Comunicazioni - G. D`Agostino

Comunicazioni •  Non ho ricevuto risposta su eventuale cambio di orario,
ma ho chiesto.
•  4 di voi si sono arruolati
•  Sembra che Octave (scaricabile gratuitamente) è in grado
di far girare I codici che girano su Mathlab. TBC.
•  Installate Octave per la prox lezione:
https://ftp.gnu.org/gnu/octave/windows/
Octave è distribuito con GNU General Public License (GPL)
Gregorio D’Agos,no 2016 TVG 1 Scambio di informazioni Una delle operazioni più comuni ed an,che è lo scambio di informazioni A sends a message to B. e.g. : Nella Sicilia dell’800 Adele (A) [non è la cantante] vuole dare un appuntamento al suo spasimante Bas(ano (B). New York (NY) 2016 Alice (A) needs to invite secretly Bob (B) for a mee,ng. Gregorio D’Agos,no 2016 TVG 2 ENEA-­‐TVG Pictures Presents “Gli aman, inganna,” “Deceived Lovers” NY Times: “This short movie-­‐movie will make you weep” Repubblica: “Questo cortometraggio bilingue vi strapperà le lacrime” Gregorio D’Agos,no 2016 TVG 3 “Gli aman( inganna(” Cast Talia Shire is “Adele” Silvester Stallone is “Bas,ano” With Julia Roberts as “Rosina” and John Travolta as “Carmelo” Gregorio D’Agos,no 2016 TVG 4 “Deceived Lovers” Kirsten Dunst is “Alice” Leonardo Di Caprio is “Bob” With Angelina Jolie as “Roxie” and Brad Pi\ as “Charlie” Gregorio D’Agos,no 2016 TVG 5 Adele & BasCano vs Alice & Bob Adele ha in mente il LUOGO e l’ora “Vecchia quercia” – “all’alba del prossimo primo quarto di luna”. Alice knows the be\er loca,on and ,me “Old Saylor pub” – “next Friday , 7 pm” Gregorio D’Agos,no 2016 TVG 6 Adele vs Alice’s steps Adele non sa scrivere, ma disegna una mappa con una quercia, una luna piena ed una luna al primo quarto. Bas,ano non può equivocare perché da bambini giocavano sempre lì. Alice writes an e-­‐mail to Bob with clear indica,ons and includes “no,fy of receipt”. Gregorio D’Agos,no 2016 TVG 7 Messaggio di Adele Adele si fida di Carmelo ma non vuole spiegargli troppo. Il suo messaggio è in chiaro ma non ovvio. Solo Bas,ano sa che il gallo indica l’alba e le lune il tempo da a\endere. Gregorio D’Agos,no 2016 TVG 8 Adele vs Alice’s steps II Adele affida la le\era a Carmelo (carrier-­‐courier) fido amico di Bas,ano e di lei. Alice pays the bill to an Internet Service Provider; whereas Bob uses office email service. Gregorio D’Agos,no 2016 TVG 9 Adele vs Alice’s steps III Adele si raccomanda con Carmelo di o\enere assenso da Bas,ano e portarle risposta. Alice does not include the “no,fy of receipt” rule in the message. Gregorio D’Agos,no 2016 TVG 10 BasCano vs Bob’s steps Carmelo porta la le\era a Bas,ano che guarda, capisce e lo prega di riportare conferma ad Adele. Bob reads the e-­‐mails and replies ‘ok’ to Alice. Gregorio D’Agos,no 2016 TVG 11 Retroscena Back-­‐stage Rosina è segretamente innamorata di Bas,ano. Conosce la debolezza di Carmelo per le donne e distraendolo cambia il messaggio di Adele. Roxie secretly loves Bob. She convinces Charlie (the system manager of Bob’s mail server) to give her access as administrator; She puts a rule for moving all messages from Alice to Bob’s spam. Bob will never reply the message. Etc etc. Gregorio D’Agos,no 2016 TVG 12 Messaggio di Adele (dopo l’alterazione) Rosina ha capito che le due lune indicano la data ed ha sos,tuito una seconda luna piena al primo quarto; quindi Bas,ano lascerà a\endere Adele invano pur avendo dato conferma. Gregorio D’Agos,no 2016 TVG 13 In sintesi A C B R Ma è molto meno interessante Gregorio D’Agos,no 2016 TVG 14 ConceP Base La segretezza dipende da mol, fa\ori. •  Elemen, necessari: –  Supporto per l’informazione –  Veicolo per il trasporto e indirizzo recapito •  Elemen, Segretezza –  Codifica (cifratura) dell’informazione –  Affidabilità corriere –  Capacità di decodifica del ricevente Gregorio D’Agos,no 2016 TVG 15 Supporto DaC Supporto per l’informazione Adele usa una pergamena. Non ha messo un sigillo quindi il supporto è “vulnerabile” rispe\o alla le\ura (fuoriuscita di informazioni) e modifica (perdita di integrità). Alice uses a plain text message on pc (no encryp,on). The physical device is vulnerable to “informa,on disclosure” and “integrity loss”. Gregorio D’Agos,no 2016 TVG 16 Trasmissione Corriere Adele usa una persona di fiducia che percorre strade portando fisicamente il messaggio. L’Affidabilità dipende da Carmelo e dalla bontà delle strade. Alice uses a common service (gmail) and her provider connec,vity. At any step of the delivering process the message can be read/modified/
destroyed. Reliability depends on gmail and ISP’s one. And the RECEIVER’S SECURITY Gregorio D’Agos,no 2016 TVG 17 ATacco subito da Adele Rosina è l’aIaccante -­‐  Obieovo strategico conquista di Bas,ano -­‐  Strumen, preliminari: monitoraggio amici comuni Adele/Bas,ano. -­‐  Obieovo taoco evitare incontro -­‐  Strumen, specifici: -­‐  Seduzione (ingegneria sociale) Carmelo. -­‐  Decriptazione (parziale) messaggio -­‐  Alterazione “innocente” del messaggio -­‐  Risultato: entrambi (A e B) aspe\eranno invano Gregorio D’Agos,no 2016 TVG 18 ATack to Alice • 
• 
• 
• 
Roxie is the a\acker Strategic Objec,ve: Bob Preliminary means: Observa,on of messages Specific Means: –  Social Engineering based on Charlie’s vulnerability. –  Knowledge of general mailer organiza,on (know how) –  Par,al destruc,on of mail •  Result: message never received. Alice thinks Bob is not interested in her. Gregorio D’Agos,no 2016 TVG 19 Errori •  Entrambe non hanno temuto l’a\acco. Adele ha previsto ad una possibile fuga di no,zie (non avendo sigilli), ma non ad una alterazione malevola del messaggio. •  Alice did not expect to be eavesdropped, neither the message to be altered. She totally thrusts the system. Gregorio D’Agos,no 2016 TVG 20 Difese possibili •  Adele poteva disegnare una nuvole\a accanto alla mezzaluna e delle linee intorno alla quercia. Se da ragazzi avessero avuto uno slang (cifratura) e se avesse saputo scrivere (codifica in cara\eri) il messaggio sarebbe stato più sicuro e chiaro. •  Alice could have used also a phone call (redundancy) to be sure Bob received the message. She did not want to appear to much willing, indeed. She could also have used the “no,fy of receipt” service to be sure that Bob actually read the message. Gregorio D’Agos,no 2016 TVG 21 Pergamena Modificata •  Rendere difficile l’alterazione con elemen, riempi,vi. •  Il galle\o è facile da cancellare •  Si possono aggiungere altri alberi •  Con un re,colo è più difficile Gregorio D’Agos,no 2016 TVG 22 ConceP fondamentali •  Cosa vogliamo proteggere/difendere •  Quali sono le minacce? •  Quali sono le vulnerabilità? •  Quali sono i potenziali pericoli ed a\accan,? •  Cosa possiamo fare per contrastarli? Gregorio D’Agos,no 2016 TVG 23 InfrastruTure & APvità (Asset) Un’Infrastru\ura è un insieme organizzato di esseri umani e disposi,vi fisici finalizzato all’erogazione di un bene o di un servizio, cioè per svolgere una “aovità” -­‐  Human-­‐ware (live-­‐ware se si usano animali) -­‐  Sosware -­‐  Hardware Gregorio D’Agos,no 2016 TVG 24 Sicurezza in AstraTo La sicurezza è l’assenza dei pericoli di origine antropica o naturale (per gli operatori e per gli uten,) La sicurezza è la certezza della disponibilità di un bene o servizio Gregorio D’Agos,no 2016 TVG 25 Una Citazione illustre Security Quotes The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-­‐
lined room with armed guards -­‐ and even then I have my doubts. – Gene Spafford Gregorio D’Agos,no 2016 TVG 26 Sicurezza come disciplina La sicurezza è la riduzione dei pericoli di origine antropica o naturale e la mi(gazione delle eventuali conseguenze. La sicurezza è l’insieme delle aovità volte ad accrescere la disponibilità di un bene o servizio e mi,gare gli effeo di una eventuale carenza. Gregorio D’Agos,no 2016 TVG 27 Sicurezza InformaCca AstraTa La sicurezza informa,ca è l’assenza dei pericoli di origine antropica o naturale nella ges,one dei da, e dei sistemi di calcolo. (I pericoli possono nascere da: errors, failiures, faults, vulnerabili,es etc) La sicurezza informa,ca è la certezza della disponibilità ed integrità dei da( e delle risorse per acquisirli e processarli da parte di soggeo desidera,. Gregorio D’Agos,no 2016 TVG 28 Sicurezza InformaCca La sicurezza informa,ca è la riduzione dei pericoli di origine antropica o naturale nella ges,one dei da, e delle risorse informa,che e la mi,gazione delle eventuali conseguenze derivan, dall’a\uazione degli stessi. La sicurezza informa,ca è l’insieme delle aovità volte ad accrescere la disponibilità esclusiva dei da, e delle risorse di calcolo e mi,gare gli effeo di una loro eventuale carenza. Gregorio D’Agos,no 2016 TVG 29 Resilienza La capacità di un sistema (una infrastru\ura) di fornire un servizio o un bene durante o a seguito di situazioni impreviste ed indesiderate. Filosofia della Resilienza Si acce\a che prima o poi qualcosa di indesiderato accada e si predispongono strumen, versa,li per fronteggiare la con,ngenza Gregorio D’Agos,no 2016 TVG 30 Protezione e difesa La Protezione è l’insieme delle azioni finalizzate ad evitare l’a\uazione di pericoli per cause accidentali (anche di origine antropica) La Difesa è l’insieme delle azioni finalizzate ad evitare pericoli derivan, da azioni di origine antropica deliberate Gregorio D’Agos,no 2016 TVG 31 Protezione informaCca La Protezione e la Difesa informa(ca sono le discipline che si occupano di evitare la perdita, alterazione, indisponibilità o l’acquisizione da parte di soggeo non aven, facoltà delle informazioni e dei disposi,vi ao a processarle o renderle disponibili. Gregorio D’Agos,no 2016 TVG 32 Protezione dei DaC L’insieme delle azioni volte ad evitare perdita, alterazione o acquisizione occasionale da parte di persone non ,tolate. Gregorio D’Agos,no 2016 TVG 33 Difesa dei da, L’insieme delle azioni e disposi,vi vol, a contrastare (ed evitare) cancellazione, alterazione o acquisizione di informazioni da parte di en,tà os,li: Cyber crime, cyber terrorism, cyber war, industrial spying, creden,al thes, etc In medicina: società assicuratrici, nemici personali, terroris,, alterazione risulta, ricerca, gare truccate, recentemente cripto-­‐rica\atori etc Gregorio D’Agos,no 2016 TVG 34 Difesa delle risorse L’insieme delle azioni e disposi,vi vol, a contrastare (ed evitare) l’inaccessibilità dei da, o delle risorse di calcolo da parte di en,tà os,li: Interruzione di conneovità, hackering main frames etc In medicina: Acquisizione del controllo dei server; a\acchi DDOS al sistema sanitario nazionale, ai sistemi di prenotazione o di ges,one delle risorse umane, ai da, sensibili e medici, alle terapie etc Gregorio D’Agos,no 2016 TVG 35 Protezione delle risorse L’insieme delle azioni e disposi,vi vol, a evitare l’inaccessibilità delle risorse di immagazzinamento o di calcolo dovute ad errori umani, fallimento dei disposi,vi o altre cause accidentali. In medicina: Acquisizione del controllo dei server; a\acchi DDOS al sistema sanitario nazionale, ai sistemi di prenotazione o di ges,one delle risorse umane. Gregorio D’Agos,no 2016 TVG 36 Informazioni in Medicina Le informazioni da proteggere e difendere in medicina sono di vario genere: -­‐  Da, rela,vi alla privacy degli uten, -­‐  Da, rela,vi alla privacy degli operatori -­‐  Da, rela,vi alla capacità opera,ve delle infrastru\ure -­‐  Da, commerciali rela,vi agli appal, -­‐  Priorità per i tra\amen, di salute -­‐  Sta,s,che sull’efficacia dei farmaci etc Gregorio D’Agos,no 2016 TVG 37 Risorse informa,che Medicina Le risorse informa,che da proteggere e difendere in medicina sono di vario genere: -­‐  Server di da, sui pazien, e sugli operatori (anche commerciali) -­‐  Computer asservi, a strumen, diagnos,ci e di tra\amento -­‐  Disposi,vi di controllo dei Sistemi di Acquisizione e controllo (SCADA) an,ncendio -­‐  Re, di conneovità -­‐  Server per ges,one amministra,va Gregorio D’Agos,no 2016 TVG 38 Potenziali a\accan, -­‐  Compe,tori, case farmaceu,che ed operatori di mercato possono avere interesse ad acquisire o manipolare le sta,s,che sui tra\amen, dei pazien,, sulla frequenza delle loro patologie, sui cos, dei farmaci, sui costumi dei pazien, e degli operatori. -­‐  Cripto-­‐ricaIatori -­‐  Terroris( possono avere interesse a conoscere o alterare I da, sulle capacità opera,ve degli ospedali, sulla disponibilità di vaccini, sulla presenza dei pazien( e degli operatori, orari dei turni; orari di fornitura etc -­‐  Vandali (ex dipenden( sconten() e compe,tori -­‐  Sviluppatori fornitori sosware per la sicurezza Gregorio D’Agos,no 2016 TVG 39 Requisi, per la Sicurezza Integrità Confidenzialità Disponibilità La “Triade” secondo la definizione del NIST Computer Security: The protec,on afforded to an automated informa,on system in order to a\ain the applicable objec,ves of preserving the integrity, availability, and confiden,ality of informa,on system resources (includes hardware, sosware, firmware, informa,on/
data, and telecommunica,ons). Gregorio D’Agos,no 2016 TVG 40 Indici di Integrità Per un processore può essere il numero di errori per ogni teraflop (floa,ng Point opera,on) . Per una rete il numero di paccheo che giungono altera, a des,nazione etc Per I da, è più delicato individuare l’unità di misura perché non tuo I da, sono iden,ci. Se si comme\e un errore di un cara\ere (ed es Dx – Sx) si può rischiare di operare un paziente nell’organo sbagliato. Lo stesso per un cara\ere nel nome. Un bit di controllo che definisce l’esito di un esame può essere cri,co. Infao si scrive POSITIVO /NEGATIVO Gregorio D’Agos,no 2016 TVG 41 Indici di Confidenzialità Il numero di pazien, vioma di una perdito di informazione. Il numero di date di nascita (o cognomi) erra, o la percentuale in millesimi. Il numero di accessi non autorizza, La quan,tà di da, resi pubblici o persi etc Le stesse grandezze misura, in bytes Gregorio D’Agos,no 2016 TVG 42 Indici di Disponibilità Il tempo medio per accedere ad un dato e la varianza o anche la distribuzione di probabilità dei tempi di a\esa. Il numero di volte (o la percentuale) in cui un dato non è stato disponibile. Il tempo durante il quale l’accesso al dato non è stato possibile Gli indici possono essere pesa, con la rilevanza dei da, Gregorio D’Agos,no 2016 TVG 43 Conceo accessori Auten,cità (Auten,city) Possibilità di verificare la sorgente originale dei da, Gius,ficabilità (economico-­‐amministra,va) Accountability (di un sistema) Possibilità di a\ribuire inequivocabilmente l’origine di ogni azione che concorre al servizio informa,co. Perché vi sia è necessario disporre di disposi,vi specifici Gregorio D’Agos,no 2016 TVG 44 Messaggio Lezione
•  Il problema della sicurezza delle informazioni è
antichissimo.
•  Le problematiche legate alla sicurezza sono
legate alle tre caratteristiche fondamentali:
disponibilità, integrità e confidenzialità.
•  La sicurezza informatica non può essere slegata
dalla sicurezza fisica.
•  Il trattamento delle informazioni mediche sensibili
richiede delle procedure il cui livello di sicurezza
deve essere sia valutabile quantitativamente ed
elevato. (High security level and Accountability)
Gregorio D’Agos,no 2016 TVG 45