Quando inizi ad accettare l'impossibile, rischi di scoprire la verità

Transcript

1 Quando inizi ad accettare l'impossibile, rischi di scoprire la verità (sulla sicurezza delle applicazioni in the cloud) Verona, Milano, Roma Phone/Fax

2 Security Board of Directors: Associazione Informatici Professionisti, CLUSIT, OPSI Associazione Italiana Professionisti Sicurezza Informatica Italian Linux Society, Sikurezza.org, Hacker s Profiling Project! 2

3 Di cosa ci occupiamo? Servizi a valore aggiunto: Gap Analysis, Gestione della Compliance, Penetration Test, Attack Mitigation, Hardening, Crisis Management, Formazione Gestione dell infrastruttura: Switching, Routing, Firewalling, Bridging, Wireless, VoIP, Virtualization 3

4 Security Operation Center ERT SOC 4

5 World Wide Work Customers Conferences Customers & Conferences 5

6 Research Programs CrISTAL Critical Infrastructures Security Testing and Analysis Lab Childhood ITSec Awareness Permanent Program 6

7 Credits Grazie ai colleghi con i quali lavoro su questi temi: Elisa Bortolani Raoul Chiesa Andrea Zapparoli Manzoni Daniele Martini Enzo Maria Tieghi 7

8 Disclaimer Sono personalmente responsabile di tutto quel che dirò, che rappresenta la mia opinione e la mia soltanto 8

9 - Lo scenario

10 Cosa dobbiamo affrontare? Ogni anno durante il Security Summit di Marzo a Milano Clusit presenta un rapporto su cosa è accaduto nell anno precedente cosa ci si aspetta dall anno in corso 10

11 Contenuti Panoramica degli eventi cybercrime e incidenti informatici più significativi del 2012, verificatisi in Italia e nel mondo, con tendenze per il 2013 ed oltre Analisi del mercato italiano della sicurezza ICT e tendenze degli investimenti delle aziende. Analisi e prospettive del mercato del lavoro nel nostro settore. 7 Focus on: Mobile Security, Social Media Security, Cloud Security, Sicurezza in Sanità, e-commerce, il protocollo IPv6, Il salvataggio delle informazioni e la continuità di servizio. 11

12 Cosa emerge? Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 12

13 Panoramica cybercrime Analisi della situazione italiana Fonte: Paolo Passeri

14 Perché preoccuparsi? Nel 2012 gli attacchi noti che hanno prodotto un danno ingente a chi li ha subiti in termini economici o di immagine sono aumentati del 252% Campione 1652 attacchi internazionali 14

15 Trend di crescita VITTIME PER TIPOLOGIA Totale Incremento Ins$tu$ons: Gov - Mil - LEAs - Intelligence ,44% Others ,00% Industry: Entertainment / News ,26% Industry: Online Services / Cloud ,67% Ins$tu$ons: Research - Educa$on ,00% Industry: Banking / Finance ,06% Industry: SoQware / Hardware Vendor ,52% Industry: Telco ,73% Gov. Contractors / Consul$ng ,67% Industry: Security Industry: ,65% Religion ,00% Industry: Health ,00% Industry: Chemical / Medical ,00% TOTALE ,24 15

16 Chi attacca? Perché?

17 L Italia #1 I navigatori attivi in Italia (per mese medio) sono 27,5 M (ago 2012) Gli utenti di Social Network sono l 85,6% degli utenti online (23 M) Il 28% della popolazione usa uno smartphone (17 M) In un contesto del genere, solo il 2% degli Italiani dichiara di avere piena consapevolezza dei rischi informatici e di prendere contromisure. Siamo un Paese avanzato, ma non abbiamo politiche di ICT Security efficaci (educazione, prevenzione, gestione degli incidenti) Usiamo tanto e male le tecnologie, il che ci espone a rischi enormi. 17

18 L Italia #2 Nel 2012 l Italia è al nono posto a livello globale per la diffusione di malware e soprattutto al primo posto in Europa per numero di PC infettati e controllati da cyber criminali (le cosiddette botnet). Nel ,9 milioni di italiani sono stati colpiti da una qualche forma di crimine realizzato via Internet (sono diventati i reati più diffusi) Solo Eurograbber (ZitMo) ha coinvolto in Italia 16 istituti bancari ed utenti, causando il furto di oltre 16 milioni di euro in pochi giorni. 18

19 Cosa ci aspettiamo? Cybercrime: in mancanza sia di barriere all ingresso che di forme efficaci di contrasto e disincentivazione, altri gruppi si uniranno a quelli già oggi in attività. Aumenteranno fortemente sia i crimini informatici, sia quelli tradizionali veicolati e/o commessi con l ausilio di sistemi ICT. Hacktivism: sempre più distruttivo, aumenteranno attacchi DDoS e data leakage. Cyber Espionage: attacchi sempre più sofisticati sponsorizzati da governi, corporations e gruppi criminali in un contesto di tutti contro tutti. Cyber Warfare : non ci sarà cyber war aperta, almeno per 1-2 anni, ma tutti si preparano attivamente a combatterla, investendo ingenti risorse. Schermaglie ed incidenti con frequenza crescente (Cyber Cold War). Crescente rischio di Black Swans ed instabilità sistemica diffusa. 19

20 - Hacker ed i media

21 Titolo #2 C'è una guerra là fuori e non vincerà chi ha più pallottole 21

22 Contributo video 22

23 Internet è reale 23

24 Titolo #3 Clicca qui per fare avere tutti i tuoi dati ad una organizzazione criminale 24

25 SecurityFocus breach November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. 25

26 Quanta attenzione... 26

27 WikiLeaks "Could become as important a journalistic tool as the Freedom of Information Act." Time Magazine 27

28 Anonymous 28

29 Lulzsec 29

30 CCC Le forze dell ordine tedesche utilizzano malware per spiare i criminali/cittadini? 30

31 Forze dell ordine In Italia? 31

32 SecurityFocus breach November So what apparently occured was Fluffi Bunny replaced that banner ad. If you poke around thruport.com, you will see that many images were replaced with the Fluffi banner ad. As a result, various web sites that use the thruport.com service had the alternate banner appear throughout the day. 32

33 Quanta attenzione... 33

34 Pallottole... 34

35 Credenziali 35

36 Identity theft Solo un furto di denaro? 36

37 Uno scherzo? Danni economici Danni di immagine Ripercussioni sul credito Difficile da dimostrare Strascichi lunghissimi 37

38 Password in chiaro Analisi tecnica? Analisi del rischio? 38

39 Chi vuole le informazioni? La criminalità organizzata mondiale ha capito da tempo che con quelli dei computer è possibile gestire truffe estremamente redditizie 39

40 Costo di un incidente? Il danno medio di una intrusione informatica è in costante aumento Il costo per commissionare un attacco è in costante diminuzione Il numero di intrusioni informatiche... 40

41 Problema tecnologico? Siamo sicuri che il problema sia l informatica? Il budget? Il tempo? 41

42 - Da chi ci dobbiamo difendere?

43 Hacker s Profiling Project Il progetto H.P.P. si pone l obiettivo di analizzare il fenomeno tecnologico, sociale ed economico dell hacking e del cybercrime nelle sue mille sfaccettature, mediante approcci sia di tipo tecnico che criminologico 43

44 Hacker I do it for one reason and one reason only. I'm learning about a system. The phone company is a System. A computer is a System, do you understand? If I do what I do, it is only to explore a system. Computers, systems, that's my bag. The phone company is nothing but a computer. Captain Crunch Tratto da Secrets of the Little Blue Box Esquire Magazine, Ottobre

45 I profili 45

46 L etica e la percezione 46

47 Deterrenti 47

48 Cosa si evince? Dal curioso che gioca con gli amici al criminale al servizio dei criminali che non conosce deterrente... 48

49 - Conseguenze nel mondo reale

50 Mobile Botnet di Smartphone 50

51 iphone Worm: Rickrolls Jailbreak di iphone: qualcuno cambia la password di root? (Novembre 2009) 51

52 PDF 52

53 53

54 Bakeca.it DDoS 54

55 SCADA 55

56 L automazione Industriale Un tema così attuale e difficile da trattare Clusit ha prodotto una monografia per approfondire il tema 56

57 WiFi in fabbrica 57

58 Un tema sempre più noto 58

59 Worms In August 2003 Slammer infected a private computer network at the idled Davis-Besse nuclear power plant in Oak Harbor, Ohio, disabling a safety monitoring system for nearly five hours. NIST, Guide to SCADA 59

60 Disgruntled employee Vitek Boden, in 2000, was arrested, convicted and jailed because he released millions of liters of untreated sewage using his wireless laptop. It happened in Maroochy Shire, Queensland, may be as a revenge against his last former employer. 60

61 Il costo dell hardening Cliente con Altoforno gestito da PC PC in LAN Stima dei costi in caso di fermo-forno Stima dei costi per isolare PC ed Altoforno in una VLAN dedicata, il cui traffico sia filtrato a L3 3M vs 3K : progetto bocciato 61

62 - Cloud Marketing

63 Performance Il cloud mette a disposizione risorse che difficilmente sarebbero gestibili in-house anche da clienti finali anche molto grandi 63

64 Flessibilità Sul cloud posso aumentare o diminuire le risorse utilizzate (pagate) secondo necessità 64

65 Sicurezza I grandi player garantiscono strumenti tecnologici e di governance che offrono una sicurezza superiore a quella che dovrebbero garantire le soluzioni in-house 65

66 Disponibilità Il cloud utilizza strumenti e protocolli standard, garantisce l interoperabilità e la possibilità di trasportare il dato da un contesto all altro 66

67 Cloud Un mondo dorato di soffici arcobaleni? 67

68 Cloud Ci sedemmo dalla parte del torto visto che tutti gli altri posti erano occupati Bertolt Brecht 68

69 Value proposition? DDOS? High Performance? Scaling resorces? Pay per use? Dynamic adapting? Mobile users? 69

70 Non è tutto oro... Ma forse è ora? 70

71 Problemi secondari PT? Data location? Audit? 71

72 Digital divide Hai abbastanza banda? Una linea di backup? 72

73 - La commedia

74 Personaggi Il Governo Gli Hacker Il Popolo Internet Noi 74

75 Abientazione Dove si è svolta l intera commedia per me 75

76 Ambientazione Reale? 76

77 Ambientazione Reale? 77

78 Prologo 78

79 Prologo A volte la realtà supera la peggiore delle fiction 79

80 - La notte del 19 Gennaio

81 SOPA Stop Online Piracy Act La legge permetterebbe ai titolari di copyright statunitensi di agire direttamente per impedire la diffusione di contenuti protetti. A seconda del richiedente, le sanzioni potrebbero includere il divieto ai network pubblicitari o ai siti di gestione dei pagamenti d'intrattenere rapporti d'affari con il sito accusato delle infrazioni, il divieto ai motori di ricerca di mantenere attivi link verso il sito in questione e la richiesta agli Internet Service Provider di bloccare l'accesso al sito web. 81

82 La protesta 82

83 La protesta Google Wired Huffington Post Wordpress EFF Reddit BoingBoing Twitter Tumblr Craiglist Mozilla ArsTecnica O Reilly TechCrunch Xkcd GoDaddy Vimeo Amazon 83

84 Il Grande giubilo I cittadini orientano la politica Grande vittoria della democrazia 84

85 FBI vs MegaVideo 85

86 Anonymous 86

87 L opinione di 2600 Most importantly, these attacks are turning attention away from what is going on with Wikileaks. This fight is not about a bunch of people attacking websites, yet that is what is in the headlines now. It certainly does not help Wikileaks to be associated with such immature and boorish activities any more than it helps the hacker community. From what we have been hearing over the past 24 hours, this is a viewpoint shared by a great many of us. 87

88 - Mega* & Kim

89 Kim Kimble Schmitz Dotcom 89

90 Kimble come lo ricordiamo... 90

91 Le reazioni nell underground 91

92 Kimble e la legge As a teenager, Dotcom earned a reputation in his native Germany for cracking corporate PBX systems in the United States [ ] That effort led to his arrest on charges of using and selling stolen calling card numbers. [ ] In 1998, Dotcom was sentenced to a probationary sentence of two years for computer fraud and handling stolen goods. 92

93 Kimble ed il denaro In January 2002, Dotcom was arrested in Bangkok, Thailand, deported to Germany, and sentenced to a probationary sentence of one year and eight months, and a 100,000 fine, the largest insider-trading case in Germany at the time. Dotcom also pleaded guilty to embezzlement in November 2003 and received a two-year probation sentence. 93

94 Kimble e l innovazione In 1999, [ ] presented the "Megacar", a Brabustuned Mercedes-Benz S-Class W220 which, among other features, had a Windows NT server, a 17.3" SGI flat panel display and combined 16 GSM modules to provide mobile broadband Internet access. 94

95 Kimble e la musica MegaUpload is currently being portrayed by the MPAA and RIAA as one of the world s leading rogue sites. But top music stars including P Diddy, Will.i.am, Alicia Keys, Snoop Dogg and Kanye West disagree and are giving the site their full support in a brand new song. 95

96 Kimble e SOPA We implemented this to give users the fastest and most direct channel to our sites, Kim told TorrentFreak. Mega is not concerned about SOPA or Protect IP. We are a legitimate online service provider, online for 7 years. 96

97 Errore? 97

98 - Dubbi

99 Domande nella notte Dove sono i nostri dati? Chi li può visionare? Conservare? I miei dati da chi verranno visionati? Saranno sempre nella mia disponibilità? 99

100 Riservatezza? Kimble è tra i buoni o i cattivi? Resta il CEO pluricondannato che poteva chiedere ai suoi tecnici di vedere i dati dei clienti 100

101 Mega*: solo film ed MP3? Dove sono ora i dati delle aziende paganti? Cosa fare degli abbonamenti pre-pagati? 101

102 Paranoia is a virtue 102

103 - Cloud services

104 Servizi cloud Possono essere declinati in diverse modalità operative 104

105 Cloud Services 105

106 SaaS (Software as a Service) - Consiste nell'utilizzo di programmi installati su un server remoto, cioè fuori del computer fisico o dalla LAN locale, spesso attraverso un server web. Questo acronimo condivide in parte la filosofia di un termine oggi in disuso, ASP (Application service provider)

107 DaaS (Data as a Service) - Con questo servizio vengono messi a disposizione via web solamente i dati ai quali gli utenti possono accedere tramite qualsiasi applicazione come se fossero residenti su un disco locale

108 HaaS (Hardware as a Service) - Con questo servizio l'utente invia dati ad un computer che vengono elaborati da computer messi a disposizione e restituiti all'utente iniziale

109 PaaS (Platform as a Service) - Invece che uno o più programmi singoli, viene eseguita in remoto una piattaforma software che può essere costituita da diversi servizi, programmi, librerie, etc. (ad esempio Google's App Engine) 109

110 IaaS (Infrastructure as a Service) - Utilizzo di risorse hardware in remoto. Questo tipo di cloud è quasi un sinonimo di Grid Computing, ma con una caratteristica imprescindibile: le risorse vengono utilizzate su richiesta o domanda al momento in cui una piattaforma ne ha bisogno, non vengono assegnate a prescindere dal loro utilizzo effettivo

111 Cloud services 111

112 Cloud services 112

113 Cosa proteggere? A seconda del servizio sottoscritto possiamo adottare diverse misure 113

114 SSL Solo perché sono paranoico non significa che non mi stiano seguendo

115 Cosa proteggere? Proteggere una applicazione è impossibile Proteggere una infrastruttura è doveroso 115

116 Ambienti misti 116

117 IaaS Segregation 117

118 Firewall Cosa posso proteggere? 118

119 AF Possiamo proteggere le nostre applicazioni se il deploy ha previsto questa funzionalità 119

120 WAF E quasi certamente roba web : posso fare security su quel traffico? 120

121 Protocolli del secolo scorso Posso gestire correttamente protocolli complessi? Lo posso fare io? 121

122 VPN E necessario aggiungere ulteriori layer di sicurezza? E possibile farlo? 122

123 DNS Non sottovalutate l importanza delle Pagine Gialle 123

124 Chi sei? Cloud provider MSSP Cloud System Integrator Rivenditore Cliente 124

125 Etica... DPI Filtering 125

126 Compliance Che leggi è necessario rispettare? Che policy è necessario rispettare? 126

127 Strumenti Che caratteristiche devono avere gli strumenti usati? 127

128 Dati sensibili? Cosa carico in the cloud? 128

129 Dati in the cloud Posso criptare le informazioni? Posso fare dei backup? 129

130 Dati in the cloud Posso anonimizzare le informazioni ove necessario? Retention in caso di cancellazione? 130

131 Altri meccanismi Come gestisco servizi basati su certificati? 131

132 Monitoring Posso monitorare i miei servizi? Quali / Come? 132

133 No-Cloud Il Cloud Computing può essere un importante strumento per creare valore per l azienda tramite l ottimizzazione di alcuni processi. Tuttavia va valutato con attenzione, sotto ogni aspetto implementativo ed organizzativo. 133

134 Strumenti Non sempre è possibile utilizzare gli strumenti che siamo abituati ad avere a disposizione L importante è poter utilizzare che avevo deciso essere necessari 134

135 - Una minaccia reale

136 SQL Injection Video su SQL Injection Video su SQL Injection 136

137 Altri rischi? Posso interrogare il DB e ottenere tutti i dati contenuti: ' UNION ALL SELECT NULL,username,password,NULL FROM utenti WHERE 'x'='x 137

138 Password in cleartext 138

139 Come mi proteggo? Evito di processare i caratteri speciali come Prevedo il processo che si chiama normalizzare l input 139

140 Esempio $user=mysql_escape_string($_post['user']); $password=mysql_escape_string($_post['password']); $query="select * FROM Users WHERE username='$user' AND password='$password'; 140

141 Cross site scripting Video su XSS 141

142 - Conclusioni

143 Conclusioni Tutti sono un bersaglio Tutte le piattaforme sono un bersaglio Le protezioni tradizionali sono inefficaci 143

144 Cosa dobbiamo affrontare? Rischi reali, concreti semplici da trasformare in incidenti alta probabilità di conversione in incident grande impatto sulle persone 144

145 Cosa fare? Rischi facili da prevenire difficili da mitigare a posteriori 145

146 No-Cloud Il Cloud Computing può essere un importante strumento per lavorare meglio. Vanno valutate con attenzione i rischi. 146

147 Conclusioni L informatica deve rispondere alla necessità di creare valore per il business deve rispondere alla necessità di tutelare tutti gli asset aziendali 147

148 Conclusioni L analisi del rischio è e deve essere mirata a tutelare gli asset aziendali 148

149 Security by Design Se costruisco una casa senza progettare uscite di sicurezza costruirle a lavori finiti sarà disastroso 149

150 Bibliografia (Intervista a Courtney Love)

151 Domande? Grazie! These slides are written by Alessio L.R. Pennasilico aka mayhem. They are subjected to Creative Commons Attribution- ShareAlike 2.5 version; you can copy, modify or sell them. Please cite your source and use the same licence :) Verona, Milano, Roma Phone/Fax