendere in considerazione prodotti come: Suite di sicurezza o Antivirus SW di crittografazione della posta elettronica Filtri anti spam (bloccano i messaggi commerciali non richiesti) Password manager Con riferimento al mondo aziendale la situazione è leggermente più complessa in quanto dobbiamo gestire un numero indefinito di utenti che passano attraverso un server e che, essendo tutti interconnnessi, possono causare gravi danni al sistema. Inoltre abbiamo la necessità di proteggere i dati che risiedono all’interno della LAN (Local Area Network) da eventuali attacchi da parte di malintenzionati. In particolare è necessario garantire la sicurezza su quattro livelli: connessione Browser-Sito connessione Intranet-Internet Intranet aziendale computer dell'utente 1. CONNESSIONE BROWSER-SITO Per garantire un collegamento sicuro fra il computer dell'utente e il server del venditore, si ricorre generalmente all'utilizzo dei protocolli, fra cui lo standard, al momento, è rappresentato dal protocollo SSL 3.0 (Secure Socket Layer), creato dalla Rsa. Esso consente innanzitutto di stabilire una connessione sicura fra le due parti, garantendone l'interoperabilità (tale protocollo è facilmente integrabile all'interno del software) e l'estendibilità, cioè la possibilità di incorporare, se necessario, nuovi chiavi pubbliche e nuovi algoritmi di codifica, evitando così di sostituire il protocollo nel caso si volesse variare il proprio livello di sicurezza. Inoltre non è necessario inserire username o password. Inoltre lo stesso protocollo SSL incorpora al suo interno una sessione opzionale di cache, in modo da alleggerire il lavoro della CPU, che viene messa sotto sforzo con l'uso delle chiavi pubbliche. Tale protocollo è integrato nei più diffusi browser (Netscape e Explorer). I titolari di carte di credito possono acquistare in modalità SSL in quanto la transazione è assimilata agli acquisti effettuati per telefono o per corrispondenza, detti anche MOTO (Mail Order Telephone Order). Non vi è però la certezza dell'identità di chi sta effettuando la transazione, poiché non vi è la ''firma'', e quindi la transazione è ripudiabile dal legittimo titolare della carta, il quale, a seguito di tali operazioni, può contestare l'estratto conto mensile. Per ovviare a tale problema (ripudiabilità delle operazioni), VISA, MasterCard ed altri partner, hanno introdotto un protocollo diverso: il SET. Non tutti i browser sono abilitati alle transazioni SET e per poterlo utilizzare è necessario l'installazione di un software specifico (ad eccezione della recente versione 5 di Internet Explorer); inoltre ogni titolare di carta di credito deve chiedere alla società emittitrice un codice personale (PIN, Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 15 di 26 Personal Identification Number). Come si vede la procedura è più macchinosa ma ha il vantaggio di garantire l'identità dell'acquirente e le transazioni effettuate non sono ripudiabili dal titolare, a meno che non riesca a dimostrare l'uso fraudolento del software SET e del suo PIN. Per il momento quasi nessun sito ha adottato questo protocollo. Naturalmente esistono altri tipi di protocollo, più o meno diffusi: basti citare l'SHTTP (Secure Hypertext Transfer Protocol), l'PCT (Private Communication Technology), l'STT (Secure Transation Technology), il CISCO (Commercial Internet Protocol Security Option). A questo proposito è utile sottolineare come qualche anno fa, un nuovo protocollo impiegasse anni per raggiungere un vasto consenso. Oggi i prodotti ed i protocolli si affermano come standard con una velocità sorprendente, soprattutto in virtù della forza della comunicazione commerciale. In questo caso si parla di Internet Time, intendendo con questo termine la "costante accelerazione con cui vengono rilasciati nuovi protocolli e prodotti le cui funzionalità sono rivolte all'uso di Internet" (1) Ciò comporta notevoli conseguenze dal punto di vista della sicurezza: tutti i prodotti sono sempre nello stato di versione beta, perché c'è sempre bisogno di aggiungere nuove funzionalità; la qualità del codice di tali programmi peggiora, in quanto la fase di beta testing ha sostituito la fase di controllo della qualità e, a causa dei ridotti tempi di sviluppo, non c'è tempo per un test dettagliato; i venditori cercano di proporre i propri prodotti come standard; la sicurezza è considerata un livello aggiuntivo del prodotto e non viene incorporata nel progetto iniziale. Per tali motivi è auspicabile un'omologazione dei diversi protocolli, magari in seguito ad un intervento governativo. Faenzi Francesco, La sicurezza in ambienti Internet ed Intranet, Tesi di Laurea, Università degli Studi, Genova, 1998 (1) 2. CONNESSIONE INTRANET-INTERNET La connessione della rete aziendale ad Internet, può rappresentare un problema potenziale nel caso non vengano adeguatamente valutati i rischi di intrusioni indesiderate, e non vengano presi tutti gli opportuni provvedimenti per garantire una adeguata sicurezza una volta realizzato il collegamento in Internet. Mediante opportuni strumenti è possibile collegare ad Internet la propria rete e al contempo mantenere la riservatezza ed un adeguato livello di protezione del Sistema Informativo aziendale. Questo obiettivo viene raggiunto grazie all'utilizzo di un Firewall, un sottosistema che, interposto tra la rete interna aziendale ed Internet, controlla tutto ciò che entra o esce dalla rete a cui è abbinato, evitando che possano venire eseguite operazioni che pregiudichino l’integrità e la sicurezza del sistema. Naturalmente oltre a garantire un adeguato sistema di difesa nei confronti di attacchi di malintenzionati, esso deve garantire un accesso sicuro ed efficiente a tutti gli utenti aziendali che lavorano sul territorio (mobile user). Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 16 di 26 I compiti del firewall sono assicurarsi che se un'azione non è abilitata, tutti i tentativi di proseguirla falliscano; registrare eventi sospetti; avvertire i responsabili del sistema di tutti i tentativi di intrusione; creare statistiche di accesso. Esistono in commercio diverse tipologie di Firewall, la maggior parte delle quali con un elevato grado di sicurezza e stabilità, ognuno dei quali risponde a precise esigenze. Per esempio, il "Digital Internet Tunnel" (www.digital.com) è una soluzione adatta per reti che comportino alti rischi in termini di sicurezza, in quanto consente di creare un "tunnel" fra i due elaboratori connessi entro cui vengono quindi trasmessi i dati. Se invece è necessario garantire una elevata flessibilità e velocità di connessione, ci si può rivolgere al "Storagetek Network System Group" (www.storagetek.com) che è in grado di controllare gli accessi con una velocità pari a 155 Mbps. 3. INTRANET AZIENDALE Anche all'interno dell'azienda esistono problemi di sicurezza. Occorre evitare i rischi accidentali di cancellazione o la modifica dei documenti, ed è consigliabile premunirsi contro vandalismi e sabotaggi, tenere segreta l'informazione riservata ecc. Questi problemi coinvolgono la piccola azienda così come quella a carattere nazionale o con uffici sparsi in tutto il continente. La politica Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 17 di 26 aziendale deve predisporre la sicurezza di rete e far sì che la tecnologia di rete sia adeguata agli standard di sicurezza ritenuti adeguati. Per esempio, sul server esiste la possibilità di usare un insieme di privilegi per impedire che utenti non autorizzati accedano ai file; dai danni fisici ci si protegge facendo dei backup… Inoltre dal momento che la tecnologia Intranet è di tipo aperto, anche gli utenti comportano un rischio per la sicurezza. Infine non basta rendere sicuri e affidabili i server Intranet e gli altri computer dell'azienda: anche per i pacchetti di informazioni che circolano sulla rete esiste il rischio di intercettazione e manomissione. Per realizzare quindi un livello di sicurezza adeguato, è possibile implementare un protocollo di comunicazione che, come l'IPSEC (Internet Protocol Security Charter) della RSA, garantisce l’interoperabilità fra le diverse postazioni, creando una Virtual Private Network che, monitorando in continuazione i pacchetti IP trasmessi, rende impossibile la connessione alla rete interna da parte di utenti non autorizzati. Inoltre i dati trasferiti da una postazione all'altra sono crittografati secondo il criterio della chiave asimmetrica, in modo da renderli incomprensibili per chi non possiede la chiave privata. 4. COMPUTER DELL'UTENTE Come si è visto esistono soluzioni che permettono di rendere sicuri i vari momenti di una transazione via Internet. Troppo spesso però, nell'ambito di interventi volti a garantire adeguati livelli di sicurezza, si tralascia una Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 18 di 26 componente fondamentale: il computer dell'utente. Quando un computer si connette ad Internet, esso si espone a due potenziali pericoli: la perdita di dati e la diffusione di informazioni riservate. Il primo caso è forse il più comune: basti pensare alla diffusione dei virus informatici. L'aumento del numero dei download dalla Rete e l'utilizzo sempre più diffuso di attachment via email, non fanno che aumentare le possibilità di essere infettati. Si stima che siano solo 250 i virus circolanti veramente dannosi, ma molti di questi possono causare danni significativi, far perdere tempo e comportare costi di ripristino non indifferenti. A questo punto appare evidente che le chiavi private di decodifica e tutte le ulteriori password necessarie alla propria sicurezza devono essere memorizzate in modo da risultare invulnerabili rispetto a tali attacchi, in modo che, anche nel caso di infezione da virus o di cancellazione di dati, tali informazioni non vengano perse. Difendere tali dati da involontarie cancellazioni o perdite non è sufficiente: bisogna fare in modo che essi non siano conoscibili da terzi non autorizzati. Si pensi per esempio al Back Orifice, una piccola applicazione che, una volta installata sul computer della ''vittima'' consente di prenderne, di nascosto, il controllo, visualizzando e all'occorrenza modificando i dati e le informazioni memorizzate, fra cui eventuali password. Pertanto non solo è importante e necessario implementare strumenti che garantiscano la sicurezza delle transazioni via Internet, ma ugualmente importante è anche creare negli utenti una cultura sensibile verso tali problematiche, in modo che comprendano la necessità di adottare soluzioni tecnologiche atte difendere le proprie informazioni riservate (si pensi, per esempio, ai programmi antivirus e ai programmi che monitorando le porte di comunicazione dei PC consentono di rilevare e interrompere trasferimenti di dati non autorizzati). Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 19 di 26 I COSTI della SICUREZZA AMERICA Perdite subite nel 1998 $136.822.000 Incremento costi rispetto al 1997 36% Classificazione perdite in $ Furto di informazione proprietaria Accesso non autorizzato di personale interno Frode alle compagnie di telecomunicazione Frode finanziaria Virus Abuso dell'accesso alla rete di personale interno Sabotaggio Intercettazione delle comunicazioni 433.545.000 50.565.000 17.256.000 11.239.000 7.874.000 3.720.000 2.142.000 562.000 Origine probabile degli attacchi Impiegati scontenti Hacker indipendenti Organizzazioni americane Organizzazioni straniere Governi stranieri Ignoti 89 72 48 29 21 48 % % % % % % Tecnologia usata per la sicurezza Software Antivirus Controllo di accesso Sicurezza fisica Firewall Password File crittografati Login cifrate Rilevamento delle intrusioni Identificativi digitali Identificazione biometrica 96 % 89 % 89 % 81 % 53 % 50 % 36 % 35 % 20 % 6% Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 20 di 26 ITALIA Il Computer Emergency Response Team Italiano (CERT-IT) ha reso noti i seguenti dati sui crimini informatici in Italia: Cause di incidenti Sniffing Bachi nei sistemi operativi NFS (1) Decifratori di password NIS (2) Bachi nella applicazioni Spoofing Altri 25 % 19 % 13 % 12 % 10 % 10 % 3% 10 % Moventi e conseguenze Esplorazione delle risorse Furto di dati Abuso di password Abuso di privilegi Accesso negato Danneggiamento o cancellazione dei file 37 % 20 % 16 % 15 % 9% 3% Origine probabile degli attacchi Utenti non privilegiati Membri del personale Sconosciuti 82 % 6% 12 % Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 21 di 26 Tipologie di attacco per settore di attività: Vale la pena però ricordare che, secondo la Internet Security Systems, l’80% di tutte le falle della sicurezza è causato da fattori interni al firewall dell’azienda, ed eventuali errori dovuti a negligenza potrebbero inavvertitamente aprire la rete a minacce esterne. Questo problema diventa sempre più interessante nel momento in cui bisogna prendere delle decisioni del tipo "make or buy" per quanto riguarda l'implementazione della sicurezza aziendale: configurare in proprio il sistema o Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 22 di 26 affidarsi a società come IBM, Anderson Consulting, Ernst & Young, con relativo innalzamento dei costi. D’altra parte preme sottolineare che l’efficacia di un programma di sicurezza dipende in grande misura da chi lo configura: secondo l’ICSA (International Center or Security Analysis) il 70% dei siti Web provvisti di firewall commerciali certificati continuano ad essere vulnerabili ad attacchi esterni a causa di errori di configurazione o di utilizzo dei software di sicurezza. (1) Acronimo di Network File System. Sistema di file distribuito sviluppato dalla Sun Microsystems, Inc, che consente agli utenti delle workstation Windows NT e UNIX di accedere a file e directory remoti in una rete come se fossero locali. (2) Utility, prima chiamata Yellow Pages, che gestisce un database centralizzato di nomi e posizioni delle risorse di una rete: essa consente di individuare le risorse su un qualsiasi nodo in base al nome. (3) Marino Longoni in Italia Oggi, "Computer in Sicurezza", 30 novembre 1999 1. FIREWALL Come si è detto nel capitolo precedente, la connessione fra la rete interna e Internet, è resa sicura grazie ai cosiddetti Firewall. Oggigiorno i firewall stanno diventando una cosa unica con i server proxy garantendo una maggiore flessibilità d’utilizzo e soprattutto un notevole risparmio nei costi. Se un firewall costa dai 10 ai 50 Milioni di lire ( a seconda del numero di indirizzi IP) un analogo sistema proxy-firewall costa giusto qualche milione in più. Prendiamo in come esempio uno dei migliori firewall in circolazione: "Firewall1" (Check point software) V4.0 costa 18.510.000 (per 100 indirizzi IP) o 43.980.000 (per illimitati indirizzi IP). Questi costi purtroppo sono spesso troppo elevati per le imprese di limitate dimensioni le quali non sempre sono in grado di affrontare spese di questa entità. Fortunatamente le softwarehouse più grosse stanno mettendo sul mercato pacchetti integrati di soluzioni firewall-proxy a prezzi accessibili anche alle aziende più piccole. Un esempio è Microsoft Proxy Server 2.0 un server proxy studiato appositamente per società che vogliano mettere online il proprio sito collegandolo con i propri database clienti e di marketing, sicuri di non subire attacchi esterni grazie all’integrazione con un efficace firewall. Purtroppo non sappiamo ancora esattamente quale sarà il prezzo del prodotto che comunque si aggirerà intorno ai 15.000 dollari. 2. TOOL ANTI-INTRUSIONE I Tool anti intrusione sono il corrispettivo informatico delle telecamere a circuito chiuso e vengono installati nei punti di connessione tra Internet e la rete aziendale. Sono in grado di identificare attacchi o comportamenti inconsueti e possono rispondere con le contromisure decise dall’amministratore. Il loro costo può variare dai 5 ai 20 milioni di lire. Un’efficace accoppiata di tool antintrusione è NetProwler (£ 18.400.000) con Intruder Alert Manager (£ 5.750.000). 3. SCANNER DI VULNERABILITÀ Non si può riparare una falla di cui non si conosce l’esistenza. Gli scanner di vulnerabilità fanno esattamente quello che dice il nome: cercano in tutta la Intranet possibili "buchi di sicurezza". Sui server scovano problemi potenziali come account scaduti o password poco sicure; sui firewall invece controllano Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 23 di 26 possibili errori di configurazione o servizi troppo vulnerabili che potrebbero rappresentare una porta di accesso per eventuali attacchi. Il prezzo di questi tool varia a seconda degli indirizzi IP in rete, da un minimo di 3 milioni di lire ad un massimo di 22 milioni. Un famoso Software di questo genere è Cybercop (Network Associates) dal costo di 12.000 dollari per un massimo di 1000 utenti. Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 24 di 26 UN'AUTHORITY PER LA SICUREZZA NEL COMMERCIO ELETTORNICO Il senso di insicurezza che ancora accompagna alcuni potenziali acquisti in Rete sembra sia destinato a scomparire . A garantire gli scambi in alcuni paesi europei, in Giappone e in Canada, ci sarà un’Authority internazionale. E’ nata il 6 settembre 1999 in Belgio dall’accordo tra istituti di credito, associazioni bancarie e società per l’automazione. In tutto ottocento banche, in pratica, buona parte del sistema creditizio di quei paesi dove il commercio elettronico si sta sviluppando, se si escludono gli Usa, che ancora non hanno aderito all’iniziativa. Per l’Italia ci sono l’Abi, l’Associazione Bancaria Italiana e la Sia, la Società Italiana per l’Automazione. Battezzato "Gta", Global Trust Authority, l’istituto, a differenza di altre iniziative analoghe, non ha scopo di lucro, ma solo l’obiettivo di identificare coloro che vogliano acquistare e vendere via Internet in modo tale che, sia da una parte che dall’altra, vengano eliminati tutti i possibili rischi legati alla transazione, prima fra tutti quello di sapere se ci si può fidare. "E’ la prima grande garanzia internazionale per il commercio online" spiegano all'Abi. "L’obiettivo è fare in modo che gli operatori possano riconoscersi. Il meccanismo è abbastanza semplice e si basa sulla firma elettronica, già prevista in Italia e in altri paesi". Fatta la firma elettronica per poter operare in anonimato e in tutta sicurezza era necessario che qualcuno abbinasse alla chiave pubblica, quella appunto fornita dalla firma elettronica, una chiave personale. "E questa chiave" aggiungono allAbi "verrà fornita dagli istituti di credito ai propri correntisti, siano essi semplici cittadini o commercianti. Sarà poi la nuova Authority ad abbinare le due chiavi e a garantire sull’identità di chi opera sul commercio online". Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 25 di 26 MA SIAMO DAVVERO SICURI? Negli ultimi mesi la sicurezza su Internet è stata oggetto di campagne stampa e l’interesse è cresciuto generando sempre più curiosità ma anche preoccupazione. I primi a richiamare l'attenzione su tale problema, sono stati alcune persone che si sono accorte della presenza, sul proprio conto della carta di credito, di alcuni piccoli addebiti per acquisti, mai effettuati, presso società sparse nel mondo. Alcuni di questi hanno spiegato di non aver mai avuto contatto con quelle società, ma di aver utilizzato la carta per altri acquisti online. E da qui la denuncia, quasi sempre contro ignoti. Il fenomeno è ormai così allargato da spingere la magistratura a prendere provvedimenti. La procura di Milano ha aperto la prima inchiesta a largo raggio sulla circolazione dei dati relativi alle carte di credito via Internet e sulle truffe telematiche collegate al commercio elettronico. Che tale argomento sia di primaria importanza lo dimostra anche una recente ricerca del Boston Consulting Group, la quale ha evidenziato che una delle cause che attualmente frena il cosiddetto commercio elettronico è il fatto che gli acquirenti non si sentono sicuri di inviare il proprio numero di carta di credito attraverso Internet, temendo che esso possa essere individuato da terzi. Ma nonostante tutto le truffe con le carte di credito legate all’ecommerce sono un fenomeno in espansione su scala mondiale. Un ricercatore dell’Università del Minnesota, John Faughnan, ha condotto un ampio studio sull’argomento: le truffe con carta di credito sarebbero un business da 40 milioni di dollari, che ha già visto truffate 900 mila persone in ventidue paesi. L’Italia finora non era fra questi. Spiega Faughnan che il sistema più diffuso per la truffa su scala internazionale è quello di creare, attraverso appositi software disponibili su Internet, migliaia di numeri di carte di credito inviandoli ai programmi di protezione degli acquisti di e-commerce, finché non si individuano quelli che passano al vaglio di questi filtri. A questo punto, i numeri vengono usati per acquisti inferiori ai 50 dollari, il tetto sotto al quale le banche non sono obbligate a rifondere le spese a chi è stato truffato. In realtà in Italia l’e-commerce sembra più sicuro che altrove: "L’acquirente è più garantito", dice Paolo Lezzi, presidente del provider milanese Enter, che gestisce servizi di e-commerce insieme alla Banca Popolare di Milano. "I casi come quelli su cui indaga la procura di Milano, nascono da software che creano numeri di carte, non l’intercettazione di numeri sui siti di e-commerce. Sui nostri siti il numero della carta non va al venditore, ma a dei "virtual POS" gestiti dalle banche, che a loro volta autorizzano i pagamenti. In Italia, poi, si usano sistemi di criptazione a 128 bit che rendono impossibile intercettare per via telematica il numero della carta" (Repubblica 16 ottobre 1999). Quindi non è vero che vengono intercettati i numeri di carta di credito: semplicemente sono disponibili software che li creano ex novo. E il titolare Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi. LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO INTERNET Pag. 26 di 26 della carta di credito con quel numero si vedrà addebitare gli acquisti effettuati a suo nome. Inoltre gli acquisti effettuati mediante carta di credito sono sempre ripudiabili, qualunque sia il loro importo. Secondo alcuni, tuttavia, quello della sicurezza in rete è un falso problema. "Il mondo digitale" - ha recentemente dichiarato in una intervista Nicholas Negroponte, fondatore del Media Laboratory del Massachussets Institute of Technology - "è molto più sicuro di quello analogico, fisico. La persona che non si fida di digitare su Internet il numero della propria carta di credito è proprio quella che va in un ristorante e consegna la sua carta di credito alla fine di un pasto a uno strano cameriere, che scompare per 20 minuti prima di riconsegnarla". Nella vita di tutti i giorni infatti molte persone utilizzano la carta di credito per acquistare beni o servizi, e gli esercenti che accettano pagamenti con la carta di credito, ad esempio un negozio o un ristorante, conservano una ricevuta del pagamento contenente, fra le altre cose, il numero della carta di credito e la firma del titolare. Quindi, paradossalmente, perché preoccuparsi tanto che qualcuno su Internet venga in possesso del numero della nostra carta quando nel mondo ''fisico'' ciò avviene in continuazione, anzi è la norma? Roberto Dadda, responsabile dell'ufficio innovazione tecnologica del Banco Ambrosiano Veneto, afferma che "fare acquisti su Internet è più che sicuro, perché la tecnologia è ormai assolutamente in grado di scoraggiare ladri, frodatori ed hackers vari. Anzi a volte i sistemi di sicurezza studiati per la rete delle reti risultano perfino ridondanti, probabilmente per fugare una convinzione lievitata su motivazioni più psicologiche che reali: Internet è un canale distributivo emergente, dunque poco collaudato e per questo anche insicuro". L'ABA, il corrispondente statunitense della nostra Abi, ha reso noti alcuni dati piuttosto significativi relativi alla realtà americana (1): per ogni 1000 dollari di fatturato le frodi perpetrate via Internet sono pari a 1 dollaro, sul fronte delle carte di credito si parla di 1,5 dollari ogni mille, per le carte prepagate del telefono si sale a 16 dollari e per i telefoni cellulari a circa 42. "Questi dati fanno pensare", afferma Dadda. "Ci confermano che intorno a Internet si sta esagerando nell'evidenziare i rischi di frodi''. Ciò che comunque preme sottolineare è che il fattore sicurezza in ambito Internet non è certo da sottovalutare, in quanto ricopre un ruolo importante nella comunicazione e nella possibilità di effettuare transizioni online. Ugualmente non è nemmeno il caso di esagerare con timori eccessivi e senza dubbio fuori luogo, in quanto, come si è visto, si ottengono accettabili garanzie di sicurezza, spesso maggiori che nel mondo ''reale''. (1) I dati qui riportati fanno riferimento all'anno 1998 Materiale prelevato dal sito http://www.amicopc.com Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi.