la sicurezza delle transazioni e comunicazioni

Transcript

LA SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI
ATTRAVERSO INTERNET
Pag. 1 di 26
LA SICUREZZA DELLE
TRANSAZIONI
E COMUNICAZIONI
ATTRAVERSO INTERNET
Materiale prelevato dal sito http://www.amicopc.com
Realizzazione: Darty -1999, in collaborazione con Matteo Bianchi e Alessandro Buzzi.
ATTRAVERSO INTERNET
Pag. 2 di 26
NOTE LEGALI
La riproduzione parziale o totale del presente materiale è consentita solo per
usi non commerciali purché sia mantenuto invariato il contenuto e i riferimenti
all’autore: obbligatoriamente dovrà essere inserito, in posizione visibile, un link
al sito http://www.amicopc.com
Sui siti diversi da AmicoPc la consultazione di queste pagine non può essere
assoggettata a nessun tipo di pagamento o registrazione, nemmeno gratuita,
di qualsivoglia tipo di dati personali (nome, cognome, email o altro). Nel caso
in cui, per visualizzare queste pagine, abbiate dovuto fornire dati personali o
corrispondere un qualsiasi pagamento, siete pregati di comunicarcelo mediante
il modulo disponibile all'indirizzo http://www.amicopc.com/contact.asp oppure
scrivendo all’indirizzo [email protected]
Lo staff di AmicoPc e gli autori della guide nonché i responsabili dei siti che
ospitano queste pagine, non forniscono alcuna garanzia, neppure implicita,
sulla correttezza delle informazioni qui riportate. In nessun caso possono
essere ritenuti responsabili per eventuali malfunzionamenti, perdite di dati, cali
di prestazioni o qualsiasi altro danno dovuto all'utilizzo di tale materiale.
I diritti di autore sui testi e/o sull'altro materiale pubblicato rimangono di
esclusiva proprietà degli autori
ATTRAVERSO INTERNET
Pag. 3 di 26
SOMMARIO
INTRODUZIONE ...................................................................................... 4
ESIGENZE DI SICUREZZA ........................................................................ 5
STORIA DELLA CRITTOGRAFIA.................................................................. 7
TECNICHE di CIFRATURA.......................................................................... 8
1. SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (SIMMETRICA) ................. 8
2. SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (ASIMMETRICA) ............. 8
3. SISTEMI CRITTOGRAFICI MISTI ......................................................... 9
FIRMA DIGITALE ................................................................................... 10
NORMATIVA DI RIFERIMENTO .............................................................. 10
CHIAVE ASIMMETRICA E FUNZIONE DI HASH ........................................ 10
AUTORITÀ DI CERTIFICAZIONE ............................................................ 12
SICUREZZA NELLE TRANSAZIONI............................................................ 14
1. CONNESSIONE BROWSER-SITO........................................................ 14
2. CONNESSIONE INTRANET-INTERNET ................................................ 15
3. INTRANET AZIENDALE..................................................................... 16
4. COMPUTER DELL'UTENTE................................................................. 17
I COSTI della SICUREZZA....................................................................... 19
AMERICA ........................................................................................... 19
ITALIA .............................................................................................. 20
1. FIREWALL ...................................................................................... 22
2. TOOL ANTI-INTRUSIONE ................................................................. 22
UN'AUTHORITY PER LA SICUREZZA NEL COMMERCIO ELETTORNICO .......... 24
MA SIAMO DAVVERO SICURI?................................................................. 25
ATTRAVERSO INTERNET
Pag. 4 di 26
INTRODUZIONE
Lo straordinario sviluppo delle reti di comunicazione e dei servizi offerti
mediante la tecnologia dell'Informazione, può considerarsi, senza ombra di
dubbio, come la grande rivoluzione di fine secolo.
Mai prima d'ora l'uomo si era trovato a disporre di un mezzo tanto potente per
comunicare il proprio pensiero: oggi possiamo raggiungere con facilità, da
qualsiasi posto e a costi ridotti praticamente qualsiasi altro essere umano
ovunque si trovi; ed anche i nostri documenti scritti, viaggiando ad incredibili
velocità, possono raggiungere in pochi istanti numerosi destinatari.
La crescente disponibilità di banda passante, unità ai sempre minori costi di
connettività ed alla disponibilità sempre maggiore dei punti d'accesso, ha fatto
delle moderne reti di comunicazione il vero e proprio sistema nervoso del
pianeta. Eppure anche questa magnifica costruzione ha il suo tallone d'Achille:
la sicurezza. Proprio perché ''reti aperte'', le reti digitali sono intrinsecamente
insicure: esse non sono state progettate in modo da garantire autoprotezione e
difesa contro eventuali abusi.
Ne discende che esse sono particolarmente sensibili all'intercettazione ed
all'alterazione dei dati trasmessi nonché alla violazione dei supporti informatici
ad essa connessi. Il problema è ancora più sentito quando si parla di
commercio elettronico, o più in generale quando i dati trasferiti contengono
informazioni riservate: la sicurezza è il presupposto fondamentale su cui si
fonda il rapporto fiduciario fra acquirente e venditore, fra banche e correntisti…
Senza garanzie adeguate l'utente non avrà incentivi all'utilizzo di tali tecnologie
che, sebbene siano più convenienti, sono anche più insicure.
Inoltre il desiderio dell'utente di garantire la propria riservatezza e anonimato
mal si concilia con la necessità di imputabilità, cioè la possibilità effettiva di
conoscere l'identità degli utenti e di ciò che stanno facendo. Il tentativo di
creare siti completamente anonimi va contro le nozioni di imputabilità,
autenticità, integrità, revocabilità, non ripudiazione e non può essere in
armonia con la necessità di applicare la legge di fronte ad una frode
significativa.
Ideale sarebbe trovare un giusto bilanciamento fra queste diverse esigenze e
tale compromesso dovrebbe essere attentamente protetto. La protezione delle
informazioni trasmesse via Internet richiede tutte le attenzioni normalmente
dedicate ai corrispondenti documenti cartacei.
Il passaggio dai documenti tradizionali al relativo documento elettronico deve
venire gestito in maniera tale da conservare, ed eventualmente migliorare, le
tradizionali politiche di sicurezza al fine di consentire un sistema di
comunicazione sicuro.
ATTRAVERSO INTERNET
Pag. 5 di 26
ESIGENZE DI SICUREZZA
A livello generale è necessario garantire
•
•
•
•
l'integrità dell'host: la manutenzione di un sistema di host ha una
complessità che cresce esponenzialmente col numero di servizi
implementati. Di conseguenza testarne la sicurezza non è un'impresa
banale. Il rischio è che qualcuno potrebbe penetrare nel sistema per
arrecando danno all'azienda o agli altri utenti;
una barriera contro lo spoofing (sostituzione di identità): pratica per cui
una trasmissione sembra provenire da un utente autorizzato. Per
esempio, nello spoofing IP, a una trasmissione viene assegnato l'indirizzo
IP di un utente autorizzato per ottenere l'accesso a suo nome. A questo
punto è possibile rintracciare le richieste del client a cui ci si è sostituiti
facendo da tramite fra il server e il client stesso, lasciando transitare le
informazioni non ritenute interessanti, limitandosi a trattenere o
distorcere i dati considerati importanti;
una barriera contro i virus: se è vero che ogni giorno vengono rilasciati
otto nuovi tipi di virus, si può comprendere come la difesa da questo tipo
di attacchi non sia da sottovalutare;
evitare l'accesso, la distruzione e il furto dei dati.
Il problema principale è che le reti digitali sono prevalentemente composte da
canali che non sono privati ma sono a disposizione di tutti, e nei quali la
maggior parte dei dati circola ''in chiaro'', cioè senza alcuna codifica: su
Internet è possibile inviare messaggi anonimi o addirittura a nome di qualcun
altro, intercettare posta elettronica, acquisire di nascosto informazioni sul di un
determinato utente. Ciò che viene a mancare è la ''certezza del contesto'':
certezza che l'autore del messaggio sia realmente colui che dice di essere,
certezza che il messaggio giunto sino a noi sia identico a quello spedito dal
mittente, certezza che il messaggio sia stato inviato realmente dal suo autore,
certezza che il mittente potesse legittimamente inviare quel messaggio,
certezza che il messaggio sia stato inviato in quel giorno e in quelle ora… E
naturalmente la certezza che il messaggio da noi inviato giunga realmente a
destinazione, certezza dell'identità del destinatario, e così via. Più
precisamente si hanno quattro diverse esigenze di certezza che una rete sicura
deve garantire:
• certezza dell'identità dei corrispondenti (identificazione), cioè garantire
che la controparte sia realmente chi dice di essere;
• certezza delle legittimità dell'operazione (autorizzazione), sapere cioè se
la controparte sia autorizzata a compiere determinate operazioni;
• certezza dell'integrità del messaggio (autenticazione), garanzia che il
messaggio non sia stato modificato lungo il percorso;
• certezza della segretezza della comunicazione (riservatezza), in modo
che terzi non autorizzati non possano venire a conoscenza di informazioni
riservate.
ATTRAVERSO INTERNET
Pag. 6 di 26
L'unico strumento che consente di fare ciò è la crittografia, cioè l'insieme delle
tecniche di codifica, decodifica e autenticazione di dati e messaggi mediante
l'uso di chiavi, cioè stringhe di bit che permettono di identificare il titolare della
chiave e di eseguire le funzioni previste dall'algoritmo.
ATTRAVERSO INTERNET
Pag. 7 di 26
STORIA DELLA CRITTOGRAFIA
Nel corso dei secoli si è fatto ricorso alla crittografia per i più diversi motivi:
religiosi, politici e non ultimi economici.
Ci sono poi casi in cui il ricorso ad un linguaggio segreto è motivato da ragioni
di riservatezza personale: Marco Tullio Cicerone ogni tanto ''cifrava'' qualche
passaggio delle lettere scritte ai familiari; Leonardo da Vinci compilava le sue
annotazioni scrivendo al rovescio; Wolfgang Goethe spediva lettere amorose
incomprensibili a chi non ne conoscesse il ''codice di accesso''.
L'utilizzo più massiccio di scritture segrete ha però avuto luogo per motivi
diplomatici e militari. Il far ricorso alla crittografia per poter comunicare con
sicurezza pare sia nato all'epoca degli Egizi, anche se ben presto ne fecero uso
anche gli altri popoli.
Enea Tacticus, vissuto nel quarto secolo avanti Cristo, scrisse il primo trattato
sulla crittografia di cui si abbia notizia. Cesare e Augusto si servirono
ampiamente del sistema di trasposizione delle lettere. Nel Medioevo ricordiamo
i trattati di crittografia scritti da Gabriel de Lavinde (1357-83), da Leon Battista
Alberti (1467-72) e da Cicco Simonetta (1474); anche Niccolò Macchiavelli,
durante la sua attività diplomatica, utilizzò codici segreti. Con il passare del
tempo la crittografia ha perfezionato le proprie tecniche, ma è stato soltanto
nel periodo fra le due guerre che, mediante il ricorso a elaboratori
elettromeccanici, essa è riuscita a velocizzare il processo di codifica e
decodifica del messaggio.
Agli inizi degli anni Settanta, con l'introduzione dei computer, è stato
sviluppato ''Lucifer'', basato sul sistema misto di cifratura per trasposizione
(per esempio la lettera A diventa E, la B diventa F e così via) e per sostituzione
(la lettera A diventa 1, la lettera B diventa 2…).
Nel 1976 viene introdotto il ''DES'' (Data Encryption System), basato sull'uso di
una chiave di 56 bit, che offre ben settanta miliardi di combinazioni diverse;
nonostante ciò alcuni esperti sono riusciti a violarlo.
In quello stesso anno W. Diffie e M. Hellman introdussero il concetto della
crittografia a chiave pubblica, concetto che trovò successivamente applicazione
pratica negli studi di tre matematici del Massachusetts Institute of Technology
(MIT), R. Rivest, Adi Shamir e L. Adleman, che nell'aprile del 1977 idearono
l'algoritmo RSA (dalle iniziali dei loro cognomi) (1)
Nel 1990 è stato creato IDEA (International Data Encryption Algorithm) il quale
utilizza una chiave di 128 bit ed è generalmente giudicato sicuro.
Marcello Morelli, "La comunicazione in Rete", Ed. Franco Angeli, Milano,
1999
(1)
ATTRAVERSO INTERNET
Pag. 8 di 26
TECNICHE di CIFRATURA
Le tecnologie di cifratura, fondamentalmente, si dividono in tre categorie:
1. SISTEMI CRITTOGRAFICI A CHIAVE PRIVATA (SIMMETRICA)
La crittografia a chiave privata individua due algoritmi (uno di codifica e l'atro
di decodifica) ed un'unica chiave. Per cifrare e decifrare un documento sia il
mittente che il destinatario usano la stessa chiave: pertanto essi devono
preventivamente accordarsi sulla chiave da utilizzare. Uno dei più diffusi
algoritmi di questa categoria è il già citato DES (Data Encryption Standard).
2. SISTEMI CRITTOGRAFICI A CHIAVE PUBBLICA (ASIMMETRICA)
La crittografia a chiave pubblica comprende anch'essa due algoritmi (uno di
codifica e l'altro di decodifica) ma utilizza due chiavi differenti, una pubblica
(nota a chiunque) e l'altra privata (conosciuta solo dal titolare). La chiave
pubblica del destinatario viene utilizzata per codificare il messaggio, il quale
può essere letto solo mediante la corrispondente chiave privata, conosciuta
solo dal destinatario stesso. Per la decodifica non esistono alternative: o si
conosce la chiave privata o non si ha possibilità di decodificare il messaggio. In
tal modo si ha la certezza che un messaggio crittografato mediante la chiave
pubblica del destinatario verrà letto solamente dal destinatario stesso.
Entrambe le chiavi devono essere registrate presso una Certification Autority
che garantisce la corrispondenza fra una determinata chiave e il relativo
proprietario, in modo da avere la sicurezza che ad una determinata chiave
corrisponde una persona precisa ed individuabile. Le chiavi pubbliche di tutti gli
utenti sono raccolte in un elenco, consultabile via telematica, ottenendo così
un'infrastruttura allo stesso tempo semplice ma efficace, evitando inoltre di
doversi scambiare la chiave crittografica prima di poter comunicare.
ATTRAVERSO INTERNET
Pag. 9 di 26
3. SISTEMI CRITTOGRAFICI MISTI
Attualmente il metodo più usato consiste in una forma mista di queste due
tecniche: ogni utente ha una propria coppia di chiavi, una privata e una
pubblica, ma ogni volta che si devono codificare dei dati si crea una chiave
simmetrica di sessione variabile di volta in volta. Con essa si esegue la
codifica, dopo di che la chiave simmetrica viene criptata con la chiave pubblica
del destinatario (in modo che sia leggibile solo da lui) e allegata al messaggio.
Quando il destinatario riceve il messaggio, usa la sua chiave privata per
decifrare la "chiave simmetrica di sessione" e quindi usa quest'ultima per
decodificare il messaggio. Questo metodo riesce a riassumere in sé la maggior
sicurezza data dall'utilizzo delle coppie di chiavi per ogni utente (propria della
crittografia asimmetrica) con la maggior velocità di codifica e decodifica
(propria dell'uso della chiave simmetrica). In tal modo viene garantita la
segretezza, l'autenticità e l'integrità dei dati. Si pensi infatti che le chiavi
private e pubbliche sono composte da 1024 bit, ossia una serie di 1 e 0
estremamente lunga. Applicando il calcolo delle probabilità si ottengono
2^1024 combinazioni possibili. Immaginando di usare un supercomputer (per
esempio un Cray in logica EECL) con una frequenza di clock di ben 1.000 Mhz e
con una capacità di calcolo pari a 10^9 tentativi per secondo, questo
2^1024
impiegherebbe
= 5,⋅10^2917 (57 seguito da 290
(10^9) ⋅ (60 ⋅ 60 ⋅ 24 ⋅ 365)
zeri) anni per trovare la chiave cercata. Al momento sono state forzate
solamente chiavi molto corte (al massimo 56 bit).
Su questo concetto si basa il funzionamento della Firma Digitale.
ATTRAVERSO INTERNET
Pag. 10 di 26
FIRMA DIGITALE
NORMATIVA DI RIFERIMENTO
La firma digitale basata sulla crittografia a chiave pubblica si è ormai affermata
come principale strumento in grado, allo stato attuale della tecnologia, di
assicurare l'integrità e la provenienza dei documenti informatici e quindi di
svolgere per questi la funzione che nei documenti tradizionali è assolta dalla
firma autografa. La normativa di riferimento è il DPR 10 novembre 1997 n°
513, uno degli allegati del "pacchetto Bassanini", la quale introduce
ufficialmente nel nostro ordinamento il documento elettronico e la firma
digitale, dando ad esse il medesimo valore legale e probatorio delle rispettive
controparti cartacee. Si tratta effettivamente di un notevole balzo in avanti del
nostro legislatore, il quale, per una volta, è riuscito a mettersi al passo con i
tempi, estendendo al mondo dell'informazione digitale quel patrimonio di
legalità e fiducia che era caratteristica dei soli documenti "tangibili". Infatti il
già citato DPR del 10 novembre 1997n° 513 ha equiparato la firma digitale a
quella tradizionale, disponendo che: "Il documento informatico sottoscritto con
firma digitale […] ha efficacia di scrittura privata"; "l'apposizione o
l'associazione della firma digitale al documento informatico equivale alla
sottoscrizione prevista per gli atti e documenti in forma scritta su supporto
cartaceo"; "i contratti stipulati con strumenti informatici o per via telematica
mediante l'uso della firma digitale […] sono validi e rilevanti a tutti gli effetti di
legge"; Con l'introduzione nella nostra legislazione dei concetti di documento
elettronico e firma digitale si aprono infinite possibilità di sviluppo delle
relazioni fra cittadini e pubblica amministrazione: il decreto 513 prevede
esplicitamente la possibilità che i cittadini corrispondano con le pubbliche
amministrazioni per via telematica per tutte le funzioni ordinarie, e che la firma
digitale possa essere utilizzata dai cittadini per qualsiasi atto avente valore
legale. L’Autorità per l'Informatica nella Pubblica Amministrazione, in virtù del
ruolo di consulente della Presidenza del Consiglio dei Ministri, ha assunto un
ruolo trainante nella predisposizione della normativa del settore, svolgendo
un’intensa attività che ha portato dallo studio iniziale del 1996, alla bozza di
regolamento dell’estate 1997, dalla quale è stato derivato il regolamento
contenuto nel DPR.
CHIAVE ASIMMETRICA E FUNZIONE DI HASH
Essa si basa sul sistema crittografico a chiave pubblica (o asimmetrica) di
almeno 1024 bit, che, come si è visto, garantisce la possibilità di attribuire un
documento ad un determinato soggetto con assoluta certezza ed opponibilità ai
terzi; requisito fondamentale affinché si instauri il rapporto fiduciario che sta
alla base di qualsiasi attività di commercio elettronico. Tale sistema di chiave
asimmetrica consente quindi di inviare messaggi che possono essere letti solo
da colui che possiede la relativa chiave privata: il destinatario di cui abbiamo
utilizzato la chiave pubblica. Tale struttura consente ai suoi utilizzatori di
''firmare'' i documenti in modo da attribuirsene la paternità: per fare ciò basta
crittografare il messaggio utilizzando la propria chiave privata. Per leggerlo
ATTRAVERSO INTERNET
Pag. 11 di 26
occorre decodificarlo utilizzando la relativa chiave pubblica, accessibile a tutti:
se la decifrazione avverrà con successo, si ha la prova incontrovertibile che il
messaggio è stato scritto proprio da quel mittente, in quanto nessun altro
all'infuori di lui possiede la chiave privata necessaria per crittografarlo. Nella
realtà però si utilizza un sistema di chiavi miste, utilizzando uno strumento che
prende il nome di funzione di hash. Si tratta di una particolare funzione che
ricevendo in ingresso un numero qualsiasi (il grande numero binario che
costituisce il documento da firmare), produce in uscita un numero molto più
piccolo (una ventina di byte) il cui valore dipende in modo strettissimo dal
valore di ingresso. Il valore ottenuto da questa elaborazione, si chiama
impronta del documento originario, in quanto ne costituisce una sorta di
impronta digitale. Questa funzione inoltre deve essere tale da garantire che
modifiche anche minime al documento sino evidenziate con impronte differenti.
Una volta ottenuta l'impronta del documento (ben più maneggevole del
documento stesso) questa viene crittografata con la chiave privata del
mittente. Il risultato di ciò è la vera firma digitale applicata al messaggio. Chi
vuole verificare l'autenticità di un documento relativamente ad una data firma,
non fa altro che applicare a sua volta la funzione convenzionale di hash per
ricavarne l'impronta. Dopodiché prende la presunta firma e la decifra
utilizzando la chiave pubblica dell'autore, ottenendo così una seconda
impronta. Ora basta confrontare le due impronte, quella ricavata direttamente
dal documento e quella ottenuta dalla decodifica mediante chiave pubblica: se
esse coincidono si può essere certi che il documento è stato realmente
generato dalla stessa persona che ne ha generato la ''firma''.
ATTRAVERSO INTERNET
Pag. 12 di 26
A questo punto è facile comprendere la definizione di firma digitale data dal
DPR 513/1997 secondo la quale essa è "il risultato della procedura informatica
(validazione) basta su un sistema di chiavi asimmetriche a coppia, una
pubblica e una privata, che consente al sottoscrittore tramite la chiave privata
e al destinatario tramite la chiave pubblica, rispettivamente, di rendere
manifesta e di verificare la provenienza e l'integrità di un documento
informatico o di un insieme di documenti informatici" (art. 1 lett. b).
AUTORITÀ DI CERTIFICAZIONE
Tutta la costruzione che poggia sulla firma digitale ha però un serio punto
debole: la gestione degli elenchi delle chiavi pubbliche. Infatti in mancanza di
un reale controllo chiunque potrebbe depositare una chiave a nome di un altro
e quindi spacciarsi per lui. Affinché tutto il sistema funzioni e dia garanzie di
fiducia, occorre dunque instaurare una rigorosa infrastruttura di certificazione
che garantisca l'effettiva identità di ciascuno: quindi un terzo, dotato di
imparzialità nei confronti degli utenti, che certifichi per l'appunto, l'autenticità
delle chiavi e la corrispondenza della chiave pubblica con il suo titolare. Questo
ruolo è ricoperto dal "Certificatore", comunemente chiamato Autorità di
Certificazione", al quale il DPR n° 513/1997 attribuisce, tra gli altri, l'obbligo di
identificare con certezza la persona che fa richiesta della certificazione,
rilasciare e rendere pubblico il certificato, procedere tempestivamente alla
revoca ed alla sospensione del certificato, dandone immediata pubblicazione e
comunicando,
altresì,
all'Autorità
per
l'Informatica
nella
Pubblica
Amministrazione (AIPA) e al singolo utente la cessazione della propria attività
di certificatore, con preavviso di almeno sei mesi. Per garantire l'identità dei
soggetti che utilizzano la firma digitale e per fornire protezione nei confronti di
possibili danni derivanti da un esercizio non adeguato delle attività di
certificazione, il DPR n.513/97 richiede che il soggetto certificatore sia in
possesso di particolari requisiti e sia incluso in un elenco pubblico, consultabile
per via telematica, predisposto ed aggiornato a cura dell'Autorità per
l'informatica nella Pubblica Amministrazione. Va inoltre precisato che tale
Certificatore non è un'Autorità centrale bensì un soggetto giuridico, pubblico o
privato. Dal punto di vista pratico funziona così: chi desiderasse utilizzare la
firma digitale deve innanzitutto recarsi presso un Autorità di registrazione per il
riconoscimento. Tale Autorità (le cui funzioni potrebbero essere svolte dagli
sportelli bancari, dagli uffici postali…) invierà i dati acquisiti al Certificatore
consegnando al richiedente una smartcard (una specie di tessera bancomat
dotata però di microchip e non di banda magnetica) e un software che,
insieme, consentiranno di generare, con l'aiuto di un personal computer, la
chiave pubblica che dovrà essere inviata al Certificatore, il quale provvederà
alla sua pubblicazione. La chiave privata invece rimane memorizzata
indelebilmente all'interno della stessa smartcard. In mancanza della smartcard
non sarà quindi possibile apporre la firma digitale. Va aggiunto che le
"istruzioni" presenti nel microchip della smartcard include un sistema di
sicurezza che la disabilita dopo alcuni tentativi di effrazione, in modo da evitare
eventuali tentativi di cracking. Tali Certification Authority garantiscono quindi
la provenienza e la paternità delle chiavi, rilasciando opportuni certificati: lo
ATTRAVERSO INTERNET
Pag. 13 di 26
standard adottato è l' ISO X.509; stranamente non ha avuto riconoscimento
legale il ben più diffuso PGP (Pretty Good Privacy). Nonostante siano presenti
ancora alcune incertezze legislative, vale la pena di ricordare come l'Italia si sia
posta all'avanguardia essendo il primo paese ad avere attribuito piena validità
giuridica ai documenti elettronici.
ATTRAVERSO INTERNET
Pag. 14 di 26
SICUREZZA NELLE TRANSAZIONI
Tralasciando gli aspetti culturali, sociali e politici che possono favorire, o al
contrario rallentare la diffusione del commercio via Internet, vogliamo qui
analizzare le soluzioni tecnologiche che consentono di definire sicura una
transazione effettuata mediante rete digitale.
Se si dovesse garantire un adeguata sicurezza di una singola postazione di
lavoro, si dovrebbero prendere in considerazione prodotti come: Suite di
sicurezza o Antivirus SW di crittografazione della posta elettronica Filtri anti
spam (bloccano i messaggi commerciali non richiesti) Password manager Con
riferimento al mondo aziendale la situazione è leggermente più complessa in
quanto dobbiamo gestire un numero indefinito di utenti che passano attraverso
un server e che, essendo tutti interconnnessi, possono causare gravi danni al
sistema.
Inoltre abbiamo la necessità di proteggere i dati che risiedono all’interno della
LAN (Local Area Network) da eventuali attacchi da parte di malintenzionati.
In particolare è necessario garantire la sicurezza su quattro livelli: connessione
Browser-Sito connessione Intranet-Internet Intranet aziendale computer
dell'utente
1. CONNESSIONE BROWSER-SITO
Per garantire un collegamento sicuro fra il computer dell'utente e il server del
venditore, si ricorre generalmente all'utilizzo dei protocolli, fra cui lo standard,
al momento, è rappresentato dal protocollo SSL 3.0 (Secure Socket Layer),
creato dalla Rsa. Esso consente innanzitutto di stabilire una connessione sicura
fra le due parti, garantendone l'interoperabilità (tale protocollo è facilmente
integrabile all'interno del software) e l'estendibilità, cioè la possibilità di
incorporare, se necessario, nuovi chiavi pubbliche e nuovi algoritmi di codifica,
evitando così di sostituire il protocollo nel caso si volesse variare il proprio
livello di sicurezza. Inoltre non è necessario inserire username o password.
Inoltre lo stesso protocollo SSL incorpora al suo interno una sessione opzionale
di cache, in modo da alleggerire il lavoro della CPU, che viene messa sotto
sforzo con l'uso delle chiavi pubbliche. Tale protocollo è integrato nei più diffusi
browser (Netscape e Explorer). I titolari di carte di credito possono acquistare
in modalità SSL in quanto la transazione è assimilata agli acquisti effettuati per
telefono o per corrispondenza, detti anche MOTO (Mail Order Telephone
Order). Non vi è però la certezza dell'identità di chi sta effettuando la
transazione, poiché non vi è la ''firma'', e quindi la transazione è ripudiabile dal
legittimo titolare della carta, il quale, a seguito di tali operazioni, può
contestare l'estratto conto mensile. Per ovviare a tale problema (ripudiabilità
delle operazioni), VISA, MasterCard ed altri partner, hanno introdotto un
protocollo diverso: il SET. Non tutti i browser sono abilitati alle transazioni SET
e per poterlo utilizzare è necessario l'installazione di un software specifico (ad
eccezione della recente versione 5 di Internet Explorer); inoltre ogni titolare di
carta di credito deve chiedere alla società emittitrice un codice personale (PIN,
ATTRAVERSO INTERNET
Pag. 15 di 26
Personal Identification Number). Come si vede la procedura è più macchinosa
ma ha il vantaggio di garantire l'identità dell'acquirente e le transazioni
effettuate non sono ripudiabili dal titolare, a meno che non riesca a dimostrare
l'uso fraudolento del software SET e del suo PIN. Per il momento quasi nessun
sito ha adottato questo protocollo. Naturalmente esistono altri tipi di
protocollo, più o meno diffusi: basti citare l'SHTTP (Secure Hypertext Transfer
Protocol), l'PCT (Private Communication Technology), l'STT (Secure Transation
Technology), il CISCO (Commercial Internet Protocol Security Option). A
questo proposito è utile sottolineare come qualche anno fa, un nuovo
protocollo impiegasse anni per raggiungere un vasto consenso. Oggi i prodotti
ed i protocolli si affermano come standard con una velocità sorprendente,
soprattutto in virtù della forza della comunicazione commerciale. In questo
caso si parla di Internet Time, intendendo con questo termine la "costante
accelerazione con cui vengono rilasciati nuovi protocolli e prodotti le cui
funzionalità sono rivolte all'uso di Internet" (1)
Ciò comporta notevoli conseguenze dal punto di vista della sicurezza:
tutti i prodotti sono sempre nello stato di versione beta, perché c'è sempre
bisogno di aggiungere nuove funzionalità;
la qualità del codice di tali programmi peggiora, in quanto la fase di beta
testing ha sostituito la fase di controllo della qualità e, a causa dei ridotti tempi
di sviluppo, non c'è tempo per un test dettagliato;
i venditori cercano di proporre i propri prodotti come standard;
la sicurezza è considerata un livello aggiuntivo del prodotto e non viene
incorporata nel progetto iniziale. Per tali motivi è auspicabile un'omologazione
dei diversi protocolli, magari in seguito ad un intervento governativo.
Faenzi Francesco, La sicurezza in ambienti Internet ed Intranet, Tesi di Laurea, Università
degli Studi, Genova, 1998
(1)
2. CONNESSIONE INTRANET-INTERNET
La connessione della rete aziendale ad Internet, può rappresentare un
problema potenziale nel caso non vengano adeguatamente valutati i rischi di
intrusioni indesiderate, e non vengano presi tutti gli opportuni provvedimenti
per garantire una adeguata sicurezza una volta realizzato il collegamento in
Internet. Mediante opportuni strumenti è possibile collegare ad Internet la
propria rete e al contempo mantenere la riservatezza ed un adeguato livello di
protezione del Sistema Informativo aziendale. Questo obiettivo viene raggiunto
grazie all'utilizzo di un Firewall, un sottosistema che, interposto tra la rete
interna aziendale ed Internet, controlla tutto ciò che entra o esce dalla rete a
cui è abbinato, evitando che possano venire eseguite operazioni che
pregiudichino l’integrità e la sicurezza del sistema. Naturalmente oltre a
garantire un adeguato sistema di difesa nei confronti di attacchi di
malintenzionati, esso deve garantire un accesso sicuro ed efficiente a tutti gli
utenti aziendali che lavorano sul territorio (mobile user).
ATTRAVERSO INTERNET
Pag. 16 di 26
I compiti del firewall sono
assicurarsi che se un'azione non è abilitata, tutti i tentativi di proseguirla
falliscano;
registrare eventi sospetti;
avvertire i responsabili del sistema di tutti i tentativi di intrusione;
creare statistiche di accesso.
Esistono in commercio diverse tipologie di Firewall, la maggior parte delle quali
con un elevato grado di sicurezza e stabilità, ognuno dei quali risponde a
precise esigenze. Per esempio, il "Digital Internet Tunnel" (www.digital.com) è
una soluzione adatta per reti che comportino alti rischi in termini di sicurezza,
in quanto consente di creare un "tunnel" fra i due elaboratori connessi entro
cui vengono quindi trasmessi i dati. Se invece è necessario garantire una
elevata flessibilità e velocità di connessione, ci si può rivolgere al "Storagetek
Network System Group" (www.storagetek.com) che è in grado di controllare gli
accessi con una velocità pari a 155 Mbps.
3. INTRANET AZIENDALE
Anche all'interno dell'azienda esistono problemi di sicurezza. Occorre evitare i
rischi accidentali di cancellazione o la modifica dei documenti, ed è consigliabile
premunirsi contro vandalismi e sabotaggi, tenere segreta l'informazione
riservata ecc. Questi problemi coinvolgono la piccola azienda così come quella
a carattere nazionale o con uffici sparsi in tutto il continente. La politica
ATTRAVERSO INTERNET
Pag. 17 di 26
aziendale deve predisporre la sicurezza di rete e far sì che la tecnologia di rete
sia adeguata agli standard di sicurezza ritenuti adeguati. Per esempio, sul
server esiste la possibilità di usare un insieme di privilegi per impedire che
utenti non autorizzati accedano ai file; dai danni fisici ci si protegge facendo dei
backup… Inoltre dal momento che la tecnologia Intranet è di tipo aperto, anche
gli utenti comportano un rischio per la sicurezza. Infine non basta rendere
sicuri e affidabili i server Intranet e gli altri computer dell'azienda: anche per i
pacchetti di informazioni che circolano sulla rete esiste il rischio di
intercettazione e manomissione.
Per realizzare quindi un livello di sicurezza adeguato, è possibile implementare
un protocollo di comunicazione che, come l'IPSEC (Internet Protocol Security
Charter) della RSA, garantisce l’interoperabilità fra le diverse postazioni,
creando una Virtual Private Network che, monitorando in continuazione i
pacchetti IP trasmessi, rende impossibile la connessione alla rete interna da
parte di utenti non autorizzati. Inoltre i dati trasferiti da una postazione all'altra
sono crittografati secondo il criterio della chiave asimmetrica, in modo da
renderli incomprensibili per chi non possiede la chiave privata.
4. COMPUTER DELL'UTENTE
Come si è visto esistono soluzioni che permettono di rendere sicuri i vari
momenti di una transazione via Internet. Troppo spesso però, nell'ambito di
interventi volti a garantire adeguati livelli di sicurezza, si tralascia una
ATTRAVERSO INTERNET
Pag. 18 di 26
componente fondamentale: il computer dell'utente. Quando un computer si
connette ad Internet, esso si espone a due potenziali pericoli: la perdita di dati
e la diffusione di informazioni riservate. Il primo caso è forse il più comune:
basti pensare alla diffusione dei virus informatici. L'aumento del numero dei
download dalla Rete e l'utilizzo sempre più diffuso di attachment via email, non
fanno che aumentare le possibilità di essere infettati. Si stima che siano solo
250 i virus circolanti veramente dannosi, ma molti di questi possono causare
danni significativi, far perdere tempo e comportare costi di ripristino non
indifferenti. A questo punto appare evidente che le chiavi private di decodifica
e tutte le ulteriori password necessarie alla propria sicurezza devono essere
memorizzate in modo da risultare invulnerabili rispetto a tali attacchi, in modo
che, anche nel caso di infezione da virus o di cancellazione di dati, tali
informazioni non vengano perse. Difendere tali dati da involontarie
cancellazioni o perdite non è sufficiente: bisogna fare in modo che essi non
siano conoscibili da terzi non autorizzati. Si pensi per esempio al Back Orifice,
una piccola applicazione che, una volta installata sul computer della ''vittima''
consente di prenderne, di nascosto, il controllo, visualizzando e all'occorrenza
modificando i dati e le informazioni memorizzate, fra cui eventuali password.
Pertanto non solo è importante e necessario implementare strumenti che
garantiscano la sicurezza delle transazioni via Internet, ma ugualmente
importante è anche creare negli utenti una cultura sensibile verso tali
problematiche, in modo che comprendano la necessità di adottare soluzioni
tecnologiche atte difendere le proprie informazioni riservate (si pensi, per
esempio, ai programmi antivirus e ai programmi che monitorando le porte di
comunicazione dei PC consentono di rilevare e interrompere trasferimenti di
dati non autorizzati).
ATTRAVERSO INTERNET
Pag. 19 di 26
I COSTI della SICUREZZA
AMERICA
Perdite subite nel 1998
$136.822.000
Incremento costi rispetto al 1997
36%
Classificazione perdite
in $
Furto di informazione proprietaria
Accesso non autorizzato di personale interno
Frode alle compagnie di telecomunicazione
Frode finanziaria
Virus
Abuso dell'accesso alla rete di personale interno
Sabotaggio
Intercettazione delle comunicazioni
433.545.000
50.565.000
17.256.000
11.239.000
7.874.000
3.720.000
2.142.000
562.000
Origine probabile degli attacchi
Impiegati scontenti
Hacker indipendenti
Organizzazioni americane
Organizzazioni straniere
Governi stranieri
Ignoti
89
72
48
29
21
48
%
%
%
%
%
%
Tecnologia usata per la sicurezza
Software Antivirus
Controllo di accesso
Sicurezza fisica
Firewall
Password
File crittografati
Login cifrate
Rilevamento delle intrusioni
Identificativi digitali
Identificazione biometrica
96 %
89 %
89 %
81 %
53 %
50 %
36 %
35 %
20 %
6%
ATTRAVERSO INTERNET
Pag. 20 di 26
ITALIA
Il Computer Emergency Response Team Italiano (CERT-IT) ha reso noti i
seguenti dati sui crimini informatici in Italia:
Cause di incidenti
Sniffing
Bachi nei sistemi operativi
NFS (1)
Decifratori di password
NIS (2)
Bachi nella applicazioni
Spoofing
Altri
25 %
19 %
13 %
12 %
10 %
10 %
3%
10 %
Moventi e conseguenze
Esplorazione delle risorse
Furto di dati
Abuso di password
Abuso di privilegi
Accesso negato
Danneggiamento o cancellazione dei file
37 %
20 %
16 %
15 %
9%
3%
Origine probabile degli attacchi
Utenti non privilegiati
Membri del personale
Sconosciuti
82 %
6%
12 %
ATTRAVERSO INTERNET
Pag. 21 di 26
Tipologie di attacco per settore di attività:
Vale la pena però ricordare che, secondo la Internet Security Systems, l’80%
di tutte le falle della sicurezza è causato da fattori interni al firewall
dell’azienda,
ed
eventuali
errori
dovuti
a
negligenza
potrebbero
inavvertitamente aprire la rete a minacce esterne.
Questo problema diventa sempre più interessante nel momento in cui bisogna
prendere delle decisioni del tipo "make or buy" per quanto riguarda
l'implementazione della sicurezza aziendale: configurare in proprio il sistema o
ATTRAVERSO INTERNET
Pag. 22 di 26
affidarsi a società come IBM, Anderson Consulting, Ernst & Young, con relativo
innalzamento
dei
costi.
D’altra parte preme sottolineare che l’efficacia di un programma di sicurezza
dipende in grande misura da chi lo configura: secondo l’ICSA (International
Center or Security Analysis) il 70% dei siti Web provvisti di firewall
commerciali certificati continuano ad essere vulnerabili ad attacchi esterni a
causa di errori di configurazione o di utilizzo dei software di sicurezza.
(1) Acronimo di Network File System. Sistema di file distribuito sviluppato dalla Sun
Microsystems, Inc, che consente agli utenti delle workstation Windows NT e UNIX di accedere a
file e directory remoti in una rete come se fossero locali.
(2) Utility, prima chiamata Yellow Pages, che gestisce un database centralizzato di nomi e
posizioni delle risorse di una rete: essa consente di individuare le risorse su un qualsiasi nodo
in base al nome.
(3) Marino Longoni in Italia Oggi, "Computer in Sicurezza", 30 novembre 1999
1. FIREWALL
Come si è detto nel capitolo precedente, la connessione fra la rete interna e
Internet, è resa sicura grazie ai cosiddetti Firewall. Oggigiorno i firewall stanno
diventando una cosa unica con i server proxy garantendo una maggiore
flessibilità d’utilizzo e soprattutto un notevole risparmio nei costi. Se un firewall
costa dai 10 ai 50 Milioni di lire ( a seconda del numero di indirizzi IP) un
analogo sistema proxy-firewall costa giusto qualche milione in più. Prendiamo
in come esempio uno dei migliori firewall in circolazione: "Firewall1" (Check
point software) V4.0 costa 18.510.000 (per 100 indirizzi IP) o 43.980.000 (per
illimitati indirizzi IP). Questi costi purtroppo sono spesso troppo elevati per le
imprese di limitate dimensioni le quali non sempre sono in grado di affrontare
spese di questa entità. Fortunatamente le softwarehouse più grosse stanno
mettendo sul mercato pacchetti integrati di soluzioni firewall-proxy a prezzi
accessibili anche alle aziende più piccole. Un esempio è Microsoft Proxy Server
2.0 un server proxy studiato appositamente per società che vogliano mettere
online il proprio sito collegandolo con i propri database clienti e di marketing,
sicuri di non subire attacchi esterni grazie all’integrazione con un efficace
firewall. Purtroppo non sappiamo ancora esattamente quale sarà il prezzo del
prodotto che comunque si aggirerà intorno ai 15.000 dollari.
2. TOOL ANTI-INTRUSIONE
I Tool anti intrusione sono il corrispettivo informatico delle telecamere a
circuito chiuso e vengono installati nei punti di connessione tra Internet e la
rete aziendale. Sono in grado di identificare attacchi o comportamenti
inconsueti
e
possono
rispondere
con
le
contromisure
decise
dall’amministratore. Il loro costo può variare dai 5 ai 20 milioni di lire.
Un’efficace accoppiata di tool antintrusione è NetProwler (£ 18.400.000) con
Intruder Alert Manager (£ 5.750.000). 3. SCANNER DI VULNERABILITÀ Non si
può riparare una falla di cui non si conosce l’esistenza. Gli scanner di
vulnerabilità fanno esattamente quello che dice il nome: cercano in tutta la
Intranet possibili "buchi di sicurezza". Sui server scovano problemi potenziali
come account scaduti o password poco sicure; sui firewall invece controllano
ATTRAVERSO INTERNET
Pag. 23 di 26
possibili errori di configurazione o servizi troppo vulnerabili che potrebbero
rappresentare una porta di accesso per eventuali attacchi. Il prezzo di questi
tool varia a seconda degli indirizzi IP in rete, da un minimo di 3 milioni di lire
ad un massimo di 22 milioni. Un famoso Software di questo genere è Cybercop
(Network Associates) dal costo di 12.000 dollari per un massimo di 1000
utenti.
ATTRAVERSO INTERNET
Pag. 24 di 26
UN'AUTHORITY PER LA SICUREZZA
NEL COMMERCIO ELETTORNICO
Il senso di insicurezza che ancora accompagna alcuni potenziali acquisti in Rete
sembra sia destinato a scomparire . A garantire gli scambi in alcuni paesi
europei, in Giappone e in Canada, ci sarà un’Authority internazionale. E’ nata il
6 settembre 1999 in Belgio dall’accordo tra istituti di credito, associazioni
bancarie e società per l’automazione. In tutto ottocento banche, in pratica,
buona parte del sistema creditizio di quei paesi dove il commercio elettronico si
sta sviluppando, se si escludono gli Usa, che ancora non hanno aderito
all’iniziativa. Per l’Italia ci sono l’Abi, l’Associazione Bancaria Italiana e la Sia, la
Società Italiana per l’Automazione. Battezzato "Gta", Global Trust Authority,
l’istituto, a differenza di altre iniziative analoghe, non ha scopo di lucro, ma
solo l’obiettivo di identificare coloro che vogliano acquistare e vendere via
Internet in modo tale che, sia da una parte che dall’altra, vengano eliminati
tutti i possibili rischi legati alla transazione, prima fra tutti quello di sapere se
ci si può fidare. "E’ la prima grande garanzia internazionale per il commercio
online" spiegano all'Abi. "L’obiettivo è fare in modo che gli operatori possano
riconoscersi. Il meccanismo è abbastanza semplice e si basa sulla firma
elettronica, già prevista in Italia e in altri paesi". Fatta la firma elettronica per
poter operare in anonimato e in tutta sicurezza era necessario che qualcuno
abbinasse alla chiave pubblica, quella appunto fornita dalla firma elettronica,
una chiave personale. "E questa chiave" aggiungono allAbi "verrà fornita dagli
istituti di credito ai propri correntisti, siano essi semplici cittadini o
commercianti. Sarà poi la nuova Authority ad abbinare le due chiavi e a
garantire sull’identità di chi opera sul commercio online".
ATTRAVERSO INTERNET
Pag. 25 di 26
MA SIAMO DAVVERO SICURI?
Negli ultimi mesi la sicurezza su Internet è stata oggetto di campagne stampa
e l’interesse è cresciuto generando sempre più curiosità ma anche
preoccupazione. I primi a richiamare l'attenzione su tale problema, sono stati
alcune persone che si sono accorte della presenza, sul proprio conto della carta
di credito, di alcuni piccoli addebiti per acquisti, mai effettuati, presso società
sparse nel mondo.
Alcuni di questi hanno spiegato di non aver mai avuto contatto con quelle
società, ma di aver utilizzato la carta per altri acquisti online. E da qui la
denuncia, quasi sempre contro ignoti. Il fenomeno è ormai così allargato da
spingere la magistratura a prendere provvedimenti.
La procura di Milano ha aperto la prima inchiesta a largo raggio sulla
circolazione dei dati relativi alle carte di credito via Internet e sulle truffe
telematiche collegate al commercio elettronico.
Che tale argomento sia di primaria importanza lo dimostra anche una recente
ricerca del Boston Consulting Group, la quale ha evidenziato che una delle
cause che attualmente frena il cosiddetto commercio elettronico è il fatto che
gli acquirenti non si sentono sicuri di inviare il proprio numero di carta di
credito attraverso Internet, temendo che esso possa essere individuato da
terzi. Ma nonostante tutto le truffe con le carte di credito legate all’ecommerce sono un fenomeno in espansione su scala mondiale. Un ricercatore
dell’Università del Minnesota, John Faughnan, ha condotto un ampio studio
sull’argomento: le truffe con carta di credito sarebbero un business da 40
milioni di dollari, che ha già visto truffate 900 mila persone in ventidue paesi.
L’Italia finora non era fra questi.
Spiega Faughnan che il sistema più diffuso per la truffa su scala internazionale
è quello di creare, attraverso appositi software disponibili su Internet, migliaia
di numeri di carte di credito inviandoli ai programmi di protezione degli acquisti
di e-commerce, finché non si individuano quelli che passano al vaglio di questi
filtri. A questo punto, i numeri vengono usati per acquisti inferiori ai 50 dollari,
il tetto sotto al quale le banche non sono obbligate a rifondere le spese a chi è
stato truffato.
In realtà in Italia l’e-commerce sembra più sicuro che altrove: "L’acquirente è
più garantito", dice Paolo Lezzi, presidente del provider milanese Enter, che
gestisce servizi di e-commerce insieme alla Banca Popolare di Milano. "I casi
come quelli su cui indaga la procura di Milano, nascono da software che creano
numeri di carte, non l’intercettazione di numeri sui siti di e-commerce. Sui
nostri siti il numero della carta non va al venditore, ma a dei "virtual POS"
gestiti dalle banche, che a loro volta autorizzano i pagamenti.
In Italia, poi, si usano sistemi di criptazione a 128 bit che rendono impossibile
intercettare per via telematica il numero della carta" (Repubblica 16 ottobre
1999).
Quindi non è vero che vengono intercettati i numeri di carta di credito:
semplicemente sono disponibili software che li creano ex novo. E il titolare
ATTRAVERSO INTERNET
Pag. 26 di 26
della carta di credito con quel numero si vedrà addebitare gli acquisti effettuati
a suo nome. Inoltre gli acquisti effettuati mediante carta di credito sono
sempre ripudiabili, qualunque sia il loro importo.
Secondo alcuni, tuttavia, quello della sicurezza in rete è un falso problema. "Il
mondo digitale" - ha recentemente dichiarato in una intervista Nicholas
Negroponte, fondatore del Media Laboratory del Massachussets Institute of
Technology - "è molto più sicuro di quello analogico, fisico. La persona che non
si fida di digitare su Internet il numero della propria carta di credito è proprio
quella che va in un ristorante e consegna la sua carta di credito alla fine di un
pasto a uno strano cameriere, che scompare per 20 minuti prima di
riconsegnarla".
Nella vita di tutti i giorni infatti molte persone utilizzano la carta di credito per
acquistare beni o servizi, e gli esercenti che accettano pagamenti con la carta
di credito, ad esempio un negozio o un ristorante, conservano una ricevuta del
pagamento contenente, fra le altre cose, il numero della carta di credito e la
firma del titolare.
Quindi, paradossalmente, perché preoccuparsi tanto che qualcuno su Internet
venga in possesso del numero della nostra carta quando nel mondo ''fisico'' ciò
avviene in continuazione, anzi è la norma?
Roberto Dadda, responsabile dell'ufficio innovazione tecnologica del Banco
Ambrosiano Veneto, afferma che "fare acquisti su Internet è più che sicuro,
perché la tecnologia è ormai assolutamente in grado di scoraggiare ladri,
frodatori ed hackers vari. Anzi a volte i sistemi di sicurezza studiati per la rete
delle reti risultano perfino ridondanti, probabilmente per fugare una
convinzione lievitata su motivazioni più psicologiche che reali: Internet è un
canale distributivo emergente, dunque poco collaudato e per questo anche
insicuro".
L'ABA, il corrispondente statunitense della nostra Abi, ha reso noti alcuni dati
piuttosto significativi relativi alla realtà americana (1): per ogni 1000 dollari di
fatturato le frodi perpetrate via Internet sono pari a 1 dollaro, sul fronte delle
carte di credito si parla di 1,5 dollari ogni mille, per le carte prepagate del
telefono si sale a 16 dollari e per i telefoni cellulari a circa 42.
"Questi dati fanno pensare", afferma Dadda. "Ci confermano che intorno a
Internet si sta esagerando nell'evidenziare i rischi di frodi''.
Ciò che comunque preme sottolineare è che il fattore sicurezza in ambito
Internet non è certo da sottovalutare, in quanto ricopre un ruolo importante
nella comunicazione e nella possibilità di effettuare transizioni online.
Ugualmente non è nemmeno il caso di esagerare con timori eccessivi e senza
dubbio fuori luogo, in quanto, come si è visto, si ottengono accettabili garanzie
di sicurezza, spesso maggiori che nel mondo ''reale''.
(1)
I dati qui riportati fanno riferimento all'anno 1998

la sicurezza delle transazioni e comunicazioni

Transcript

Documenti analoghi

comune di forte dei marmi comune di forte dei marmi

pag. 31 16 Luglio 2015 - Gazzetta di Parma

BANDO FSA 2014 Comune di TOMBOLO E` indetto il

8 settembre 2010 Il Gazzettino di Treviso

BTS Management delle Unità Commerciali (MUC)

questionario di soddisfazione dei clienti

Tomaso Buzzi

pag. 01 20 Ottobre 2016 - La Gazzetta dello Sport (ed