|
LA
SICUREZZA DELLE TRANSAZIONI E COMUNICAZIONI ATTRAVERSO
INTERNET
Studio
per il corso di "ECONOMIA E GESTIONE DELLE IMPRESE COMMERCIALI:
E-commerce - Franchising e accordi di distribuzione"
presso l'Università Commerciale "Bocconi"
di Milano, in collaborazione con Matteo
Bianchi e Alessandro
Buzzi.
ESIGENZE
DI SICUREZZA
A
livello generale è necessario garantire
- l'integrità
dell'host: la manutenzione di un sistema di host
ha una complessità che cresce esponenzialmente col
numero di servizi implementati. Di conseguenza testarne
la sicurezza non è un'impresa banale. Il rischio è
che qualcuno potrebbe penetrare nel sistema per arrecando
danno all'azienda o agli altri utenti;
-
una barriera contro lo spoofing (sostituzione
di identità): pratica per cui una trasmissione sembra
provenire da un utente autorizzato. Per esempio, nello
spoofing IP, a una trasmissione viene assegnato l'indirizzo
IP di un utente autorizzato per ottenere l'accesso
a suo nome. A questo punto è possibile rintracciare
le richieste del client a cui ci si è sostituiti facendo
da tramite fra il server e il client stesso, lasciando
transitare le informazioni non ritenute interessanti,
limitandosi a trattenere o distorcere i dati considerati
importanti;
- una
barriera contro i virus: se è vero che ogni
giorno vengono rilasciati otto nuovi tipi di virus,
si può comprendere come la difesa da questo tipo di
attacchi non sia da sottovalutare;
- evitare
l'accesso, la distruzione e il furto dei dati.
Il
problema principale è che le reti digitali sono prevalentemente
composte da canali che non sono privati ma sono a disposizione
di tutti, e nei quali la maggior parte dei dati circola
''in chiaro'', cioè senza alcuna codifica: su Internet
è possibile inviare messaggi anonimi o addirittura a
nome di qualcun altro, intercettare posta elettronica,
acquisire di nascosto informazioni sul di un determinato
utente. Ciò che viene a mancare è la ''certezza del
contesto'': certezza che l'autore del messaggio sia
realmente colui che dice di essere, certezza che il
messaggio giunto sino a noi sia identico a quello spedito
dal mittente, certezza che il messaggio sia stato inviato
realmente dal suo autore, certezza che il mittente potesse
legittimamente inviare quel messaggio, certezza che
il messaggio sia stato inviato in quel giorno e in quelle
ora… E naturalmente la certezza che il messaggio da
noi inviato giunga realmente a destinazione, certezza
dell'identità del destinatario, e così via.
Più precisamente si hanno quattro diverse esigenze
di certezza che una rete sicura deve garantire:
- certezza
dell'identità dei corrispondenti (identificazione),
cioè garantire che la controparte sia realmente chi
dice di essere;
- certezza
delle legittimità dell'operazione (autorizzazione),
sapere cioè se la controparte sia autorizzata a compiere
determinate operazioni;
- certezza
dell'integrità del messaggio (autenticazione),
garanzia che il messaggio non sia stato modificato
lungo il percorso;
- certezza
della segretezza della comunicazione (riservatezza),
in modo che terzi non autorizzati non possano venire
a conoscenza di informazioni riservate.
L'unico
strumento che consente di fare ciò è la crittografia,
cioè l'insieme delle tecniche di codifica, decodifica
e autenticazione di dati e messaggi mediante l'uso di
chiavi, cioè stringhe di bit che permettono di identificare
il titolare della chiave e di eseguire le funzioni previste
dall'algoritmo.
|
