|
|
| |
| |
| |
 |
CKMULTISLOT è una libreria PKCS#11 alternativa
che funziona coi dispositivi Thales (linea nCipher). E' stata progettata
specificatamente per gestire milioni di chiavi RSA attraverso l'uso
di blob cifrati che vengono archiviati in un filesystem esterno o
in un database. |
| L'implementazione PKCS#11 ufficiale di Thales è
adatta per un largo numero di applicativi. Tuttavia quando un'azienda
necessita di gestire milioni di chiavi, ognuna delle quali protetta
da un PIN differente, questa libreria presenta un certo numero di
inconvenienti che impediscono il funzionamento corretto del sistema.
|
| Una attenta allocazione delle risorse e un database
esterno per l'archiviazionie dei dati sono i due fattori principali
su cui fa leva CKMULTISLOT al fine di permettere una gestione scalabile
degli slot/delle chiavi da parte dell'applicativo. |
| |
 CKMULTISLOT
- Libreria alternativa PKCS#11 per dispositivi Thales HSM - Reference
(formato pdf) |
|
|
| |
| |
|
| |
| |
 |
1. Statistiche anonime sugli utenti |
| 2. Servizi di strong authentication |
| 3. Ampliamento di un sistema per la multifirma remota |
| 5. Cifratura di database |
| 5. Database encryption |
| 6. Penetration Test |
| 7. Vulnerability Assessment |
| 8. Installazione e setup di soluzioni di security |
| |
|
| |
 Scarica
la brochure Intrinsc (formato pdf) |
| |
| |
| Statistiche
anonime sugli utenti |
Progettazione di un sistema di anonimizzazione
dei dati per effettuare statistiche sugli utenti di una Telco che desidera
raccogliere informazioni su larga scala, nel rispetto della privacy. La
necessità del cliente è quella di mettersi nelle condizioni
di non poter individuare le singole persone ma fare solamente conteggi con
etichette fittizie. Questo permette ai gestori di indirizzare i propri servizi
verso quelle linee di mercato che l’utenza predilige e concentrarsi sul
miglioramento della loro qualità senza venire a conoscenza delle
abitudini dei singoli.
La realizzazione di questo progetto prevede l’impiego di moduli hardware
per la sicurezza (HSM) che, oltre alla protezione delle chiavi crittografiche,
consentono l’esecuzione di algoritmi personalizzati al loro interno. E’
importante infatti che le procedure di anonimizzazione siano eseguite all’interno
di un perimetro sicuro dove il codice e i dati parziali non sono accessibili.
Solo il risultato finale viene reso noto all’applicativo esterno che raccoglie
e gestisce le informazioni provenienti dalla rete. |
| |
| Servizi
di strong authentication |
| Gestione dell’accesso alle risorse
di un grande cliente attraverso sistemi VPN-SSL supportati dalla doppia
autenticazione offerta dai token hardware. Gli utenti, quando si trovano
in trasferta, possono accedere ai servizi della rete aziendale utilizzando
un piccola chiavetta (delle dimensioni di un accendino) che permette al
sistema centrale di riconoscere chi si sta connettendo e quali autorizzazioni
possiede. A differenza dei sistemi basati su password, questa infrastruttura
offre un grado di sicurezza molto maggiore. Per ogni connessione infatti
è necessario non solo l’uso delle proprie credenziali, come nei sistemi
tradizionali, ma anche la presenza fisica del token, il quale non può
essere in alcun modo duplicato o bypassato. L’utente è quindi sicuro
che, se il token rimane in suo possesso, un accesso abusivo a suo nome non
può avvenire. |
| |
| Ampliamento
di un sistema per la multifirma remota |
|
Reingegnerizzazione di una interfaccia di comunicazione (e relativo substrato
logico) di un modulo di sicurezza per la firma digitale (HSM) in modo
che quest’ultimo possa gestire un numero arbitrario di chiavi, appoggiando
il proprio storage su un database esterno. In questo modo viene resa possibile
la firma remota su grandi realtà che superano il milione di utenti,
mantenendo gli applicativi già disponibili. Questo permette un
notevole risparmio nella manutenzione del codice da parte dei programmatori
che gestiscono l’infrastruttura di firma digitale, offrendo al tempo stesso
un sistema dalla scalabilità quasi illimitata.
|
| |
| Protezione
del software |
Design di algoritmi crittografici
per la firma corta, utilizzati per il licensing e la protezione del software.
Attraverso una combinazione di librerie software e dispositivi hardware,
vengono realizzati sistemi che permettono alle software house di impedire
la copia abusiva dei propri applicativi senza richiedere all’utente finale
l’esecuzione di procedure lunghe e complesse.
Da una parte il dongle subordina l’esecuzione del programma alla sua presenza
nella porta USB del PC, dall’altra la crittografia a firma corta permette
di regolare le feature aggiuntive del prodotto. Per esempio è possibile
controllare la scadenza delle licenza o l’attivazione di funzionalità
particolari attraverso un codice alfanumerico di 20-25 caratteri, che può
essere agevolmente fornito dalla software house anche per telefono o stampandolo
sull’etichetta del CD. |
| |
| Cifratura
di database |
|
Progettazione di sistemi per la cifratura di database che rendono trasparente
l’accesso ai dati per gli utenti autorizzati. Uno dei principali problemi
che si trovano ad affrontare le grandi aziende è quello della protezione
dati del proprio database, poiché esso contiene spesso informazioni
di vitale importanza. Al tempo stesso vi è quasi sempre la necessità
di mantenere inalterati gli applicativi in uso per l’accesso ai dati,
in quanto oltre a permettere un risparmio sui costi, consentono all’utente
di continuare ad usare procedure conosciute ed affidabili.
Per questa ragione l’utilizzo di appliance come Datasecure, in congiunzione
ad una analisi del contesto specifico da parte di un nostro specialista,
risulta essere un ottimo investimento per la protezione dei propri dati
in modo trasparente e sicuro.
|
| |
| Penetration
Test |
| Il servizio prevede l’analisi della
sicurezza del perimetro esterno della rete del cliente. In particolare vengono
analizzati tutti gli host attivi alla ricerca di server configurati non
correttamente, inoltre vengono ricercate vulnerabilità note, utilizzate
in genere dagli hacker per la compromissione dei sistemi. Nella fase preliminare
del servizio, Il cliente può decidere se includere o meno eventuali
attacchi di tipo Denial Of Service o di Brute Force. Al termine dell’attività
viene prodotto un Security Report su cui vengono evidenziate le vulnerabilità
riscontrate nella configurazione della rete e i suggerimenti per renderla
più sicura. Questo servizio viene condotto remotamente dalla sede
di Intrinsic. |
| |
| Vulnerability
Assessment |
| Il servizio prevede l’analisi dello
stato della sicurezza della rete interna del cliente. Facendo seguito alla
presa visione della realtà da esaminare, viene effettuata una scansione
dettagliata di tutta la rete per rilevare gli host attivi, i loro sistemi
operativi, relativi servizi e possibili vulnerabilità. Durante l’assessment
inoltre vengono analizzate eventuali reti wireless presenti sulla rete del
cliente e le configurazioni dei sistemi di sicurezza installati. Al termine
dell’attività di vulnerability assessment viene generato un Security
Report contenente nel dettaglio le vulnerabilità e i problemi riscontrati.
Vengono inoltre fornite istruzioni su come modificare le configurazioni
dei sistemi al fine di ovviare agli inconvenienti rilevati. |
| |
| Installazione
e setup di soluzioni di networking e security |
In ogni progetto legato alla sicurezza,
la fase di implementazione è critica e importante quanto la progettazione.
Data la natura altamente specialistica di alcuni dei prodotti nell’ambito
del networking e della security, può accadere che il cliente finale
non possieda le figure professionali più idonee a curarne il deployment
e a configurare correttamente il sistema.
Intrinsic offre quindi un servizio di installazione e configurazione per
tutte le soluzioni commercializzate, grazie alla presenza di personale qualificato
in grado di affiancare il cliente e seguire il progetto a partire dalla
progettazione fino al deployment e al fine-tuning, in modo da assicurare
un utilizzo ottimale della soluzione. |
| |
| |
