Minacce Massive e Mirate M.M.M.

Transcript

1 AIEA - Associazione Italiana Information Systems Auditors Torino, 17/06/10 M.M.M. Ing. Davide Casale Shorr Kan IT Engineering

2 Indice Gli elementi chiave discussi in questo seminario saranno : Cybercrime Business Model (che cosa ci guadagnano?) Vettori di provenienza delle minacce (da dove mi attaccano?) Minacce massive (qui contano solo i numeri!) Attacchi manuali (i cattivi) e Vulnerability Assessment (i buoni) Esempi di rischi ed impatti focalizzati su una realtà italiana 2

3 Cybercrime Business Model Cybercrime Business Model (che cosa ci guadagnano?) Prima di vedere in quali modi le nostre infrastrutture informatiche e telematiche sono soggette ad attacchi, focalizziamoci sul motivo per cui qualcuno fa tanti sforzi per violarle. Il motore degli attacchi più massivi e pericolosi è come spesso accade il denaro! 3

4 Internet Crime Report 2009 ( Cybercrime Business Model Dall Internet Crime Complaint Center (IC3) ultimi dati di frode per il 2009 su segnalazione per un importo di 560 milioni di $ Classificazione delle frodi in ordine di volume di segnalazione: Merce non recapitata o pagamento non ricevuto : 19,9% Furto di identità: 14,1% Frodi su carta di credito: 10,4% Frodi nell acquisto via asta: 10,3% Computer (distruzione, danni, vandalismo): 7,9% Valori medi dei singoli danni subiti per tipologia di frode : Investimenti: 3.200$ Pagamenti non dovuti: $2.500 Pagamenti anticipati: $

5 Cybercrime Business Model Carding Business Model (furto dei dati di carte di credito) Buy online [G.Lovet, Fortinet] 5

6 Cybercrime Business Model Carding Business Model (furto dei dati di carte di credito) Buy online Acquisto dei dati di 40 C.C. valide : $200 (100 cc a $2 l una con 40 alla fine valide) Pagare qualcuno per farsi spedire la merce : $800 ($20 per pacchetto) Invio della merce al criminale finale : $800 Vendita delle merci acquistate illegalmente su ebay : $ Costo totale mensile : $1.800 Profitto mensile : $ Guadagno mensile : $

7 Cybercrime Business Model Carding Business Model (furto dei dati di carte di credito) Buy in real stores skimmer 7

8 Cybercrime Business Model Carding Business Model (furto dei dati di carte di credito) Buy in real stores 20 info di credit card valide : $ carte vergini : $60 x 20 = $1.200 Uno scrittore di banda magnetica: $400 Considerando il 40% delle carte rifiutate e $1.000 di uso per ogni carta : $ Costo totale mensile : $1.800 Profitto mensile : $ Guadagno mensile : $

9 Cybercrime Business Model Spyware/Adware (per veicolare pubblicità illecita) [G.Lovet, Fortinet] 9

10 Cybercrime Business Model Spyware/Adware (per veicolare pubblicità illecita) Accesso root ad un server Linux da usare come Command & Control channel (di solito con un IRC server): $15 Carta di credito rubata per registrare un dominio : $2 Un software di BOT : $2 Far inserire il BOT in un eseguibile dall apparenza lecita : $100 Una lista fresca di da spammare : $8 Un php-mailer hacked per mandare in 6 ore : $30 Se l adware company paga $0.40 per installazione e la botnet conquista macchine a settimana : $ Costo totale mensile : $157 Profitto mensile : $ Guadagno mensile : $

11 Cybercrime Business Model Estorsioni online (furto/blocco di dati e inibizione servizi) 11

12 Cybercrime Business Model Estorsioni online (furto/blocco di dati e inibizione servizi) Inibizione di servizi online (ad esempio di e-commerce) Costruire 5-10 botnet di media grandezza : $4.000 Convincere al pagamento di un riscatto di $ per non bloccargli il servizio 5 aziende all anno : $ Costo totale : $4.000 Profitto annuale : $ Guadagno annuale : $

13 Cybercrime Business Model Mobile Phone Abuse [G.Lovet, Fortinet] 13

14 Cybercrime Business Model Mobile Phone Abuse Scrittura di un trojan per Mobile Phone (symbian, windows mobile) : $ Iniezione di tale trojan presentandolo all interno di un programma gratuito interessante e pubblicizzandolo via spam : $ telefoni conquistati che scaricano 10 suonerie a pagamento da $2 per 1 mese : $ Costo totale : $ $2.000/mensile Profitto mensile : $ Guadagno mensile : $ (primo mese)/$ (poi) 14

15 Cybercrime Business Model Underground Price List 15

16 Vettori di provenienza delle minacce Vettori di provenienza delle minacce (da dove mi attaccano?) Da Internet (92%) Da dispositivi mobili (8%) [dati Trend Micro 2009 annual threat roundup] 16

17 Vettori di provenienza delle minacce Vettori di provenienza delle minacce (da dove mi attaccano?) [dati Trend Micro 2009 annual threat roundup] 17

18 Vettori di provenienza delle minacce Inoltre il CLIENT è sempre più obiettivo primario degli attacchi rispetto ai SERVER (dove l attenzione alla sicurezza è ormai ai nostri giorni discretamente alta) [Dati symantec global internet security threat report (april 2009)] 18

19 Vettori di provenienza delle minacce [Dati symantec global internet security threat report (april 2009)] 19

20 Minacce massive L esempio più eclatante del è stato il worm Conficker [Dati Team Cymru first quarter 2009] 20

21 Minacce massive L esempio più eclatante del è stato il worm Conficker [Dati Team Cymru first quarter 2009] 21

22 Minacce massive L esempio più eclatante del è stato il worm Conficker [Dati Team Cymru first quarter 2009] 22

23 Minacce massive Vi è un evoluzione dei canali di comunicazione tra il server delle botnet ed i client infettati da IRC a covert channels in HTTP/HTTPS (più difficili da identificare) 23

24 Minacce massive Anche il numero di denial of service distribuiti (DDOS) rimane molto alto in questi ultimi mesi del 2009 [Dati Team Cymru first quarter 2009] 24

25 Minacce massive I servizi più attaccati su Internet nel primo quadrimestre del 2009 [Dati Team Cymru first quarter 2009] 25

26 Minacce massive Vi è una crescita costante verso ad attacchi di tipo applicativo (web based) rispetto ad attacchi network oriented o comunque non applicativi 26

27 Minacce massive Le nazioni da cui sono partiti i maggiori attacchi nel primo quadrimestre 2009 Web Attacks, Source Countries [Dati Team Cymru first quarter 2009] 27

28 Minacce massive Furto di dati o di identità nel 2008 suddivisi per settore merceologico [Dati symantec global internet security threat report (april 2009)] 28

29 Minacce massive Furto di dati o di identità nel 2008 suddivisi per causa [Dati symantec global internet security threat report (april 2009)] 29

30 Attacchi manuali e vulnerability assessment Attacchi manuali (i cattivi) e Vulnerability Assessment (i buoni) Metodologie simili con obiettivi diverso : La violazione del sistema e l uso improprio di quanto conquistato nel primo caso L improvement del sistema di sicurezza nel secondo 30

31 La differenza tra cattivi e buoni: il report! Executive Summary Modus Operandi Report Cronologico Attività Minime Consigliate 31

32 Rischi ed Impatti per una realtà italiana Attacco da parte di Hacker Malevoli dall esterno P I 32

33 Rischi ed Impatti per una realtà italiana Accessi (illeciti o non conformi alla legge sulla privacy) e modifica di dati di produzione P I 33

34 Rischi ed Impatti per una realtà italiana Diffusione non autorizzata dei dati di produzione Ogni tanto anche autorizzata, ma con poco grano salis P I 34

35 Rischi ed Impatti per una realtà italiana Infezione da parte di Virus, Trojan, Malware o altri sistemi automatici P I 35

36 Rischi ed Impatti per una realtà italiana Difficoltà nella revisione continua delle policy di firewalling centrali e sulle infrastrutture periferiche P I 36

37 Rischi ed Impatti per una realtà italiana Difficoltà nella gestione centralizzata dei log data la dimensione dell infrastruttura telematica e dell auditing efficace di questa P I 37

38 Rischi ed Impatti per una realtà italiana Mancanza di tempestività nell applicazione di patch e nell upgrade di componenti software, in particolare nelle loro problematiche di sicurezza P I 38

39 Rischi ed Impatti per una realtà italiana Security Awareness: vigilanza, istruzioni, consapevolezza delle problematiche di sicurezza logica Pass4aBeer? P I 39

40 Question Time? Ing. Davide Casale Shorr Kan IT Engineering 40