Sicurezza di un'identità tesina

IDENTITY THEFT

INGLESE 8

Vincenzo L’Annunziata 5AI

What is Identity Theft?

Identity theft is a crime whereby criminals impersonate individuals, usually for

financial gain. In today's society, you often need to reveal personal bits of information

about yourself, such as your social security number, signature, name, address, phone

number, cell number, password or even banking and credit card information. If a thief

is able to access this personal information, he or she can use it to commit fraud in

your name.

Armed with your personal information, a malicious person could do any number of

things, like apply for loans or new credit card accounts. It's possible they could request

a billing address change and run up your existing credit card without your knowledge.

A thief could use counterfeit checks and debit cards or authorize electronic transfers in

your name and wipe out funds in a bank account.

Using Information on the Internet for Identity Theft

The outcome of identity theft is usually the same, regardless of how the thief obtains

your information. However, the Internet is providing new ways for people to steal your

personal information and to commit fraud. Thieves can accomplish their goal several

ways such as using Internet chat rooms and spreading Trojan horses that drop key

loggers on your computer to transmit any passwords, usernames and credit card

numbers you use on your computer back to the thieves. Many online businesses today

also store personal information about customers and shoppers on websites, and this

provides another way for your personal information to be accessed, without your

permission or knowledge.

Additionally, email phishing is another way that thieves can attempt to gather your

personal information. Phishing emails falsely claim to be an established legitimate

enterprise in an attempt to scam you into surrendering private information that will be

used for identity theft. The email will direct you to visit a website where you're asked

to update personal information, such as passwords and credit card, social security, and

bank account numbers — information the legitimate organization already has. The

website, however, is bogus and set up only to steal your information

Is Internet Identity Theft Cause for Concern?

Internet-based identity theft is a problem and it makes people hesitant about making a

purchase online, or signing up for what others consider everyday occurrences such as

creating a PayPal account, purchasing from ecommerce sites, using auction sites or

even using Internet banking and checking credit card statements online.

While Internet identity theft is definitely a hot topic in the media today, Internet

identity theft actually accounts for only a small percentage of the total identity theft

fraud cases. 9

Vincenzo L’Annunziata 5AI IDENTITY THEFT

How to Protect Yourself: Minimize the Risk

Almost every worldwide government agency responsible for identity theft issues will

tell you the same thing: The first step to fighting identity theft is to minimize the risk.

To do this they urge consumers to protect their personal information. Start by asking

companies how they use your information, and for online transaction, take a moment

to review a website's privacy policy. For Internet transactions, be sure the Web site

offers secure data encryption and other services to protect your personal information.

In offline transactions don't provide credit card numbers, financial account numbers,

and personal identifying information over the phone unless you know the

communication line is secure. Ideally, you should initiate the phone conversation.

Lastly, there are recommended everyday practices, such as keeping an eye on postal

mail to ensure your bills are arriving when they should be, and taking the time to

properly dispose of paper documents that may contain credit card numbers and other

identifying personal information.

Remember: The more private and secure you keep your personal identifying

information, the less susceptible to identify theft you are. 10

Vincenzo L’Annunziata 5AI IDENTITY THEFT

INFORMATICA

SICUREZZA NEl

DATABESE 11

Vincenzo L’Annunziata 5AI INFORMATICA

Controllo degli accessi al database MySQL

Come noto l’accesso al DBMS MySQL necessita di autenticazione. I dati archiviati

possono essere anche importanti quindi non è il renderli manipolarli da chiunque.

Questo vuol dire che ad ogni utente autorizzato alla gestione dei database potranno

essere associate una “username” e una “password” indispensabili per poter passare

alla fase successiva al login, quella in cui il server MySQL rimane in attesa delle

interrogazioni.

L’identità dell’utilizzatore si basa su due parametri: il nome utente (username) e

l’host, nome della macchina su cui è in esecuzione il DBMS. La procedura di login è

fondata invece sul database denominato “mysql” che contiene la tabella “user” con

il compito di archiviare in tre colonne: host, user e password, cioè i dati di accesso

dei diversi utilizzatori. L’accesso al DBMS sarà quindi consentito solo nel caso in cui

vi sia una corrispondenza tra le informazioni contenute in uno dei records presenti

in tabella e i dati immessi per l’autenticazione.

Valori consentiti per l’host

I valori consentiti per il campo host della tabella “user” sono in genere un comune

hostname, un numero IP o semplicemente localhost se lavoriamo in locale. Nella

definizione di un hostvengono comunque accettati alcuni caratteri speciali come il

simbolo percentuale (“%“) e l’underscore (“_“); questi ultimi vengono utilizzati per

facilitare operazioni di ricerca all’interno delle stringhe con un procedura omologa a

quella dell’operatore SQL LIKE, per cui “%” indicherà qualsiasi gruppo di caratteri,

mentre “_” indicherà la corrispondenza ad un solo carattere.

Nel caso in cui l’host sia definito tramite l’indicazione di un numero IP è possibile

stabilire anche una netmask corrispondente al range di indirizzi da cui potrà essere

effettuato l’accesso. Consideriamo un’autorizzazione formulata nel modo seguente:

GRANT ALL PRIVILEGES ON db.* TO claudio@'192.xx.xxx.0/255.255.255.0';

L’utente definito nell’istruzione avrà la possibilità di accedere a MySQL da qualsiasi

terminale dotato di numero IP in grado di soddisfare la seguente condizione:

client_ip & netmask = host_ip

Che nel caso specifico sarà espressa in questo modo:

client_ip & 255.255.255.0 = 192.xx.xxx.0

Ciò significa avranno accesso al DBMS tutti i client il cui IP sarà ricompreso

all’interno di un range che va dal “192.xx.xxx.0″ al “192.xx.xxx.255.”

SICUREZZA NEL DATABASE 12

Vincenzo L’Annunziata 5AI

L’utilizzo della netmask nella definizione degli host è previsto soltanto per indirizzi a 8,

16, 24 e 32 bit, quindi a partire dal numero minimo di bit potranno essere presi in

considerazione solo gli indirizzi ottenuti sommando la cifra 8 al valore minimo

precedente (8+8=16, 16+8=24..).

Ad esempio:

192.0.0.0/255.0.0.0: ricomprende qualsiasi indirizzo iniziante per 192;

 192.168.0.0/255.255.0.0: ricomprende qualsiasi indirizzo iniziante per 192.168;

 192.168.1.0/255.255.255.0: ricomprende qualsiasi indirizzo iniziante per

 192.168.1;

192.168.1.1: prevede soltanto l’indirizzo IP specificato.

 Valori superiori, inferiori o intermedi di bit non saranno accettati.

L’ host può anche non essere specificato, in questo caso verrà considerato dal

DBMS come omologo al carattere “%”. L’utilizzo del simbolo percentuale nella

definizione degli host pone alcuni problemi inerenti al tema della sicurezza. Un host

specificato in questo modo:

192.xxx.xxx.%

potrebbe essere sfruttato per far sì che un utente malintenzionato riesca ad

infiltrarsi nell’accesso al server MySQL digitando un host simile al seguente:

192.xxx.xxx.nome.it

Prevedendo un’evenienza del genere, MySQL è in grado di non consentire ricerche

tramite wildcards sulla base di host contenenti caratteri alfabetici o punteggiatura,

sarà quindi possibile effettuare operazioni di corrispondenza tramite “%” soltanto su

IP di tipo numerico.

Gestione Password e User

Il discorso riguardante la gestione delle parole chiave nella tabella user di MySQL è

abbastanza semplice. Anche la password relativa agli utenti può non essere indicata

lasciando vuoto il valore del campo corrispondente. In questo caso il relativo utente

avrà accesso al DBMS e al suo contenuto senza ulteriori controlli, per lui non

avverrà alcuna ricerca relativamente alla parola chiave di accesso.

Nel caso in cui la password di un utente sia invece definita, quest’ultima verrà

salvata in tabella dopo aver subito un processo di criptaggio da parte di MySQL

eseguito tramite la funzione PASSWORD(). L’utente potrà continuare ad utilizzare

per gli accessi la sua parola chiave non criptata, il DBMS la convertirà in modo da

poter effettuare un confronto con i dati presenti in tabella. Ciò vuol dire che la

“vera” password per l’autenticazione è quella criptata, l’unica che MySQL considera

valida, ma per l’utente non sarà necessario conoscerla.

Più complesso è il discorso riguardante i nomi degli utenti. Infatti, sempre

rimanendo in tema di sicurezza, è bene sottolineare che il campo user della tabella

omonima non permette ricerche tramite caratteri speciali. È invece possibile non

specificare il nome dell’utente in accesso, in questo caso esso verrà semplicemente

considerato come un anonimo. SICUREZZA NEL DATABASE 13

Vincenzo L’Annunziata 5AI

All’interno della tabella sono possibili numerose combinazioni tra host e nomi utenti:

È possibile definire sia l’host che l’user completi, in questo modo saranno

 consentite connessioni soltanto nel caso in cui entrambi i valori siano correttamente

specificati.

È possibile indicare l’host ma non la u ser, ciò vuol dire che qualsiasi utente

 potrà avere accesso con l’unico vincolo di connettersi dall’host predefinito.

Si può utilizzare il carattere speciale “%” per l’host e indicare un nome preciso

 per l’utente, in questo caso chiunque si presenti sotto quel nome avrà accesso

indipendente dall’host di provenienza.

È consentito utilizzare “%” e non specificare alcun nome utente, quindi

 chiunque avrà accesso indipendentemente da chi sia e da quale host si connetta.

Il carattere “%” potrà essere posto all’inizio di un nome di